图2显示了此操作中fiddler的部分界面。此操作绕过客户端身份验证。在加强网站的安全性后,如增加包括服务器端验证在内的安全措施,此类攻击和疑似攻击请求将被自动拦截。
2、 特洛伊木马[4]-[7]特洛伊木马被称为木马程序。木马和病毒的区别在于,木马不会将代码复制到主机文件或引导区,而是伪装成其他程序。病毒的特点是使自己成为其他程序的一部分,所以它们的传播方式是不同的。
病毒的主要特殊性在于它具有自我复制、传染性和破坏性;木马的特殊性在于木马攻击者可以控制木马,这是可控的。病毒的感染是无法控制的。甚至病毒编译器也无法控制它。它通过自我复制来传播和感染文件。特洛伊木马不会故意感染其他文件。它的主要功能是打开目标系统到控制端的入口,使控制端可以远程控制目标系统。
木马植入目标系统后,可以接收控制端的指令,完成控制端下达的任务。随着技术融合的发展,木马厂商借助病毒感染技术,植入木马,使得木马的危害更加严重。
(1) 木马的隐藏方式
1集成到计划中
木马被用户发现后,往往会将自身整合到程序中,以达到难以删除的目的,即木马被激活后,木马文件就绑定到某个应用程序上。在这种情况下,即使删除了它,也会在应用程序运行后安装它。
2隐藏在配置文件中
一般来说,计算机中使用图形界面,这样就很容易忽略不太重要的配置文件。木马可以利用这些配置文件的一些特殊功能使自己在计算机中运行,但这种隐藏方式并不十分灵巧,被发现的概率很大。
三。潜伏在Win.ini文件在里面
这样,当系统安全启动时,它可以自动运行。
4普通档案中的伪装
这种木马目前相当流行。如果用户不熟悉windows,很容易上当受骗。例如,可执行文件被伪装成合法的图像或文本文件。
5内置在注册表中
复杂注册表中内置的特洛伊木马更难找到。
6在系统.ini隐藏
在windows安装目录中隐藏特洛伊木马系统.ini文件,这也是一个比较隐蔽的地方。
7在启动组中不可见
这使特洛伊木马能够自动加载并在启动组中运行。
8捆绑在启动文件中
这里的启动文件是指应用程序的启动配置文件。控制端利用这些文件的特性启动,并用木马启动命令覆盖同名文件,从而实现木马启动的目的。
9在超链接中设置
用户可以通过点击网页上的恶意链接感染木马。
目前,驱动程序和动态链接库技术的出现,使得木马的隐蔽性越来越强。该技术摆脱了原有的木马监控端口模式,改为重写驱动程序或DLL。因此,系统中没有出现新的文件(所以不能通过扫描来检查和杀死它),也不需要打开一个新的端口(因此端口监视无法检查和终止它),也不会出现新的进程(因此进程视图无法检测到它,并且不能通过终止进程来停止它)。而且,这类木马在正常运行时没有任何症状,木马程序在木马程序的控制端得到木马控制端的具体信息后才开始运行。
(2) 木马通信原理
在服务器中安装木马后,当控制端和服务器端联机时,控制端可以使用木马端口与服务器建立连接。
木马的通信方法很多,最常见的是使用TCP或UDP协议,这种方法的隐蔽性比较差,容易被发现,比如使用netstat命令可以查看当前活跃的TCP、UDP连接。
此外,还可以使用其他方法,其中之一是将木马的通信连接与通用端口绑定,使木马可以利用这些端口来传输信息。例如,木马将服务器上的信息转换成普通电子邮件发送到指定地点,或使用FTP协议将信息从服务器传送到指定的FTP主机(后者很容易找到)。另一种相对安全的方法是使用HTTP协议来传输信息。此时,防火墙很难判断这些信息是属于正常通信信息还是木马传播。
以上方法都有一个共同的缺陷,即木马必须打开一个端口与外界联系才能发送数据。在这方面,一种改进的方法是使用ICMP协议进行数据通信——ICMP消息由系统内核或进程直接处理,而不需要通过端口。
木马的通信原理如下:
1TCP/IP木马通信原理
假设机器a是控制终端,机器B是服务器。如果机器a知道机器B的服务器端口和IP地址,它就可以与它建立连接。由于服务器端口是预先设置好并已知的,所以最重要的是获取B机的IP地址,获取IP地址有两种方式:信息反馈和IP扫描。