WINDOWS系统的入侵方法1.ppt

WINDOWS系统的入侵与防护 孙 巍 2004.3.23 主要内容 系统漏洞是如何产生的?? 漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统。 漏洞的形成时间表 漏洞存在的位置 漏洞的层次 漏洞的分析模型 漏洞产生的原因 操作系统本身的脆弱性 程序编写过程中的漏洞 错误的配置 微软自带的简体中文输入法中的帮助栏包含一些选项可以打开浏览器窗口或者进行一些设置。正常情况下，在用户未登录进系统时，用户不应该被允许访问这些选项。但是，在Windows 2000进行登录验证的提示界面下，用户可以打开各种输入法的帮助栏，并可以利用其中的一些功能访问文件系统。这也就绕过了Windows 2000的登录验证机制，并能以管理员权限访问系统。 漏洞产生的原因 操作系统本身的脆弱性 程序编写过程中的漏洞 错误的配置 Windows 9x系统提供的文件和打印共享服务可以设置口令保护，以避免非法用户的访问。然而微软NETBIOS协议的口令校验机制存在严重漏洞，使得这种保护形同虚设。服务端在对客户端的口令进行校验时是以客户端发送的长度数据为依据的。因此，客户端在发送口令认证数据包时可以设置长度域为1, 同时发送一个字节的明文口令给服务端。服务端就会将客户端发来口令与服务端保存的共享口令的第一个字节进行明文比较，如果匹配就认为通过了验证。 漏洞产生的原因 操作系统本身的脆弱性 程序编写过程中的漏洞 错误的配置 系统配置可以看作成软件资源和硬件资源的组合。这样，计算机系统提供的应用程序和各个服务程序就是配置的一个部分。配置错误可以分为： 程序安装在不合适的位置； 程序安装时参数设置错误； 程序在安装时的访问权限错误。 主要内容 基本上所有的攻击都是一个流程，首先要尽可能多的了解目标主机的情况，必要的时候使用扫描器，然后利用某种漏洞攻击进入，最后会清理留下的痕迹和安装后门。 流程介绍 信息收集 网络拓扑探测 常用工具软件 安装后门 清除痕迹 信息的收集 漏洞扫描 历史上最有名的扫描器应该说是SATAN，1995年4月在Internet上公开。SATAN将攻击者的某些攻击过程自动化从而大大的缩短了攻击所需要的时间。这个程序当初曾经引起了很大的争论，许多人怀疑发布这样的扫描程序无助于增强本来已经很脆弱的网络的安全性 Nmap介绍 Nmap是一种目前最强大的信息收集工具，其中综合了各种扫描模式和OS Fingerprint 技术，以及TCP序列号预测难度评估，它的检测精度是非常令人吃惊的. ISS介绍 国内的用户了解扫描器一般是从ISS公司的Internet Security Scanner开始的，ISS公司维持了一个称为Xforce 的研究小组来跟踪攻击技术的发展，这使得他们能够及时提供最新的版本。另外，ISS的技术文档也是一个很好的学习安全的材料，但是IIS不是一个给黑客使用的扫描器。 隐秘扫描 端口扫描几乎是攻击者必须做的一件事情，但是端口扫描很容易被发现，所以开发出所谓的Stealth Attack技术。 Stealth Attack故意违反TCP 3次握手协议，利用操作系统对这些违规数据包的处理来识别系统，这样的方法包括SYN/ACK扫描，RESET扫描,XMAS扫描等。 慢速扫描 随着入侵检测技术的发展，以前所谓的Stealth Attack（隐秘攻击）手法，由于明显的违反协议规则，在网络流量中显得非常醒目，其实变得非常不隐秘。 目前看来，使用端口扫描需要足够的耐心，如果对同一主机不同端口的扫描间隔足够长的时间，几乎没有什么可靠的办法可以检测这种刺探行为。 流程介绍 信息收集 网络拓扑探测 常用工具软件 安装后门 清除痕迹 网络拓扑探测 直接对目标的攻击有时候难以奏效，而需要通过逐步渗透的办法来靠近目标，特别是对于一个大的网络来说，了解目标网络的拓扑结构是很重要的。使用扫描工具可以得到一些网络构造的资料，但是还有一个办法是利用SNMP，简单网管协议。 SNMP是种网络设备之间客户机/服务器模式的简单通信协议。路由器、交换机、打印机、HUB等等都可以成为SNMP系统中的服务器方。而SNMP系统中的客户机方往往是单独的一台计算机，轮询网络设备并记录它们所返回的数据。这里允许一台服务器多个客户机的情形 。 流程介绍 信息收集 网络拓扑探测 常用工具软件 安装后门 清除痕迹 常用工具软件 在系统攻击过程中,熟练掌握一些流行的工具软件，可以使攻击变的更容易. NET命令的用法 NET命令是一个强大的命令行