資源描述:
《講座-網(wǎng)絡(luò)入侵與攻擊》由會員上傳分享����,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1��、網(wǎng)絡(luò)入侵與攻擊高文宇gwy@gdcc.edu.cn網(wǎng)絡(luò)的脆弱性“INTERNET的美妙之處在于你和每個人都能互相連接,INTERNET的可怕之處在于每個人都能和你互相連接”開放性的網(wǎng)絡(luò)環(huán)境協(xié)議本身的缺陷操作系統(tǒng)的漏洞人為因素Internet的困境一般說來��,可以對于信息系統(tǒng)入侵和攻擊手段有下面一些:(1)惡意代碼攻擊病毒特洛伊木馬蠕蟲細(xì)菌陷門邏輯炸彈等(2)消息收集攻擊(3)代碼漏洞攻擊(4)欺騙和會話劫持攻擊(5)分布式攻擊(6)其他攻擊1計算機病毒1.1計算機病毒的特征1.非授權(quán)執(zhí)行性2.感染性3.潛伏性與隱蔽性4.寄生性6.破壞性·占用或消
2、耗CPU資源以及內(nèi)存空間干擾系統(tǒng)運行攻擊CMOS攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊文件干擾外部設(shè)備運行破壞網(wǎng)絡(luò)系統(tǒng)的正常運行5.可觸發(fā)性日期/時間觸發(fā)計數(shù)器觸發(fā)鍵盤觸發(fā)啟動觸發(fā)感染觸發(fā)組合條件觸發(fā)1.2計算機病毒分類1.按照所攻擊的操作系統(tǒng)分類DOS病毒UNIX/Linux病毒W(wǎng)indows病毒OS/2病毒Macintosh病毒手機病毒�。2.按照寄生方式和傳染途徑分類(1)引導(dǎo)型病毒①主引導(dǎo)區(qū)(masterbootrecord�,MBR)病毒②引導(dǎo)區(qū)(bootrecord�����,BR)病毒(2)文件型病毒①可執(zhí)行文件②文檔文件或數(shù)據(jù)文件③Web文檔按照駐留內(nèi)存的方式���,
3�����、文件型病毒可以分為:①駐留(Resident)病毒②非駐留(Nonrresident)病毒(3)目錄型病毒(4)引導(dǎo)兼文件型病毒(5)CMOS病毒3.按照傳播媒介分類(1)單機病毒(2)網(wǎng)絡(luò)病毒4.按照計算機病毒的鏈接方式分類(1)源碼型病毒(2)嵌入型病毒(3)外殼(shell)型病毒(4)譯碼型病毒(5)操作系統(tǒng)型病毒5.按照破壞能力分類(1)無害型(2)無危險型(3)危險型(4)非常危險型1.3計算機病毒的基本機制1.潛伏(1)引導(dǎo)引導(dǎo)過程由三步組成:①駐留內(nèi)存②竊取控制權(quán)③恢復(fù)系統(tǒng)功能(2)隱藏(3)捕捉(也稱搜索)2.傳染傳染機制的作
4��、用是在特定的感染條件下,將病毒代碼復(fù)制到傳染目標(biāo)上去��。所以這個機制由激活傳染條件的判斷部分和傳染功能的實施部分實現(xiàn)。3.表現(xiàn)表現(xiàn)機制的作用是在被傳染系統(tǒng)上表現(xiàn)出特定現(xiàn)象�,主要是產(chǎn)生破壞被傳染系統(tǒng)的行為����。大部分病毒都是在一定條件下才會被觸發(fā)而發(fā)作表現(xiàn)。1.4典型計算機病毒分析�(1)DOS引導(dǎo)型病毒分析DOS引導(dǎo)型病毒是隱藏在磁盤主引導(dǎo)扇區(qū)(bootsector)的病毒�����。主引導(dǎo)扇區(qū)位于硬盤的0柱面0磁道1扇區(qū)�����,其結(jié)構(gòu)如圖4.2所示����,用于存放主引導(dǎo)記錄(mainbootrecord��,MBR)�����、硬盤主分區(qū)表(DiskPartitionTable,DP
5��、T)和引導(dǎo)扇區(qū)標(biāo)記(bootrecordID)。保留分區(qū)信息1(16字節(jié))分區(qū)信息2(16字節(jié))分區(qū)信息3(16字節(jié))分區(qū)信息4(16字節(jié))55(1字節(jié))AA(1字節(jié))008A01BD01BE01CD01CE01DD01DE01ED01EE01FD01FE主分區(qū)表DPT引導(dǎo)扇區(qū)標(biāo)記主引導(dǎo)記錄MBR(446字節(jié))啟動字符串主引導(dǎo)記錄啟動程序0000008B00D900DAD01FF(2)DOS的自舉過程系統(tǒng)加電或復(fù)位系統(tǒng)自檢磁盤驅(qū)動器中有磁盤讀主引導(dǎo)程序到0000:7C00H�����,并執(zhí)行讀IO.SYS和MSDOS.SYS到內(nèi)存70:00處成功��?系統(tǒng)初
6�、始化讀COMMAND.COM到內(nèi)存自舉完成顯示“非系統(tǒng)盤”提示“插入磁盤”①將本來要讀入到0000:7C00H處的硬盤主引導(dǎo)程序轉(zhuǎn)移到0000:0600H處����。②順序讀入4個分區(qū)表的自舉標(biāo)志��,以找出自舉分區(qū):若找不到,就轉(zhuǎn)向執(zhí)行INT18H的BOOT異常�,執(zhí)行異常中斷程序���。③找到自舉分區(qū)后,檢測該分區(qū)標(biāo)志:如果是32位/16位FAT并支持13號中斷的擴(kuò)展功能�����,就轉(zhuǎn)向執(zhí)行13#中斷的41#功能調(diào)用�����,進(jìn)行安裝檢測��。檢測成功�����,就執(zhí)行42號擴(kuò)展功能調(diào)用,把BOOT程序讀入內(nèi)存0000:7c00H處�。讀入成功�����,就執(zhí)行0000:7c00H處的程序�����;讀入失敗�����,
7、就調(diào)用13號中斷的讀扇區(qū)功能���,把BOOT程序讀入內(nèi)存0000:7c00H處。(3)引導(dǎo)型病毒的傳染過程系統(tǒng)加電或復(fù)位進(jìn)入ROM-BIOS讀引導(dǎo)至0000:7C00H并執(zhí)行自舉完成系統(tǒng)復(fù)位讀COMMAND.COM到內(nèi)存系統(tǒng)加電或復(fù)位bb引導(dǎo)至0000:7C00H����,并執(zhí)行自舉完成系統(tǒng)復(fù)位讀COMMAND.COM到內(nèi)存引導(dǎo)區(qū)病毒并執(zhí)行病毒程序修改中斷向量復(fù)制病毒/感染磁盤引導(dǎo)型病毒的感染過程:裝入內(nèi)存+攻擊裝入過程1系統(tǒng)開機后�����,進(jìn)入系統(tǒng)檢測�,檢測正常后�����,從0面0道1扇區(qū),即邏輯0扇區(qū)讀取信息到內(nèi)存的0000~7C00處:2系統(tǒng)開始運行病毒引導(dǎo)部分��,將
8、病毒的其他部分讀入到內(nèi)存的某一安全區(qū)3病毒修改INT13H中斷服務(wù)處理程序的入口地址����,使之指向病毒控制模塊并執(zhí)行��。4病毒程序全部讀入后���,接著讀入正常b
