论文天下|会计论文|管理论文|计算机论文|医药学论文|经济学论文|法学论文|社会学论文|文学论文|教育论文|理科论文|工科论文|艺术论文|哲学论文|文化论文|外语论文|格式论文
论文天下
计算机应用论文  计算机理论论文  计算机网络论文  电子商务论文  软件工程论文  操作系统论文  通信技术论文   
网络安全之木马技术

   [摘要]本文主要从黑客入侵的技术中如何掩盖其行踪,达到保护自己目的,为大家查找入侵途径及防范入侵提供帮助。
  [关键词]木马 入侵 隐藏 攻击
  
  一、隐藏踪迹
  
  1.编辑系统日志
  许多攻击者会在本地系统日志中留下痕迹。例如某个对penssh实施蛮力口令攻击的用户会产生日志记录。syslg记录通常含有攻击者的身份或位置的信息。在入侵之后,攻击者很可能会抹掉记录其踪迹的日志。syslg文件一般保存在rt::rt所属的/var/lg/目录下。其文件许可通常为644,即所有人均可读,但是只有rt可写。已经攻破rt的攻击者能够抹掉与其相关的日志信息。
  2.抹去日志记录文件
  大部分登录软件都会在名为/var/lg/utp或/var/lg/tp的文件中记录每次成功的登录。这些文件以机器可读的格式保存每个用户登录和注销时间。这样攻击者就能根据可疑活动的发生时间快速地定位到这段时间内登录系统得用户。可以用程序last从这些文件中提取信息:如果能够写入/var/lg/utp或/var/lg/tp文件,攻击者就能够编辑这些文件以删除与其登录相关的踪迹。有许多工具可以从以上文件中删除登录信息。或者可以直接删除这些文件。
  
  二、木马化系统程序
  
  1.日志报告。多数日志程序都将日志信息记录在tp,utp或syslg文件中。通过重新编译lgin,su,sud,in.telnetd,sshd,rlgind等,攻击者才能够从根本上阻止记录这些信息。类似于,h和last的命令扫描tp和utp文件,以报告当前有哪些用户,或者显示之前的登录情况。通过修改这些命令,攻击者甚至无需修改日志文件的内容就能保持隐身状态。
  2.进程报告。类似于ps,lsf和tp的命令通常也被木马化。以隐藏运行的任意进程。这些进程通常包括口令破解会话、对外攻击或远程守护进程。例如,可以在ps命令的某个源代码文件readpr.中添加了若干代码:
  pr_t* ps_readpr(prtab *pt,pr_t* rbuf) {
  next_pr:
  hile((ent = readdir(pt->prfs))≈≈(*ent->d_nae<’0’||*ent->d_nae>’9’)){…}
  if(!ent||!ent->d_nae) return null;
  sprintf(path,”/pr/%s”,ent->d_nae);
  if(stat(path,≈sb)= = -1) gt next_pr;
  if(sb.st_uid = = 8765) { gt next_pr; }
  if(!allated){…}
  在上面程序中,只是简单地让ps跳过任何id为8765的进程。这样ps将只会报告与之无关的其他进程。此外,也可以将ps编写成忽略设置了在名字中包含特定字符串的进程。
  3.文件报告。文件报告工具,通常都能找到系统中我们创建的所有文件。这些文件通常包括攻击源代码、攻击输出、破解数据库和机器列表等。攻击者可以修改这些工具来隐藏其文件或目录。
  下面是/bin/ls源代码ls.的一个经过修改的版本:
  stati int file_intertesting(nst strut diret *next) {
  fr(ignre = ignre_patterns;ignre;ignre =ignre->next)
  if(fnath(ignre->patern,next->d_nae,fn_perid)= = 0) return 0;
  if(!strp(next->d_nae,”...”)) return 0;
  if(really_all_files||next->d_nae[0]!=’.’||(all_files))
  在上面,修改了file_interesting函数,该函数用来确定是否在列表中输出相应的文件名。通过修改file_interesting函数可以隐藏文件名为”...”的文件。显然通过木马化足够的文件列表程序,攻击者能够隐藏所有特殊的目录。
  4.网络报告。通过诸如netstat,lsf和tpdup等程序,可以看到系统中与黑客有关的进入连接和外出连接。其他网络信息,诸如网络接口配置、网络路由、硬件地址表,可以通过木马化rute,ifnfig和arp等命令隐藏起来。
  5.安全工具。对木马化和踪迹隐藏而言,本地安装的安全工具尤为重要,例如制定的进程检查脚本、用户监视软件、文件完整性工具或数据库。如果攻击者能够修改文件完整性软件或suid/sgid检查程序,以使之忽略其所建立的特定目录,就能在该目录下安全地安装任何东西而不被发现,包括suid为rt的程序,而通常这类程序很容易被发现。

未完...点击下方链接下载完整文档

网络安全之木马技术

[摘要]本文主要从黑客入侵的技术中如何掩盖其行踪,达到保护自己目的,为大家查找入侵途径及防范入侵提供帮助。 [关键词]木马 入侵 隐藏 攻击 一、隐藏踪迹 1.编辑系统日志 许多攻击者会在本地系统日志中留下痕迹。例如某个对penssh实施蛮力口令攻击的用户会产
  • 上一篇:关于智能公共设施网络的构建理念
  • 下一篇:开放式计算机网络课程教学模式研究
  • 网上商店税收征管问题研究
    我国的行政问责制度浅析
    网络信息传播对和谐金华建设的负
    浅析真实性原则下的网络新闻采写
    教育需要绿色网络生活
    试论电子计算机网络安全在在的问
    从“互联网+”看电视传媒的思维
    浅谈关于网络出版的概念以及我国
    用Windows终端仿真程序实现微机
    商业周刊:网络普及让新型宽带广
    浅论校园网络中存在嗅探器的解决
    教师教育网络课程的设计策略(1)
    浅谈网络新闻传播的交互性
    利用网络平台加强高校网络思想政
    P2P网络技术应用中常见问题的分
    新闻报道中多媒体技术的运用
    网络虚假新闻的产生与应对策略
    DTS技术在网络媒体中的应用
    网络技术在广播电视网络传媒中
    从技术到生活:网络生活的“日
    网络游戏外挂技术
    基于网络游戏中3D技术的应用
    电子支付及其网络安全
    基于泛雅网络学习平台的高职《
    校园无线网络全覆盖解决方案
    | 设为首页 | 加入收藏 | 联系我们 | 论文发表

    Copyright 2006-2020 © 论文天下 All rights reserved 本站所有内容均由SPider自动索引,如有侵权请联系QQ:2486851删除