Một kẻ tấn công có thể ẩn mã độc (backdoors) của mình trong hệ thống đích sau khi chúng thỏa hiệp. Chúng có thể ghi trong registry các chương trình như netcat hay keylogger để khởi động cùng hệ thống.
Mục đích kiểm tra
Nhằm kiểm tra hệ thống bị nhiểm các mã độc mà có thể được ghi vào trong registry và khởi động cùng hệ thống.
Quy trình kiểm tra
+ Vào menu Start/Run và chạy regedit. + Chọn đến dòng:
+ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Hình 4.2: Các chương trình khởi động cùng hệ thống.
+ Vô hiệu hóa các dịch vụ không sử dụng.
Công cụ kiểm tra
+ Process Viewer.
2.12.11. Tấn công Teardrop và Teardrop2Mô tả Mô tả
Teardrop là kiểu tấn công mà kẻ tấn công sử dụng sử dụng gói tin được chia nhỏ với các thông số rất khó hiểu. Nếu hệ thống nhận được các gói tin này, nó sẻ cố gắng xây dựng lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác.
Teardrop 2 là một biến thể của teardrop là cùng sử dụng chung mã code. Chỉ khác là kích thước không quan trọng trong trường hợp này. Trong tấn công này phần cuối được ghi đè lên tiêu đề của phần sau và kết quả là một gói tin không đầy đủ. Những gói dữ liệu như vậy sẽ gây ra sự sụp đổ hệ thống.
Mục đích kiểm tra
Nhằm kiểm tra hệ thống có bị tấn công teardrop và teardrop 2 hay không?
Quy trình kiểm tra
+ Kiểm tra teardrop:
+ Chạy teardrop với địa chỉ nguồn và địa chỉ mục tiêu từ xa. #teardrop 172.16.0.13 172.16.0.16 -t 138 -n 10
Ở đây 172.16.0.16 là mục tiêu, -t là cổng và -n là số lượng các cuộc tấn công liên liếp. + Kiểm tra teardrop 2:
+ Chạy Boink với mục tiêu.
#boink 172.16.0.13 172.16.0.16 100 200 10 + Và Bonk.
#bonk 172.16.0.13 172.16.0.16 50
Công cụ kiểm tra
+ Teardrop. + Boink. + Bonk.