网络安全基础Word格式文档下载.docx
《网络安全基础Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络安全基础Word格式文档下载.docx(21页珍藏版)》请在冰豆网上搜索。
引导型病毒
DOS病毒
Windows病毒
宏病毒
脚本病毒
2.1.4现代计算机病毒介绍
特洛伊木马:
特洛伊木马程序往往表面上看起来无害,但是会执行一些未预料或未经授
权,通常是恶意的操作。
玩笑程序:
玩笑程序是普通的可执行程序,这些程序建立的目的是用于和计算机用户开
玩笑。
这些玩笑程序设计时不是致力于破坏用户的数据,但是某些不知情的用户可能会引发
不正当的操作,从而导致文件的损坏和数据的丢失。
病毒或恶意程序Droppers:
病毒或恶意程序Droppers被执行后,会在被感染系统中植入
病毒或是恶意程序,在病毒或恶意程序植入后,可以感染文件和对系统造成破坏。
后门程序:
后门程序是一种会在系统中打开一个秘密访问方式的程序,经常被用来饶过
系统安全策略。
DDos攻击程序:
DDos攻击程序用于攻击并禁用目标服务器的web服务,导致合法用户
无法获得正常服务。
如下图所示:
图:
DDOS攻击示意图
2.1.5网络病毒介绍
网络病毒的概念:
利用网络协议及网络的体系结构作为传播的途径或传播机制,并对网
络或联网计算机造成破坏的计算机病毒称为网络病毒。
网络病毒的特点及危害:
破坏性强、传播性强、针对性强、扩散面广、传染方式多
网络病毒同黑客攻击技术的融合为网络带来了新的威胁。
攻击者可以用病毒作为网络攻
击的有效载体,呈几何级地扩大破坏能力。
网络攻击的程序可以通过病毒经由多种渠道广泛传播,攻击程序可以利用病毒的隐蔽性
来逃避检测程序的搜查,病毒的潜伏性和可触发性使网络攻击防不胜防,许多病毒程序可以
直接发起网络攻击,植入攻击对象内部的病毒与外部攻击里应外合,破坏目标系统。
2.2计算机病毒分析与防护
2.2.1病毒的常见症状及传播途径
(一)病毒的常见症状
电脑运行比平常迟钝
程序载入时间比平常久
对一个简单的工作,磁盘似乎花了比预期长的时间
不寻常的错误信息出现
硬盘的指示灯无缘无故的亮了
系统内存容量忽然大量减少
可执行程序的大小改变了
内存内增加来路不明的常驻程序
文件奇怪的消失
文件的内容被加上一些奇怪的资料
文件名称,扩展名,日期,属性被更改过
(二)病毒的常见传播途径
文件传输介质:
例如CIH病毒,通过复制感染程序传播
电子邮件:
例如梅丽莎病毒,第一个通过电子邮件传播的病毒
网络共享:
例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播
文件共享软件:
例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件
传播
2.2.2病毒传播或感染途径
病毒感染的常见过程:
通过某种途径传播,进入目标系统,自我复制,并通过修改系统
设置实现随系统自启动,激活病毒负载的预定功能。
·
打开后门等待连接
发起DDOS攻击
进行键盘记录
除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能
实现感染系统的目的。
1、利用电子邮件感染病毒:
邮件附件为病毒压缩文件,HTML正文可能被嵌入恶意脚
本,利用社会工程学进行伪装,增大病毒传播机会,传播速度非常快
2、利用网络共享感染病毒:
病毒会搜索本地网络中存在的共享,如ADMIN$,IPC$,E$,D$,C$
通过空口令或弱口令猜测,获得完全访问权限,有的病毒自带口令猜测列表
将自身复制到网络共享文件夹中,通常以游戏,CDKEY等相关名字命名
利用社会工程学进行伪装,诱使用户执行并感染。
例如:
WORM_SDBOT等
病毒
3、利用P2P共享软件感染病毒:
将自身复制到P2P共享文件夹,通常以游戏,CDKEY等相关名字命名
通过P2P软件共享给网络用户
利用社会工程学进行伪装,诱使用户下载
WORM_PEERCOPY.A等病毒
4、利用系统漏洞感染病毒:
由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这
些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。
病毒往往利用系统漏洞进入系统,达到快速传播的目的。
常被利用的漏洞:
RPC-DCOM缓冲区溢出(MS03-026)
WebDAV(MS03-007)
LSASS(MS04-011)
2.2.3病毒自启动方式
?
修改系统
–修改注册表
启动项
文件关联项
系统服务项
BHO项
–将自身添加为服务
–将自身添加到启动文件夹
–修改系统配置文件
自动加载
–服务和进程-病毒程序直接运行
–嵌入系统正常进程-DLL文件和OCX文件等
–驱动-SYS文件
注册表项目之注册表启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下:
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下:
以上这些键一般用于在系统启动时执行特定程序。
注册表项目之文件关联项:
HKEY_CLASSES_ROOT下:
exefile\shell\open\command]@="
"
%1"
%*"
comfile\shell\open\command]@="
batfile\shell\open\command]@="
htafile\Shell\Open\Command]@="
piffile\shell\open\command]@="
⋯⋯
病毒将"
%1%*"
改为“virus.exe%1%*"
virus.exe将在打开或运行相应类型的文件时被执行
注册表项目之系统服务项:
在如下键值下面添加子键即可将自身注册为服务,随系统启动而启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
注册表项目之BHO项
在如下键值下面添加子键(ClSID键)即可将自身注册为BHO,随IE浏览器启动而启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brows
erHelperObjects
将自身添加到启动文件夹:
当前用户的启动文件夹
可以通过如下注册表键获得:
Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp项
公共的启动文件夹
Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的Common
StartUp项
病毒可以在该文件夹中放入欲执行的程序,
或直接修改其值指向放置有要执行程序的路径。
2.2.4病毒的隐性行为
下载特性
–自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版
本/其他变种
后门特性
–开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控
信息收集特性
–收集私人信息,特别是帐号密码等信息,自动发送
自身隐藏特性
–使用Rootkit技术隐藏自身的文件和进程
文件感染特性
–感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,
或使系统正常文件感染病毒而成为病毒体。
–典型
PE_LOOKED维京
PE_FUJACKS熊猫烧香
网络攻击特性
–针对微软操作系统或其他程序存在的漏洞进行攻击
–修改计算机的网络设置
–向网络中其它计算机发送大量数据包以阻塞网络
震荡波
ARP攻击
2.2.5计算机病毒防御
计算机病毒防御体系图例
(一)计算机病毒手工处理
重装系统?
系统还原?
Ghost还原?
大多数情况下,可以直接根据经验来迅速清除各种病毒
–木马病毒和后门程序
–间谍软件、广告软件和灰色软件
–蠕虫病毒
–文件型病毒母体
处理过程包括
–修复病毒修改的注册表/文件内容
–删除病毒文件
病毒处理建议步骤:
处理病毒问题时,若病毒进程在系统中运行,则可能会出现无法删除文件、无法删
除注册表主键/键值的情况,也可能出现删除注册表键值或文件后,被删除的内容会
再次出现的情况。
最好在安全模式下操作
终止所有可疑进程和不必要的进程
关闭系统还原
(二)检查注册表中常见的病毒自动加载项
检查启动项:
–删除不必要的启动项键值,如发现指向不正常或不认识的程序的键值,可将
该键值删除。
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
–
Run
检查服务:
–在[控制面板]-[管理工具]-[服务]中,查看是否存在可疑服务。
若无法确定服
务是否可疑,可直接查看该服务属性,检查服务所指向的文件。
随后可以检
查该文件是否为正常文件(文件检查方法稍后会介绍)。
对于不正常的服务,
可直接在注册表中删除该服务的主键。
–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
检查Winlogon加载项
–在注册表中检查Winlogon相关加载项:
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
–Shell=Explorer.exe(默认)
–Userinit=C:
\WINDOWS\system32\userinit.exe,(默认)
–以上Shell和Userinit键值为默认,若发现被修改,可直接将其修改为默认键值。
–在注册表中检查WinlogonNotify相关加载项:
NT\CurrentVersion\Winlogon\Notify
–在Notify下会有多个主键(目录),每个主键中的DllName键值将指向一个DLL
文件。
若发现有指向可疑的DLL文件时,请先确认其指向的DLL是否正常。
若不正常,可直接删除这个主键。
检查其他加载项
–在注册表中检查以下注册表加载项键值:
NT\CurrentVersion\Windows
–AppInit_DLLs=“”
–HKEY_CURRENT_USER\Software\Microsoft\Windows
–Load=“”
–该键值默认为空。
若键值被修改,可直接将键值内容清空。
(三)检查注册表中的BHO项
检查BrowserHelpObject(BHO)项
–BHO项在注册表中包含以下主键的内容:
\Explorer\BrowserHelperObjects
–HKEY_CLASSES_ROOT\CLSID\
–可以在下的InprocServer32主键中查看BHO
项所指向的文件。
当发现指向了可疑文件时,可直接删除以上注册表路径下
所有包含了该CLSID的主键。
使用Hijackthis工具可以迅速有效的分析系统中的BHO项。
(四)查看系统中的可疑文件
如何判断文件是否可疑?
–查看文件版本信息
–Google之
所有的Windows正常系统文件都包含完整的版本信息。
若文件无版本信息或版本信
息异常,则可判断为可疑文件。
如何迅速查找这些可疑文件?
–%SystemRoot%\
–%SystemRoot%\System32\
–%SystemRoot%\System32\drivers\
对于这些目录下的文件,按照修改日期排序,检查修改日期为最近一段时间的文件:
–可执行文件.EXE,.COM,.SCR,.PIF
–DLL文件和OCX文件
–LOG文件——有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双
击打开查看其内容是否为文本。
若为乱码,则可疑。
病毒文件被隐藏,如何查找?
工具->
文件夹选项
–选择“显示所有文件”
–取消“隐藏受保护的系统文件”
仍然无法显示隐藏文件
\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue=2
DefaultValue=2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue=1
(五)检查并修复host文件
修复被病毒修改的host文件
–一些病毒会修改系统的host文件,使用户无法访问某些网站,或在用户访问
某些网站时,重定向到某些恶意站点。
检查文件:
–%SystemRoot%\System32\drivers\etc\host
–使用文本编辑工具打开该文件检查。
默认该文件包含一条host记录
127.0.0.1localhost
–若有其他可疑的host记录,可以直接删除多余的记录
(六)删除所有临时文件
病毒经常存在于临时目录中
–%SystemRoot%\Temp
–C:
\Temp
–Internet临时文件
\DocumentsandSettings\<
用户名>
\LocalSettings\Temp
清空所有以上的目录
(七)病毒防护常用工具
常用病毒查杀工具一览:
SIC,HijackThis系统诊断
ProcessExplorer分析进程
TCPView分析网络连接
Regmon,InstallRite监视注册表
Filemon,InstallRite监视文件系统
IceSword
Ntsd
pskill
第4章安全评估
4.1安全评估概述
4.1.1安全评估目的
风险评估的目的:
了解组织的安全现状
分析组织的安全需求
建立信息安全管理体系的要求
制订安全策略和实施安防措施的依据
组织实现信息安全的必要的、重要的步骤
4.1.2安全评估要素
风险的四个要素:
资产及其价值
威胁
脆弱性
现有的和计划的控制措施
1、资产的分类:
电子信息资产
软件资产
物理资产
人员
公司形象和名誉
2、威胁举例:
黑客入侵和攻击
病毒和其他恶意程序
软硬件故障
人为误操作
自然灾害如:
地震、火灾、爆炸等
盗窃
网络监听
供电故障
后门
未授权访问⋯⋯
3、脆弱性:
是与信息资产有关的弱点或安全隐患。
脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威
胁加以利用来对信息资产造成危害。
脆弱性举例:
系统漏洞
程序Bug
专业人员缺乏
不良习惯
系统没有进行安全配置
物理环境不安全
缺少审计
缺乏安全意识
风险评估要素模型
4.1.2安全评估过程
4.1.4安全评估工具
评估工具目前存在以下几类:
扫描工具:
包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;
入侵检测系统(IDS):
用于收集与统计威胁数据;
渗透性测试工具:
黑客工具,用于人工渗透,评估系统的深层次漏洞;
主机安全性审计工具:
用于分析主机系统配置的安全性;
安全管理评价系统:
用于安全访谈,评价安全管理措施;
风险综合分析系统:
在基础数据基础上,定量、综合分析系统的风险,并且提供分
类统计、查询、TOPN查询以及报表输出功能;
评估支撑环境工具:
评估指标库、知识库、漏洞库、算法库、模型库。
4.1.5安全评估标准
保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。
国家的法律法
规,有专门的部门在研究和制定和推广。
根据国务院27号文件,对信息安全实施分级安全保
护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准
的是CC/ISO15408,管理体系标准是ISO17799/BS7799。
4.2安全扫描
安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和
可被黑客利用的漏洞。
显然,安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理
员掌握它以后又可以有效的防范黑客入侵。
因此,安全扫描是保证系统和网络安全必不可少
的手段,必须仔细研究利用。
安全扫描的检测技术有:
基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,
发现安全漏洞。
基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。
基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文
件属性,如数据库,注册号等。
基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能
被攻击崩溃。
安全扫描在部署安全策略中处于重要地位:
防火墙,防病毒,用户认证,加密,评估,记录报告和预警,安全管理,物理
安全。
管理这些设备和技术,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包
含在安全扫描系统中)的职责。
通过监视事件日志、系统受到攻击后的行为和
这些设备的信号,作出反应。
安全扫描系统就把这些设备有机地结合在一起。
因此,而安全扫描是一个完整
的安全解决方案中的一个关键部分,在企业部署安全策略中处于非常重要的地
位。
安全扫描系统具有的功能说明:
协调了其它的安全设备之间的关系
使枯燥的系统安全信息易于理解,告诉了你系统发生的事情
跟踪用户进入系统的行为和离开的信息
可以报告和识别文件的改动
纠正系统的错误设置
识别正在受到的攻击
减轻系统管理员搜索最近黑客行为的负担
使得安全管理可由普通用户来负责
为制定安全规则提供依据
正确认识安全扫描软件:
不能弥补由于认证机制薄弱带来的问题
不能弥补由于协议本身的问题
不能处理所有的数据包攻击,当网络繁忙时它也分析不了所有的数据流
当受到攻击后要进行调查,离不开安全专家的参与日志服务器。
第6章数据传输安全
6.1安全数据传输面临的威胁
安全数据传输面临的威胁主要有以下几种:
6.2数据传输安全关键技术
6.2.1SSL和TLS
SL和TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证(对
称和非对称算法都用了)保护客户端与服务器通信免受窃听、篡改数据和消息伪造OS(IOpen
StandardInterconnect,开放互连)模型的传输层与应用层间。
加密特点是:
身份验证
保密性
消息完整性
SSL/TLS保护数据安全的方法:
6.2.3PPTP
PPTP用于LAN、WAN或Internet进行客户端到服务器的安全数据传输,使用拨号连
接中的点对点协议(PPP)来在连接中建立终结点,PPTP位于OSI模型的第二层。
PPTP的加密特点是:
身份验证(pap、ms-chap、eap):
服务器验证客户
保密性(40位的mppe:
即microsoft点对点加密,或128位的RC4)
支持通过mppc(microsoft点对点压缩)数据压缩
不提供消息完整性或数据源身份验证(GFG-微软)
PPTP安全流程:
PPTP通过PPTP控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE
(GenericRoutingEncapsulation)对PPP帧进行封装。
封装前,PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。
PPTP控
升级会员 