计算机信息安全技术 课件 第8章 操作系统安全.ppt

**8.3Windows系统安全Windows7安全操作修改组策略加固系统注册表**8.3Windows系统安全Windows7安全操作禁止自动运行阻止病毒传播**禁止对注册表的远程访问**禁止和删除服务通过services.msc禁止服务使用ResourceKit彻底删除服务Sc命令行工具Instsrv工具举例OS/2和Posix系统仅仅为了向后兼容Server服务仅仅为了接受netbios请求**针对Windows的入侵示例**1.探测选择攻击对象，了解部分简单的对象信息。针对具体的攻击目标，随便选择一组IP地址，进行测试，选择处于活动状态的主机；针对探测的安全建议对于网络：安装防火墙，禁止这种探测行为对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态针对Windows2000的入侵过程(一)**针对Windows2000的入侵过程(二)2.扫描使用的扫描软件这里选择的扫描软件是SSS（ShadowSecurityScanner），SSS是俄罗斯的一套非常专业的安全漏洞扫描软件，能够扫描目标服务器上的各种漏洞，包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数据可以随时更新。扫描远程主机开放端口扫描操作系统识别SSS本身就提供了强大的操作系统识别能力，也可以使用其他工具进行主机操作系统检测。主机漏洞分析**扫描结果：端口扫描可以看出几个比较知名的端口均处于打开状态，如139、80等尝试使用Unicode漏洞攻击，无效。可能主机已经使用了SP进行补丁或未开放远程访问权限**扫描结果：操作系统识别结果显示该主机操作系统为Windows2000，正是我们期望的操作系统类型**扫描结果：漏洞扫描SSS可对远程主机进行漏洞检测分析，选择合适的攻击入口点，进行远程入侵；该主机存在的漏洞较多，我们可以确定选择该主机作为攻击对象。另外，主机的帐号密码使用的是“永不过期”方式，我们可以在下面进行帐号密码的强行破解**针对Windows2000的入侵过程(三)3.查看目标主机的信息在完成对目标主机的扫描后，可以利用WindowsNT/2000对NetBIOS的缺省信赖，对目标主机上的用户帐号、共享资源等进行检查。这里，再利用Windows2000的IPC空会话查询远程主机**针对Windows2000的入侵过程(四)4.渗透IIS攻击尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限Administrator口令强行破解目标主机是一台个人主机，绝大部分情况下，均使用Administrator帐号进行登陆，且个人防范意识较差的话，选择的密码一般都较简单，如“主机名”、“11111”、“12345”之类的简单密码。所以考虑利用NetBIOS会话服务（TCP139）进行远程密码猜测。这里使用NAT（NetBIOSAuditingTool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解。成功**Administrator口令破解情况**针对Windows2000的入侵过程(五)5.巩固权力现在得到了Administrator的帐户，接下去需要巩固权力添加一个迷惑性的帐户，并加入administrators组，将来通过新帐户进入装载后门装载后门一般的个人主机为防范病毒，均会安装反病毒软件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而大部分的木马程序在这类软件的病毒库中均被视为Trojan木马病毒。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用NetCat作为后门程序进行演示**安装后门程序(一)利用刚刚获取的Administrator口令，通过Netuse映射对方驱动器**安装后门程序(二)然后将netcat主程序nc.exe复制到目标主机的系统目录下（便于隐藏），可将程序名称改为容易迷惑对方的名字，如rundl132.exe、ddedll32.exe等利用at命令远程启动NetCat，供我们远程连接使用。还添加了每日运行计划，供以后使用。**安装后门程序(三)远程NetCat服务程序启动后，我们可以在本地进行远程连接，运行命令，这时，我们已经完全控制了这台机器了**针对Windows2000的入侵过程(六)6.清除痕迹我们留下