欢迎来到天天文库
浏览记录
ID:37584880
大小:1.02 MB
页数:84页
时间:2019-05-12
《讲座-网络入侵与攻击》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网络入侵与攻击高文宇gwy@gdcc.edu.cn网络的脆弱性“INTERNET的美妙之处在于你和每个人都能互相连接,INTERNET的可怕之处在于每个人都能和你互相连接”开放性的网络环境协议本身的缺陷操作系统的漏洞人为因素Internet的困境一般说来,可以对于信息系统入侵和攻击手段有下面一些:(1)恶意代码攻击病毒特洛伊木马蠕虫细菌陷门逻辑炸弹等(2)消息收集攻击(3)代码漏洞攻击(4)欺骗和会话劫持攻击(5)分布式攻击(6)其他攻击1计算机病毒1.1计算机病毒的特征1.非授权执行性2.感染性3.潜伏性与隐蔽性4.寄生性6.破坏性·占用或消
2、耗CPU资源以及内存空间干扰系统运行攻击CMOS攻击系统数据区攻击文件干扰外部设备运行破坏网络系统的正常运行5.可触发性日期/时间触发计数器触发键盘触发启动触发感染触发组合条件触发1.2计算机病毒分类1.按照所攻击的操作系统分类DOS病毒UNIX/Linux病毒Windows病毒OS/2病毒Macintosh病毒手机病毒。2.按照寄生方式和传染途径分类(1)引导型病毒①主引导区(masterbootrecord,MBR)病毒②引导区(bootrecord,BR)病毒(2)文件型病毒①可执行文件②文档文件或数据文件③Web文档按照驻留内存的方式,
3、文件型病毒可以分为:①驻留(Resident)病毒②非驻留(Nonrresident)病毒(3)目录型病毒(4)引导兼文件型病毒(5)CMOS病毒3.按照传播媒介分类(1)单机病毒(2)网络病毒4.按照计算机病毒的链接方式分类(1)源码型病毒(2)嵌入型病毒(3)外壳(shell)型病毒(4)译码型病毒(5)操作系统型病毒5.按照破坏能力分类(1)无害型(2)无危险型(3)危险型(4)非常危险型1.3计算机病毒的基本机制1.潜伏(1)引导引导过程由三步组成:①驻留内存②窃取控制权③恢复系统功能(2)隐藏(3)捕捉(也称搜索)2.传染传染机制的作
4、用是在特定的感染条件下,将病毒代码复制到传染目标上去。所以这个机制由激活传染条件的判断部分和传染功能的实施部分实现。3.表现表现机制的作用是在被传染系统上表现出特定现象,主要是产生破坏被传染系统的行为。大部分病毒都是在一定条件下才会被触发而发作表现。1.4典型计算机病毒分析(1)DOS引导型病毒分析DOS引导型病毒是隐藏在磁盘主引导扇区(bootsector)的病毒。主引导扇区位于硬盘的0柱面0磁道1扇区,其结构如图4.2所示,用于存放主引导记录(mainbootrecord,MBR)、硬盘主分区表(DiskPartitionTable,DP
5、T)和引导扇区标记(bootrecordID)。保留分区信息1(16字节)分区信息2(16字节)分区信息3(16字节)分区信息4(16字节)55(1字节)AA(1字节)008A01BD01BE01CD01CE01DD01DE01ED01EE01FD01FE主分区表DPT引导扇区标记主引导记录MBR(446字节)启动字符串主引导记录启动程序0000008B00D900DAD01FF(2)DOS的自举过程系统加电或复位系统自检磁盘驱动器中有磁盘读主引导程序到0000:7C00H,并执行读IO.SYS和MSDOS.SYS到内存70:00处成功?系统初
6、始化读COMMAND.COM到内存自举完成显示“非系统盘”提示“插入磁盘”①将本来要读入到0000:7C00H处的硬盘主引导程序转移到0000:0600H处。②顺序读入4个分区表的自举标志,以找出自举分区:若找不到,就转向执行INT18H的BOOT异常,执行异常中断程序。③找到自举分区后,检测该分区标志:如果是32位/16位FAT并支持13号中断的扩展功能,就转向执行13#中断的41#功能调用,进行安装检测。检测成功,就执行42号扩展功能调用,把BOOT程序读入内存0000:7c00H处。读入成功,就执行0000:7c00H处的程序;读入失败,
7、就调用13号中断的读扇区功能,把BOOT程序读入内存0000:7c00H处。(3)引导型病毒的传染过程系统加电或复位进入ROM-BIOS读引导至0000:7C00H并执行自举完成系统复位读COMMAND.COM到内存系统加电或复位bb引导至0000:7C00H,并执行自举完成系统复位读COMMAND.COM到内存引导区病毒并执行病毒程序修改中断向量复制病毒/感染磁盘引导型病毒的感染过程:装入内存+攻击装入过程1系统开机后,进入系统检测,检测正常后,从0面0道1扇区,即逻辑0扇区读取信息到内存的0000~7C00处:2系统开始运行病毒引导部分,将
8、病毒的其他部分读入到内存的某一安全区3病毒修改INT13H中断服务处理程序的入口地址,使之指向病毒控制模块并执行。4病毒程序全部读入后,接着读入正常b
此文档下载收益归作者所有