信息安全学习笔记（四）------网络后门与网络隐身

信息安全学习笔记（四）------网络后门与网络隐身

前言：

本节主要介绍木马，后门和清楚攻击痕迹等，这些技术和方法都是黑客攻击常用的技术。
一.木马

1. 概述：比喻埋伏在别人计算机里，偷取对方机密文件的程序。木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马一般有两个程序，一个是客户端，另一个是服务端。

2. 传播方式：
   通过E-mail：客户端通过将木马程序以附件的形式夹在邮件中发出去，收信人只要打开附件系统就会感染木马。
   软件下载：运行被捆绑的程序，就会感染木马。

3. 常见的类型和欺骗方式：
   1)密码发送型木马：找到所有的隐藏密码，然后通过邮箱发送出去，而且它们大多使用端口25发送邮件。不会随着windows重启而重启。
   2)键盘记录木马：主要记录受害者的键盘敲击。随着windows的启动而启动。
   3)毁坏型木马：毁坏并删除文件。
   4)FTP木马：打开用户的计算机的21端口，是每个人可以用一个FTP客户端不用密码连接到该计算机，并且进行最高权限的上传下载。

4. 木马的防范：
   1)安装杀毒软件和个人防火墙，并及时升级。
   2)把个人防护墙设置到最高等级，防止未知程序向外发送数据。
   3)使用安全性较好的浏览器和电子邮件客户端。
   4)查询客户端口就可以判断

二.后门

1. 概述：后门指绕过那些安全性的控制而获取对程序或系统的访问权的程序方法。程序员通常会在软件中创建后门便于修改程序设计中的缺陷。如果这些后门被其他人知道，那么就存在安全隐患，容易被黑客当作漏洞来攻击。

2. 后门与木马的异同：
   相同点：都是隐藏在用户系统中向外发送信息，而且本身具有权限便于远程计算机对本机控制。
   不同点：木马是一个完整的工具集合，而后门体积较小功能单一。

3. 后门的防御：
   1)使用的软件要熟知其中的后门并及时关闭。
   2)及时安装杀毒软件并安装防火墙。
   3)关闭系统中不必要的服务。

三.清除攻击痕迹
操作系统日志是对操作系统中的操作或活动进行记录，不管是用户对计算机还是应用程序的运行情况都能全面记录下来。黑客的非法入侵记录也会记录在案。
通过日志可以做到

1. List item发现试图攻击系统安全的重复举动
2. 跟踪那些想要越权的用户
3. 跟踪异常的使用模式
4. 实时跟踪入侵者
   Windows下日志信息可以通过控制面板—>管理工具—>事件查看器