《远程控制技术概要课件.ppt》由会员分享,可在线阅读,更多相关《远程控制技术概要课件.ppt(27页珍藏版)》请在三一办公上搜索。
1、远程控制技术,RADMIN远程控制,一、远程控制,1、基本概念,远程控制技术-是指管理人员通过计算机网络,联通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。 远程控制是对远端的设备进行操作的一种能力,远程控制通常通过网络才能进行。,客户端与服务器端程序客户端-位于本地的计算机是操纵指令的发出端,称为主控端或客户端。服务器端-非本地的被控计算机叫做被控端或服务器端。 客户端建立连接并开启远程服务后,将各种远程控制功能发送到服务器端,远程控制,主控端电脑只是将键盘和鼠标的指令传送给远程电脑,同时将被控端电脑的屏幕画面通过
2、通信线路回传过来。也就是说,控制被控端电脑进行操作似乎是在眼前的电脑上进行的,实质是在远程的电脑中实现的,不论打开文件,还是上网浏览、下载等都是存储在远程的被控端电脑中的。,早期的远程控制大部分指的是电脑桌面控制,而后的远程控制可以使用手机、电脑控联网的灯、窗帘、电视机、摄像机、投影机、指挥中心、大型会议室等。,2。技术原理,远程控制软件一般分客户端程序(Client)和服务器端程序(服务器)两部分。客户端程序- 安装到主控端的电脑上服务器端程序-安装到被控端的电脑上使用时客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程
3、控制命令,控制被控端电脑中的各种应用程序运行。,3。案例 Radmin,Radmin (Remote Administrator)是一款屡获殊荣的远程控制软件,它将远程控制、外包服务组件、以及网络监控结合到一个系统里,提供目前为止最快速、强健而安全的工具包,软件特点,1运行速度快。2Radmin支持被控端以服务的方式运行、支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等。3在安全性方面,Radmin支持Windows NT/2000用户级安全特性,您可以将远程控制的权限授予特
4、定的用户或者用户组,Radmin将以加密的模式工作,所有的数据(包括屏幕影像、鼠标和键盘的移动)都使用128位强加密算法加密; 服务器端会将所有操作写进日志文件,以便于事后查询,服务器端有IP过滤表,对IP过滤表以外的控制请求将不予回应。4Radmin 目前支持TCP/IP协议,应用十分广泛。,操作,步骤一:安装服务器操作系统步骤二:安装客户端操作系统步骤三:调试两台虚拟机在一个网段步骤四:在服务器安装远程控制软件服务器端步骤五:在客户端安装远程控制客户端步骤六:用客户端软件达到对服务器端控制的目的,二、木马,什么是木马,这不是小鸡吃米图吗?,木马(Trojan horse),木马是一种基于远
5、程控制的黑客工具隐蔽性潜伏性危害性 非授权性,木马的组成,一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 硬件部分 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 软件部分 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。具体连接部分 通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口.,木马的工作原理,实际就是一个C/S
6、模式的程序(里应外合),操作系统,被植入木马的PC(server程序),TCP/IP协议,端口,被植入木马的PC(client程序),操作系统,TCP/IP协议,端口,控制端,端口处于监听状态,特洛伊木马的工作原理,特洛伊木马是客户端/服务端模式,客户端与服务端之间采用TCP/UDP的通信方式,攻击者控制的是相应的客户端程序,服务端程序是木马程序, 木马程序被植入到豪不知情的用户的计算机中。以“里应外合”的工作方式,服务程序通过打开特定的端口并进行监听, 当客户端程序向端口发出请求,木马便与其连接起来。攻击者可以使用控制器进入计算机,通过客户端程序命令达到控制服务器端的目的。,用木马攻击的一般
7、过程是什么?,配置木马 木马伪装: 信息反馈:传播木马启动木马建立连接远程控制,木马伪装方法,1.木马文件的隐藏与伪装 (1)文件的位置(2)文件的属性(3)捆绑到其他文件上(4)文件的名字:(5)文件的的扩展名(6)文件的图标,如何发现计算机系统感染木马?,上网过程中,在进行一些计算机正常使用时,计算机的速度明显发生变化、硬盘在不停地读写、鼠标不受控制、键盘无效、一些窗口在未得到允许的情况下被关闭、新的窗口被莫名其妙地打开等等。这一切不正常现象可能是木马客户端在控制远程计算机。,发现木马的方法,系统的异常情况打开文件,没有任何反应 查看打开的端口检查注册表查看进程,如何防范计算机系统感染木马
8、?,木马一般都是通过E-mail和文件下载传播的。因此:不要打开陌生人的邮件中的附件。建议大家到正规的网站去下载软件,如果需要下载一些非正规网站上的软件,注意不要在在线状态下安装软件。如果发现木马,最简单的方法就是使用杀毒软件。可以不定期地在脱机的情况下进行检查和清除。利用杀毒软件监控木马。,23,木马种类,破坏型密码发送型远程访问型键盘记录木马 DOS攻击木马代理木马 FTP木马程序杀手木马反弹端口型木马,冰河木马,冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾
9、利用它入侵过数千台电脑,其中包括国外电脑,具体功能,1自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);2记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;3获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;4限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;5远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本
10、文件、远程打开文件(提供了四中不同的打开方式正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;6注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;7发送信息:以四种常用图标向被控端发送简短信息;8点对点通讯:以聊天室形式同被控端进行在线交谈。,冰河屡删不止的原因,冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。 Kernel32.exe在系统启动时自
11、动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,只要你打开 TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了,清除方法,1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下扎根,键值为C:/windows/system/Kernel32.exe,删除它。3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。4、最后,改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值,由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能,
