04 郑州市 2015 网络安全员培训考试资料 技术 第四章 下载本文

内容发布更新时间 : 2024/12/23 3:59:27星期一 下面是文章的全部内容请认真阅读。

(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。

(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。

(3)4000端口:这是OICQ的通讯端口。

(4)6667端口:这是IRC的通讯端口。除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。

5. 木马的防御

根据木马工作原理,木马检测一般有以下一些方法 :

(1)扫描端口:大部分的木马服务器端会在系统中监听某个端口,因此,通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。 (2)检查系统进程:很多木马在运行期间都会在系统中生成进程。因此,检查进程是一种非常有效的发现木马踪迹方法。

(3)检查ini文件、注册表和服务等自启动项。 (4)监视网络通讯,木马的通信监控可以通过防火墙来监控。

6. 后门的概念

后门是一个允许攻击者绕过系统中常规安全控制机制的程序,他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。

后门包括从简单到复杂,有很多类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,当你输入特定的密码时,你就能以管理员的权限来存取系统。后门能相互关联,而且这个技术被许多黑客所使用。

例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。

7. 后门的分类

后门可以按照很多方式来分类,标准不同自然分类就不同,从技术方面来考虑后门程序的分类方法: (1)网页后门:此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式,比如现在非常流行的ASP、cgi脚本后门等。

(2)线程插入后门:利用系统自身的某个服务或者线程,将后门程序插入到其中,这也是现在最流行的一个后门技术。

(3)扩展后门:所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常驻见安全功能。

(4)c/s后门:和传统的木马程序类似的控制方法,采用“客户端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。

五、流氓软件 1. 起源和概述

“流氓软件”其实起源于国外的“Badware”一词,定义为:是一种跟踪你上网行为并将你的个人信息反馈给“躲在阴暗处的”市场利益集团的软件,并且可以通过该软件能够向你弹出广告。

“Badware”分为“间谍软件”(spyware)、恶意软件(malware)和欺骗性广告软件(deceptive adware)。 国内互联网业界人士一般将该类软件称之为“流氓软件”,并归纳出间谍软件、行为纪录软件、浏览器劫持软件、搜索引擎劫持软件、广告软件、自动拨号软件、盗窃密码软件等。

“流氓软件”与病毒、其他软件的区别:

计算机病毒指的是:自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用,并能够自我复制。 正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。

“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。 这些软件也可能被称为恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件。与病毒

或者蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。其中以雅虎旗下的3721最为知名和普遍,也比较典型。

2. 官方定义及特点

恶意软件(流氓软件)定义:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国法律法规规定的计算机病毒除外,它具有如下特点:

(1)强制安装:指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装软件的行为。

(2)难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍活动程序的行为。

(3)浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。

(4)广告弹出:指未明确提示用户或未经用户许可的情况下,利用安装在用户计算机或其他终端上的软件弹出广告的行为。