3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt

3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt

ID:48727249

大小:803.00 KB

頁數(shù):21頁

時(shí)間:2020-01-20

3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt_第1頁
3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt_第2頁
3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt_第3頁
3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt_第4頁
3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt_第5頁
資源描述:

《3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、計(jì)算機(jī)病毒與防治重慶電子工程職業(yè)學(xué)院計(jì)算機(jī)病毒與防治課程小組教學(xué)單元3-5木馬病毒防治木馬自啟動(dòng)原理木馬的植入技術(shù)木馬自啟動(dòng)實(shí)現(xiàn)第二講木馬的植入、自啟動(dòng)和隱藏計(jì)算機(jī)病毒與防治課程小組木馬隱藏手段木馬隱藏實(shí)現(xiàn)木馬入侵木馬的傳播途徑有很多種,其中最簡單的是直接將木馬的服務(wù)器端程序拷貝到U盤上。通過電子郵件傳播是一種最簡單有效的方法,黑客通常給用戶發(fā)電子郵件,而這個(gè)加在附件中的軟件就是木馬的服務(wù)器端程序。緩沖區(qū)溢出攻擊是植入木馬最常用的手段。據(jù)統(tǒng)計(jì),通過緩沖區(qū)溢出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的80%以上。計(jì)算機(jī)病毒與防治課程小組木馬植入技術(shù)計(jì)算機(jī)病毒與防治課程小組木馬入侵緩沖區(qū)溢出((Buffe

2、rOverflow)指的是一種系統(tǒng)攻擊的手段,通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù)。例如下面程序:voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}通過緩沖區(qū)溢出植入木馬木馬入侵計(jì)算機(jī)病毒與防治課程小組上面的strcpy()將直接吧str中的內(nèi)容copy到buffer中。這樣只要str的長度大于16就會造成buffer的溢出,使程序運(yùn)行出錯(cuò)。存在象strcpy這樣的問題的標(biāo)準(zhǔn)函數(shù)還有strc

3、at(),sprintf(),vsprintt(),gets(),scanf(),以及在循環(huán)內(nèi)的getc(),fgetc(),getchar()等。當(dāng)然,隨便往緩沖區(qū)中填東西造成它溢出一般只會出現(xiàn)Segmentationfault錯(cuò)誤,而不能達(dá)到攻擊的目的。如果在溢出的緩沖區(qū)中寫入我們想執(zhí)行的代碼,再覆蓋函數(shù)返回地址的內(nèi)容,使它指向緩沖區(qū)的開頭,就可以達(dá)到運(yùn)行其它指令的目的。通過緩沖區(qū)溢出植入木馬木馬自啟動(dòng)途徑計(jì)算機(jī)病毒與防治課程小組1.利用INI文件實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)win.ini是系統(tǒng)保存在[Windir]目錄下的一個(gè)系統(tǒng)初始化文件。系統(tǒng)在起動(dòng)時(shí)會檢索該文件中的相關(guān)項(xiàng),以便對系統(tǒng)環(huán)

4、境的初始設(shè)置。在該文件中的“[windows]”數(shù)據(jù)段中,有兩個(gè)數(shù)據(jù)項(xiàng)“l(fā)oad=”和“run=”。它們的作用就是在系統(tǒng)起動(dòng)之后自動(dòng)地裝入和運(yùn)行相關(guān)的程序。Win.ini:System.ini:[windows][boot]Shell=Explorer.exeload=file.exeShell=Explorer.exerun=file.exe程序自動(dòng)啟動(dòng)的原理計(jì)算機(jī)病毒與防治課程小組木馬自啟動(dòng)途徑2.利用注冊表實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其他與系統(tǒng)配置有關(guān)的重要信息,注冊表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWind

5、owsCurrentVersion]項(xiàng)會影響系統(tǒng)起動(dòng)過程執(zhí)行程序,可以向該項(xiàng)添加一個(gè)子項(xiàng),自動(dòng)啟動(dòng)程序的設(shè)置具體可以通過更改以下鍵值來實(shí)現(xiàn):[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun][HKEY_LOC

6、AL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]木馬自啟動(dòng)途徑計(jì)算機(jī)病毒與防治課程小組3加入系統(tǒng)啟動(dòng)組在啟動(dòng)

7、文件夾[Windir]startmenuprogramsstartup中添加程序或快捷方式,也可修改冊表的位置:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup]="windowsstartmenuprogramsstartup"木馬自啟動(dòng)途徑計(jì)算機(jī)病毒與防治課程小組4利用系統(tǒng)啟

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會顯示錯(cuò)亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。