版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、<p> 公安信息系統(tǒng)應(yīng)用課程設(shè)計(jì)</p><p> 題 目 木馬攻擊</p><p><b> 一.實(shí)驗(yàn)?zāi)康?lt;/b></p><p> 學(xué)習(xí)冰河木馬遠(yuǎn)程控制軟件的使用</p><p> 了解木馬和計(jì)算機(jī)病毒的區(qū)別</p><p> 熟悉使用木馬進(jìn)行網(wǎng)絡(luò)攻擊的原理和方
2、法</p><p> 通過手動刪除木馬,掌握檢查木馬和刪除木馬的技巧</p><p> 學(xué)會防御木馬的相關(guān)知識,加深對木馬的安全防范意識</p><p><b> 二.實(shí)驗(yàn)原理</b></p><p> 木馬程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不刻意地去感染其他文件,它通過將自身偽
3、裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種者的電腦。木馬與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似,但由于遠(yuǎn)程控制軟件是善意的控制,因此通常不具有隱蔽性;木馬則完全相反,木馬要達(dá)到的是偷竊性的遠(yuǎn)程控制。</p><p> 它是指通過一段特定的程序(木馬程序)來控制另一臺計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序:一個(gè)是客戶端,即控制端,另一個(gè)是服
4、務(wù)端,即被控制端。植入被種者電腦的是服務(wù)器部分,而黑客正是利用控制器進(jìn)入運(yùn)行了服務(wù)器的電腦。運(yùn)行了木馬程序的服務(wù)器以后,被種者的電腦就會有一個(gè)或幾個(gè)端口被打開,使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng),安全和個(gè)人隱私也就全無保障。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接,其控制端將享有服務(wù)端的大部分操作權(quán)限,例如給計(jì)算機(jī)增加口令,瀏覽、移動、復(fù)制、刪除文件,修改注冊表,更改計(jì)算機(jī)配置等。&
5、lt;/p><p> 隨著病毒編寫技術(shù)的發(fā)展,木馬程序?qū)τ脩舻耐{越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒后發(fā)覺。木馬是隱藏在正常程序中的具有特殊功能的惡意代碼,是具備破壞、刪除和修改文件、發(fā)送密碼、記錄鍵盤、實(shí)施DOS攻擊甚至完全控制計(jì)算機(jī)等特殊功能的后門程序。它隱藏在目標(biāo)的計(jì)算機(jī)里,可以隨計(jì)算機(jī)自動啟動并在某一端口監(jiān)聽來自控制端的控制信息。</p><
6、p><b> 木馬的特性</b></p><p> 木馬程序?yàn)榱藢?shí)現(xiàn)某特殊功能,一般應(yīng)該具有以下性質(zhì):</p><p> 偽裝性: 程序把自己的服務(wù)器端偽裝成合法程序,并且誘惑被攻擊者執(zhí)行,使木馬代碼會在未經(jīng)授權(quán)的情況下裝載到系統(tǒng)中并開始運(yùn)行。</p><p> 隱藏性:木馬程序同病毒一樣,不會暴露在系統(tǒng)進(jìn)程管理器內(nèi),也不會讓使用
7、者察覺到木馬的存在,它的所有動作都是伴隨其它程序進(jìn)行的,因此在一般情況下使用者很難發(fā)現(xiàn)系統(tǒng)中有木馬的存在。</p><p> 破壞性:通過遠(yuǎn)程控制,攻擊者可以通過木馬程序?qū)ο到y(tǒng)中的文件進(jìn)行刪除、編輯操作,還可以進(jìn)行諸如格式化硬盤、改變系統(tǒng)啟動參數(shù)等個(gè)性破壞操作。</p><p> 竊密性:木馬程序最大的特點(diǎn)就是可以窺視被入侵計(jì)算機(jī)上的所有資料,這不僅包括硬盤上的文件,還包括顯示器畫面、
8、使用者在操作電腦過程中在硬盤上輸入的所有命令等。</p><p><b> 木馬的入侵途徑</b></p><p> 木馬入侵的主要途徑是通過一定的欺騙方法,如更改圖標(biāo)、把木馬文件與普通文件合并,欺騙被攻擊者下載并執(zhí)行做了手腳的木馬程序,就會把木馬安裝到被攻擊者的計(jì)算機(jī)中。木馬也可以通過Script、ActiveX及ASP、CGI交互腳本的方式入侵,由于微軟的瀏覽
9、器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞又到上網(wǎng)者單擊網(wǎng)頁,這樣IE瀏覽器就會自動執(zhí)行腳本,實(shí)現(xiàn)木馬的下載和安裝。木馬還可以利用系統(tǒng)的一些漏洞入侵,如微軟的IIS 服務(wù)存在多種溢出漏洞,通過緩沖區(qū)溢出攻擊程序造成IIS服務(wù)器溢出,獲得控制權(quán)縣,然后在被攻的服務(wù)器上安裝并運(yùn)行木馬。</p><p><b> 木馬的種類</b></p><p>
10、 按照木馬的發(fā)展歷程,可以分為四個(gè)階段:第一代木馬是偽裝型病毒,將病毒偽裝成一合法的程序讓用戶運(yùn)行。第二代木馬是網(wǎng)絡(luò)傳播型木馬,它具備偽裝和傳播兩種功能,可以近些年歌迷馬竊取、遠(yuǎn)程控制。第三代木馬在連接方式上有了改進(jìn),利用率端口反彈技術(shù)。第四代木馬在進(jìn)程隱藏方面作了較大改動,讓木馬服務(wù)器運(yùn)行時(shí)沒有進(jìn)程,網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程完成。</p><p> 按照功能分類,木馬可以分為: 破壞型木馬,主要功能
11、是破壞刪除文件;密碼發(fā)送型木馬,它可以找到密碼并發(fā)送到指定的郵箱中;服務(wù)型木馬,它通過啟動FTP服務(wù)或者建立共享目錄,使黑客可以連接并下載文件;DOS攻擊型木馬,它可以作為被黑客控制的肉雞實(shí)施DOS攻擊;代理型木馬,它作為黑客發(fā)起攻擊的跳板;遠(yuǎn)程控制型木馬,可以使攻擊者利用客戶端軟件完全控制。</p><p><b> 木馬的工作原理</b></p><p> 下
12、面介紹木馬的傳統(tǒng)連接技術(shù)、反彈端口技術(shù)和線程插入技術(shù)。</p><p><b> 木馬的傳統(tǒng)連接技術(shù)</b></p><p> 一般木馬都采用C/S運(yùn)行模式,因此它分為兩部分,即客戶端和服務(wù)器端木馬程序。其原理是,當(dāng)服務(wù)器端程序在目標(biāo)計(jì)算機(jī)上被執(zhí)行后,一般會打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽,當(dāng)客戶端向服務(wù)器端主動提出連接請求,服務(wù)器端的木馬程序就會自動運(yùn)行,來應(yīng)答客戶端
13、的請求,從而建立連接。</p><p> 第一代和第二代木馬都采用的是C/S連接方式,都屬于客戶端主動連接方式。服務(wù)器端的遠(yuǎn)程主機(jī)開放監(jiān)聽端口等待外部的連接,當(dāng)入侵者需要與遠(yuǎn)程主機(jī)連接時(shí),便主動發(fā)出連接請求,從而建立連接。</p><p><b> 木馬的反彈端口技術(shù)</b></p><p> 隨著防火墻技術(shù)的發(fā)展,它可以有效攔截采用傳統(tǒng)
14、連接方式從外部主動發(fā)起連接的木馬程序。但防火墻對內(nèi)部發(fā)起的連接請求則認(rèn)為是正常連接,第三代和第四代“反彈式”木馬就是利用這個(gè)缺點(diǎn),其服務(wù)器端程序主動放棄對外連接請求,再通過某些方式連接到木馬的客戶端,就是說“反彈式”木馬是服務(wù)器端主動發(fā)起連接請求,而客戶端是被動的連接。</p><p> 根據(jù)客戶端IP地址是靜態(tài)的還是動態(tài)的,反彈式端口連接可以有兩種方式。</p><p> 反彈端口連
15、接方式一要求入侵者在設(shè)置服務(wù)器端的時(shí)候,指明客戶端的IP地址和待連接端口,也就是遠(yuǎn)程被入侵的主機(jī)預(yù)先知道客戶端的IP地址和連接端口。所以這種方式只適用于客戶端IP地址是靜態(tài)的情況。</p><p> 反彈端口連接方式二在連接建立過程中,入侵者利用一個(gè)“代理服務(wù)器”保存客戶端的IP地址和待連接端口,在客戶端的IP地址是動態(tài)的情況下,只要入侵者更新“代理服務(wù)”中存放的IP地址預(yù)端口號,遠(yuǎn)程被入侵主機(jī)就可以通過先連接
16、到“代理服務(wù)器”。查詢最新木馬客戶端信息,再和入侵者(客戶端)進(jìn)行連接。因此,這種連接方式適用于客戶端和服務(wù)器端都是動態(tài)IP地址的情況,況且還可以穿透更加嚴(yán)密的防火墻。</p><p> 表1 反彈端口連接方式及其使用范圍</p><p><b> 線程插入技術(shù)</b></p><p> 一個(gè)應(yīng)用程序在運(yùn)行之后,都會在系統(tǒng)中產(chǎn)生一個(gè)進(jìn)程
17、,同時(shí)每個(gè)進(jìn)程分別對應(yīng)另一個(gè)不同的進(jìn)程標(biāo)識符(PID)。系統(tǒng)會分配一個(gè)虛擬的內(nèi)存空間地址端給這個(gè)進(jìn)程,一切相關(guān)的程序操作,都會在這個(gè)虛擬的空間進(jìn)行。一個(gè)進(jìn)程可以對應(yīng)一個(gè)或多個(gè)線程,線程之間可以同步執(zhí)行。一般情況下,線程之間是相互獨(dú)立的,當(dāng)一個(gè)線程發(fā)生錯(cuò)誤的時(shí)候,并不一定會導(dǎo)致整個(gè)進(jìn)程的崩潰。“線程插入”技術(shù)就是利用了線程之間運(yùn)行的相對獨(dú)立性,使木馬完全的融進(jìn)了系統(tǒng)的內(nèi)核。這種技術(shù)把木馬程序作為一個(gè)線程,把自身插入其他應(yīng)用程序的地址空間。
18、而這個(gè)被插入的應(yīng)用程序?qū)ο到y(tǒng)來說,是一個(gè)正常的程序,這樣就達(dá)到了徹底隱藏的效果。系統(tǒng)運(yùn)行時(shí)會有許多的進(jìn)程,而每個(gè)進(jìn)程又有許多的線程,這就導(dǎo)致了查殺利用“線程插入”技術(shù)木馬程序的難度。</p><p><b> 三.實(shí)驗(yàn)環(huán)境</b></p><p> 兩臺裝有Windows 2000/XP系統(tǒng)的計(jì)算機(jī),局域網(wǎng)或Internet,冰河木馬軟件(服務(wù)器和客戶端)。<
19、;/p><p><b> 四.實(shí)驗(yàn)步驟和方法</b></p><p> 雙擊冰河木馬.rar文件,將其進(jìn)行解壓,解壓路徑可以自定義。解壓過程見圖1 — 圖4,解壓結(jié)果如圖4所示。</p><p><b> 圖1</b></p><p><b> 圖2</b></p&g
20、t;<p><b> 圖3</b></p><p> 冰河木馬共有兩個(gè)應(yīng)用程序,見圖4,其中win32.exe是服務(wù)器程序,屬于木馬受控端程序,種木馬時(shí),我們需將該程序放入到受控端的計(jì)算機(jī)中,然后雙擊該程序即可;另一個(gè)是木馬的客戶端程序,屬于木馬的主控端程序。</p><p><b> 圖4</b></p>&l
21、t;p> 在種木馬之前,我們在受控端計(jì)算機(jī)中打開注冊表,查看打開txtfile的應(yīng)用程序注冊項(xiàng):HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以看到打開.txt文件默認(rèn)值是c:\winnt\system32\notepad.exe%1,見圖5。</p><p><b> 圖5</b></p><p> 再打開受
22、控端計(jì)算機(jī)的c:\winnt\system32文件夾(XP系統(tǒng)為C:\windows\system32),我們不能找到sysexplr.exe文件,如圖6所示。</p><p><b> 圖6</b></p><p> 現(xiàn)在我們在受控端計(jì)算機(jī)中雙擊Win32.exe圖標(biāo),將木馬種入受控端計(jì)算機(jī)中,表面上好像沒有任何事情發(fā)生。我們再打開受控端計(jì)算機(jī)的注冊表,查看打開
23、.txt文件的應(yīng)用程序注冊項(xiàng):HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以發(fā)現(xiàn),這時(shí)它的值為C:\winnt\system32\sysexplr.exe%1,見圖7。</p><p><b> 圖7</b></p><p> 我們再打開受控端計(jì)算機(jī)的C:\WINNT\System32文件夾,這時(shí)我們可以找到syse
24、xplr.exe文件,如圖8所示。</p><p><b> 圖8</b></p><p> 我們在主控端計(jì)算機(jī)中,雙擊Y_Client.exe圖標(biāo),打開木馬的客戶端程序(主控程序)??梢钥吹饺鐖D9所示界面。</p><p><b> 圖9</b></p><p> 我們在該界面的【訪問口令
25、】編輯框中輸入訪問密碼:12211987,設(shè)置訪問密碼,然后點(diǎn)擊【應(yīng)用】,見圖10。</p><p><b> 圖10</b></p><p> 點(diǎn)擊【設(shè)置】->【配置服務(wù)器程序】菜單選項(xiàng)對服務(wù)器進(jìn)行配置,見圖11,彈出圖12所示的服務(wù)器配置對話框。</p><p><b> 圖11</b></p>
26、<p> 在服務(wù)器配置對話框中對待配置文件進(jìn)行設(shè)置,如圖12點(diǎn)擊該按鈕,找到服務(wù)器程序文件win32.exe,打開該文件(圖13);再在訪問口令框中輸入12211987,然后點(diǎn)擊【確定】(見圖14),就對服務(wù)器已經(jīng)配置完畢,關(guān)閉對話框。</p><p><b> 圖12</b></p><p><b> 圖13</b><
27、/p><p><b> 圖14</b></p><p> 現(xiàn)在在主控端程序中添加需要控制的受控端計(jì)算機(jī),我們先在受控端計(jì)算機(jī)中查看其IP地址,如圖15(本例中為172.16.8.62)。</p><p><b> 圖15</b></p><p> 這時(shí)可以在我們的主控端計(jì)算機(jī)程序中添加受控端計(jì)算
28、機(jī)了,詳細(xì)過程見圖16、圖17。</p><p><b> 圖16</b></p><p><b> 圖17</b></p><p> 當(dāng)受控端計(jì)算機(jī)添加成功之后,我們可以看到圖18所示界面。</p><p><b> 圖18</b></p><p&
29、gt; 我們也可以采用自動搜索的方式添加受控端計(jì)算機(jī),方法是點(diǎn)擊【文件】->【自動搜索】,打開自動搜索對話框(見圖19)。</p><p><b> 圖19</b></p><p> 搜索結(jié)束時(shí),我們發(fā)現(xiàn)在搜索結(jié)果欄中IP地址為172.16.8.62的項(xiàng)旁狀態(tài)為OK,表示搜索到IP地址為172.16.8.62的計(jì)算機(jī)已經(jīng)中了冰河木馬,且系統(tǒng)自動將該計(jì)算機(jī)添
30、加到主控程序中,見圖20。</p><p><b> 圖20</b></p><p> 將受控端計(jì)算機(jī)添加后,我們可以瀏覽受控端計(jì)算機(jī)中的文件系統(tǒng),見圖21 — 圖23。</p><p><b> 圖21</b></p><p><b> 圖22</b></p&g
31、t;<p><b> 圖23</b></p><p> 我們還可以對受控端計(jì)算機(jī)中的文件進(jìn)行復(fù)制與粘貼操作,見圖24、圖25。</p><p><b> 圖24</b></p><p><b> 圖25</b></p><p> 我們在受控端計(jì)算機(jī)中進(jìn)行
32、查看,可以發(fā)現(xiàn)在相應(yīng)的文件夾中確實(shí)多了一個(gè)剛復(fù)制的文件,見圖26,該圖為受控端計(jì)算機(jī)中文件夾。</p><p><b> 圖26</b></p><p> 我們可以在主控端計(jì)算機(jī)上觀看受控端計(jì)算機(jī)的屏幕,方法見圖27、圖28。</p><p><b> 圖27</b></p><p><
33、b> 圖28</b></p><p> 這時(shí)在屏幕的左上角有一個(gè)窗口,該窗口中的圖像即受控端計(jì)算機(jī)的屏幕見圖29。</p><p><b> 圖29</b></p><p> 我們將左上角的窗口全屏顯示,可得如圖30所示(屏幕的具體狀態(tài)應(yīng)視具體實(shí)驗(yàn)而不同)。</p><p><b>
34、 圖30</b></p><p> 我們在受控端計(jì)算機(jī)上進(jìn)行驗(yàn)證發(fā)現(xiàn):主控端捕獲的屏幕和受控端上的屏幕非常吻合。見圖31。</p><p><b> 圖31</b></p><p> 我們可以通過屏幕來對受控端計(jì)算機(jī)進(jìn)行控制,方法見圖32,進(jìn)行控制時(shí),我們會發(fā)現(xiàn)操作遠(yuǎn)程主機(jī),就好像在本地機(jī)進(jìn)行操作一樣。</p>
35、<p><b> 圖32</b></p><p> 我們還可以通過冰河信使功能和服務(wù)器方進(jìn)行聊天,具體見圖33 — 圖35,當(dāng)主控端發(fā)起信使通信之后,受控端也可以向主控端發(fā)送消息了。</p><p><b> 圖33</b></p><p><b> 圖34</b></p>
36、;<p><b> 圖35</b></p><p> 展開命令控制臺 ,分為“口令類命令”、“注冊表讀表”、“設(shè)置類命令”。</p><p><b> ?。?)口令命令類:</b></p><p> ① “系統(tǒng)信息及口令“:可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息、開機(jī)口令、緩存口令等。</p><
37、;p> ② “歷史口令”:可以查看遠(yuǎn)程主機(jī)以往使用的口令。</p><p> ③ “擊鍵記錄”:啟動鍵盤記錄以后,可以記錄遠(yuǎn)程主機(jī)用戶擊鍵記錄,以此可以分析出遠(yuǎn)程主機(jī)的各種帳號和口令或各種秘密信息。</p><p><b> ?。?)控制類命令</b></p><p> 捕獲屏幕”:這個(gè)功能可以使控制端使用者查看遠(yuǎn)程主機(jī)的屏幕,好像
38、遠(yuǎn)程主機(jī)就在自己面前一樣,這樣更有利于竊取各種信息。單擊“查看屏幕”,彈出遠(yuǎn)程主機(jī)界面。</p><p> ①“發(fā)送信息”:這個(gè)功能可以使你向遠(yuǎn)程計(jì)算機(jī)發(fā)送Windows標(biāo)準(zhǔn)的各種信息。</p><p> ?、凇斑M(jìn)程管理”:這個(gè)功能可以使控制者查看遠(yuǎn)程主機(jī)上所有的進(jìn)程。</p><p> ?、邸按翱诠芾怼保哼@個(gè)功能可以使遠(yuǎn)程主機(jī)上的窗口進(jìn)行刷新、最大化、最小化、激
39、活、隱藏等操作。</p><p> ?、堋跋到y(tǒng)管理”:該功能可以使遠(yuǎn)程主機(jī)進(jìn)行關(guān)機(jī)、重啟、重新加載冰河、自動卸載冰河。</p><p> ⑤“其他控制”:該功能可以使遠(yuǎn)程主機(jī)上進(jìn)行自動撥號禁止、桌面隱藏、注冊表鎖定等操作。</p><p><b> ?。?)網(wǎng)絡(luò)類命令:</b></p><p> ?、佟皠?chuàng)建共享”:在遠(yuǎn)
40、程主機(jī)上創(chuàng)建自己的共享。</p><p> ②“刪除共享”:在遠(yuǎn)程主機(jī)上刪除某個(gè)特定的共享。</p><p> ?、邸熬W(wǎng)絡(luò)信息”:查看遠(yuǎn)程主機(jī)上的共享信息,單擊“查看共享”可以看到遠(yuǎn)程主機(jī)上的IPC$,C$、ADMIN$等共享都存在。</p><p> ?、任募惷睿赫归_文件類命令、文件瀏覽、文件查找、文件壓縮、文件刪除、文件打開等菜單可以查看、查找、壓縮、刪除
41、、打開遠(yuǎn)程主機(jī)上的某個(gè)文件。目錄增刪、目錄復(fù)制、主鍵增刪、主鍵復(fù)制的功能。</p><p> ?、勺员碜x寫:提供了鍵值讀取,鍵值寫入,鍵值重命名、主鍵瀏覽、主鍵刪除、主鍵復(fù)制的功能。</p><p> ?、试O(shè)置類命令:提供了更換墻紙、更改計(jì)算機(jī)名、服務(wù)器端配置的功能。</p><p><b> 3、刪除冰河木馬</b></p>
42、<p> 刪除冰河木馬主要有以下幾種方法:</p><p> 客戶端的自動卸載功能,而實(shí)際情況中木馬客戶端不可能為木馬服務(wù)器自動卸載木馬。</p><p> 手動卸載:查看注冊表,在“開始”中運(yùn)行regedit,打開Windows注冊表編輯器。依次打開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\</p>
43、<p> CruuentVersion\run.</p><p> 在目錄中發(fā)現(xiàn)一個(gè)默認(rèn)的鍵值:C:\WINNT\System32\kernel32.exe,這個(gè)就是冰河木馬在注冊表中加入的鍵值,將它刪除。</p><p> 然后依次打開子鍵目錄</p><p> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
44、d-</p><p> ows\CurrentVersion\Runservices,在目錄中也發(fā)現(xiàn)一個(gè)默認(rèn)鍵值:C:\WINNT\System32\</p><p> kernel32.exe,這個(gè)也是冰河木馬在注冊表中加入的鍵值,刪除。進(jìn)入C:\WINNT\System32目錄,找到冰河的兩個(gè)可執(zhí)行文件Kernel32.exe和Susexplr.exe,刪除。</p>
45、<p> 修改文件關(guān)聯(lián)時(shí)木馬常用的手段,冰河木馬將txt文件的缺省打開方式由notepad.exe改為木馬的啟動程序,此外html、exe、zip、com等都是木馬的目標(biāo)。所以還需要恢復(fù)注冊表中的txt文件關(guān)聯(lián)功能。將注冊表中HKEY_CLASSES_ROOT\txtfile\shell\open\</p><p> command下的默認(rèn)值,由中木馬后的C:\Windows\SSystem\Su
46、sex-plr.exe%1改為正常情況下的C:\Windows\notepad.exe%1。</p><p><b> 3、木馬的防范</b></p><p> 木馬的危害顯而易見,防范木馬的方法主要有:</p><p> 提高防范意識,不要打開陌生人傳來的可疑郵件和附件。確認(rèn)來信的源地址是否合法。</p><p>
47、; 如果網(wǎng)速變慢,往往是因?yàn)槿肭终呤褂玫哪抉R搶占帶寬。雙擊任務(wù)欄右下角連接圖標(biāo),仔細(xì)觀察發(fā)送“已發(fā)送字節(jié)”項(xiàng),如果數(shù)字比較大,可以確認(rèn)有人在下在你的硬盤文件,除非你正使用FTP等協(xié)議進(jìn)行文件傳輸。</p><p> 察看本機(jī)的連接,在本機(jī)上通過netstat-an(或第三方程序)查看所有的TCP/UDP連接,當(dāng)有些IP地址的連接使用不常見的端口與主機(jī)通信時(shí),這個(gè)連接九需要進(jìn)一步分析。</p>&
48、lt;p> 木馬可以通過注冊表啟動,所以通過檢查注冊表來發(fā)現(xiàn)木馬在注冊表里留下的痕跡。</p><p> 使用殺毒軟件和防火墻。</p><p><b> 五.實(shí)驗(yàn)總結(jié)</b></p><p> 在這次的計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)中,我們主要是學(xué)習(xí)木馬傳播和運(yùn)行的機(jī)制;通過手動刪除木馬,掌握檢查木馬和刪除木馬的技巧,學(xué)會防御木馬的相關(guān)知識
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 物流信息系統(tǒng)課程設(shè)計(jì)
- 超市信息系統(tǒng)課程設(shè)計(jì)
- 學(xué)生信息系統(tǒng)課程設(shè)計(jì)
- 物流信息系統(tǒng)課程設(shè)計(jì)
- 學(xué)生信息系統(tǒng)java課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 道路運(yùn)輸信息系統(tǒng) 課程設(shè)計(jì)
- 會計(jì)信息系統(tǒng)課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 物流信息系統(tǒng)課程設(shè)計(jì)報(bào)告
- 管理信息系統(tǒng)課程設(shè)計(jì)
- delphi學(xué)生信息系統(tǒng)課程設(shè)計(jì)
- 2007信息系統(tǒng)課程設(shè)計(jì)報(bào)告
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 管理信息系統(tǒng)課程設(shè)計(jì)
- 信息管理系統(tǒng)課程設(shè)計(jì)_學(xué)生選課管理信息系統(tǒng)課程設(shè)計(jì)
評論
0/150
提交評論