計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課

計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課RPC漏洞RemoteProcedureCall（RPC，遠(yuǎn)程過程調(diào)用）是windows使用的一個協(xié)議，在處理通過TCPIP進(jìn)行信息交換過程中，如果遇到畸形數(shù)據(jù)包，將導(dǎo)致RPC服務(wù)無提示的崩潰掉；而且由于許多應(yīng)用和服務(wù)程序都依賴于該RPC（默認(rèn)安裝情況下該服務(wù)的135端口是開放的），因此可能遭到這些程序與服務(wù)的拒絕。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第1頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課黑客如果要利用這個漏洞，可以發(fā)送畸形請求給遠(yuǎn)程服務(wù)器監(jiān)聽的特定RPC端口，如：135、139、445等任何配置了RPC端口的機(jī)器，受到攻擊的Windows系統(tǒng)大多出現(xiàn)系統(tǒng)藍(lán)屏、重新啟動、自動關(guān)機(jī)等現(xiàn)象。在win2000中停止掉此服務(wù)后比較明顯的特征是復(fù)制文件時，鼠標(biāo)右鍵的“粘貼”總是禁用的。

計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第2頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課RPC漏洞攻擊在攻擊之前，一般要用RPC漏洞掃描器先掃描出網(wǎng)絡(luò)上的存在RPC漏洞的機(jī)器。掃描出漏洞之后即可向有RPC漏洞的機(jī)器發(fā)起攻擊，比如使用沖擊波病毒向?qū)Ψ介_放的135端口發(fā)起攻擊。當(dāng)系統(tǒng)資源被大量占用，會出現(xiàn)RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件，不能正常復(fù)制文件，無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到影響，DNS和IIS服務(wù)遭到非法拒絕等現(xiàn)象。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第3頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課拒絕服務(wù)攻擊拒絕服務(wù)攻擊，也叫DOS（denialofservice）。拒絕服務(wù)攻擊就是用超出被攻擊目標(biāo)處理能力的數(shù)據(jù)包可用系統(tǒng)、帶寬資源，致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第4頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課什么是拒絕服務(wù)拒絕服務(wù)的攻擊原理是：攻擊者首先通過比較常規(guī)的黑客手段侵入并控制某個網(wǎng)站之后，在該網(wǎng)站的服務(wù)器上安裝并啟動一個攻擊者發(fā)出的特殊指令來進(jìn)行控制的進(jìn)程。當(dāng)攻擊者把攻擊對象的IP地址作為指令下達(dá)給這些進(jìn)程時，這些進(jìn)程就開始對目標(biāo)主機(jī)發(fā)起攻擊，這種方式可集中成百上千服務(wù)器的帶寬能力對某個特定目標(biāo)實施攻擊，所以在懸殊的帶寬對比下，被攻擊目標(biāo)的剩余帶寬會被迅速耗盡，從而導(dǎo)致該服務(wù)的癱瘓。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第5頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課拒絕服務(wù)攻擊的類型1、Ping拒絕服務(wù)攻擊2、land攻擊3、SYNflood攻擊4、UDPflood攻擊5、Smurf攻擊6、畸形消息攻擊7、DDos（分布式拒絕服務(wù)攻擊）8、對安全工具的拒絕服務(wù)攻擊計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第6頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼概述代碼是指計算機(jī)程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計算機(jī)程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客們在編寫編寫擾亂社會和他人的計算機(jī)程序，這些代碼統(tǒng)稱為惡意代碼（MaliciousCodes）。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第7頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼的發(fā)展史惡意代碼經(jīng)過20多年的發(fā)展，破壞性、種類和感染性都得到增強(qiáng)。隨著計算機(jī)的網(wǎng)絡(luò)化程度逐步提高，網(wǎng)絡(luò)傳播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱蟆?988年11月泛濫的Morris蠕蟲，頃刻之間使得6000多臺計算機(jī)（占當(dāng)時Internet上計算機(jī)總數(shù)的10%多）癱瘓，造成嚴(yán)重的后果，并因此引起世界范圍內(nèi)關(guān)注。1998年CIH病毒造成數(shù)十萬臺計算機(jī)受到破壞。1999年Happy99、Melissa病毒大爆發(fā)，Melissa病毒通過E-mail附件快速傳播而使E-mail服務(wù)器和網(wǎng)絡(luò)負(fù)載過重，它還將敏感的文檔在用戶不知情的情況下按地址簿中的地址發(fā)出。2000年5月爆發(fā)的“愛蟲”病毒及其以后出現(xiàn)的50多個變種病毒，是近年來讓計算機(jī)信息界付出極大代價的病毒，僅一年時間共感染了4000多萬臺計算機(jī)，造成大約87億美元的經(jīng)濟(jì)損失。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第8頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼的發(fā)展史2001年，國信安辦與公安部共同主辦了我國首次計算機(jī)病毒疫情網(wǎng)上調(diào)查工作。結(jié)果感染過計算機(jī)病毒的用戶高達(dá)73％，其中，感染三次以上的用戶又占59％多，網(wǎng)絡(luò)安全存在大量隱患。2001年8月，“紅色代碼”蠕蟲利用微軟Web服務(wù)器IIS4.0或5.0中Index服務(wù)的安全漏洞，攻破目標(biāo)機(jī)器，并通過自動掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年，SLammer蠕蟲在10分鐘內(nèi)導(dǎo)致互聯(lián)網(wǎng)90％脆弱主機(jī)受到感染。同年8月，“沖擊波”蠕蟲爆發(fā)，8天內(nèi)導(dǎo)致全球電腦用戶損失高達(dá)20億美元之多。2004年到2006年，振蕩波蠕蟲、愛情后門、波特后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對網(wǎng)絡(luò)主機(jī)進(jìn)行瘋狂傳播，給國家和社會造成了巨大的經(jīng)濟(jì)損失。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第9頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼從80年代發(fā)展至今體現(xiàn)出來的3個主要特征①惡意代碼日趨復(fù)雜和完善②惡意代碼編制方法及發(fā)布速度更快③從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動攻擊的惡意代碼計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第10頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課7.1.3惡意代碼長期存在的原因計算機(jī)技術(shù)飛速發(fā)展的同時并未使系統(tǒng)的安全性得到增強(qiáng)。技術(shù)進(jìn)步帶來的安全增強(qiáng)能力最多只能彌補(bǔ)由應(yīng)用環(huán)境的復(fù)雜性帶來的安全威脅的增長程度。不但如此，計算機(jī)新技術(shù)的出現(xiàn)還很有可能使計算機(jī)系統(tǒng)的安全變得比以往更加脆弱。AT&T實驗室的S.Bellovin曾經(jīng)對美國CERT（ComputerEmergencyResponseTeam）提供的安全報告進(jìn)行過分析，分析結(jié)果表明，大約50%的計算機(jī)網(wǎng)絡(luò)安全問題是由軟件工程中產(chǎn)生的安全缺陷引起的，其中，很多問題的根源都來自于操作系統(tǒng)的安全脆弱性。互聯(lián)網(wǎng)的飛速發(fā)展為惡意代碼的廣泛傳播提供了有利的環(huán)境。互聯(lián)網(wǎng)具有開放性的特點，缺乏中心控制和全局視圖能力，無法保證網(wǎng)絡(luò)主機(jī)都處于統(tǒng)一的保護(hù)之中。計算機(jī)和網(wǎng)絡(luò)系統(tǒng)存在設(shè)計上的缺陷，這些缺陷會導(dǎo)致安全隱患。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第11頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼實現(xiàn)機(jī)理早期惡意代碼的主要形式是計算機(jī)病毒。80年代，Cohen設(shè)計出一種在運行過程中可以復(fù)制自身的破壞性程序，Adleman將它命名為計算機(jī)病毒，它是早期惡意代碼的主要內(nèi)容。隨后，Adleman把病毒定義為一個具有相同性質(zhì)的程序集合，只要程序具有破壞、傳染或模仿的特點，就可認(rèn)為是計算機(jī)病毒。這種定義有將病毒內(nèi)涵擴(kuò)大化的傾向，將任何具有破壞作用的程序都認(rèn)為是病毒，掩蓋了病毒潛伏、傳染等其它重要特征。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第12頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼的定義90年代末，惡意代碼的定義隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸豐富，Grimes將惡意代碼定義為，經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺計算機(jī)系統(tǒng)到另外一臺計算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計算機(jī)系統(tǒng)完整性的程序或代碼。它包括計算機(jī)病毒(ComputerVirus)、蠕蟲(Worms)、特洛伊木馬(TrojanHorse)、邏輯炸彈(LogicBombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(MaliciousScripts)和惡意ActiveX控件等。由此定義，惡意代碼兩個顯著的特點是：非授權(quán)性和破壞性。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第13頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課

惡意代碼的相關(guān)定義惡意代碼類型定義特點計算機(jī)病毒指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。潛伏、傳染和破壞計算機(jī)蠕蟲指通過計算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴(kuò)散特洛伊木馬指一種與遠(yuǎn)程計算機(jī)建立連接，使遠(yuǎn)程計算機(jī)能夠通過網(wǎng)絡(luò)控制本地計算機(jī)的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計算機(jī)系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進(jìn)入系統(tǒng)，從而實現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級RootKit指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門的程序隱蔽，潛伏計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第14頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼攻擊機(jī)制惡意代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機(jī)制大體相同，其整個作用過程分為6個部分：①侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤或軟盤往系統(tǒng)上安裝軟件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。②維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限才能完成。③隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。④潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時，就發(fā)作并進(jìn)行破壞活動。⑤破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。⑥重復(fù)①至⑤對新的目標(biāo)實施攻擊過程。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第15頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼實現(xiàn)關(guān)鍵技術(shù)一段好的惡意代碼，首先必須具有良好隱蔽性，生存性，不能輕松被軟件或者用戶察覺。然后，必須具有良好的攻擊性。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第16頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼生存技術(shù)生存技術(shù)主要包括4方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)自動生產(chǎn)技術(shù)。反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性，加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第17頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課1.反跟蹤技術(shù)（1）禁止跟蹤中斷。針對調(diào)試分析工具運行系統(tǒng)的單步中斷和斷點中斷服務(wù)程序，惡意代碼通過修改中斷服務(wù)程序的入口地址實現(xiàn)其反跟蹤目的?！?575”計算機(jī)病毒采用該方法將堆棧指針指向處于中斷向量表中的INT0至INT3區(qū)域，阻止調(diào)試工具對其代碼進(jìn)行跟蹤。（2）封鎖鍵盤輸入和屏幕顯示，破壞各種跟蹤調(diào)試工具運行的必需環(huán)境；（3）檢測跟蹤法。檢測跟蹤調(diào)試時和正常執(zhí)行時的運行環(huán)境、中斷入口和時間的差異，根據(jù)這些差異采取一定的措施，實現(xiàn)其反跟蹤目的。例如，通過操作系統(tǒng)的API函數(shù)試圖打開調(diào)試器的驅(qū)動程序句柄，檢測調(diào)試器是否激活確定代碼是否繼續(xù)運行。（4）其它反跟蹤技術(shù)。如指令流隊列法和逆指令流法等。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第18頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課2.加密技術(shù)加密技術(shù)是惡意代碼自我保護(hù)的一種手段，加密技術(shù)和反跟蹤技術(shù)的配合使用，使得分析者無法正常調(diào)試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無法抽取特征串。從加密的內(nèi)容上劃分，加密手段分為信息加密、數(shù)據(jù)加密和程序代碼加密三種。大多數(shù)惡意代碼對程序體自身加密，另有少數(shù)惡意代碼對被感染的文件加密。例如，“Cascade”是第一例采用加密技術(shù)的DOS環(huán)境下的惡意代碼，它有穩(wěn)定的解密器，可以解密內(nèi)存中加密的程序體?！癕ad”和“Zombie”是“Cascade”加密技術(shù)的延伸，使惡意代碼加密技術(shù)走向32位的操作系統(tǒng)平臺。此外，“中國炸彈”(Chinesebomb)和“幽靈病毒”也是這一類惡意代碼。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第19頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課惡意代碼攻擊技術(shù)常見的攻擊技術(shù)包括：進(jìn)程注入技術(shù)、三線程技術(shù)、端口復(fù)用技術(shù)、超級管理技術(shù)、端口反向連接技術(shù)和緩沖區(qū)溢出攻擊技術(shù)。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第20頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課得到管理員密碼用戶登錄以后，所有的用戶信息都存儲在系統(tǒng)的一個進(jìn)程中，這個進(jìn)程是：“winlogon.exe”，可以利用程序?qū)?dāng)前登錄用戶的密碼解碼出來，如圖所示。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第21頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課使用FindPass等工具可以對該進(jìn)程進(jìn)行解碼，然后將當(dāng)前用戶的密碼顯示出來。將FindPass.exe拷貝到C盤根目錄，執(zhí)行該程序，將得到當(dāng)前用戶得登錄名，如圖所示。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第22頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課權(quán)限提升有時候，管理員為了安全，給其他用戶建立一個普通用戶帳號，認(rèn)為這樣就安全了。其實不然，用普通用戶帳號登錄后，可以利用工具GetAdmin.exe將自己加到管理員組或者新建一個具有管理員權(quán)限的用戶。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第23頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課普通用戶建立管理員帳號利用Hacker帳戶登錄系統(tǒng)，在系統(tǒng)中執(zhí)行程序GetAdmin.exe，程序自動讀取所有用戶列表，在對話框中點擊按鈕“New”，在框中輸入要新建的管理員組的用戶名，如圖所示。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第24頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課普通用戶建立管理員帳號輸入一個用戶名“IAMHacker”，點擊按鈕“確定”以后，然后點擊主窗口的按鈕“OK”，出現(xiàn)添加成功的窗口，如圖所示。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第25頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課暴力攻擊暴力攻擊的一個具體例子是，一個黑客試圖使用計算機(jī)和信息去破解一個密碼。一個黑客需要破解—段單一的被用非對稱密鑰加密的信息，為了破解這種算法，一個黑客需要求助于非常精密復(fù)雜的方法，它使用120個工作站，兩個超級計算機(jī)利用從三個主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時間去破解加密算法，實際上破解加密過程八天已是非常短暫的時間了。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第26頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課字典文件一次字典攻擊能否成功，很大因素上決定與字典文件。一個好的字典文件可以高效快速的得到系統(tǒng)的密碼。攻擊不同的公司、不通地域的計算機(jī)，可以根據(jù)公司管理員的姓氏以及家人的生日，可以作為字典文件的一部分，公司以及部門的簡稱一般也可以作為字典文件的一部分，這樣可以大大的提高破解效率。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課全文共33頁，當(dāng)前為第27頁。計算機(jī)硬件及網(wǎng)絡(luò)信息安全入門第七課一個字典文件本