Académique Documents
Professionnel Documents
Culture Documents
Chapter PDF
Chapter PDF
Chapter PDF
• Chap02: Collecte d'informations sur les cibles: reconnaissance, empreinte et ingénierie sociale
• Chap03: Collecte des informations sur le réseau et l'hôte: analyse et énumération Chap04: SystemHacking: Cracking
• Chap08: Piratage Web: Google, serveurs Web, vulnérabilités des applications Web et techniques de craquage de mots de passe
• Chap09: Attaquer les applications Web: injection SQL et débordements de tampon Chap10: Hacking
• Cryptanalyse
ChaCphap Chap 5: chevaux de Troie, portes dérobées, virus,
Comprendre Trojan
virus et un ver
attaque?
05 Comprendre comment le
Le cheval de Troie «Netcat» fonctionne
11 Comprendre
évasion antivirus
techniques
55 • Chevaux de Troie et les portes dérobées sont des types de malware utilisé
Chevaux de Troie et portes dérobées
• Des publicités sur des sites Internet pour des programmes gratuits , des
M Oui ré MOO
3 • Ver basé sur les e-mails
• En 2004, 16 à 25% de tous les e-mails avaient été infectés par
MyDoom.wannacry et notpetya
• MyDoom était étrange, car il a frappé des entreprises
technologiques comme SCO, Microsoft et Google avec une
attaque de déni de service distribué
contrôle sur une machine compromise. Ils fournissent des fonctions apparemment utiles à l'utilisateur et, en même temps,
informatique ou d'un réseau. Un canal secret utilise des programmes ou des voies de communication d'une manière qui
Un exemple d'utilisation d'un ordinateur pour transmettre des informations via un canal secret est l'utilisation d'une
caractéristique d'un fichier pour fournir des informations plutôt que le fichier lui-même. Un exemple informatique
d'un canal secret est la création d'un fichier informatique apparemment innocent de 16 octets. Le fichier peut
contenir n'importe quelle donnée car ce ne sont pas les informations importantes. Le fichier peut ensuite être
envoyé par e-mail à une autre personne. Encore une fois, cela semble assez innocent mais la vraie
communication est du numéro 16. La taille du fichier est la donnée importante, pas le contenu du fichier
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
Certains canaux cachés reposent sur une technique appelée tunneling, qui permet à un protocole d'être transporté sur un autre
protocole. Protocole de message de contrôle Internet ( ICMP) Le tunneling est une méthode d'utilisation de la demande d'écho et de la
réponse d'écho ICMP pour transporter toute charge utile qu'un attaquant peut souhaiter utiliser, dans une tentative d'accès furtif ou de
contrôle d'un système compromis. La commande ping est un outil de dépannage généralement accepté et utilise le protocole ICMP.
Pour cette raison, de nombreux routeurs, commutateurs, pare-feu et autres périphériques de filtrage de paquets permettent au protocole
ICMP d'être transmis à travers le périphérique. Par conséquent, ICMP est un excellent choix de protocoles de tunneling
Outil de piratage
Loki est un outil de piratage qui fournit un accès au shell via ICMP, ce qui le rend beaucoup plus
difficile à détecter que les portes dérobées TCP ou UDP. En ce qui concerne le réseau, une série de
paquets ICMP sont envoyés à travers le réseau. Cependant, le pirate envoie vraiment des
Utilisé pour accéder à Utilisé pour rechercher des Utilisé pour supprimer ou
distance à un système. données sur un système et fournir corrompre des fichiers sur
des données à un pirate informatique un système
Utilisé pour lancer un Utilisé pour créer un serveur FTP Utilisé pour arrêter le logiciel
attaque par déni de service afin de copier des fichiers sur un antivirus
système
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
55 •
Chevaux de Troie Trojans
et à connexion inversée
portes dérobées
Les chevaux de Troie à connexion inversée permettent à un attaquant d'accéder à une machine sur le réseau
interne de l'extérieur
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
55 Chevaux de Troie
Outiletde
portes dérobées
piratage
TROJ_QAZ est un cheval de Troie qui renomme l'application notepad.exe fichier sur note.com, puis se copie en tant que
notepad.exe dans le dossier Windows. Cela entraînera le lancement du cheval de Troie chaque fois qu'un utilisateur exécute le
Bloc-notes. Il dispose d'une porte dérobée qu'un utilisateur distant ou un pirate informatique peut utiliser pour se connecter et
contrôler l'ordinateur à l'aide du port 7597. TROJ_QAZ infecte également le registre afin qu'il soit chargé à chaque démarrage de
Windows
Renomme l'application
se copie comme
TROJ_QAZ
55 E XERCISE
Chevaux de Troie 5.1:dérobées
et portes U CHANTER NETCAT
3. Sur Kali: exécutez la commande suivante pour vous connecter à l'écouteur Netcat sur le serveur:
C: \ Users \ sofien \ Desktop> netsh advfirewall définit l'état de tous les profils sur
Le client doit alors avoir un shell d'invite de commande ouvert à partir du serveur.
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
55 Chevaux deSURVEILLANCE
Troie et portes dérobées
DU PORT ET T DÉTECTION DE ROJAN T OOLS
Fport signale tous les ports TCP / IP et UDP ouverts et les mappe à l'application propriétaire.
Vous pouvez utiliser fport pour identifier rapidement les ports ouverts inconnus et leurs
applications.
TCPView est un programme Windows qui affiche des listes détaillées de toutes les extrémités TCP et UDP
points sur le système, y compris les adresses locales et distantes et l'état de TCP
Connexions. Lorsque TCPView s'exécute, il énumère tous les points de terminaison TCP et UDP actifs,
1. Windows + R
2. Tapez: sigverif
3. Choisissez Démarrer
4. Dans le programme sigverif, choisissez Avancé pour voir le rapport de vérification de signature
1. Windows + R
2. Tapez: cmd
(prend du temps)
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
55 •
Types deLes virus sont classés selon deux facteurs: QUOI ils infectent et COMMENT
virus
ils infectent. Un virus peut infecter les composants suivants d'un système:
Macros
Des dossiers (Macros Microsoft Word)
Fichiers compagnons
Code source (fichiers système de prise en charge
comme les fichiers DLL et INI)
Clusters de disques
Fichiers batch
(Fichiers BAT)
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
55 Types•de virus
Les virus sont classés en fonction de leur technique d'infection, comme suit:
S PARSE
je NFECTEURS
Infecter les fichiers dont
C AVITY
P OLYMORPHIQUE
(S RYTHME-
les longueurs sont dans
F ILLER) Crypter le code
Étroitement défini Attaché à
d'une manière différente
gammes ou dont zones vides de
avec chacun
les noms commencent par des dossiers
infection
lettres dans une certaine
plage de
alphabet
M ULTIPARTITE
S TEALTH
Avancée
les virus créent cacher la normale
plusieurs virus
infections les caractéristiques,
comme la modification
Votre F UN SUPPORT
Texte S FAIBLE
l'heure d'origine
UNE
RMORED gC vT eO rR yS et tampon à date du
Ici Infec je t NFE
dans
fichier
rapidement ou très
Crypté à lentement: laissez
prévenir
programme pour infecter
détection
un système sans
détection
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms
55 Exigences:
ExErCisE 5.3: Création d'un virus test pour C&C
VM Linux Kali Machine virtuelle Windows 7
Chiot connexion Internet
4- Démarrez la capture:
mouselogger start
mouselogger dump
arrêt mouselogger
Pas:
- Installez «Git pour Windows»: https: //gitforwindows.org/
- Installez python: python-3.7.4-amd64.exe
- Sur le document: Faites un clic droit et Git bash ici:
$ git clone https://github.com/leonv024/RAASNet.git $ cd RAASNet
ChaCphap
ChaCphap
1. Qu'est-ce qu'un emballage?
55
A. Un programme utilisé pour combiner un cheval de Troie et un logiciel légitime en un seul
exécutable
B. Un programme utilisé pour combiner un cheval de Troie et une porte dérobée en un seul
exécutable
B. Achetez des outils disponibles dans le commerce pour supprimer le cheval de Troie
ChaCphap
55
5. Qu'est-ce que le shell WWW inversé?
UNE. Balayage.
B. Contrôle d'intégrité
C. Comparaison des signatures de virus
8. Un virus qui peut provoquer plusieurs infections est appelé quel type de virus
A. Multipartite
B. Camouflage
C. Multi-infection