freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

第七章_惡意代碼分析與防治(計算機網(wǎng)絡安全教程)(編輯修改稿)

2025-03-20 16:07 本頁面
 

【文章內(nèi)容簡介】 技術包括:進程注入技術、三線程技術、端口復用技術、超級管理技術、端口反向連接技術和緩沖區(qū)溢出攻擊技術。,1. 進程注入技術,當前操作系統(tǒng)中都有系統(tǒng)服務和網(wǎng)絡服務,它們都在系統(tǒng)啟動時自動加載。進程注入技術就是將這些與服務相關的可執(zhí)行代碼作為載體,惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中,實現(xiàn)自身隱藏和啟動的目的。 這種形式的惡意代碼只須安裝一次,以后就會被自動加載到可執(zhí)行文件的進程中,并且會被多個服務加載。只有系統(tǒng)關閉時,服務才會結(jié)束,所以惡意代碼程序在系統(tǒng)運行時始終保持激活狀態(tài)。比如惡意代碼“WinEggDropShell”可以注入Windows 下的大部分服務程序。,2. 三線程技術,在Windows 操作系統(tǒng)中引入了線程的概念,一個進程可以同時擁有多個并發(fā)線程。三線程技術就是指一個惡意代碼進程同時開啟了三個線程,其中一個為主線程,負責遠程控制的工作。另外兩個輔助線程是監(jiān)視線程和守護線程,監(jiān)視線程負責檢查惡意代碼程序是否被刪除或被停止自啟動。 守護線程注入其它可執(zhí)行文件內(nèi),與惡意代碼進程同步,一旦進程被停止,它就會重新啟動該進程,并向主線程提供必要的數(shù)據(jù),這樣就能保證惡意代碼運行的可持續(xù)性。例如,“中國黑客”等就是采用這種技術的惡意代碼。,3. 端口復用技術,端口復用技術,系指重復利用系統(tǒng)網(wǎng)絡打開的端口(如280、135和139等常用端口)傳送數(shù)據(jù),這樣既可以欺騙防火墻,又可以少開新端口。端口復用是在保證端口默認服務正常工作的條件下復用,具有很強的欺騙性。例如,特洛伊木馬“Executor”利用80 端口傳遞控制信息和數(shù)據(jù),實現(xiàn)其遠程控制的目的。,4. 超級管理技術,一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對抗反惡意代碼軟件,惡意代碼采用超級管理技術對反惡意代碼軟件系統(tǒng)進行拒絕服務攻擊,使反惡意代碼軟件無法正常運行。例如,“廣外女生”是一個國產(chǎn)的特洛伊木馬,它采用超級管理技術對“金山毒霸”和“天網(wǎng)防火墻”進行拒絕服務攻擊。,5. 端口反向連接技術,防火墻對于外部網(wǎng)絡進入內(nèi)部網(wǎng)絡的數(shù)據(jù)流有嚴格的訪問控制策略,但對于從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。端口反向連接技術,系指令惡意代碼攻擊的服務端(被控制端)主動連接客戶端(控制端)。 國外的“Boinet”是最先實現(xiàn)這項技術的木馬程序,它可以通過ICO、IRC、HTTP 和反向主動連接這4 種方式聯(lián)系客戶端。國內(nèi)最早實現(xiàn)端口反向連接技術的惡意代碼是“網(wǎng)絡神偷”?!盎银澴印眲t是這項技術的集大成者,它內(nèi)置FTP、域名、服務端主動連接這3 種服務端在線通知功能。,6. 緩沖區(qū)溢出攻擊技術,緩沖區(qū)溢出漏洞攻擊占遠程網(wǎng)絡攻擊的80%,這種攻擊可以使一個匿名的Internet 用戶有機會獲得一臺主機的部分或全部的控制權,代表了一類嚴重的安全威脅。惡意代碼利用系統(tǒng)和網(wǎng)絡服務的安全漏洞植入并且執(zhí)行攻擊代碼,攻擊代碼以一定的權限運行有緩沖區(qū)溢出漏洞的程序,從而獲得被攻擊主機的控制權。 緩沖區(qū)溢出攻擊成為惡意代碼從被動式傳播轉(zhuǎn)為主動式傳播的主要途徑。例如,“紅色代碼”利用IIS Server 上Indexing Service 的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的?!澳崮愤_蠕蟲”利用IIS 4.0/5.0 DirectoryTraversal 的弱點,以及紅色代碼II 所留下的后門,完成其傳播過程。,7.3.3 惡意代碼的隱蔽技術,隱藏通常包括本地隱藏和通信隱藏,其中本地隱藏主要有文件隱藏、進程隱藏、網(wǎng)絡連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等。網(wǎng)絡隱藏主要包括通信內(nèi)容隱藏和傳輸通道隱藏。,1. 本地隱藏,本地隱蔽是指為了防止本地系統(tǒng)管理人員覺察而采取的隱蔽手段。本地系統(tǒng)管理人員通常使用“查看進程列表”,“查看目錄”,“查看內(nèi)核模塊”,“查看系統(tǒng)網(wǎng)絡連接狀態(tài)”等管理命令來檢測系統(tǒng)是否被植入了惡意代碼。,隱蔽手段,隱蔽手段主要有三類:一類方法是將惡意代碼隱蔽(附著、捆綁或替換)在合法程序中,可以避過簡單管理命令的檢查;另一類方法是如果惡意代碼能夠修改或替換相應的管理命令,也就是把相應管理命令惡意代碼化,使相應的輸出信息經(jīng)過處理以后再顯示給用戶,就可以很容易地達到蒙騙管理人員,隱蔽惡意代碼自身的目的;還有一類方法是分析管理命令的檢查執(zhí)行機制,利用管理命令本身的弱點巧妙地避過管理命令,可以達到既不修改管理命令,又達到隱蔽的目的。,本地隱藏包括5個方面,(1)文件隱蔽。 (2)進程隱蔽。 (3)網(wǎng)絡連接隱蔽。 (4)編譯器隱蔽。 (5)RootKit 隱蔽。,2. 網(wǎng)絡隱蔽,現(xiàn)在計算機用戶的安全意識較以前有了很大提高。在網(wǎng)絡中,普遍采用了防火墻、入侵檢測和漏洞掃描等安全措施。那種使用傳統(tǒng)通信模式的惡意代碼客戶端與服務端之間的會話已不能逃避上述安全措施的檢測,惡意代碼需要使用更加隱蔽的通信方式。 使用加密算法對所傳輸?shù)膬?nèi)容進行加密能夠隱蔽通信內(nèi)容。隱蔽通信內(nèi)容雖然可以保護通信內(nèi)容,但無法隱蔽通信狀態(tài),因此傳輸信道的隱蔽也具有重要的意義。對傳輸信道的隱蔽主要采用隱蔽通道技術。美國國防部可信操作系統(tǒng)評測標準對隱蔽通道進行了如下定義: 隱蔽通道是允許進程違反系統(tǒng)安全策略傳輸信息的通道。隱蔽通道分為兩種類型:存儲隱蔽通道和時間隱蔽通道。存儲隱蔽通道是一個進程能夠直接或間接訪問某存儲空間,而該存儲空間又能夠被另一個進程所訪問,這兩個進程之間所形成的通道稱之為存儲隱蔽通道。時間隱蔽通道是一個進程對系統(tǒng)性能產(chǎn)生的影響可以被另外一個進程觀察到并且可以利用一個時間基準進行測量,這樣形成的信息傳遞通道稱為時間隱蔽通道。,7.4 網(wǎng)絡蠕蟲,隨著網(wǎng)絡系統(tǒng)應用及復雜性的增加,網(wǎng)絡蠕蟲成為網(wǎng)絡系統(tǒng)安全的重要威脅。在網(wǎng)絡環(huán)境下,多樣化的傳播途徑和復雜的應用環(huán)境使網(wǎng)絡蠕蟲的發(fā)生頻率增高、潛伏性變
點擊復制文檔內(nèi)容
教學課件相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1