精华内容
下载资源
问答
  • 前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细...

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

    前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者与海涵。且看且珍惜,加油~

    作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!

    作者的github资源:

    从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵!

    接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~

    前文分析:

    声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该样本不会分享给大家,分析工具会分享。(参考文献见后)


    自全球第一个计算机病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒经验,掌握了大量实用的反病毒技术,并研制出一系列优秀的反病毒产品,主要用于病毒的防护、检测及其清除等。病毒的检测技术主要包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防御技术,以及新兴的云查杀技术等。个人用户也可以通过经验、安全检测工具和反病毒软件来检查计算机是否感染病毒,或是采用沙箱及相关静、动态分析手段来对病毒进行深入分析。

    一.恶意代码检测的对象和策略

    恶意代码的检测是将检测对象与恶意代码特征(检测标准)进行对比分析,定位病毒程序或代码,或检测恶意行为。

    首先,我们介绍恶意代码检测对象。检测对象主要包括:

    • 引导扇区
    • 文件系统中可能带毒的文件:安全公司的产品主要针对文件进行病毒检测
    • 内存空间
    • 主板BIOS:系统启动时涉及的代码
    • 网络流量:网络交互也是检测对象,如VPS、VDS
    • 系统行为

    在这里插入图片描述

    接着我们主要介绍三类检测对象。

    (1) 检测对象——引导扇区
    引导扇区之所以成为检测对象,是因为部分引导扇区是具有控制权的,它在系统启动、执行过程中会执行相应代码,并且这些代码可能会被恶意软件所篡改。主要包括:

    • 硬盘主引导扇区
    • 硬盘操作系统引导扇区
    • 可移动磁盘引导扇区

    检测目标:

    • 引导区病毒、MBR木马等

    (2) 检测对象——可能带毒的文件
    有些文件是正常被感染所致,有些文件是独立存在系统中的。

    • 可执行程序
      .exe;.dll;.com;.scr… (最普遍的检测对象)
    • 数据文件
      .doc;.xls;.ppt;.pdf; .mp3;.avi… (比如宏病毒、Office文档都是检测对象)
    • 脚本文件
      .js;.vbs;.php;.pl… (比如脚本病毒)
    • 网页文件
      .html;.htm;.asp… (比如网页挂马)

    (3) 检测对象——内存空间
    恶意代码在传染或执行时,必然要占有一定的内存空间,部分功能代码驻留在内存中。

    • 部分恶意代码仅存在于内存之中
      – 无文件存在,或已自行删除
      – 或被外部动态按需注入
    • 部分恶意代码仅在内存中被还原

    比如,部分恶意代码仅存在内存之中,它们是没有文件的,通过文件检测无法找到它们。另外,还有部分恶意代码最开始是有文件的,执行完毕之后会将自身进行删除,此时再去检测文件是检测不到的。也有一些木马程序,最开始执行时只是一个简单的主体程序,它所有的功能代码可能是通过Shellcode的方式进行远程注入,在文件中是找不到这些恶意代码的,此时就驻留在内存中,所以对内存中的代码进行检测是必要的。

    同时,还有一些木马程序会启动IE进程,它启动之后会将IE进程掏空,然后将自己的恶意代码植入其中,这种情况的恶意代码也是驻留在内存之中。除此之外,还有一些恶意代码本身在文件中,它是一种加密或压缩状态,只要到内存之后才会进行还原。参考作者前文:

    在这里插入图片描述


    介绍完检测对象之后,我们分享病毒的检测策略。

    (1) 专用检查技术:针对某个或某些特定已知恶意代码,比如反病毒软件所采用的文件特征值检测技术,发现病毒之后,对病毒的特征进行提取构建相关特征库。

    • 反病毒软件必须随着新病毒的不断出现而频繁更新病毒库版本。
    • 如文件特征值检测技术。

    (2) 通用检测技术:针对已知和未知恶意代码,根据恶意软件广义的特征进行检测,但这里面涉及了很多人为经验,如启发式扫描技术,对目标程序的特性和行为进行判断,给出判断结果或用户提示。

    • 广义特性描述或一般行为特征作为判定依据。
    • 如启发式扫描技术、主动防御技术等。


    二.特征值检测技术

    1.特征值检测技术概念

    病毒特征值:是反病毒软件鉴别特定计算机病毒的一种标志。通常是从病毒样本中提取的一段或多段字符串或二进制串。

    如下图所示,特征值检测技术和古代通J令类似,通J令中包含了这个人的特征,对于特征值检测技术也是一样,它首先需要对目标恶意程序进行特征及标志提取。另外,通J令可以通过相关机构或群众发现,而特征值检测技术依靠反病毒引擎来进行比对。

    在这里插入图片描述

    特征值检测技术的具体思路:

    • 获取样本 -> 提取样本特征 -> 更新病毒库 - > 查杀病毒

    早期样本比较少,可以通过人工提取特征,但随着样本增多之后,就不再通过单纯的人工方式提取,会将样本特征更新至病毒库,再下发到客户端的病毒检测设备中。最早的时候,整体病毒数量不多,比如KV300,当时就是拿着软盘每个月去到指定的地方进行病毒库的更新,后来逐渐通过网络的方式更新反病毒软件,每天都可以更新很多次,反病毒软件再根据反病毒引擎进行病毒的查杀。

    在这里插入图片描述


    2.特征值的提取选择及方法

    特征值的提取选择具体如下:

    • (1) 特定字串:从计算机病毒体内提取、为病毒所特有的特征串。如特定提示信息,特定签名信息等。
      例如大麻病毒的提示为:“Your PC is now stoned”等。

    • (2) 感染标记:病毒为避免重复感染而使用的感染标记。
      如黑色星期五的“suMs DOS”。

    • (3) 从病毒代码的特定地方开始取出连续的、不大于64且不含空格(ASCII值为32)的字节串。

    同时,所提取的特征需要避免和正常的软件雷同,否则会形成误报。具体的提取方法如下:

    • 人工提取
      反病毒工程师对病毒样本进行分析后,人工确定病毒特征。
    • 自动提取
      – 通过软件系统自动提取特定范围内特定长度具有一定特征的数据。
      – 处理不利则可能被别有用心者利用,形成误杀。比如杀毒软件会对Windows核心文件进行查杀,但样本提取时可能会有相应的失误,通过制造对抗样本使得正常程序或文件被误杀。

    特征值的提取还有一些自动提取的方法,下面三篇文章是之前作者分享的。

    参考作者前文:

    在这里插入图片描述


    3.优缺点

    关于特征值检测技术,它有优缺点。具体如下:

    • 优点: 检测速度快、误报率低等优点,为广大反病毒厂商所采用,技术也比较成熟。
      因为是对已有病毒进行分析后拿到的特征,所以误报率低,也是各大安全厂商采用的技术。
    • 缺点: 只能检测已知恶意代码。容易被免杀绕过。

    最后,针对特征值检测技术,恶意软件如何对抗?

    • 手工修改自身特征
      首先,利用反病毒软件定位(如CCL软件进行定位)
      然后,进行针对性修改
    • 自动修改自身特征
      加密、多态、变形等


    三.校验和检测技术

    1.什么是校验和检测技术

    校验和检测技术是在文件使用/系统启动过程中,检查检测对象的实际校验和与预期是否一致,因而可以发现文件/引导区是否感染。

    首先,我们需要弄清楚什么是预期?

    • 预期:正常文件内容和正常引导扇区数据。

    它会通过校验和算法对原始的数据进行预算,从而得到校验值,如果对象被修改,其校验值会变化,从而判断其是否被感染。这里提到一个可信计算,它其实也使用了校验和技术。

    • 静态可信:可信计算机对主引导扇区和一些系统关键程序进行了校验,从而保障系统启动之后的初始安全。

    运用校验和检测技术查病毒主要采用以下三种方式:

    • 系统自动监测
      该技术在反病毒软件中用得比较多。它会将校验和检查程序常驻内存,每当应用程序开始运行时,自动核验当前与预先保存的校验和是否一致。如果不一致说明这段数据被篡改,会有相应的提示。
    • 专用检测工具
      对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。如MD5Checker。
    • 自我检测
      有些应用程序会进行自我校验,比如QQ,如果修改其数据会有相应提示QQ被篡改。在应用程序中,放入校验和检测技术自我检查功能,将文件正常状态的校验和写入文件自身,应用程序启动比较现行校验和与原校验和值,实现应用程序的自检测。

    2.校验和检测对象

    校验和检测对象通常包括文件头部、文件属性、文件内容和系统数据等。

    (1) 文件头部
    目前大部分的寄生病毒,它要去感染其它程序,它通常都要改变目标程序头部的数据,比如PE病毒感染。一般比较整个文件效率较低,有的检测仅比较文件的头部。现有大多数寄生病毒需要改变宿主程序的头部。

    (2) 文件基本属性
    文件的基本属性在整个生命周期中相对固定,如果发生改变可能发生了病毒攻击。文件基本属性通常包括文件长度、文件创建日期和时间、文件属性(一般属性、只读属性、隐含属性、系统属性)。下图展示了Tripwire软件能够对UNIX和Windows中的文件属性进行监控,如果文件中任何一个属性发生了异常变化,则说明该文件极有可能被病毒攻击或感染、损坏了。

    在这里插入图片描述

    (3) 文件内容校验和
    对文件内容(可含文件的属性)的全部字节进行某种函数运算,这种运算所产生的适当字节长度的结果就叫做校验和。这种校验和在很大程度上代表了原文件的特征,一般文件的任何变化都可以反映在校验和中。比如对于散列函数来说,原始特征哪怕改变一位,它的散列值都会发生很大变化。

    • 可以采用一些散列函数,如MD5…
    • CRC校验…

    (4) 系统数据
    有些病毒可能修改、且相对固定的重要系统数据。

    • 如硬盘主引导扇区、分区引导扇区
    • 内存中断向量表、SSDT、设备驱动程序处理例程等

    3.优缺点

    校验和检测技术优缺点如下:

    优点:

    • 方法简单、
    • 能发现未知病毒,因为只要病毒对目标修改,它就能发现
    • 目标文件的细微变化也能发现。

    缺点:

    • 必须预先记录正常文件的校验和[预期]
    • 误报率高
    • 不能识别病毒名称
    • 效率低


    四.启发式扫描技术

    主要依赖病毒检测的经验和知识,如专业反病毒技术人员使用反汇编、调试或沙箱工具稍加分析,就可能判定出某程序是否染毒,主要通过的就是反病毒技术人员的经验。启发式代码扫描技术(Heuristic Scanning)实际上就是恶意代码检测经验和知识的软件实现。

    经验主要是判断可疑的程序代码指令序列,常见的如下:

    • 格式化磁盘类操作:它究竟是什么样的代码
    • 搜索和定位各种可执行程序的操作
    • 实现驻留内存的操作
    • 发现非常用的或未公开的系统功能调用的操作、子程序调用中只执行入栈操作、远距离(超过文件长度的三分之二)跳转指令等
    • 敏感系统行为:如调用驱动进行远程注入
    • 敏感API函数(序列)调用功能:虽然正常程序也会出现,但当它们集中出现时可能是启发式扫描判断的依据

    启发式扫描步骤如下:

    1. 定义通用可疑特征(指令序列或行为);
    2. 对上述功能操作将被按照安全和可疑的等级进行排序,授以不同的权值(甚至用机器学习);
    3. 鉴别特征,如果程序的权值总和超过一个事先定义的阈值,则认为 “发现病毒”。

    下图展示反病毒软件的启发式分析过程,包括轻度扫描、中毒扫描、深度扫描。

    在这里插入图片描述

    为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在情况,病毒检测程序可以显示地为不同的可疑功能调用设置标志。例如,早期TbScan这款病毒检测软件就为每一项可以病毒功能调用定义一个标志,如F、R、A等,从而直观地判断被检测程序是否感染病毒。

    在这里插入图片描述

    在这里插入图片描述

    下图展示了TBScan不同病毒触发的标志。

    在这里插入图片描述

    启发式扫描优缺点如下:
    优点:

    • 能够发现未知病毒

    缺点:

    • 误报率高

    解决方案:

    • 启发式扫描技术+传统扫描技术
    • 可提高病毒检测软件的检测率,同时有效降低了总的误报率。

    下面展示了相应的安全软件进行“启发式扫描+特征值扫描”的检测率。比如,卡巴斯基能达到99.57%,

    在这里插入图片描述

    2015年AVC测试结果,即启发式/行为检测能力的结果如下图所示。

    在这里插入图片描述

    在这里插入图片描述

    2011年/2012年测试结果如下,针对未知病毒静态检测能力,其中奇虎对未知病毒检测率最高,然后是GDATA。

    在这里插入图片描述

    当时的结果报告中也给出了另一个结果——误报率,详见下图。如果你期待获得一个更严格的安全,误报率高一点也是可以承受的,希望不要有漏掉的,不同的安全软件存在不同的策略,当然同时提高检测率,降低误报率也非常考验安全公司的实力。

    在这里插入图片描述

    针对启发式扫描技术,病毒如何博弈?病毒又能采取什么措施呢?

    • 直接对抗
      – Disable启发式机制
      – Disable反病毒软件
    • 绕行
      – 哪些是启发式检测的特征项?
      – 是否有其他替代实现方式?


    五.虚拟机检测技术

    为什么需要虚拟机检测技术?主要是因为:

    • 加密、多态、变形病毒的出现:导致传统的特征值检测更加困难。
    • 加壳技术:对病毒体进行包裹,使得病毒代码没有直接反应在二进制中。

    其中,加密病毒是指真实代码被压缩或加密,但最终需要在内存中还原。多态性病毒是指对自身二进制文件进行加密,在运行时再自解密,它在每次感染时都会改变其密钥和解密代码,以对抗反病毒软件,这类病毒的代表有 “幽灵病毒”。普通特征值检测技术对其基本失效,因为其对代码实施加密变换,而且每次感染使用不同密钥和解密代码。

    在这里插入图片描述

    在电脑病毒中有一个特殊群体,它们生活在比Windows系统更早启动的“异度空间”,拥有对整个系统和软件的生杀大权;同时它们又极隐蔽,检测难度远远高于普通病毒,我们将其统称为“幽灵病毒”。
    一台电脑的启动顺序:BIOS(基本输入输出系统)-> MBR(磁盘主引导记录)-> VBR(卷引导记录)-> 系统加载程序(C盘根目录)-> Windows系统。BIOS、MBR和VBR就是幽灵病毒活跃的空间。360全球率先发现了BMW、谍影等BIOS病毒和VBR病毒,以及魅影、鬼影2、暗云Ⅱ、暗云Ⅲ等MBR病毒,并第一时间进行防御查杀。

    早在2016年12月份,360安全卫士查杀团队首次发现了暗云的新一个变种,这就是今年兴起的暗云Ⅲ木马。此版本跟以往版本最大的不同之处,在于暗云Ⅲ加入了对360急救箱查杀对抗,占位了急救箱的驱动所有设备名。下图展示了占坑急救箱设备名,正常为 Device设备,而暗云为Event设备。

    并且暗云Ⅲ能通过挂钩磁盘StartIO保护自身,去掉了上一个版本Object钩子,保留了DPC保护,在2016年12月,360安全卫士就已经专门为查杀此顽固木马下发了新驱动,一旦发现自身设备名被占用,即判定为暗云Ⅲ设备并开启查杀修复。

    在这里插入图片描述

    虚拟机检测技术如下:

    • 在反病毒系统中设置的一种程序机制,它能在内存中模拟一个小的封闭程序执行环境,所有待查文件都以解释方式在其中被虚拟执行。通常虚拟执行一小部分代码即可。

    最后介绍虚拟机检测技术的优点,具有如下:

    • 有效处理加密类病毒。
    • 虚拟机技术+特征值扫描,准确率更高。
    • 虚拟机技术+启发式扫描,有利于检测未知变形病毒。


    六.主动防御技术

    1.主动防御技术概念

    主动防御检测技术有时也被称为行为监控等技术。

    • 动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性。
    • 监控应用程序的敏感行为,并向用户发出提示, 供用户选择

    东方微点公司创始人刘老师最早在国内提出了主动防御技术。下图展示了主动防御的过程,但该技术对于用户本身而言比较困难,因为用户缺乏专业知识。所以反病毒公司会根据实际情况制定自身的反病毒软件策略,结合用户需求可能会放松策略。

    在这里插入图片描述

    常见可疑行为包括:

    • 对可执行文件进行写操作
    • 写磁盘引导区
    • 病毒程序与宿主程序的切换
    • 写注册表启动键值
    • 远程线程插入
    • 安装、加载驱动
    • 键盘钩子
    • 自我隐藏
    • 下载并执行等

    下图是卡巴斯基的主动防御过程。

    在这里插入图片描述


    2.主动防御实现机理

    恶意软件包括几个主要的功能,

    • 敏感信息获取
      屏幕、文件、录像、键盘击键、账号和密码、游戏装备等

    • 远控
      流量转发和流量代理等

    这些功能又细分为文件管理、进程管理、服务管理、注册表管理、屏幕监控、屏幕截取、语音视频截获、键盘记录、窗口管理、远程Shell等。

    在这里插入图片描述

    那么这些功能怎么实现的呢?主要是通过关键API实现。

    • 键盘按键记录的API
      SetWindowsHookExA
    • 文件遍历的API
      FindFirstFileA
      FindNextFileA
    • 进程遍历的API
      CreateToolhelp32Snapshot
      Process32First
      Process32Next
    • 文件操作的API
      fopen、fread、fwrite、fclose
    • 截屏的API
      GetDC、SelectObject、GetDIBits
    • 录像的API
      capCreateCaptureWindow
      capGetDriverDescription
      capGetVideoFormat

    在这里插入图片描述

    下图展示了录音API从设备准备、缓冲区准备到开始录音的过程。

    在这里插入图片描述

    对这些关键API或API序列监控,希望获取其逻辑关系,自动判断其合法性,判断行为的可行性。常见检测思路特征包括:

    • 静态文件特征
    • 网络流量特征
    • 系统行为特征
    • 功能行为特征
    • 攻击意图

    其中,功能行为特征主要是动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性。

    这里涉及到一个行为监控技术,它用于捕获拦截关键的API信息,具体包括:

    • API调用的实参
    • API调用的返回值
    • API调用的上下文(栈)

    具体的技术实现包括:

    • Hooking:修改函数指针,如IAT表
    • InlineHooking:修改函数代码,如函数头的几个字节

    (1) Hooking
    Hooking包括IAT钩子、IDT钩子、SSDT钩子、过滤驱动程序、驱动程序钩子等,通过下图所示的工具可以查看SSDT表是否被挂了钩子,它会比较当前函数和原始函数的地址。

    在这里插入图片描述

    IAT Hooking显示如下图所示,其中MyMessageBox的地址为00002598位置,如果修改其Data后,它就会跳转到自身设置的位置。

    在这里插入图片描述

    (2) InlineHooking
    InlineHooking技术更为复杂一些。如下图所示,左边是部分描述了InlineHooking前的MessageBox,右边是MyMessageBox在内存中的定义体。

    在这里插入图片描述

    首先将MessageBox头部的5个字节Move到准备好的位置,其次把MessageBox的头部5个字节给一个jmp,跳转到自定义的MessageBox上(00401280)。

    在这里插入图片描述

    第三步,在定义好的MyMessageBox区域内给个jmp,跳转到原来的函数位置,即7566FD23处。

    在这里插入图片描述

    最后在MyMessageBox函数体中调用原始的MessageBoxA函数地址,即004012D7地址。

    在这里插入图片描述

    行为监控可以从用户态到核心态文件处理,再到核心态磁盘处理,有一系列的函数进行Hooking和InlineHooking进行整体的行为监控

    在这里插入图片描述


    3.优缺点

    主动防御技术的优缺点如下:

    • 优点:可发现未知恶意软件、可准确地发现未知恶意软件的恶意行为。
    • 缺点:可能误报警、不能识别恶意软件名称,以及在实现时有一定难度。

    同时给出两个小的思考问题:

    • 对关键API进行监控,正常软件和恶意软件都会调用这些API。当捕获到一个或一组关键API调用时,如何判断这些调用实例的可信性呢?
    • 攻击者了解Hooking技术,会有什么对抗防范呢?反之防御者又有哪些反制技术?


    七.总结

    写到这里,这篇文章就介绍完毕,希望对您有所帮助,下一篇文章作者将继续分析机器学习与恶意代码结合的知识,再下一篇会介绍恶意代码检测技术对应的安全软件评测,包括:

    • 如此多的反病毒软件,哪款更适合你?
    • 各个反病毒软件采用了哪些关键技术?
    • 各自有什么特色?

    学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,感谢师傅、师兄师弟、师姐师妹们的教导,深知自己很菜,得努力前行。

    《珈国情》
    明月千里两相思,
    清风缕缕寄离愁。
    燕归珞珈花已谢,
    情满景逸映深秋。

    最感恩的永远是家人的支持,知道为啥而来,知道要做啥,知道努力才能回去。
    夜已深,虽然笨,但还得奋斗。

    欢迎大家讨论,是否觉得这系列文章帮助到您!任何建议都可以评论告知读者,共勉。

    (By:Eastmount 2021-07-16 写于武汉 http://blog.csdn.net/eastmount/ )


    参考资料:
    [1] https://mooc.study.163.com/learn/1000003014?share=2&shareId=1000001005
    [2] 《软件安全之恶意代码机理与防护》WHU
    [3] 作者学习和实践经验

    展开全文
  • 【摘要】计算机以及互联网在现代社会的普及率...硬件安全中图分类号:G623文献标识码: A在使用计算机、享受计算机和网络提供的便利的同时,企业也必然会面临计算机硬件安全问题。一旦计算机硬件出现故障,会给企...

    【摘要】计算机以及互联网在现代社会的普及率非常高,渗透到了人们生产和生活的方方面面。然而,网络环境的复杂性也给计算机硬件安全带来了风险。本文着重探讨了在当前的网络环境下,企业如何采取有力的措施保障计算机硬件的安全。

    【关键词】计算机;网络环境;硬件安全

    中图分类号:G623文献标识码: A

    在使用计算机、享受计算机和网络提供的便利的同时,企业也必然会面临计算机硬件安全问题。一旦计算机硬件出现故障,会给企业的生产经营来巨大的不便,甚至造成不必要的损失。本文对网络环境下计算机的硬件安全问题进行了探讨,并分析了如何采取有力措施保障计算机硬件的安全。

    1.影响计算机硬件安全的因素

    影响计算机硬件安全的首要因素就是计算机运行的网络环境,这就需要计算机做好相应的安全保障措施来确保硬件安全,例如加密硬盘、路由器、内存设备和处理器等等[1]。

    其次,计算机的工作环境也会对计算机硬盘产生影响,甚至带来安全问题。计算机硬件设备的工作环境必须保障安全,不会受到病毒和木马等的侵袭。

    第三,计算机的周围环境也会影响计算机硬件,例如电压的稳定性、电磁场、静电和空气湿度等等。如果周围的湿度过大、温度过低,则电线和电路板上就会聚集大量空气中的水分子,从而腐蚀电线和内部金属,甚至出现计算机的短路,造成硬件故障。此外,空气中的尘埃过多,会影响电路板的阻值,从而造成计算机误动和元器件放电,甚至会引起火灾。周围环境中其他电子设备的电磁波和电磁场也会对计算机硬件造成干扰。

    2.维护计算机硬件安全的原则

    维护计算机硬件安全的原则有由外到内、由静到动、由先到后、由易到难。

    计算机外部硬件故障的发现比较容易,在进行计算机硬件安全检查时,要秉承由外到内的原则,先检查和修理外部硬件设备,再检查和修理主机硬件设备。

    在进行设备安全的检测时,首先要进行静态检测,就是在未接通电源的情况下检测计算机的硬件设备。如果静态检测检测不能对硬件故障进行检测,则进行动态检测,也就是接通电源。这样一来,检修就不会损害其他设备。

    电源问题是一个很容易被忽视的问题,然而很多情况下计算机硬件的故障往往是由于电源功率不足而导致的。因此遵循由先到后的原则对计算机硬件的电源设备进行检查。

    计算机硬件出现故障的原因很多,一般遵循由易到难的原则,先检测比较简单的故障点,例如计算机主机内积灰、网卡插槽接触不良等等。将简单问题排除后再进行复杂问题的检测。

    3.如何保障计算机硬件的安全

    在使用的过程中有很多原因都会导致计算机硬件的安全问题,而计算机又与企业运营,资料保密等息息相关,因此必须采取有力的措施来保障计算机硬件的安全。保障计算机硬件安全的基本措施有数据总线加密、全加密硬盘、隔离内存区域、安全微处理器等等[2]。特别是在重要的场所,例如实验室、机房等等,还必须设置硬盘保护卡。硬盘保护卡可以避免使用者修改、删除和写入硬盘,在使用者退出系统之后,系统又会重新回到原始的状态。这样可以有效的提高计算机硬件的安全指数,避免计算机硬件受到非法用户的篡改与破坏。

    3.1数据总线加密

    在进行普通数据加密和系统应用程序相关指令加密时,可以对数据总线中的数据实行密钥加密[3]。数据总线加密对计算机的安全级别要求较高,一般应用于特殊企业专用设备和军事设备等等。只有两台计算机的处理器能够以数据总线进行交互的情况时,才能够使用数据线总加密。

    3.2全加密硬盘

    全加密硬盘是计算机硬件重要的安全设备,能够加密硬盘中的数据。全加密硬盘能够拒绝对硬盘中数据的访问,并对磁盘硬件和软件进行加密,这样一来能够在网络环境中保证硬件的安全。但全加密硬盘在使用的过程中只能加密计算机操作系统进行分区的硬盘,而不能加密计算机中全部的数据。因此,全加密硬盘应该通过磁盘硬件来实现,这样一来能够全加密计算机系统中的引导分区部分,对计算机用户数据的保护也更为迅速。

    3.3隔离内存区域

    计算机的隔离内存区域可以使计算机内部形成一个安全的区域地带,与外界实行安全隔离,对敏感数据进行存储。这样一来能够保护计算机用户的个人隐私和数据,这些数据被隔离之后,只有所属的程序可以对隔离内存区域中的数据进行访问,拒绝了其他程序的访问。可以将级别较高、比较安全的源程序代码存储到隔离内存区域,避免外界设备对这些源程序代码访问和调出,计算机硬件的安全性能得以提升,计算机的应用程序的运行更加稳定和安全。

    3.4安全微处理器

    安全微处理器也称为安全中央处理器。安全微处理器对于计算机硬件的安全保障非常重要,也是计算机系统的核心保障系统。安全微处理器能够接受系统程序的完全加密指令,并对相应的指令进行解密处理并执行要求的指令。安全微处理器能够提取并处理加密后的操作码,在一定的时间内,可以对指令进行解密和操作,而解密之后并不会外泄系统程序指令。安全微处理器避免了计算机硬件内的程序或重要、机密的文件和数据受到外界的入侵或者篡改。用户可以使用安全微处理器,先处理重要的数据信息再对其进行录入和存储。计算机可以对用户进行授权,而用户得到授权之后,就可能会对计算机硬件信息进行篡改,影响计算机硬件的安全性。安全微处理器则可以对计算机的系统应用程序的加密数据进行解密,经过认证之后,被安全微处理器解密的数据才可以进行站点程序的传输,最后在计算机的隔离内存区域中将数据进行存储。安全微处理器能够有效的防止计算机系统中的其他程序调用或者访问、篡改硬件设备中的重要数据,保障了计算机硬件的安全。

    4.结语

    在网络环境中,计算机硬件的安全性容易受到各种因素的影响。一旦硬件安全性受到影响,会对企业用户的数据和信息安全带来巨大的危害,甚至对社会造成严重危害。因此,本文提出了一些计算机硬件安全保障措施,希望能够对企业计算机用户的硬件安全提供一些参考。

    【参考文献】

    [1] 陈潇潇,许诺飞.浅谈计算机网络安全[J]. 科技资讯. 2012(09)

    [2] 李志军,王峰,冀小妍.谈计算机硬件与网络安全[J]. 医疗设备信息. 2012(03)

    [3] 王英云,刘燕燕.企业信息网数据安全策略应用分析[J]. 大众科技. 2013(04)

    展开全文
  • 这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更...

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

    作者前文介绍了OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,在此感谢这些大佬们。

    作者的github资源:
    软件安全:https://github.com/eastmountyxz/Software-Security-Course
    其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
    逆向分析:https://github.com/eastmountyxz/Reverse-Analysis-Case

    从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵!

    接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~

    作者的github资源:

    前文分析:

    声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该样本不会分享给大家,分析工具会分享。(参考文献见后)


    一.常用断点之INT3断点

    1.查看INT3断点

    INT3断点对应OD中的F2断点,有时也称为CC断点。为什么叫CC断点呢?因为转换成硬编码之后就是CC,我们来查看CC断点。

    首先,我们用OD打开程序TraceMe.exe

    在这里插入图片描述

    打开之后会自动定位至004013A0,接着再下一行增加断点(按F2),即INT3断点。

    在这里插入图片描述

    但OD中并没有显示CC,我们打开Cheat Engine软件。

    在这里插入图片描述

    然后在OD按下F9运行,弹出如下图对话框。

    在这里插入图片描述

    接着在CE中选择该程序TraceMe打开。

    在这里插入图片描述

    然后点击“手动加入地址”,输入地址“4013A1”。

    在这里插入图片描述

    接着选中数据并右键点击“显示未十六进制”。

    在这里插入图片描述

    由于采用小端存储,故“FF6AECCC”是从右往左数的,如下图所示。

    在这里插入图片描述

    如果我们选择“4字节”点击,然后选择“Byte”,可以转换成1个字节,因为CC就占用一个字节,我们主要是观察它的。

    在这里插入图片描述

    为什么OD不显示CC呢?
    其实OD是为了不破坏源代码的完整性,默认隐藏掉了。



    2.INT3原理

    接着我们分析INT3的原理。程序运行中,OD会检查汇编指令有没有INT3,即机器码有没有CC指令。如果存在,就会引发并捕获这个异常,程序就中断在此处,然后OD会删除INT3,还原原来的代码,接着继续运行我们的程序。

    执行流程的原理可归纳为:

    • 替换指令,换成INT3指令或CC硬编码
    • OD检测到INT3指令之后会引发一个异常并且捕获它,这时候程序就会中断
    • 删除INT3指令,还原之前的指令

    优点:

    • 可以无限的下INT3断点

    缺点:

    • 很容易被检测

    为什么要详细介绍断点的原理呢?
    只有了解每个断点的原理之后,以后做爆破才知道应该下什么样的断点合适。



    3.INT3例子

    接下来我们举个INT3断点的例子,使用OD打开TraceMe.exe程序,设置API断点。

    在这里插入图片描述

    这里勾选“GetDlgItemTextA”函数。

    在这里插入图片描述

    接着输入用户名和序列号,按F9运行程序。

    在这里插入图片描述

    代码会停在“761F4390”位置,我们接着用CE看看它是不是CC断点。

    在这里插入图片描述

    接着以十六进制显示,并只显示一字节,发现的确是CC断点。所以,CC断点很容易被检测出来。

    在这里插入图片描述



    二.INT3断点的反调试与反反调试

    我们编写的软件被爆破时,总会被下INT3断点,我们能不能写个程序防止别人下CC断点,从而保护我们的程序呢?这个就叫反调试,而反反调试是绕过保护过程。

    • 反调试:保护这个程序
    • 反反调试:爆破这个程序

    基础知识:

    • FARPROC结构体
    • GetProcAddress函数
      它是一个计算机函数,功能是检索指定的动态链接库(DLL)中的输出库函数地址
    • LoadLibrary函数
      将指定的模块加载到调用进程的地址空间中

    接着我们用VS编写代码讲解。LoadLibrary函数会返回一个句柄,然后调用GetProcAddress函数。GetProcAddress返回值包括:

    • 如果函数调用成功,返回值是DLL中的输出函数地址
    • 如果函数调用失败,返回值是NULL。得到进一步的错误信息,调用函数GetLastError
    FARPROC GetProcAddress(
        HMODULE hModule,     // DLL模块句柄
        LPCSTR lpProcName    // 函数名
    );
    

    第一步,我们打开VS编写C++代码。

    在这里插入图片描述

    在这里插入图片描述


    下列代码是获取MessageBoxA函数的首地址,并判断是否为CC断点。

    #include <iostream>
    #include <Windows.h>
    int main()
    {
    	//获取MessageBoxA的首地址
    	FARPROC addr = GetProcAddress(LoadLibrary(L"user32.dll"), "MessageBoxA");
    	
    	//仅获取首地址的第一个字节
    	byte byteAddr = *(byte *)addr;
    	
    	//弹框
    	::MessageBoxA(NULL, "内容", "标题", MB_OK);
    	
    	//判断地址
    	if(byteAddr == 0xCC) {
    		//检测到有人在调试我们的程序 退出程序
    		printf("检测到非法调试");
    	}
    	else {
    		printf("代码正常");
    	}
    	getchar();
    }
    

    在VS中输入上述代码。

    在这里插入图片描述


    第二步,运行前,需要简单设置。

    • 设置Release

    在这里插入图片描述


    • 设置属性

    在这里插入图片描述

    • 禁用Spectre缓解

    在这里插入图片描述

    • 设置随机基址否

    在这里插入图片描述


    第三步,接着运行代码
    运行结果如下图所示:

    在这里插入图片描述

    显示代码正常执行。

    在这里插入图片描述


    第四步,使用OD调试程序
    接下来我们尝试调试这个EXE程序,用OD打开“ConsoleApplication1.exe”。

    在这里插入图片描述

    OD打开如下图所示:

    在这里插入图片描述

    然后点击“插件”->“API断点设置工具”->“常用断点设置”,给MessageBoxA下断点。

    在这里插入图片描述

    运行OD,断点位于761E0F40位置,对应user32.MessageBoxA。

    在这里插入图片描述

    继续运行代码。

    在这里插入图片描述

    查看调试信息,发现检测到非法调试,也表明我们的判断没有问题。

    在这里插入图片描述


    第五步,删除断点对比执行结果
    接着按下“b”删除断点,继续运行代码。

    在这里插入图片描述

    发现代码正常运行。

    在这里插入图片描述


    这就是一个INT3断点的反调试过程。
    那么,怎么进行反反调试呢?我们又怎么下INT3断点呢?

    我们进入函数之后,可以将断点下到中间或尾部即可。OD重新打开程序,并找到MessageBoxA的位置。

    在这里插入图片描述

    我们在中间位置下断点,如下图所示 761E0F45处。

    在这里插入图片描述

    接着F9运行程序,发现此时输出“代码正常”,该断点并没有被检测出来,这就是所谓的反反调试。

    在这里插入图片描述



    三.常用断点之硬件断点原理解析

    硬件断点和调试寄存器有关,共有8个调试寄存器DR0~DR7。

    • DR0~DR3: 保存断点地址。由于只有4个硬件断点寄存器,所以同时最多只能设置4个硬件断点
    • DR4~DR5: 系统保留
    • DR6: 状态寄存器,显示哪个硬件调试寄存器引发的断点。如果是Dr0-Dr3的话,相应位会被置1。如果是Dr0引发的断点,则Dr6的第0位被置1;如果是Dr1引发的断点,则Dr6的第1位被置1,依次类推。因为硬件断点同时只会触发一个,所以Dr6的低4位最多只有一位被置1,所以在进入单步后,我们可以通过检测Dr6的低4位是否有1的位,就可以判断该单步是否是因为硬件断点被断下的。如果是硬件断点被断下的,进而可以通过Dr6的哪一位为1来判断是由Dr0-Dr3中的哪个断点断下的。
    • DR7: 控制寄存器。设置相应控制位,用于控制断点的方式

    原理:

    • DR0~DR3保存我们断点的地址
    • DR7寄存器设置相对应的控制位
    • 程序执行到该地址时,CPU会向OD发送异常信息
    • 程序会执行中断操作,等待用户操作

    优点:

    • 速度快,比INT3快,因为INT3需要改汇编代码,而硬件断点使用寄存器
    • 不容易被检测

    缺点:

    • 最多只能下4个硬件断点

    在这里插入图片描述

    接着我们继续用OD分析TraceMe.exe为例,打开之后定位至004013A0位置。

    在这里插入图片描述

    选择004013B6位置,右键“断点”->“硬件执行”。

    在这里插入图片描述

    这样就增加了一个硬件断点,当CPU运行到该地址会发送一场信息中断。

    在这里插入图片描述

    如何查看硬件断点呢?点击“调试”->“硬件断点”可以查看刚打的硬件断点。

    在这里插入图片描述

    接着按下F9运行程序,它会停在硬件断点位置。

    在这里插入图片描述



    四.常用断点之内存断点原理解析

    在介绍内存断点之前,首先需要知道什么是内存属性。内存属性包括Read、Write、Execute的组合,即可读、可写、可执行。比如VirtualProtectEx函数,可以改变在特定进程中内存区域的保护属性。

    内存断点就是根据内存属性来实现的,比如想对一个地址打个内存访问断点,就是把这个地址的内存属性改为不可访问(不可读写执行),当程序运行到此处时,就会产生一个异常被OD捕获,从而中断程序。

    原理:

    • 设置完内存断点之后,它就是对这个地址赋予了不可读、不可写、不可执行的属性
    • 程序运行到这里之后,会产生一个异常
    • OD捕获这个异常,然后程序中断,实现了一个内存断点

    优点:

    • 没有改变汇编代码,改变的是内存属性
    • 游戏爆破时,如果常规断点没效果,可以尝试内存断点

    接下来我们想在004013D0位置代码增加内存断点,对应代码:

    mov dword ptr ds:[0x405528],edx
    

    该代码就是一个写操作,edx往ds:[0x405528]中写入一个值。

    在这里插入图片描述

    选择数据窗口中跟随。

    在这里插入图片描述

    然后再数据窗口中选择4个字节,右键“断点”->“内存写入”或“内存访问”。

    在这里插入图片描述

    然后按下F9运行,此时断到了此处。证明我们内存写入断点已经生效。

    在这里插入图片描述


    接下来补充内存读写断点和硬件读写断点的区别。

    以刚才的代码为例,我们先删除刚才的内存断点。

    在这里插入图片描述

    接着OD重新打开EXE程序,数据窗口跟随到405528。

    在这里插入图片描述

    选中4字节,设置其为“硬件写入”断点。

    在这里插入图片描述

    运行代码,此时硬件断点断在了下一行位置004013D6。

    在这里插入图片描述

    至此,内存断点和硬件断点介绍完毕!



    五.总结

    写到这里,这篇文章就介绍完毕,希望您喜欢~

    • 常用断点之INT3断点
      1.查看INT3断点
      2.INT3原理
      3.INT3例子
    • INT3断点的反调试与反反调试
    • 常用断点之硬件断点原理解析
    • 常用断点之内存断点原理解析

    这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,感谢师傅、师兄师弟、师姐师妹们的教导,深知自己很菜,得努力前行。

    欢迎大家讨论,是否觉得这系列文章帮助到您!任何建议都可以评论告知读者,共勉。

    2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

    在这里插入图片描述

    (By:Eastmount 2021-02-4 夜于武汉 http://blog.csdn.net/eastmount/ )


    参考文章:
    [1] 动态调试工具之OllyDbg(OD)教程 - B站yxfzedu
    [2] [逆向笔记] OD工具使用-逆向TraceMe.exe- 17bdw随手笔记
    [3]《加密与解密》段钢等著
    [4]《OllyDBG入门教程》看雪学院 - CCDebuger
    [5] 160个Crackme006 - 鬼手56大佬
    [6] [调试逆向] 硬件断点的原理与实现 - 52PJ VicZ
    [7] https://github.com/eastmountyxz/Reverse-Analysis-Case
    [8] Cheat Engine 基本用法 - thomas_blog

    展开全文
  • 物理安全概念与要求 物理安全威胁 它是网络信息安全运行,可信控制的基础 主要分为自然安全威胁和人为安全威胁 自然安全威胁 地震 洪水 ... 硬件协同的恶意代码 硬件安全漏洞利用 .

    物理安全概念与要求

    • 物理安全威胁
      • 它是网络信息安全运行,可信控制的基础
      • 主要分为自然安全威胁和人为安全威胁
        • 自然安全威胁
          • 地震:震动会对设备造成不同程度损坏,尤其是高速运转的设备
            • 要求建筑物有抗震能力
            • 网络机柜和设备要固定牢靠,并安装防震措施
            • 加强操作管理,,如禁止搬动运行中的设备
          • 洪水:水灾会浸泡电缆,破坏绝缘,导致损坏
            • 机房里不得铺设水管和蒸汽管道
            • 机房墙壁、天花板、地面等应该有防水,防潮
            • 等等等等
          • 火灾:是机房最普遍且危害大的灾难
            • 消除隐患:机房构建用不可燃材料
            • 设置火灾警报:为了尽早发现火灾,应该在安全机房,媒体存放库内放火灾警报系统
            • 配置灭火设备
            • 加强防火管理和操作规范
          • 鼠害:就是咬呗
            • 下药,封洞
          • 雷电
            • 上避雷针
            • 接地线
        • 人为安全威胁
          • 盗窃:不多说了,连大司马的网吧都有人偷键盘
            • 设置警报器
            • 加锁
            • 加摄像头
            • 严格的物理访问控制:划定区域,无关人员不能进
            • 安全监控如人脸识别
          • 爆炸:
          • 毁坏
          • 硬件攻击
        • 顺便提下另外几个
          • 防电磁
            • 电磁辐射会影响设备运行也会引起信息泄露
            • 主要会接地防止干扰,对信号线重要设备进行电磁屏蔽
          • 防静电
            • 人员采取不容易产生静电的以复,工作鞋采用低阻抗
            • 控制机房温度湿度
            • 操作时戴防静电手套
          • 安全供电
            • 先是专用供电线路,避免干扰
            • 带上UPS(不间断电源)
            • 准备备用发电机
      • 硬件木马
        • 通常是指集成电路芯片(IC)中被植入的恶意电路,激活后会改变IC的原有功能和规格,导致信息泄露或者失去控制,造成不可逆的重大危害。
      • 硬件协同的恶意代码
        • 通过制造恶意硬件来让软件访问内存区域,像一些游戏机的硬件破解方式就是这样的
      • 硬件安全漏洞利用
        • 硬件本身存在的漏洞
      • 基于软件漏洞攻击硬件实体
        • 利用软件漏洞修改物理实体配置参数使之损坏,震网病毒就是个真实案例
      • 基于环境攻击计算机实体
        • 恶意改变外部环境,如电磁波,磁场,温度,空气湿度等来让计算机系统运行出现问题(比如把机房空调给关了)
    • 物理安全保护
      • 主要从三方面采取保护措施
      • 设备物理安全:主要是防电磁信息泄露(之前渗透方式里有提到过),设备标记(脚下有电线),抗电磁干扰,防碰撞等,还要确保供应链安全(防内鬼)
      • 环境物理安全:主要是机房场地选择,机房屏蔽,防火,防水,防雷,防鼠等方面
      • 系统物理安全:主要有存储介质安全,灾难备份恢复,物理设备访问等

    机房安全分析和防护

    • 机房功能区域组成
      • 按照规定,机房可选用下列房间
        • 主要工作间:主机房,终端室等
        • 第一类辅助房间:低压配电间、不间断电源室、蓄电池房、空调机室、发电机室、气体钢瓶室、监控室(一看就必不可少的硬件设备)
        • 第一类辅助房间:资料室、维修室,技术人员办公室(有用但是没有也可以)
        • 第三类辅助房间:存储室、缓冲间、技术人员休息室(几乎没用,钱多就设)
    • 机房安全等级划分
      • A级:运行中断后,会对国家安全,社会秩序,公共利益造成严重损害
      • B级:同上,改成"较大损害"
      • C级:对计算机机房的安全有基本的要求,有基本的机房安全措施
      • 反正知道分ABC三级就行
    • 机房场地选择要求
      • 环境安全性
        • 避开危险来源区:如化工库,液化气站等
        • 避开环境污染区:如化工污染区,水泥厂,矿山
        • 避开盐雾区:如靠海区域和产盐区
        • 避开落雷区
      • 地质可靠性
      • 场地抗电磁干扰性
      • 避开强震动源和强噪声源
      • 避免设在建筑物高层和用水设备的下层或隔壁
    • 互联网数据中心
      • ​​​​​​​简称IDC,是一类向用户提供资源出租基本业务和有关附加业务,在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。
      • 一般由机房基础措施、网络系统、资源系统、业务系统、管理系统和安全系统六大逻辑功能部分组成
      • 分为R1,R2,R3三个等级

    网络通信线路安全分析和防护

    • 常见的物理安全威胁如下
      • 网络通信线路被切断:人为,虫鼠,自然灾害
      • 网络通信线路被电磁干扰:不解释了
      • 网络通信线路泄露信息:泄露电磁信号
    • 网络通信线路安全防护
      • 从两个方面采取安全措施
        • 网络通信设备
          • 对重要的核心网络设备如路由器交换机,一般使用设备冗余,即设备之间互为备份
        • 网络通信线路
          • 线路采取多路通信,如网络连接可采用DDN专线和电话线

    设备实体安全分析与防护

    • 设备实体安全分析
      • 设备实体环境关联安全威胁:实体环境受到物理安全脆弱性影响而引发的设备安全问题,如机房空调运行不良引起升温
      • 设备实体被盗取或损害:设备实体缺乏有效的监督管理和访问控制(反正就是被偷)
      • 设备实体受到电磁干扰
      • 供应链中断
      • 设备实体固件部分遭受攻击:固件部分存在安全漏洞,被攻击者修改
      • 设备遭受硬件攻击
      • 设备实体控制组件安全威胁
      • 设备非法外联
    • 设备实体安全防护
      • 设备的标志和标记
      • 设备电磁辐射防护
      • 设备静电和用电安全防护
      • 设备磁场抗扰
      • 设备环境安全保护:防过热,阻燃,防爆裂
      • 设备适应性和可靠性保护:温度适应性、湿度适应性、冲击适应性等等
    • 设备硬件攻击防护
      • 硬件木马检测:主要有反向分析法,功耗分析法,侧信道分析法
      • 硬件漏洞处理:不同于软件,硬件漏洞修补具有不可逆性,通常是破坏漏洞利用条件

    存储介质安全分析与防护

    • 存储介质安全分析
      • 存储管理失控:缺乏必要制度,流程和措施,使得存储介质和设备缺少安全保养和维护(拿个U盘就拷走了)
      • 存储数据泄密:缺少保护措施(差不多意思)
      • 存储介质和设备故障:存储介质缺少安全保障技术,不能防止存储操作容错。
      • 存储介质数据非安全删除:就没删干净,给人恢复了
      • 恶意代码攻击:勒索病毒,不给钱不解开
    • 存储介质安全防护
      • 强化安全管理
        • 专门设有区域存放,专人保管维护
        • 介质借用需要手续
        • 介质分类存放,重要数据备份两份以上并分开
        • 敏感数据应该密封防止非法拷贝
        • 报废的介质需要按照规定完全消除敏感信息
      • 数据存储加密保存:重要数据加密
      • 容错容灾存储结束
        • 对于重要的系统和数据资源,采取磁盘阵列,双机在线备份,离线备份等综合安全措施来保护存储数据和相关系统的正常运行

    小结:又是看印象的一章,这种就。。记住一点是一点吧

     

     

     

     

     

     

    展开全文
  • Windows常见非法操作详解停止错误编号:0x0000000A说明文字RQL-NOT-LESS-OR-EQUAL通常的原因:驱动程序使用了不正确的内存...检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请与硬件或软件的制造商联系...
  • 安全加固实践

    2021-07-21 19:49:13
    信息系统上的各种网络设备、操作系统、数据库和应用系统,存在大量的安全漏洞,比如安装、配置不符合安全需求,参数配置错误,使用、维护不符合安全需求,被注入木马程序,安全漏洞没有及时修补,应用服务和应用程序...
  • 前言通过后台,想删除C盘下”C:\\Windows\\winsxs\\Backup“的缓存文件。然后提示对路径“C:\\Windows\\winsxs\\Backup\\amd64_hid-user.resources_31bf3856ad364e35_10.0.17134.1_zh-cn_aaa986c13b7eadf9.manifest...
  • java从服务器删除文件

    2021-08-10 03:34:04
    java从服务器删除文件 内容精选换一换鲲鹏软件栈汇聚各种鲲鹏兼容软件,帮助开发者了解如何将软件移植到鲲鹏上运行,获取操作指导和工具。来自:其他ISO是一种光盘映像文件,通过特定的压缩方式,将大量的数据文件...
  • 安全|在可信计算中,计算机硬件在保护操作系统和管理程序方面起到至关重要的作用2018-12-01许多软件应用程序以“最小权限”运行,这意味着该软件只能获得对硬件、其它应用程序和其它系统资源的最低限度访问权限。...
  • 编程理论:三个思想、六个原则是什么指导编程的思想。在编程的过程中,人们最重视的莫过于编写出高质量的代码。高质量的代码是指拥有多种扩种的方法、不存在多余的要素、可读性高,易于理解的代码。编程...
  • 硬件问题1.机箱电源功率不足,引起自动重启,更换高质量大功率的电源。或者进安全模式,如果关机后不再重启,继续检查系统原因,如果关机后一样重启,更换电源试试。2.内存问题,内存热稳定性不良也会导致系统重启,...
  • 逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点 [系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密 [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及病毒...
  • 本文代码实现基本按照《数据结构》课本目录顺序,外加大量的复杂算法实现,一篇文章足够。能换你一个收藏了吧?
  • 操作系统安全防护

    千次阅读 2021-08-30 09:17:12
    操作系统安全防护一、操作系统的概述二、操作系统的安全威胁1、漏洞和漏洞扫描2、恶意代码3、端口扫描威胁三、操作系统安全防护1、安全防护策略2、补丁程序3、终端防护软件4、个人防火墙 一、操作系统的概述 ◆操作...
  • 嵌入式硬件基础一级目录 工作知识学习及总结系列文档 本文主要记录学习嵌入式软硬件编程过程中的一些硬件基础知识 一级目录
  • 逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点 [系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密 [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及病毒...
  • 硬件环境、Redis版本和负载等因素有关 Key类型 Item数量 耗时 Hash ~100万 ~1000ms List ~100万 ~1000ms Set ~100万 ~1000ms Sorted Set ~100万 ~1000ms 当我们发现集群中有大key时,要删除时,如何优雅地删除大...
  • HP服务器常见代码

    千次阅读 2021-01-13 23:37:08
    停止错误编号:0x0000000A说明文字: IRQL-NOT-LESS-OR-EQUAL通常的原因: 驱动程序使用了不正确的内存地址。...当出现可用的作系统列表时,按 F8 键。...如果这是一次全新安装,请与硬件或软件的制造商联系,获得可能需...
  • 进入安全模式桌面之后,删除最近添加的驱动程序或者软件即可(安全模式桌面和正常桌面操作基本一致)。 如果是第二种情况,那么就需要进行C盘的数据恢复。而且,为了避免操作出错,建议先备份C盘资料后,在进行数据...
  • 当设备管理器停止硬件设备时,会生成此错误,这可能是由硬件设备或设备驱动程序故障引起的。设备管理器错误代码(代码4 3)的详细信息可以在设备属性的``设备状态''区域中找到。引起问题的设备将在设备中用感叹号标记)...
  • 主机安全测评

    2021-10-28 09:35:35
    主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现,主机测评主要是依据基本要求对主机安全进行符合性检查。 目前运行在主机上的主流操作系统有Window、Linux、SunSolaris、IBMAIX、HP...
  • Windows设备管理器中的错误代码

    千次阅读 2021-04-14 09:05:26
    你可能由于“设备管理器”或其他工具(如 DXDiag)报告了错误代码,而且你不知道如何解决,而访问过这篇文章。在本文中,我们将帮助你找到你的错误代码,并提供你尝试纠正错误可能需要的建议。 首先尝试以下步骤: ...
  • 网络空间安全复习归纳

    千次阅读 2021-01-03 13:55:38
    网络空间安全复习归纳 第一章:网络空间安全概述 1.生活中的网络空间安全问题: 1)QQ账号被盗 2)支付宝账号被盗 3)银行卡被盗刷 (钓鱼网站 ,个人隐私泄露,网络诈骗,摄像头等遭到入侵) 2.工作中的网络空间...
  • 前文分享了外部威胁防护和勒索病毒对抗,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。这篇文章将回到逆向知识,利用Cheat Engine工具逆向分析游戏...
  • 另外,芯片提供了包括电压、频率检测机制,程序和数据加密存储机制以及代码保护机制等安全机制,以对抗物理攻击、剖片探测等。 3、芯片是高性能、低功耗、具有丰富的内部协处理器和对外接口。 产品性能 SM2签名:...
  • Windows安全配置 一、关闭Windows远程注册表 ...右键删除 二、设置登录系统时不显示上次登录的用户 01-安全风险:用户名泄露,增强爆破成功的可能性 02-安全措施:控制面板->本地安全..
  • 网络安全就是为了防范计算机网络硬件、软件、数据被偶然或蓄意破坏、篡改、窃听、假冒、泄露、非法访问以及保护网络系统持续有效工作的措施总和。 网络安全保护范围:密码安全、计算机系统安全、网络安全、信息安全...
  • 网站安全漏洞--大全

    2021-05-23 10:46:29
    其他网址 WEB应用常见15种安全漏洞一览 | Fundebug博客 - 一行代码搞定BUG监控 网络安全常见漏洞与分析_loner_fang的博客-CSDN博客_网络安全漏洞 网站10大常见安全漏洞及解决方案_shanhanyu的博客-CSDN博客_常见...
  • 如何解决电脑桌面文件无法删除问题电脑是现在最常用的工具之一,有些用户遇到了桌面文件无法删除问题,想知道如何解决,接下来小编就给大家介绍一下具体的操作步骤。具体如下:1. 首先第一步鼠标右键单击桌面,在弹...
  • 计算机网络安全 第一章绪论

    万次阅读 多人点赞 2021-11-21 17:52:15
    1,典型的网络安全威胁 威胁 描述 窃听 网络中传输的敏感信息被窃听 重传 攻击者事先获得部分或全部信息,以后将此信息发送给接收者 伪造 攻击者将伪造的信息发送给接收者 篡改 攻击者对合法用户之间...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 104,670
精华内容 41,868
关键字:

代码安全删除硬件