2011tosec安全會議件校驗的重要性

1、論文件校驗的重要性 Nobug32tosec關于框架需求實例解決提問&討論關于內(nèi)容簡單的描述了文件校驗一詞從“黑客”角度分析如何利用及隱藏利用的意圖利用文件校驗如何解決例子中所述問題為什么需要文件校驗？文件被篡改文件的完整性和安全性木馬侵入系統(tǒng)淪陷篡改?什么樣的文件容易被篡改a.數(shù)據(jù)文檔內(nèi)容b.常使用的應用程序c.系統(tǒng)內(nèi)核意圖a.虛假內(nèi)容b.后門* 收費軟件破解.侵入？直接a.數(shù)據(jù)被盜b.潛在間接a.跳板b.影響關聯(lián)主機文件校驗&作用什么是文件校驗？文件校驗值 = 文件指紋作用？保護文件有助于安全檢查難以實現(xiàn)!系統(tǒng)繁多多種linux發(fā)行版，unix，windows等復雜的環(huán)境各種各樣的成用程序

2、誰在用？個人習慣文檔系統(tǒng)更新應用程序升級多層因素限制，難以檢測真的那么可怕？分析黑客的想法a.想要什么？b.隱藏在這里？c.利用抵御a.殺軟？b.快照？b.重裝!舉例前: 黑客如何欺騙了我們？提交請求處理請求屏幕顯示用戶用戶與界面的交互1. 到底做了什么？2. 處理過程？3. 相信屏幕？薄弱環(huán)節(jié)舉例前: 黑客如何欺騙了我們？程序作用實現(xiàn)了什么運行模式命令行執(zhí)行程序分析接收輸入如何執(zhí)行？回顯結果利用薄弱點實例: Linux Netfilter的“迷惑”介紹netfilter是由Rusty Russell提出的Linux 2.4內(nèi)核防火墻框架。用來做什么？a.數(shù)據(jù)記錄或過濾b.地址轉(zhuǎn)換.連線追蹤實

3、例: Linux Netfilter的“迷惑”黑客眼中的“程序”之前提到了關于程序的一個簡單的處理環(huán)節(jié)，然而每一個環(huán)節(jié)在黑客的眼中都能利用上一切都是不可信不能相信任何在你不知道情況下修改的任何文件利用?接受處理命令時到的重定義內(nèi)核調(diào)用虛假回顯實例: Linux Netfilter的“迷惑”黑客用它來干什么？代理地址轉(zhuǎn)換隱藏？后門？還是其他？實例: Linux Netfilter的“迷惑”目的：中轉(zhuǎn)數(shù)據(jù)/隱藏地址實現(xiàn)：利用地址轉(zhuǎn)換復雜？為防止和延長追蹤的時間，需要更深的隱藏該主機被黑客所用的意圖。實例: Linux Netfilter的“迷惑”從什么地方下手？篡改用戶輸入指令用戶輸入指令 ！=

4、處理指令 更改內(nèi)核處理過程更改部分內(nèi)核代碼修改屏幕的顯示結果正常 ！= 安全實例: Linux Netfilter的“迷惑”隱藏黑客的目的之屏幕假象用戶檢查 - command - list_entries - print_firewall -顯示哪里“下手”？實例: Linux Netfilter的“迷惑”實例: Linux Netfilter的“迷惑”檢測？規(guī)則查看日志查看逆向分析如何解決重裝？文件校驗？更多前面所述的例子只是其中的冰山一角，其只是證明文件校驗某些時候比殺軟更具備安全的作用。在防護上起到了更好的安全效果。數(shù)據(jù)包觸發(fā)時間觸發(fā)環(huán)境觸發(fā)哪些需要文件校驗？排除法-臨時文件下載目錄添加法-系統(tǒng)內(nèi)核應用程序重要文件制訂方案周期性按照需求進行周期