学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵.

Slides:



Advertisements
Similar presentations
輔導處八月份主管會報 報告人 : 洪自強. 輔導組本月工作 【行政文書】 建置 100 學年度工作資料夾 擬訂 100 學年度第一學期行事曆 【認輔工作】 匯整 100 學年度續接個案資料 輔導教師持續關心責任班級高關懷個案 統整國小轉銜個案資料 (3 位 ) 【通報案件】 通報性騷擾案件 1 件.
Advertisements

开远市第一中学 2014年高考志愿填报指导会 2014年6月26日.
职业指导服务系统 欢迎了解职业指导服务系统!
友情提示:课件仅是理论探讨,不作为执法依据。
成功八步 成功一定有方法 失败一定有原因 银河系统.
第二节 交通运输布局变化的影响 北京市第十一中学 张芊丽 2008年1月.
推销自己是一种才华,是一种艺术。 有了这种才华, 你就能安身立命, 使自己处于不败之地。 卡耐基.
第五十章 旅外华人现代汉语文学 回目录.
自然與生活科技領域 國中1上 第2單元 生命的維持(一) 生物體的協調 6-1 神經系統 6-2 內分泌系統.
第2单元 信息获取与数字化.
区位因素分析专题.
文题: (1)请以“从此,我(他/她)不再________”为题,写一篇不少于600字的记叙文。 (2)以“做人从_____开始” 为题,写一篇不少于600字的文章。 (3)请以“你还会____吗”为题写一篇600字以上的文章,文体不限,诗歌除外。
第八章   股利分配 本章主要介绍了影响股利政策的因素、主要的股利政策、股利支付的程序及方式、 股票分割及股票回购等问题。通过本章的学习,要求掌握不同股利政策的具体做法,掌握股票股利的作用,了解股票分割和股票回购的涵义及影响。
文明史范式.
网络常用命令.
金陵科技学院·思想政治理论课教学部 思想道德修养与法律基础 “基础”教研室.
脾胃病的饮食调理和中医治疗 贵州省中医院脾胃病肝病内科 医生:朱国琪.
教育年鉴条目的撰写.
教育老兵教學經驗談 何進財 曾任 教育部社教司司長 訓委會常務委員 中央警官學校兼任講師 台北市立師範學院兼任副教授 國立陽明大學兼任副教授
第八章 海岸地貌 海南三亚天涯海角.
马克思主义基本原理概论 上海理工大学社会科学学院 张欢欢.
七年级历史上册 第二单元 国家产生和社会的变革.
第四章 会计职业道德 第三节 会计职业道德教育.
湖南省怀化市中小学信息技术 学科考试系统培训交流
提高自身素质做好 新时期班主任工作 北京市广渠门中学 高金英.
第四节 世界的聚落 鸭暖中学地理备课组 学习目标 聚落的主要形式 了解 聚落的形成和发展 世界文化遗产 探索 聚落的形成和发展 环保意识 增强 人地协调发展的环境观.
纳税是有收入的成年人的事,与我们中学生无关。
我的自述 —— 近代中国民族资本主义的发展历程。
新北市廠商聯合抗旱會議 104年3月23日.
普通话模拟测试 与学习平台 使用指南.
●车辆消防安全知识——讲座 车辆消防安全知识 2017/3/17 巫山县公安消防大队 1.
省示范校建设项目验收工作汇报 赵小平
婴幼儿意外伤害预防与急救 上海人口与发展研究中心母婴健康工作室 原上海长海医院儿科 方 凤 宝优网:
负 债 第九章 主讲老师:潘煜双 方正为人,勤慎治学.
新课程高考数学试卷特点分析及复习备考 刘延彬 年3月6日 合肥.
有趣的文字 口 天 天 口 口 木 木 口 下 上 士 干.
2013年普通高等学校招生全国统一 考试(四川卷)考试说明解读
普通高等教育 “十五”国家级规划教材 新世纪全国高等中医药院校规划教材
学习目标: 1、掌握田径运动竞赛的主要规则和裁判方法。 2、通过教学与实践,初步具备小型田径运动会的裁判工作能力。
岗位分析与岗位评价 阿里巧巧
98年桃園縣農村再生總體規劃 社區輔導提案研習營
复习专题: 协调发展 社会和谐 学校:上师大附属外国语中学 说课者:李瑞英.
《采购管理暂行办法》讲解 采购管理办公室
網路小說劇情建構與伏線營造 Windows98.
综述政府法制监督工作.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
固定资产相关案例 【例1】华西股份有限公司于2012年1月从华东公司购入两辆同型号的二手汽车,价格为12万元,这两辆汽车均需要修理才能使用。其中一辆汽车是由于发动机损坏需进行大修理,估计支出为50 000元,而另一辆是由于电气路线损坏只需简单维修即可使用,预计修理支出为3000元。 在对上述汽车发生的修理费用进行会计处理时,该公司会计王某认为,由于这两辆汽车均需修理才能投入使用,因此根据受益原则,这两辆汽车的维修费用支出作为资本性支出计入所购汽车的成本之中,增加汽车的账面价值;而另一会计李某认为,这两辆汽
第17课 科学技术的成就(一).
习题课四.
第一节 固定资产概述 第二节 固定资产取得 第三节 固定资产折旧 第四节 固定资产后续支出 第五节 固定资产期末计价 第六节 固定资产处置
高考第一轮复习课件—— 中国的交通、商业和旅游业.
关注消防 关爱生命 ——中小学生消防常识培训辅导 3/22/2017.
模块: 中国近代史 主题: 近代化的起步.
关于整合检验检测认证机构实施意见的通知(国办发〔2014〕8号)
研究生入学教育 网络中心
推进德育创新 做好新时期班主任工作 北京市广渠门中学 高金英.
网络入侵初步.
《我不知道风》(节选) 徐志摩 我不知道风   是在哪一个方向吹——   我是在梦中,   在梦的轻波里依洄。   我不知道风   甜美是梦里的光辉。
Windows XP使用技巧 也許您還不知道……..
如何使用IP通远程访问系统 申请及使用方法介绍.
系統與網路管理 94學年度第1學期 建國科技大學 資管系 饒瑞佶.
認識FTP檔案傳輸協定 建立我的部落格 Archie檔案檢索服務 Google搜尋密技 歷久彌新的老朋友-BBS Skype網路電話
数据智能同步系统 操作指南.
信息系统安全 主讲 李宏铭.
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
1 打开 SQL Server 2005 安装盘,单击 SPLASH.HTA 文件进行安装,安装界面如图所示。
TYPE B 3504A設定 使用瀏覽器連線到閘道器的ip 例如:
TYPE A 3702A設定 使用瀏覽器連線到閘道器的ip 例如:
第三章 軟體資源管理 授課老師:褚麗絹.
FCN 组网案例1
Presentation transcript:

学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵

项目3 远程命令的执行及注册表的入侵 课题引入 远程命令的执行 远程进程查、杀 入侵注册表

课题引入-项目背景 基于认证入侵的方式 远程文件操作 远程屏幕检视 远程命令执行 远程进程管理 远程计算机管理 远程注册表修改 远程登录主机 获取认证密码

课题引入-项目分析 完成本项目需要解决的问题: 如何执行远程的命令 如何进行远程进程的查杀? 入侵注册表需要注意哪些问题?

课题引入-教学目标 完成本项目需要实现的教学目标: 进行远程命令的执行(重点掌握) 对远程进程查、杀(重点掌握) 入侵注册表(掌握)

课题引入-应达到的职业能力 能够熟练掌握执行远程命令的方法 能够掌握远程进程查、杀的的方法 能够入侵注册表

项目问题1 -远程命令的执行 能够远程执行命令,也就完全控制了远程主机。使用Telnet执行远程命令就是其中一种主要方法。 使用工具PSEXEC可以不用Telnet实现远程命令的执行。 使用方法PSEXEC \\computer [-u user][-p password][-s][-i][-c][-f][-d] cmd [arguments]

项目问题1 - PSEXEC参数说明 -u 登陆远程主机的用户名 -p 登陆远程主机的密码 -i 与远程主机交互执行 -f 拷贝本地文件到远程主机系统目录并执 行,如果远程主机已经存在该文件,则覆盖 -d 不等待程序结束

PSEXEC使用实例一 通过PSEXEC实现与Telnet登录同样的功能 使用命令psexec \\192.168.0.106 –u administrator –p “” cmd

PSEXEC使用实例二 使用PSEXEC,将本地可执行程序拷贝到远程主机执行

PSEXEC使用方式说明 如果要在远程主机建立后门帐号,可以使用命令psexec \\192.168.0.106 –u administrator –p “” net user abc abc /add 如果将本地文件拷贝到远程主机并执行过程中,远程主机存在同名文件,则使用-f选项 -i选项一般不使用,否则在本地执行的命令远程主机也能看到

项目问题2 -远程进程查、杀 入侵者对远程主机的彻底控制包括远程察看、杀死远程主机的进程。使用PSEXEC和Aproman可以实现这一过程 Aproman.exe –p:显示端口进程关联关系 Aproman.exe –t [PID]:杀掉指定进程号的进程 Aproman.exe –f [FileName] 把进程及模块信息存入文件

使用PSEXEC和Aproman查、杀进程 步骤一:将Aproman.exe拷贝到本机磁盘 步骤二:使用PSEXEC将Aproman.exe拷贝到目的主机并执行 步骤三:通过指定进程号杀死远程主机的进程。使用命令 psexec \\192.168.0.106 –u administrator –p “” –d aproman –t 1280

使用pslist和pskill实现进程查杀 pslist.exe是命令行方式下远程查看进程的工具,其使用方法为: pslist [-t][-m][-x] \\computer [-u username][-p password] [name/pid] -t 显示线程 -m 显示内存细节 -x 显示进程、内存和线程 name 列出指定用户的进程 pid 显示指定PID的进程信息

使用pslist和pskill实现进程查杀 pskill.exe是命令行方式下远程杀进程的工具,其使用方式为:pskill \\computer [-u 用户名][进程号/进程名]

使用pslist和pskill查杀calc实例

远程执行命令总结 计划任务方式 获得帐号和密码 建立IPC$连接 开放计划任务服务 Telnet方式 开放telnet服务 去掉NTLM验证

远程执行命令总结 PSEXEC方式 获得帐号和密码 需要IPC$连接的支持 开放Server服务

项目问题3 -入侵注册表 在早期的DOS系统中,系统通过使用BAT文件来为DOS系统加载驱动程序。 Windwos3.x中,系统通过Win.ini、System.ini、Control.ini、program.ini等INI文件来保存操作系统的软、硬件的配置信息和驱动程序(INI文件最大64KB) 从Windows95开始,通过注册表,用户便可以轻易的添加、删除、修改系统内的软、硬件配置信息和驱动程序

开启远程主机的注册表 入侵者通过远程控制和入侵注册表需要的条件 建立IPC$连接 开启远程注册表服务

开启远程主机的注册表 开启远程注册表服务的过程如下: 建立IPC$连接 打开“计算机管理”,用“计算机管理”管理远程计算机

连接远程主机的注册表(一) 入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。 步骤一:执行regedit来打开注册表编辑器 步骤二:建立IPC$连接 步骤三:连接远程主机注册表(选择“注册表”—”连接网络注册表”) 步骤四:断开网络注册表

注册表reg文件的编辑 入侵者除了使用注册表编辑器编辑注册表外,还可以通过手工倒入reg文件修改远程主机的注册表 reg文件是Windows系统中一种特定格式的文本文件,它是为注册表的信息编辑而设计的文件。 通过reg可以修改注册表的任意一项,但是通过网络连接珠册表编辑器一般只能看到三个根项

使用reg文件修改注册表实例 步骤一:打开记事本,然后编辑添加主键,在记事本中写入: REGEDIT4 [HKEY_CURRENT_USERS\Software\HACK]]

使用reg文件修改注册表实例 保存文件为test1.reg,双击该文件,便建立了HACK主键。

使用reg文件修改注册表实例 为HACK主键建立一个名字为“NAME”,类型为“DWORD”,值为“00000000”的键值项。 打开记事本,写入: REGEDIT4 [HKEY_CURRENT_USER\Software\HACK] “NAME”=dword:00000000 保存为TEST2.REG文件,然后双击导入。

使用reg文件修改注册表实例 删除键值项 REGEDIT4 [HKEY_CURRENT_USER\Software\HACK] “NAME”=- 删除主键 [-HKEY_CURRENT_USERS\Software\HACK]

命令行导入 上面实例中通过双击导入注册表,容易被远程主机管理员发现,因为每次导入都会有提示对话框

命令行导入 通过命令行倒入 使用专门的注册表导入工具 使用windows系统自带的导入工具 windows自带的导入工具使用命令: regedit /s <reg文件> regedit是系统自带的命令,不使用任何工具。/s表示不需要询问,直接倒入

远程关机方法一 远程关机方法一 打开计算机管理(本地) 在控制台树中,右键单击“计算机管理”,然后单击“连接到另一台计算机” 在“选择计算机”对话框“名称”下,选择要重新启动或关闭的计算机,然后单击“确定”。 右键单击远程计算机“计算机管理”,然后选择“属性” 在“高级”选项卡上,单击“启动和故障恢复”中的“设置”按钮

远程关机方法一 远程关机方法一 单击“关闭”按钮,打开“关闭”对话框 在“操作”栏中,选择要在连接的计算机上执行的操作 在“强制应用程序关闭”栏中,选择关闭或重新启动计算机时是否强制关闭程序,然后单击“确定”按钮

远程关机方法二 使用Windows2003/XP中的shutdown命令远程关机。对于没有该命令的系统(如windows2000),可以将shutdown.exe工具拷贝到windows2000的系统文件夹,就可以使用了 shutdown经常使用的参数 s: 关闭计算机 r:重新启动计算机 m \\ip:指定被操作的远程计算机 t xx:指定多少时间后关闭或者重新启动计算机

远程关机方法二 使用shutdown关闭远程计算机,必须先建立IPC$连接,例如:shutdown –s –m\\192.168.0.106 –t 00实现远程关闭。

总 结 完成本项目的学习之后,我们已经掌握了基于认证入侵的方法。具体内容如下: 掌握了执行远程命令的方法 掌握对远程进程查、杀的方法 能够入侵注册表

作 业 对学校网络进行考察,完成以下两个题目: 1.对本机房服务器执行远程命令? 2.查、杀远程机房服务器的进程 作 业 对学校网络进行考察,完成以下两个题目: 1.对本机房服务器执行远程命令? 2.查、杀远程机房服务器的进程 3.入侵远程机房服务器的注册表