精华内容
下载资源
问答
  • 网络安全技术复习资料

    千次阅读 2019-06-28 12:30:06
    网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中,提高 物理逻辑上 的防护、监控、反应恢复和 对抗 的能力。 SSL协议是在网络传输过程中,提供通信双方网络信息 保密性 和 可靠性 。 TCP/IP网络...

    一、填空题:

    1. 网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中,提高   物理逻辑上   的防护、监控、反应恢复和   对抗   的能力。
    2. SSL协议是在网络传输过程中,提供通信双方网络信息 保密性   可靠性  
    3. TCP/IP网络安全管理体系结构,包括   分层安全管理      安全服务与机制   和系统安全管理3个方面。
    4. 入侵检测的一般步骤有  信息收集  、数据分析和       响应      
    5. 密码体制可分为       对称加密         非对称加密    两种类型。
    6. 数据库的保密性是对用户的   认证与鉴别        存取控制    、数据库加密和推理控制等安全机制的控制下得以实现。
    7. 计算机病毒按传播方式分为    引导型     文件型   和混合型病毒。
    8. 防火墙最主要的功能体现在    隔离内外网络     保护内部网络      
    9. 为了保护操作系统的安全,我们对系统盘只能赋予  Administrators        System 权限。
    10. 安全套接层协议是一种信用卡技术,主要用于实现   付款协议书   对客户信用卡的认证     之间的安全通信。
    11. 国际标准化组织ISO提出信息安全的定义是:为数据处理系统建立和采取的  技术和管理     保护,保护计算机硬件、软件、数据不因    偶然和恶意    的原因而遭到破坏、更改和泄漏。
    12. 应用层安全分解为网络层、   操作系统      数据库   安全,利用各种协议运行和管理。
    13. 网络安全策略包括安全立法、   安全管理      安全技术   等3 个重要组成部分。
    14. 安全模型P2DR是:策略、   防护    、检测、    响应    的缩写。
    15. PKI为了保证数据的完整性,采用了  数字签名      消息认证码   两种技术。
    16. 网络数据库系统的体系结构分为两种类型:  主机-终端结构     分层结构 
    17. 计算机病毒的组织结构主要包括 引导模块       传播模块   和表现模块。
    18. 以所使用的技术来划分,防火墙可以分为  包过滤     应用代理层    
    19. Web站点所面临的风险有系统层面的、  应用层面的        网络层面的    和业务层面的。
    20. 高质量的网络安全解决方案主要体现在  安全技术    安全策略   和安全管理3个方面。
    21. 利用网络安全模型可以构建  网络安全体系和结构     ,进行具体的网络安全方案的制定、规划、设计和实施等,也可以用于实际应用过程的    描述和研究 
    22. 一个VPN连接由   客户机      隧道   和服务器3部分组成。
    23. 网络安全保障包括   信息安全策略   、信息安全管理、信息安全动作和   信息安全技术   四个方面。
    24. 入侵检测的模型包括:   通用模型      层次化模型   和智能化模型。
    25. 访问控制的主要内容包括   认证        控制策略实现   和审计3个方面。
    26. 网络数据库访问控制模型由访问控制策略、登录权限、   资源管理权限类    数据库管理员权限类     构成。
    27. 包过滤型防火墙工作在OSI网络参考模型的  网络层     传输层   
    28. 针对SYN Flood攻击,防火墙通常有  SYN网关      SYN中继   和被动式SYN网关等3种防护方式。
    29. 电子商务按应用服务的领域范围分类,分为  企业对终端客户(B2C)     企业对企业(B2B)   两种模式。
    30. 在网络安全设计方案中,只能做到 避免风险      消除风险的根源    ,不能做到完全消灭风险。

    二、简答题:

    1. 网络安全解决方案的要求主要有哪些?

           答:安全性要求,可控性和可管理性要求,可用性及恢复性要求,可扩展性要求,合法性要求。

    2. 请说说防火墙的主要功能。

    答:建立一个集中的监视点,隔绝内外网络并保护内部网络,强化网络安全策略,有效记录和审计内、外网之间的活动。

    3. 传统的加密方法有哪几种?

    答:代码加密,替换加密,变位加密和一次性加密。

    4. 常用的入侵检测统计模型有哪几种?

    答:操作模型,方差,多元模型,马尔柯夫过程模型,时间序列分析。

    5. 简述VPN的技术特点。

    答:安全性高,费用低廉,管理便利,灵活性强,服务质量佳。

    6. 电子商务安全体系的组成部分有哪些?

    答:服务器端,银行端,客户端,认证机构。

    7. 简述计算机病毒的主要特点。

    答:传播性,夺取系统控制权,隐蔽性,破坏性,潜伏性,不可预见性。

    8. 简述数字签名的功能。

    答:可信,不可抵赖,不可伪造,不可重用,不可变更,应用广泛。

    9. 简述黑客攻击的五部曲。

    答:隐藏IP地址,踩点扫描,获得特权,种植后门,隐身退出。

    10. 说说网络安全的基本特征。

    答:保密性,完整性,可用性,可控性,可审查性。

    11. 作为Web站点的服务器,必须正确配置系统安全策略。请说出该策略包含的内容。

    答:限制匿名访问本机用户,限制远程用户对光驱或软驱的访问,限制远程用户对NetMeeting的共享,限制用户执行Windows安装任务。

    12. 数据库的安全特性主要包括哪些方面?

    答:数据库及数据的独立性,安全性,完整性,并发控制,故障恢复。

    13. 简述IDS的主要构成部件。

    答:事件产生器,事件分析器,事件数据库,响应单元。

    14. 网络安全管理所涉及到的内容有哪些方面?

    答:实体安全管理,运行安全管理,系统安全管理,应用安全管理,综合安全管理。

    15. VPN有哪些功能?

    答:保证数据的真实性和完整性;保证通道的机密性;提供动态密钥交换功能;提供安全防护措施和访问控制。

    三、论述题:

    1. 请画出基于网络入侵检测系统的布署模式(镜像、NAT、透明桥、混合)的示意图并说出相应的功能特点。
    2. 请画图说明数字签名的原理及其实现过程。
    3. 请画出混合加密机制原理并说明其实现过程。

    四、选择题

    1.   网络安全的实质和关键是保护网络的( C   )安全。

    a)   系统   B 软件     C 信息  D  网站

    2.   如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于(B  )。

    a)   破坏数据完整性    B 非授权访问   C  信息泄漏      D  拒绝服务攻击

    3.   加密安全机制提供了数据的(D  )。

    a)   保密性和可靠性  B 可靠性和安全性  C完整性和安全性  D保密性和完整性

    4.   网络安全保障包括信息安全策略和( D )。

    a)   信息安全管理    B 信息安全技术   C 信息安全运作  D 以上三点全是

    5.   在黑客攻击技术中,( A )是黑客发现获得主机信息的一种最佳途径。

    a)   端口扫描  B缓冲区溢出   C 网络监听   D口令破解

    6.   在常用的身份认证方式中,( B )是采用软硬件相结合、一次一官密的强双因子认证模式,具有安全性、移动性和使用的方便性。

    a)   A 智能卡认证  B 动态令牌认证  C USB Key   D 用户名及密码方式认证

    7.   (  C)密码体制不但具有保密功能,并且具有鉴别功能。

    a)   对称   B 私钥   C 非对称   D 混合加密

    8.   本质上,网络数据库是一种能通过计算机网络通信进行组织、(B  )、检索的相关数据集合。

    a)   查找   B 存储   C 管理   D 修改

    9.   (D  )是一种更具破坏力的恶意代码,能够感染多种计算机系统,其传播之快、影响范围之广、破坏力之强都是空前的。

    a)   特洛伊木马   B  CIH病毒  C  CoDeReDII 双型病毒   D 蠕虫病毒

    10. TCP采用三次握手形式建立连接,在(C  )时候开始发送数据。

    a)   第一步     B 第二步   C 第三步之后   D 第三步

    11. 攻击者入侵的常用手段之一是试图获得管理员账户的口令。每台计算机至少需要一个账户拥有管理员权限,但不一定非用Administratro这个名称,可以是(D  )。

    a)   Guest      B Everyone     C Admin     D LifeMiniator

    12. Web站点服务体系结构中的B/S/D分别指浏览器、( A )和数据库。

    a)   服务器    B 防火墙系统   C 入侵检测系统   D 中间层

    13. 电子商务对安全的基本要求不包括(D  )。

    a)   存储信息的安全性和不可抵赖性

    b)   信息的保密性和信息的完整性

    c)   交易者身份的真实性和授权的合法性

    d)   信息的安全性和授权的完整性

    14. 在设计网络安全解决方案中,系统是基础,( C )是核心,管理是保证。

    a)   系统管理员

    b)   安全策略

    c)   员工

    d)   领导

    15. 按照数据来源可将IDS分为(A  )。

    a)   基于主机的IDS和基于网络的IDS

    b)   基于主机的IDS和基于域控制器的IDS

    c)   基于服务器的IDS和基于域控制器的IDS

    d)   基于浏览器的IDS和基于网络的IDS

    16. ( A )防火墙是在网络的入口对通过的数据包进行选择,只有满
    足条件的数据包才能通过,否则被抛弃。

    a)   包过滤       

    b)   应用网关

    c)   帧过滤           

    d)   代理

    17. 鲍伯总是怀疑爱丽丝发给他的信在传输途中遭人篡改,为了打消鲍伯的怀疑,计算机网络采用的技术是( C   )。

    a)   加密技术

    b)   FTP匿名服务

    c)   消息认证技术

    d)   身份验证技术

    18. 保证数据的完整性就是( B   )。

    a)   保证因特网上传送的数据信息不被第三方监视

    b)   保证因特网上传送的数据信息不被篡改

    c)   保证电子商务交易各方的真实身份

    d)   保证发送方不能抵赖曾经发送过某数据信息

    19. 下列措施中不能增强DNS安全的是( C  )。

    a)   将DNS区域数据存储在活动目录中

    b)   双反向查找

    c)   更改DNS的端口号 

    d)   不要让HINFO记录被外界看到

    20. 在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是(  A  )。 

    a)   基于网络的入侵检测方式

    b)   基于文件的入侵检测方式

    c)   基于主机的入侵检测方式

    d)   基于系统的入侵检测方式

    21. 实体安全包括( B )。

    a)   环境安全和设备安全

    b)   环境安全、设备安全和媒体安全

    c)   实体安全和环境安全

    d)   其他方面

    22. 在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。

    a)   保密性

    b)   完整性

    c)   可用性

    d)   可控性

    23. VPN的实现技术包括(D  )。

    a)   隧道技术

    b)   加解密技术

    c)   密钥管理技术

    d)   身份认证及以上技术

    24. 网络安全保障体系框架的外围是(D  )。

    a)   风险管理

    b)   法律法规

    c)   标准的符合性

    d)   以上三点全是

    25. 一般情况下,大多数监听工具不能够分析的协议是(D  )。

    a)   标准以太网

    b)   TCP/IP

    c)   SNMP和CMIS

    d)   IPX和DECNet

    26. 数据签名的(A  )功能是指签名可以证明是签字者而不是其他人在文件上签字。

    a)   签名不可伪造

    b)   签名不可变更

    c)   签名不可抵赖

    d)   签名是可信的

    27. 在加密服务中,(D  )是用于保障数据的真实性和完整性,目前主要有两种生成MA.C.的方式。

    a)   加密和解密

    b)   数字签名

    c)   密钥安置

    d)   消息认证码

    28. 考虑到数据转存效率、数据存储空间等相关因素,数据转存可以考虑完全转存(备份)和( C )转存(备份)两种方式。

    a)   事务

    b)   日志

    c)   增量

    d)   文件

    29. 按照计算机病毒的链接方式不同,(B  )是将其自身包围在合法的主要程序的四周,对原来的程序不做修改。

    a)   源码型病毒

    b)   外壳型病毒

    c)   嵌入型病毒

    d)   操作系统型病毒

    30. 关于防火墙,以下( D )说法是错误的。

    a)   防火墙能隐藏内部IP地址

    b)   防火墙能控制进出内网的信息流向和信息包

    c)   防火墙能提供VPN功能

    d)   防火墙能阻止来自内部的威胁

    31. UNIX是一个多用户系统,一般用户对系统的使用是通过用户(A  )进入的。用户进入系统后就有了删除、修改操作系统和应用系统的程序或数据的可能性。

    a)   注册

    b)   入侵

    c)   选择

    d)   指纹

    32. 系统恢复是指操作系统在系统无法正常运作的情况下,通过调用已经备份好的系统资料或系统数据,使系统按照备份时的部分或全部正常启动运行的( B )来进行动作。

    a)   状态

    b)   数值特征

    c)   时间

    d)   用户

    33. 电子商务以电子形式取代了纸张,在它的安全要素中,( B )是进行电子商务的前提条件。

    a)   交易数据的完整性

    b)   交易数据的有效性

    c)   交易的不可否认性

    d)   商务系统的可靠性

    34. 在某部分系统出现问题时,不影响企业信息系统的正常运行,是网络方案设计中(C  )需求。

    a)   可控性和可管理性

    b)   可持续发展

    c)   系统的可用性

    d)   安全性和合法性

    35. 入侵检测的核心是(B  )。

    a)   信息收集

    b)   信号分析

    c)   入侵防护

    d)   检测方法

    36. 下面关于 IPSec 的说法哪个是错误的(  D   )。

    a)   它是一套用于网络层安全的协议

    b)   它可以提供数据源认证服务

    c)   它可以提供流量保密服务

    d)   它只能在 Ipv4 环境下使用

    37. JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全、廉价的通讯方式是( B )。

    a)   PPP连接到公司的RAS服务器上

    b)   远程访问VPN

    c)   电子邮件

    d)   与财务系统的服务器PPP连接

    38. 信息安全的基本要素包括(  D )。

    a)   机密性、完整性、可抗性、可控性、可审查性

    b)   机密性、完整性、可抗性、可控性、可恢复性

    c)   机密性、完整性、可抗性、可用性、可审查性

    d)   机密性、完整性、可用性、可控性、可审查性

    39. 以下关于对称加密的说法中错误的是( B  )。

    a)   在对称加密中,只有一个密钥用来加密和解密信息

    b)   在对称加密中,用到了二个密钥来加密和解密信息,分别是公共密钥和私用密钥

    c)   对称加密是一个简单的过程,双方都必需完全相信对方,并持有这个密钥的备份

    d)   对称加密的速度非常快,允许你加密大量的信息而只需要几秒钟

    40. 鲍伯通过计算机网络给爱丽丝发消息说同意签订合同,随后鲍伯反悔,不承认发过该条消息。为了防止这种情况发生,应在计算机网络中采用(  B  )。

    a)   身份认证技术

    b)   数字签名技术

    c)   消息认证技术

    d)   防火墙技术

    41. 在网络安全中,常用的关键技术可以归纳为(D  )三大类。

    a)   计划、检测、防范

    b)   规划、监督、组织

    c)   检测、防范、监督

    d)   预防保护、检测跟踪、响应恢复

    42. 实际上,网络的安全问题包括两方面的内容,一是(D  ),二是网络的信息安全。

    a)   网络服务安全

    b)   网络设备安全

    c)   网络环境安全

    d)   网络的系统安全

    43. SSL协议是在(A  )之间实现加密传输协议。

    a)   传输层和应用层

    b)   物理层和数据层

    c)   物理层和系统层

    d)   物理层和网络层

    44. 我国网络安全立法体系框架分为(B  )。

    a)   构建法律、地方性法规和行政规范

    b)   法律、行政法规和地方性法规、规章、规范性文档

    c)   法律、行政法规和地方性法规

    d)   以上都不是。

    45. 字典攻击被用于( D)。

    a)   用户欺骗

    b)   远程登录

    c)   网络嗅探

    d)   破解密码

    46. 以下(C  )不属于AAA系统提供的服务类型。

    a)   认证

    b)   鉴权

    c)   访问

    d)   审计

    47. 根据信息隐藏的技术要求和目的,下列( C )不属于数字水印需要达到的基本特征。

    a)   隐藏性

    b)   安全性

    c)   完整性

    d)   强壮性

    48. 通常,数据库的保密性和可用性之间不可避免地存在冲突。对数据库加密必然会带来数据存储与索引、(D  )和管理等一系列问题。

    a)   有效查找

    b)   访问特权

    c)   用户权限

    d)   密钥分配

    49. ( A )属于蠕虫病毒,由Delphi工具编写,能够终止大量的防病毒软件和防火墙软件进程。

    a)   熊猫烧香

    b)   机器狗病毒

    c)   AV杀手

    d)   代理木马

    50. 以下说法正确的是( D )。

    a)   防火墙能够抵御一切网络攻击

    b)   防火墙是一种主动安全策略执行设备

    c)   防火墙本身不需要提供防护

    d)   防火墙如果配置不当,会导致更大的安全风险

    51. IP地址欺骗是很多攻击的基础,之所以使用这个方法,是因为IP路由IP包是对IP头中提供的( C )不做任何检查。

    a)   IP目的地址

    b)   源端口

    c)   IP源地址

    d)   包大小

    52. 入侵者通常会使用网络嗅探获得在网络上以明文传输的用户名和口令。当判断系统是否被安装嗅探器,首先要看当前是否有进程使网络接口处于(B  )。

    a)   通信模式

    b)   混杂模式

    c)   禁用模式

    d)   开放模式

    53. (A  )将SET和现有的银行卡支付网络系统作为接口,实现授权功能。

    a)   支付网关

    b)   网上商家

    c)   电子货币银行

    d)   认证中心CA

    54. 在网络安全需求分析中,安全系统必须具有( A ),以适应网络规模的变化。

    a)   可伸缩性

    b)   安全体系

    c)   易于管理

    d)   开放性

    55. 入侵检测系统的信号分析有模式匹配、统计分析和完整性分析等3种手段,其中( D )用于事后分析。

    a)   信息收集

    b)   统计分析

    c)   模式匹配

    d)   完整性分析

    56. 张三从CA得到了李四的数字证书,张三可以从该数字证书中得到李四的( D  )。

    a)   私钥

    b)   数字签名

    c)   口令

    d)   公钥

    57. 以下关于数字签名说法正确的是(  D  )。

    a)   数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息

    b)   数字签名能够解决数据的加密传输,即安全传输问题

    c)   数字签名一般采用对称加密机制

    d)   数字签名能够解决篡改、伪造等安全性问题

    58. 为防止企业内部人员对网络进行攻击的最有效的手段是(C   )。

    a)   防火墙

    b)   VPN(虚拟私用网)

    c)   网络入侵监测

    d)   加密

    59. 关于CA和数字证书的关系,以下说法不正确的是(   B )。

    a)   数字证书是保证双方之间的通讯安全的电子信任关系,由CA签发

    b)   数字证书一般依靠CA中心的对称密钥机制来实现

    c)   在电子交易中,数字证书可以用于表明参与方的身份

    d)   数字证书能以一种不能被假冒的方式证明证书持有人身份

    60. 在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是(   B  )

    a)   非对称算法的公钥

    b)   对称算法的密钥

    c)   非对称算法的私钥

    d)   CA中心的公钥

    展开全文
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将...

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~

    自全球第一个计算机病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒经验,掌握了大量实用的反病毒技术,并研制出一系列优秀的反病毒产品,主要用于病毒的防护、检测及其清除等。病毒的检测技术主要包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防御技术,以及新兴的云查杀技术等。个人用户也可以通过经验、安全检测工具和反病毒软件来检查计算机是否感染病毒,或是采用沙箱及相关静、动态分析手段来对病毒进行深入分析。

    作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~


    作者的github资源:
    软件安全:https://github.com/eastmountyxz/Software-Security-Course
    其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
    Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Exp


    声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

    前文学习:
    [网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
    [网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
    [网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
    [网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
    [网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
    [网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
    [网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
    [网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
    [网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
    [网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
    [网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
    [网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
    [网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
    [网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
    [网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
    [网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
    [网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
    [网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
    [网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
    [网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
    [网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
    [网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
    [网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
    [网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
    [网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
    [网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
    [网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
    [网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
    [网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
    [网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
    [网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
    [网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
    [网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
    [网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
    [网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
    [网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
    [网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识(一)
    [网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
    [网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
    [网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
    [网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
    [网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
    [网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
    [网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
    [网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
    [网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
    [网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
    [网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
    [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
    [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
    [网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
    [网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
    [网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
    [网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
    [网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
    [网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
    [网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
    [网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
    [网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
    [网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
    [网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
    [网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
    [网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
    [网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现及详解
    [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
    [网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
    [网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
    [网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
    [网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
    [网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
    [网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
    [网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析
    [网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
    [网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
    [网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
    [网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
    [网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
    [网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
    [网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
    [网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
    [网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
    [网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
    [网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
    [网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
    [网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
    [网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章(上)


    前文欣赏:
    [渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
    [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
    [渗透&攻防] 三.数据库之差异备份及Caidao利器
    [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包



    一.恶意代码检测的对象和策略

    恶意代码的检测是将检测对象与恶意代码特征(检测标准)进行对比分析,定位病毒程序或代码,或检测恶意行为。

    首先,我们介绍恶意代码检测对象。检测对象主要包括:

    • 引导扇区
    • 文件系统中可能带毒的文件:安全公司的产品主要针对文件进行病毒检测
    • 内存空间
    • 主板BIOS:系统启动时涉及的代码
    • 网络流量:网络交互也是检测对象,如VPS、VDS
    • 系统行为

    在这里插入图片描述

    接着我们主要介绍三类检测对象。

    (1) 检测对象——引导扇区
    引导扇区之所以成为检测对象,是因为部分引导扇区是具有控制权的,它在系统启动、执行过程中会执行相应代码,并且这些代码可能会被恶意软件所篡改。主要包括:

    • 硬盘主引导扇区
    • 硬盘操作系统引导扇区
    • 可移动磁盘引导扇区

    检测目标:

    • 引导区病毒、MBR木马等

    (2) 检测对象——可能带毒的文件
    有些文件是正常被感染所致,有些文件是独立存在系统中的。

    • 可执行程序
      .exe;.dll;.com;.scr… (最普遍的检测对象)
    • 数据文件
      .doc;.xls;.ppt;.pdf; .mp3;.avi… (比如宏病毒、Office文档都是检测对象)
    • 脚本文件
      .js;.vbs;.php;.pl… (比如脚本病毒)
    • 网页文件
      .html;.htm;.asp… (比如网页挂马)

    (3) 检测对象——内存空间
    恶意代码在传染或执行时,必然要占有一定的内存空间,部分功能代码驻留在内存中。

    • 部分恶意代码仅存在于内存之中
      – 无文件存在,或已自行删除
      – 或被外部动态按需注入
    • 部分恶意代码仅在内存中被还原

    比如,部分恶意代码仅存在内存之中,它们是没有文件的,通过文件检测无法找到它们。另外,还有部分恶意代码最开始是有文件的,执行完毕之后会将自身进行删除,此时再去检测文件是检测不到的。也有一些木马程序,最开始执行时只是一个简单的主体程序,它所有的功能代码可能是通过Shellcode的方式进行远程注入,在文件中是找不到这些恶意代码的,此时就驻留在内存中,所以对内存中的代码进行检测是必要的。

    同时,还有一些木马程序会启动IE进程,它启动之后会将IE进程掏空,然后将自己的恶意代码植入其中,这种情况的恶意代码也是驻留在内存之中。除此之外,还有一些恶意代码本身在文件中,它是一种加密或压缩状态,只要到内存之后才会进行还原。参考作者前文:

    在这里插入图片描述


    介绍完检测对象之后,我们分享病毒的检测策略。

    (1) 专用检查技术:针对某个或某些特定已知恶意代码,比如反病毒软件所采用的文件特征值检测技术,发现病毒之后,对病毒的特征进行提取构建相关特征库。

    • 反病毒软件必须随着新病毒的不断出现而频繁更新病毒库版本。
    • 如文件特征值检测技术。

    (2) 通用检测技术:针对已知和未知恶意代码,根据恶意软件广义的特征进行检测,但这里面涉及了很多人为经验,如启发式扫描技术,对目标程序的特性和行为进行判断,给出判断结果或用户提示。

    • 广义特性描述或一般行为特征作为判定依据。
    • 如启发式扫描技术、主动防御技术等。


    二.特征值检测技术

    1.特征值检测技术概念

    病毒特征值:是反病毒软件鉴别特定计算机病毒的一种标志。通常是从病毒样本中提取的一段或多段字符串或二进制串。

    如下图所示,特征值检测技术和古代通J令类似,通J令中包含了这个人的特征,对于特征值检测技术也是一样,它首先需要对目标恶意程序进行特征及标志提取。另外,通J令可以通过相关机构或群众发现,而特征值检测技术依靠反病毒引擎来进行比对。

    在这里插入图片描述

    特征值检测技术的具体思路:

    • 获取样本 -> 提取样本特征 -> 更新病毒库 - > 查杀病毒

    早期样本比较少,可以通过人工提取特征,但随着样本增多之后,就不再通过单纯的人工方式提取,会将样本特征更新至病毒库,再下发到客户端的病毒检测设备中。最早的时候,整体病毒数量不多,比如KV300,当时就是拿着软盘每个月去到指定的地方进行病毒库的更新,后来逐渐通过网络的方式更新反病毒软件,每天都可以更新很多次,反病毒软件再根据反病毒引擎进行病毒的查杀。

    在这里插入图片描述


    2.特征值的提取选择及方法

    特征值的提取选择具体如下:

    • (1) 特定字串:从计算机病毒体内提取、为病毒所特有的特征串。如特定提示信息,特定签名信息等。
      例如大麻病毒的提示为:“Your PC is now stoned”等。

    • (2) 感染标记:病毒为避免重复感染而使用的感染标记。
      如黑色星期五的“suMs DOS”。

    • (3) 从病毒代码的特定地方开始取出连续的、不大于64且不含空格(ASCII值为32)的字节串。

    同时,所提取的特征需要避免和正常的软件雷同,否则会形成误报。具体的提取方法如下:

    • 人工提取
      反病毒工程师对病毒样本进行分析后,人工确定病毒特征。
    • 自动提取
      – 通过软件系统自动提取特定范围内特定长度具有一定特征的数据。
      – 处理不利则可能被别有用心者利用,形成误杀。比如杀毒软件会对Windows核心文件进行查杀,但样本提取时可能会有相应的失误,通过制造对抗样本使得正常程序或文件被误杀。

    特征值的提取还有一些自动提取的方法,下面三篇文章是之前作者分享的。

    参考作者前文:

    在这里插入图片描述


    3.优缺点

    关于特征值检测技术,它有优缺点。具体如下:

    • 优点: 检测速度快、误报率低等优点,为广大反病毒厂商所采用,技术也比较成熟。
      因为是对已有病毒进行分析后拿到的特征,所以误报率低,也是各大安全厂商采用的技术。
    • 缺点: 只能检测已知恶意代码。容易被免杀绕过。

    最后,针对特征值检测技术,恶意软件如何对抗?

    • 手工修改自身特征
      首先,利用反病毒软件定位(如CCL软件进行定位)
      然后,进行针对性修改
    • 自动修改自身特征
      加密、多态、变形等


    三.校验和检测技术

    1.什么是校验和检测技术

    校验和检测技术是在文件使用/系统启动过程中,检查检测对象的实际校验和与预期是否一致,因而可以发现文件/引导区是否感染。

    首先,我们需要弄清楚什么是预期?

    • 预期:正常文件内容和正常引导扇区数据。

    它会通过校验和算法对原始的数据进行预算,从而得到校验值,如果对象被修改,其校验值会变化,从而判断其是否被感染。这里提到一个可信计算,它其实也使用了校验和技术。

    • 静态可信:可信计算机对主引导扇区和一些系统关键程序进行了校验,从而保障系统启动之后的初始安全。

    运用校验和检测技术查病毒主要采用以下三种方式:

    • 系统自动监测
      该技术在反病毒软件中用得比较多。它会将校验和检查程序常驻内存,每当应用程序开始运行时,自动核验当前与预先保存的校验和是否一致。如果不一致说明这段数据被篡改,会有相应的提示。
    • 专用检测工具
      对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。如MD5Checker。
    • 自我检测
      有些应用程序会进行自我校验,比如QQ,如果修改其数据会有相应提示QQ被篡改。在应用程序中,放入校验和检测技术自我检查功能,将文件正常状态的校验和写入文件自身,应用程序启动比较现行校验和与原校验和值,实现应用程序的自检测。

    2.校验和检测对象

    校验和检测对象通常包括文件头部、文件属性、文件内容和系统数据等。

    (1) 文件头部
    目前大部分的寄生病毒,它要去感染其它程序,它通常都要改变目标程序头部的数据,比如PE病毒感染。一般比较整个文件效率较低,有的检测仅比较文件的头部。现有大多数寄生病毒需要改变宿主程序的头部。

    (2) 文件基本属性
    文件的基本属性在整个生命周期中相对固定,如果发生改变可能发生了病毒攻击。文件基本属性通常包括文件长度、文件创建日期和时间、文件属性(一般属性、只读属性、隐含属性、系统属性)。下图展示了Tripwire软件能够对UNIX和Windows中的文件属性进行监控,如果文件中任何一个属性发生了异常变化,则说明该文件极有可能被病毒攻击或感染、损坏了。

    在这里插入图片描述

    (3) 文件内容校验和
    对文件内容(可含文件的属性)的全部字节进行某种函数运算,这种运算所产生的适当字节长度的结果就叫做校验和。这种校验和在很大程度上代表了原文件的特征,一般文件的任何变化都可以反映在校验和中。比如对于散列函数来说,原始特征哪怕改变一位,它的散列值都会发生很大变化。

    • 可以采用一些散列函数,如MD5…
    • CRC校验…

    (4) 系统数据
    有些病毒可能修改、且相对固定的重要系统数据。

    • 如硬盘主引导扇区、分区引导扇区
    • 内存中断向量表、SSDT、设备驱动程序处理例程等

    3.优缺点

    校验和检测技术优缺点如下:

    优点:

    • 方法简单、
    • 能发现未知病毒,因为只要病毒对目标修改,它就能发现
    • 目标文件的细微变化也能发现。

    缺点:

    • 必须预先记录正常文件的校验和[预期]
    • 误报率高
    • 不能识别病毒名称
    • 效率低


    四.启发式扫描技术

    主要依赖病毒检测的经验和知识,如专业反病毒技术人员使用反汇编、调试或沙箱工具稍加分析,就可能判定出某程序是否染毒,主要通过的就是反病毒技术人员的经验。启发式代码扫描技术(Heuristic Scanning)实际上就是恶意代码检测经验和知识的软件实现。

    经验主要是判断可疑的程序代码指令序列,常见的如下:

    • 格式化磁盘类操作:它究竟是什么样的代码
    • 搜索和定位各种可执行程序的操作
    • 实现驻留内存的操作
    • 发现非常用的或未公开的系统功能调用的操作、子程序调用中只执行入栈操作、远距离(超过文件长度的三分之二)跳转指令等
    • 敏感系统行为:如调用驱动进行远程注入
    • 敏感API函数(序列)调用功能:虽然正常程序也会出现,但当它们集中出现时可能是启发式扫描判断的依据

    启发式扫描步骤如下:

    1. 定义通用可疑特征(指令序列或行为);
    2. 对上述功能操作将被按照安全和可疑的等级进行排序,授以不同的权值(甚至用机器学习);
    3. 鉴别特征,如果程序的权值总和超过一个事先定义的阈值,则认为 “发现病毒”。

    下图展示反病毒软件的启发式分析过程,包括轻度扫描、中毒扫描、深度扫描。

    在这里插入图片描述

    为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在情况,病毒检测程序可以显示地为不同的可疑功能调用设置标志。例如,早期TbScan这款病毒检测软件就为每一项可以病毒功能调用定义一个标志,如F、R、A等,从而直观地判断被检测程序是否感染病毒。

    在这里插入图片描述

    在这里插入图片描述

    下图展示了TBScan不同病毒触发的标志。

    在这里插入图片描述

    启发式扫描优缺点如下:
    优点:

    • 能够发现未知病毒

    缺点:

    • 误报率高

    解决方案:

    • 启发式扫描技术+传统扫描技术
    • 可提高病毒检测软件的检测率,同时有效降低了总的误报率。

    下面展示了相应的安全软件进行“启发式扫描+特征值扫描”的检测率。比如,卡巴斯基能达到99.57%,

    在这里插入图片描述

    2015年AVC测试结果,即启发式/行为检测能力的结果如下图所示。

    在这里插入图片描述

    在这里插入图片描述

    2011年/2012年测试结果如下,针对未知病毒静态检测能力,其中奇虎对未知病毒检测率最高,然后是GDATA。

    在这里插入图片描述

    当时的结果报告中也给出了另一个结果——误报率,详见下图。如果你期待获得一个更严格的安全,误报率高一点也是可以承受的,希望不要有漏掉的,不同的安全软件存在不同的策略,当然同时提高检测率,降低误报率也非常考验安全公司的实力。

    在这里插入图片描述

    针对启发式扫描技术,病毒如何博弈?病毒又能采取什么措施呢?

    • 直接对抗
      – Disable启发式机制
      – Disable反病毒软件
    • 绕行
      – 哪些是启发式检测的特征项?
      – 是否有其他替代实现方式?


    五.虚拟机检测技术

    为什么需要虚拟机检测技术?主要是因为:

    • 加密、多态、变形病毒的出现:导致传统的特征值检测更加困难。
    • 加壳技术:对病毒体进行包裹,使得病毒代码没有直接反应在二进制中。

    其中,加密病毒是指真实代码被压缩或加密,但最终需要在内存中还原。多态性病毒是指对自身二进制文件进行加密,在运行时再自解密,它在每次感染时都会改变其密钥和解密代码,以对抗反病毒软件,这类病毒的代表有 “幽灵病毒”。普通特征值检测技术对其基本失效,因为其对代码实施加密变换,而且每次感染使用不同密钥和解密代码。

    在这里插入图片描述

    在电脑病毒中有一个特殊群体,它们生活在比Windows系统更早启动的“异度空间”,拥有对整个系统和软件的生杀大权;同时它们又极隐蔽,检测难度远远高于普通病毒,我们将其统称为“幽灵病毒”。
    一台电脑的启动顺序:BIOS(基本输入输出系统)-> MBR(磁盘主引导记录)-> VBR(卷引导记录)-> 系统加载程序(C盘根目录)-> Windows系统。BIOS、MBR和VBR就是幽灵病毒活跃的空间。360全球率先发现了BMW、谍影等BIOS病毒和VBR病毒,以及魅影、鬼影2、暗云Ⅱ、暗云Ⅲ等MBR病毒,并第一时间进行防御查杀。

    早在2016年12月份,360安全卫士查杀团队首次发现了暗云的新一个变种,这就是今年兴起的暗云Ⅲ木马。此版本跟以往版本最大的不同之处,在于暗云Ⅲ加入了对360急救箱查杀对抗,占位了急救箱的驱动所有设备名。下图展示了占坑急救箱设备名,正常为 Device设备,而暗云为Event设备。

    并且暗云Ⅲ能通过挂钩磁盘StartIO保护自身,去掉了上一个版本Object钩子,保留了DPC保护,在2016年12月,360安全卫士就已经专门为查杀此顽固木马下发了新驱动,一旦发现自身设备名被占用,即判定为暗云Ⅲ设备并开启查杀修复。

    在这里插入图片描述

    虚拟机检测技术如下:

    • 在反病毒系统中设置的一种程序机制,它能在内存中模拟一个小的封闭程序执行环境,所有待查文件都以解释方式在其中被虚拟执行。通常虚拟执行一小部分代码即可。

    最后介绍虚拟机检测技术的优点,具有如下:

    • 有效处理加密类病毒。
    • 虚拟机技术+特征值扫描,准确率更高。
    • 虚拟机技术+启发式扫描,有利于检测未知变形病毒。


    六.主动防御技术

    1.主动防御技术概念

    主动防御检测技术有时也被称为行为监控等技术。

    • 动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性。
    • 监控应用程序的敏感行为,并向用户发出提示, 供用户选择

    东方微点公司创始人刘老师最早在国内提出了主动防御技术。下图展示了主动防御的过程,但该技术对于用户本身而言比较困难,因为用户缺乏专业知识。所以反病毒公司会根据实际情况制定自身的反病毒软件策略,结合用户需求可能会放松策略。

    在这里插入图片描述

    常见可疑行为包括:

    • 对可执行文件进行写操作
    • 写磁盘引导区
    • 病毒程序与宿主程序的切换
    • 写注册表启动键值
    • 远程线程插入
    • 安装、加载驱动
    • 键盘钩子
    • 自我隐藏
    • 下载并执行等

    下图是卡巴斯基的主动防御过程。

    在这里插入图片描述


    2.主动防御实现机理

    恶意软件包括几个主要的功能,

    • 敏感信息获取
      屏幕、文件、录像、键盘击键、账号和密码、游戏装备等

    • 远控
      流量转发和流量代理等

    这些功能又细分为文件管理、进程管理、服务管理、注册表管理、屏幕监控、屏幕截取、语音视频截获、键盘记录、窗口管理、远程Shell等。

    在这里插入图片描述

    那么这些功能怎么实现的呢?主要是通过关键API实现。

    • 键盘按键记录的API
      SetWindowsHookExA
    • 文件遍历的API
      FindFirstFileA
      FindNextFileA
    • 进程遍历的API
      CreateToolhelp32Snapshot
      Process32First
      Process32Next
    • 文件操作的API
      fopen、fread、fwrite、fclose
    • 截屏的API
      GetDC、SelectObject、GetDIBits
    • 录像的API
      capCreateCaptureWindow
      capGetDriverDescription
      capGetVideoFormat

    在这里插入图片描述

    下图展示了录音API从设备准备、缓冲区准备到开始录音的过程。

    在这里插入图片描述

    对这些关键API或API序列监控,希望获取其逻辑关系,自动判断其合法性,判断行为的可行性。常见检测思路特征包括:

    • 静态文件特征
    • 网络流量特征
    • 系统行为特征
    • 功能行为特征
    • 攻击意图

    其中,功能行为特征主要是动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性。

    这里涉及到一个行为监控技术,它用于捕获拦截关键的API信息,具体包括:

    • API调用的实参
    • API调用的返回值
    • API调用的上下文(栈)

    具体的技术实现包括:

    • Hooking:修改函数指针,如IAT表
    • InlineHooking:修改函数代码,如函数头的几个字节

    (1) Hooking
    Hooking包括IAT钩子、IDT钩子、SSDT钩子、过滤驱动程序、驱动程序钩子等,通过下图所示的工具可以查看SSDT表是否被挂了钩子,它会比较当前函数和原始函数的地址。

    在这里插入图片描述

    IAT Hooking显示如下图所示,其中MyMessageBox的地址为00002598位置,如果修改其Data后,它就会跳转到自身设置的位置。

    在这里插入图片描述

    (2) InlineHooking
    InlineHooking技术更为复杂一些。如下图所示,左边是部分描述了InlineHooking前的MessageBox,右边是MyMessageBox在内存中的定义体。

    在这里插入图片描述

    首先将MessageBox头部的5个字节Move到准备好的位置,其次把MessageBox的头部5个字节给一个jmp,跳转到自定义的MessageBox上(00401280)。

    在这里插入图片描述

    第三步,在定义好的MyMessageBox区域内给个jmp,跳转到原来的函数位置,即7566FD23处。

    在这里插入图片描述

    最后在MyMessageBox函数体中调用原始的MessageBoxA函数地址,即004012D7地址。

    在这里插入图片描述

    行为监控可以从用户态到核心态文件处理,再到核心态磁盘处理,有一系列的函数进行Hooking和InlineHooking进行整体的行为监控

    在这里插入图片描述


    3.优缺点

    主动防御技术的优缺点如下:

    • 优点:可发现未知恶意软件、可准确地发现未知恶意软件的恶意行为。
    • 缺点:可能误报警、不能识别恶意软件名称,以及在实现时有一定难度。

    同时给出两个小的思考问题:

    • 对关键API进行监控,正常软件和恶意软件都会调用这些API。当捕获到一个或一组关键API调用时,如何判断这些调用实例的可信性呢?
    • 攻击者了解Hooking技术,会有什么对抗防范呢?反之防御者又有哪些反制技术?


    七.总结

    写到这里,这篇文章就介绍完毕,希望对您有所帮助,下一篇文章作者将继续分析机器学习与恶意代码结合的知识,再下一篇会介绍恶意代码检测技术对应的安全软件评测,包括:

    • 如此多的反病毒软件,哪款更适合你?
    • 各个反病毒软件采用了哪些关键技术?
    • 各自有什么特色?

    学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,感谢师傅、师兄师弟、师姐师妹们的教导,深知自己很菜,得努力前行。

    《珈国情》
    明月千里两相思,
    清风缕缕寄离愁。
    燕归珞珈花已谢,
    情满景逸映深秋。
    最感恩的永远是家人的支持,知道为啥而来,知道要做啥,知道努力才能回去。
    夜已深,虽然笨,但还得奋斗。

    欢迎大家讨论,是否觉得这系列文章帮助到您!任何建议都可以评论告知读者,共勉。

    (By:Eastmount 2020-07-16 下午13点写于武汉 http://blog.csdn.net/eastmount/ )


    参考资料:
    [1] https://mooc.study.163.com/learn/1000003014?share=2&shareId=1000001005
    [2] 《软件安全之恶意代码机理与防护》WHU
    [3] 作者学习和实践经验

    展开全文
  • 首届广西网络安全技术大赛初赛通关攻略前言第一次参加安全类比赛(好吧,其实我这种宅男参加的比赛都很少,很多种比赛都是第一次 - -),同组的组员建议我在比赛完写个通关攻略出来。听起来不错,写个通关攻略,顺便...

    首届广西网络安全技术大赛初赛通关攻略


    前言

    第一次参加安全类比赛(好吧,其实我这种宅男参加的比赛都很少,很多种比赛都是第一次 - -),同组的组员建议我在比赛完写个通关攻略出来。听起来不错,写个通关攻略,顺便装装逼,真不错。
    初赛分为5类题目,分别是:密码学、安全杂项、WEB、溢出类、逆向破解。题目总的来说,简单到离谱(至少解出来的所有题目都是特别简单的)。大概因为是第一届,环境没配好,有些题目解法有些奇特;有些题目是历届出过的题目,在网上就能找到攻略;有些题~~~~题目是错的 - -。
    有些题目的分值我给忘记了,一般忘记的都是200-300分之间的,在后面标注有‘?’的就是忘记的。
    题目有很多附件,图片附件我直接在本文中贴出来,其他附件我上传到网盘之中,大家可以去下载。
    这个通关攻略不算完整,有两题我实在解不出来,问了主办方,他们也没透露什么信息,就没办法咯。


    第一类:密码学


    第一题 大帝的秘密武器(100分)

    题目描述

    公元前一百年,在罗马处上了一位对世界影响巨大的人物,他是当时罗马三巨头之一。在执政生涯中,传言他率先使用了一种简单的加密函,因此这种加密方法以他的名字命名。以下密文被解开后可以获得一个有意义的单词,你可以用这个相同的加密向量加密附件中的密文,作为答案进行提交:FRPHEVGL。答案为非常规形式。
    附件中的密文:ComeChina

    解法

    这一题是非常简单的,稍微学过密码学就知道,这一题的加密方式是偏移。FRPHEVGL每个字的ASCII码+13,溢出的部分从’A’再数,就得到:SECURITY。

    得到结果之后只要使用相同的办法加密一次,就能够得到结果。100分到手。


    第二题 其实很简单(500分)

    题目描述

    在学习了凯撒大帝使用的神奇密码后,密码前辈们有创造出了更为奇异的加密方法。本题出题者喜欢用helloworld当密钥,密文如下:dlpcsegkshrij,请破解后提交。附录是一张似乎有用的表。答案为非常规形式。
    附件:
    密码学第二题附件

    解法

    这题很简单,一看就知道这个附件是一张置换表,按照这个表将密文再反着置换一遍,就能够得到明文。500分到手。


    第三题 还原大师(300分)

    题目描述

    我们得到了一串神秘字符串:TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母,为了确定这个神秘字符串,我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全,E903???4DAB????08?????51?80??8A?,请猜出神秘字符串的原本模样,并且提交这个字串的32位MD5码作为答案。

    解法

    这题也是特别简单,题目告诉我们:问号部分是未知大写字母。那么我们直接给问号部分填大写字母,把所有的MD5求出来,然后和E903???4DAB????08?????51?80??8A?进行比较,只要匹配非问号部分就行了。300分到手。


    第四题 Alice与Bob(200分)

    题目描述

    密码学历史中,有两位知名的杰出人物,Alice和Bob。他们的爱情经过置换和轮加密也难以混淆,即使是没有身份认证也可以知根知底。就像在数学王国中的素数一样,孤傲又热情。下面是一个大整数:98554799767,请分解为两个素数,分解后,小的放前面,大的放后面,合成一个新的数字,进行md5的32位小写哈希,提交答案。

    解法

    太简单了,把98554799767拿去做素数分解,得到两个数,然后按照它的要求进行MD5加密,就得到结果。甚至比前面的几题都要简单,读题+解题+提交2分钟不到,200分到手。


    第二类:安全杂项


    第一题 wireshark(100分)

    题目描述

    黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案)

    解法

    下载wireshark,分析流量。里面有好多流量,注意到题目说是登录网站,我们就专注于寻找GET和POST。发现一个GET里有password=XXXX,可以猜测这个就是密码,提交就好了,100分到手。


    第二题 小明的保险箱(200分?)

    题目描述

    小明有一个保险箱,里面珍藏了小明的日记本,他记录了什么秘密呢?。。。告诉你,其实保险箱的密码四位纯数字密码。(答案格式:flag{答案},只需提交答案)

    题目附件

    安全杂项第二题附件
    (这里显示的图片可能会被处理过,导致丢失一些信息,想测试的最好是去云盘下载吧)

    解法

    这个很简单了。还记得我小时候,CCTV1都针对这类加密方式做过特别报道呢。看到之后立马想到是图片后面追加内容。百度一下jpeg的图片格式,确定jpeg图片本身的大小,多余的部分就是追加的文件。追加文件的前4个字节一般是对文件格式的描述,对于这个文件,是’RAR!’,是一个加密过的rar压缩文件。题目说密码是4位纯数字。我们简单写一个bat脚本,用WinRAR自带的unrar.exe进行暴力破解。我的机器比较慢,每秒好像只能测试2个密码~不过很快就解出来了。解出来之后,里面有个文本文件,其中的内容就是答案。


    第三题 间谍启示录(300分?)

    题目描述

    在城际公路的小道上,罪犯G正在被警方追赶。警官X眼看他正要逃脱,于是不得已开枪击中了罪犯G。罪犯G情急之下将一个物体抛到了前方湍急的河流中,便头一歪突然倒地。警官X接近一看,目标服毒身亡。数分钟后,警方找到了罪犯遗失物体,是一个U盘,可惜警方只来得及复制镜像,U盘便报废了。警方现在拜托你在这个镜像中找到罪犯似乎想隐藏的秘密。(答案为flag{}形式,提交{}内内容即可)

    解法

    附件是一个ISO文件,用什么打开都可以。里面有个WinRAR的自解压包,不要让它自解压,我们直接右键用WinRAR打开,就可以看到flag.exe。运行之后它就吐出一个flag.txt了。


    第四题 静静听这么好听的歌(388分)

    题目描述

    小明喜欢听歌,更喜欢收集音乐。一天小明收集到了一份据说是从上世纪七十年代保存下来的音频文件,该文件被认为是某次特殊行动的秘密文件。然而令人费解的是这么多年了它一直是破损的无法正常打开,而随音乐附带的一段神秘歌词更是让音乐界百思不得其解。曲子作者是一个叫L.S.B的上校,据称此人的一切痕迹都被抹去了,所以查不到任何信息。现在已经2015年了,你是否能找出四十多年前的秘密?(答案为flag{}形式,提交{}内内容即可)

    附件里有一段代码:
    fid=fopen('33.wav','rb');
    a=fread(fid,inf,'uchar');
    n=length(a)-44;
    fclose(fid);
    io=imread('kkk.bmp');
    [row col]=size(io);
    wi=io(:);
    if row*col>n
     error('文件太小');
    end
    watermarkedaudio=a;
    watermarklength=row*col;
    for k=1:row*col
     watermarkedaudio(44+k)=bitset(watermarkedaudio(44+k),1,wi(k));
    end
    figure;
    subplot(2,1,1);plot(a);
    subplot(2,1,2);plot(watermarkedaudio);
    fid = fopen('2.wav', 'wb');
    fwrite(fid,watermarkedaudio,'uchar');
    fclose(fid);
    解法

    附件里有一段代码,还有一个音频文件。一看就知道这是matlab代码,不过具体是什么代码不重要,反正这些代码都是一看就懂的。代码是解题的切入口。代码之中出现了3个文件,我们可以推测我们得到的音频文件(假设它是data.wav吧)可能是代码中的33.wav或者是2.wav。仔细想想就能知道,我们的音频文件应该是代码中的2.wav。简单分析一下代码,我们就可以知道:kkk.bmp是一个二值图像,这个代码将二值图像的内容嵌入33.wav中,得到2.wav,也就是我们现在手上拿到的这个音频文件。这样我们就可以尝试恢复两个文件。
    我先恢复的是33.wav,恢复的方法是根据你的经验,修改wav头部的一些信息。至于其他位置的信息就无关紧要了,对于音频来说,那点点偏差我们是听不出来的。恢复的结果是一首再正常不过的歌曲,而且还不是上世纪七十年代的歌曲~~~里面也没有flag。
    这样的话我们就得恢复kkk.bmp
    从代码中我们可以看出,bmp中的重要信息:长和宽丢失了。为了解决这个问题,我们可以把所有可能的长和宽全部尝试一遍。如果这个图像是一副有意义的图像,那么正确的长和宽显示的图像应该是我们一眼就看得出来的图像。我的方法是先用简单的高亮工具测试一下这幅图像的宽度,很容易得出图像的正确宽度为100。最终这幅图像还原之后是一串Flag:

    安全杂项 第四题还原后的图像

    点评

    这一题是我觉得比较好玩的题目。附件中的代码给出了明确的解题思路,而丢失一些重要信息,例如图像的长、宽会让解密过程变得更加扑朔迷离、丰富多彩。


    第三类:WEB安全


    第一题 管理员的愤怒 (100分)

    题目描述

    阿水是某部门的网站管理员,一天他发现自己管理的网站被挂上了暗链,链接指向了一个IP。阿水非常愤怒,表示一定要给点对方颜色看看,但是这小子没学过渗透。下面给各位这个IP,看大家如何进入坏蛋的网站获得flag为阿水报仇。

    解法

    额,好吧,这题我无从下手。100分的全场最低分刺瞎我的眼睛 - -。结果队友拿来一个啊D注入工具一扫,扫出了一张含有Flag的图片。它位于http://靶机/img下面。我彻底无语。看来对于我这种Web安全的小白来说,一把好的剑十分重要 - -。


    第二题 你就是提交不了(200分?)

    题目描述

    管理员的技能非常强悍,你如果乱说话,就让你提交不了(答案为flag{}形式,提交{}中内容即可)

    解法

    太简单了,前台js禁用了编辑和提交,改前台js就好了。入门级入侵。200分到手。

    第三题 你就是长不了(200分?)

    题目描述

    其实很多时候,你即使可以输入了,你也输入不长。但是,我们不服!怎么办呢?(答案为flag{}形式,提交{}中内容即可)

    解法

    同第二题,200分到手。


    第四题 白云新闻搜索(300分)

    题目描述

    中国又出现了一个搜索巨头!据报道,中国网络大亨小明近日编写了一个搜索引擎,叫白云新闻搜索,具体链接在下方,该搜索链接功能欠打,界面乏力,小明出一包辣条悬赏漏洞,豪言入侵高手都去试试,你服不服?不服就去试试呗~(答案为flag{}形式,提交{}中内容即可)

    解法

    前台js过滤字符,后台有SQL注入。屏蔽掉前台的js过滤脚本,然后网上百度一下SQL注入,照做就行。300分到手。


    第五题 贪食蛇(250分?)

    题目描述

    贪吃蛇是经典手机游戏,既简单又耐玩!大家一定可以通关的!

    贪食蛇代码中加密过的代码:
                        ゚ω゚ノ = /`m´)ノ ~┻━┻   //*´∇`*/['_']; o = (゚ー゚) = _ = 3; c = (゚Θ゚) = (゚ー゚) - (゚ー゚); (゚Д゚) = (゚Θ゚) = (o ^ _ ^ o) / (o ^ _ ^ o); (゚Д゚) = { ゚Θ゚: '_', ゚ω゚ノ: ((゚ω゚ノ == 3) + '_')[゚Θ゚], ゚ー゚ノ: (゚ω゚ノ + '_')[o ^ _ ^ o - (゚Θ゚)], ゚Д゚ノ: ((゚ー゚ == 3) + '_')[゚ー゚] }; (゚Д゚)[゚Θ゚] = ((゚ω゚ノ == 3) + '_')[c ^ _ ^ o]; (゚Д゚)['c'] = ((゚Д゚) + '_')[(゚ー゚) + (゚ー゚) - (゚Θ゚)]; (゚Д゚)['o'] = ((゚Д゚) + '_')[゚Θ゚]; (゚o゚) = (゚Д゚)['c'] + (゚Д゚)['o'] + (゚ω゚ノ + '_')[゚Θ゚] + ((゚ω゚ノ == 3) + '_')[゚ー゚] + ((゚Д゚) + '_')[(゚ー゚) + (゚ー゚)] + ((゚ー゚ == 3) + '_')[゚Θ゚] + ((゚ー゚ == 3) + '_')[(゚ー゚) - (゚Θ゚)] + (゚Д゚)['c'] + ((゚Д゚) + '_')[(゚ー゚) + (゚ー゚)] + (゚Д゚)['o'] + ((゚ー゚ == 3) + '_')[゚Θ゚]; (゚Д゚)['_'] = (o ^ _ ^ o)[゚o゚][゚o゚]; (゚ε゚) = ((゚ー゚ == 3) + '_')[゚Θ゚] + (゚Д゚).゚Д゚ノ + ((゚Д゚) + '_')[(゚ー゚) + (゚ー゚)] + ((゚ー゚ == 3) + '_')[o ^ _ ^ o - ゚Θ゚] + ((゚ー゚ == 3) + '_')[゚Θ゚] + (゚ω゚ノ + '_')[゚Θ゚]; (゚ー゚) += (゚Θ゚); (゚Д゚)[゚ε゚] = '\\'; (゚Д゚).゚Θ゚ノ = (゚Д゚ + ゚ー゚)[o ^ _ ^ o - (゚Θ゚)]; (o゚ー゚o) = (゚ω゚ノ + '_')[c ^ _ ^ o]; (゚Д゚)[゚o゚] = '\"'; (゚Д゚)['_']((゚Д゚)['_'](゚ε゚ + (゚Д゚)[゚o゚] + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (o ^ _ ^ o) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (o ^ _ ^ o) + ((゚ー゚) + (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚ー゚) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + ((゚ー゚) + (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚ー゚) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (c ^ _ ^ o) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (o ^ _ ^ o)) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚ー゚) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚ー゚) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚ー゚) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + (゚Θ゚) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚ー゚) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + (゚Θ゚) + (゚Д゚)[゚ε゚] + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (o ^ _ ^ o)) + ((゚ー゚) + (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (゚Θ゚)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (゚Θ゚)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚ー゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (c ^ _ ^ o) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (゚ー゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (o ^ _ ^ o)) + (o ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚ー゚) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚ー゚) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (゚Θ゚)) + ((o ^ _ ^ o) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚Θ゚) + (゚ー゚) + ((゚ー゚) + (o ^ _ ^ o)) + (゚Д゚)[゚ε゚] + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚ー゚) + (゚Θ゚) + (゚Д゚)[゚ε゚] + (゚ー゚) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (゚Θ゚)) + (c ^ _ ^ o) + (゚Д゚)[゚ε゚] + (゚Θ゚) + ((゚ー゚) + (o ^ _ ^ o)) + ((゚ー゚) + (゚Θ゚)) + (゚Д゚)[゚ε゚] + (゚ー゚) + ((o ^ _ ^ o) - (゚Θ゚)) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (゚Θ゚)) + (゚Θ゚) + (゚Д゚)[゚ε゚] + ((゚ー゚) + (o ^ _ ^ o)) + (o ^ _ ^ o) + (゚Д゚)[゚o゚])(゚Θ゚))('_');
    
    解法

    flag就藏在前台js中。先分析贪吃蛇的代码,发现成功时会执行一句奇特的加密代码,我们运行它,得到:

    Flag{ hahahah wrong!! :(}

    好吧,如果是网上大神,他们已经得到正确答案了:大神用firebug,一眼就看到flag藏到了window这个全局变量里去了。
    好吧,我这种老实的小白都不认识这种工具 - -,只好默默的解密那一串代码:
    将代码美化一下,然后一句一句运行,就知道最后一句其实是这样的:Function(Function(…));
    用括号高亮工具将参数分隔出来,运行前面几句,然后将分隔的参数单独拷出来运行,得到:

    "return"\167\151\156\144\157\167\133\47\146\154\141\147\47\135\40\75\40\47\106\154\141\147\173\66\142\64\70\60\67\62\67\63\141\146\144\146\146\143\64\64\62\66\142\67\71\60\144\145\142\143\144\62\142\71\66\175\47\73\12\143\157\156\163\157\154\145\56\154\157\147\50\42\106\154\141\147\173\40\150\141\150\141\150\141\150\40\167\162\157\156\147\41\41\40\72\50\175\42\51\73""

    这是8进制字符串,单独运行一下8进制字符串,就得到肉眼看得懂的字符串:

    "window['flag'] = 'Flag{6b4807273afdffc4426b790debcd2b96}';
    console.log("Flag{ hahahah wrong!! :(}");"

    好吧,原来如此。怪不得别人解得那么快 - - 还是我的剑不够锋利啊。

    点评

    首先赞一下,这串代码好萌啊!
    然后,我再赞一下这题比较贴近现实。现实生活中我们常常会遇到需要解密js的情况。虽说这种加密方式,额,有点儿奇葩。不过多学点js在分析网页的时候还是很有用的。


    第六题 Easy Login(200分?)

    题目描述

    Easy Login…So Easy…

    解法

    好吧,它说So Easy。看起来好像也是真的So Easy。可对我来说真难~
    网站默认提供一个没有权限的用户,用户名是demo,密码是demo。登录进去提示没有权限。目测只要获取管理员权限即可通关。
    登录进去之后观察一下,就知道网页有cookie审查漏洞。网站的cookie是一串base64加密的邮箱,原文是demo@dbappsecurity.com.cn。首页有作者提示。我在这里测试了很多种方法 ~~ ~~ 例如,作者@dbappsecurity.com.cn、admin@dbappsecurity.com.cn、root@dbappsecurity.com.cn、什么什么的@dbappsecurity.com.cn都不行~~只好放弃了。
    后来问解出来的大神才知道,去社工库查一下作者的邮箱,就好了。好吧。又一次深深地打击了我这种小白T_T。我懂得的剑术太少了T_T。


    第七题 ? Be Allowed? (200分?)

    题目描述

    小黑终于闯进了内网,找到了目标Web主机,但是却被做了限制!

    进入主页之后提示一串英文,大意是:登录成功,但是你什么都做不了。

    解法

    未知


    第八题 运维失误 (300分?)

    题目描述

    公司的运维人员小王因为运维不当导致资料泄露,但粗心的他不知道问题出在哪里,你能帮小王找到问题的所在吗?

    解法

    这题我完全没有头绪啊!问了解出来的大神才知道,给所有网页加个.bak后缀,然后flag就会出现在某个文件之中。好吧,还有这种解法,我知道的太少了 - -。


    第九题 admin123456(200分?)

    题目描述

    入门级入侵,你以为就这样你就能得分了?太小看admin 了。(答案为flag{}形式,提交{}中内容即可)

    解法

    进去之后发现前端做了过滤,把它屏蔽掉。然后用’or”=’就ok了。


    第十题 刀塔(300分?)

    题目描述

    无论你喜欢打Dota还是LOL,都进网站里学习一下吧!

    解法

    浏览一下网站,就猜得出网站有目录穿越漏洞。
    flag位于http://靶机/flag.php,直接运行不会显示flag。
    news页有目录穿越漏洞,它的地址大概是这样的:http://靶机/index.php?action=news&nid=1
    其中1代表http://靶机/news/1,是一个文本文件,可以改成任意文件实现文件内容的访问。
    不过可以穿越的地方做了限制,首先是不允许英文字符,接着是长度最长只能是5位。然后,我就一直卡在这里 - -。
    问了解出来的大神才知道,可以用*显示目录下的所有文件。我们只要输入这样的地址:
    http://靶机/index.php?action=news&nid=../*
    就能够把flag.php的源码显示出来,读到flag了。

    点评

    好吧,这又是让我无语的一题。我怎么都想不到,做网站的人要实现怎样的功能才会留下这样的漏洞。看来我写的网站太少了T_T(PS:其实压根没写过~_~)。


    溢出类

    第一题 高水平溢出(500分)

    题目描述

    小张由于电脑被入侵,下场很惨,于是专心学习溢出,只是没想到从网上经过别人指点找到这个东东,完全不知道是什么。当时小张就瞬间蒙逼了。给位大神挽救一下崩溃的小张。(flag文件在/home/ctf/flag.txt文件中,答案为flag{}形式,提交{}内内容即可) nc ipaddr 8888

    解法

    未知。有缓冲区溢出漏洞,但是有漏洞的函数不返回,没法直接利用。也许可以利用系统自带的错误处理程序,但是对Linux不熟悉,就没能解出来。

    点评

    在这里吐槽一下,在解后面的题目的时候,我发现主办方有一些安全措施,例如只要发现程序运行fflush(stdin),就会被kill掉。
    而这个程序的主要代码是这样的:

    void __noreturn process()
    {
        while(true)
        {
            //这里是代码第一行,第一行,真的第一行!
            scanf("%s", buff);
            fflush(stdin);
            printf(...); // 打印欢迎语
            ...
        }
    }

    这让我彻底无语,连上去之后,不管发送什么过去,都会瞬间被kill,然后disconnect。连后面有printf的代码都没能运行。
    这还溢出个毛啊!


    第二题 小张爱审计(100分)

    题目描述

    小张服务器被溢出攻击了,小张很苦恼,女朋友也说他无能。然而这个可恶的黑客却告诉小张他的服务器ip和一个小文件,并说他等着小张报复哈哈哈,小张很愤怒,大家一起进攻坏蛋吧(flag文件在/home/ctf/flag.txt文件中,答案为flag{}形式,提交{}内内容即可) nc ipaddr 8888

    解法

    这题特别简单,简直幼儿园级别的,代码里判断一下你传过来的数据格式对不对,对了就运行你的数据 - - 稍微会点的人都能解了。
    不过这题出题方做的太烂~导致其他人都没能解出来~我猜他们在自己机器上溢出肯定是成功了,但是换到靶机上就失败。好吧,我告诉你们原因吧:首先是。flag文件不在/home/ctf/flag.txt文件中,而是在/home/ctf/flag文件中。其次是不知道出题方使用了什么技术,只要进程使用fork、exec、execv啊之类的函数,程序就会被kill掉。额,还有,程序只要fflush(stdin),也会被kill
    既然如此,那我们如果真想溢出成功,就没法使用网上的20kb的shellcode咯。只能自己写一串,直接读/home/ctf/flag就好。具体shellcode怎么写,就不属于这篇文章的范畴了,自己百度一下吧,听说挺难学的。我学习shellcode编写的过程有点儿神奇,就不做评论了。
    设计一下传输的包的格式,加上shellcode就能得到flag。

    点评

    如果大家是按顺序做题,我觉得上一题是所有题目中最难的,不过因为它500分,大家估计都会放弃的。而拥有亮瞎大家眼睛的100分的分值,背后却一大堆坑的这题大猪,估计吃了很多只老虎 - -。
    我能说这是我有史以来第一次溢出成功吗,我能说这是我第一次写shellcode吗,我能说我开心得要死吗?第一次溢出实战就弄了这么多关卡给我,也是好艰辛。


    第三题 宝葫芦肚(500分)

    题目描述

    小明有一个坑爹的宝葫芦,经常吞噬别人的辣条,储存在肚子里。如果我们能从他肚子拿到辣条我们就发财了。下面就是肚子唯一的破绽。(答案为flag{}形式,提交{}内内容即可) nc ipaddr 8888

    解法

    所有环境同第二题,flag也是在/home/ctf/flag下面,就连漏洞形式也是如出一辙:判断一下格式,对了就运行你传过来的代码。解了第二题就没难度,改一下格式继续用原来的代码就能得到flag。


    第四题 宝葫芦身(300分)

    题目描述

    小明有一个宝贝葫芦成精了,有一天它被一包辣条呛住了,你能从下面的端口中把辣条勾引出来么?(答案为flag{}形式,提交{}内内容即可) nc ipaddr 8888

    解法

    这题分值虽然比上一题低,但是难度其实要高那么一点点。
    程序的有缓冲区溢出漏洞。起初我还在死命找jmp esp,后来发现一段代码,大概是这样的:

    unsigned char str[] = "dbapp";
    *(unsigned char *)str = 0xFF;
    *(unsigned char *)(str+1) = 0xE4;

    让我彻底无语~
    覆盖返回地址到”dbapp”字符串上面就好,然后我们的shellcode就能运行了。
    写shellcode的时候注意一下就是它会对传过来的数据进行xor,/html/ctf/flag在xor之后肯定会变成"%s"中会截断字符串的一些字符。我们需要把/html/ctf/flag加密一下才行。我只是简单地再xor一次,就过去了。
    然后构造一下数据包,发过去就得到flag。

    点评

    这题是很经典的缓冲区溢出题目。虽然很简单,但是考察了shellcode的加密、jmp esp的用法。还是不错的。
    不过这个jmp esp位置的设置,实在让我无语。如果不是我顺手乱点开其他函数,还真找不到它。
    发现这个jmp esp我就有回到了高中感觉:只要你多做题,你就知道,出题人把答案藏在这儿而不是在那儿。这样设置有何意义,脑洞也太大了,实际设计程序有谁会这样写的?让我们多多分析程序吗,还不如多出一道逆向题来得实在。


    逆向破解


    第一题 刮开有奖(100分?)

    题目描述

    这是一个赌博程序,快去赚钱吧!!!!!!!!!!!!!!!!!!!!!!!!!!!(在编辑框中的输入值,即为flag,提交即可)

    解法

    这是一个GUI程序。程序打开之后显示”刮开有奖“。
    一眼就能看出这是个Win32GUI程序。用窗口隐藏大师把”刮开有奖“关了,暴露出后面的编辑框和”^^“按钮。启用它们。我以为这样就能通关了,然后狂点”^^“,没反应…..
    然后再看题目:在编辑框中的输入值,即为flag,提交即可
    好吧,我们还做类似分析注册算法的东西~_~
    随便用一个逆向工具打开,定位到RegisterClass,得到WinProc的位置,观察代码得到点击^_^的处理程序。
    分析一下代码,很容易知道”密码“(就是编辑框内的内容)为8位,其中前2位是直接比较值的,马上就可以确定。
    后面的3,4,5位还有6,7,8位都分别拿来进行一轮计算,算出的值为”ak1w”以及”V1Ax”就对了。
    我瞄了一眼算法,发现算法层次逻辑好乱,就懒得分析了,直接写个注入代码,在程序创建线程然后用它自己的代码进行爆破,很快就得出结果,拿到flag。(别来问我结果,我忘记是多少了T_T)。

    点评

    经典的反注册类题目,算法不难,要写出注册机的话挺考验逆向水平的。我这题就偷懒了,反正不需要写注册机,我就偷工减料了。


    第二题 crackMe(500分)

    题目描述

    小张从网上下载到一个黑客软件,然而开发者并不打算共享,所以小张注册了一个用户名叫welcomebeijing,但是密码需要进行逆向计算,请求出密码,进行MD5的32位小写哈希,进行提交。

    解法

    首先是分析代码,它会依据你的用户名创建一个xor表,然后用这个表和密码经过一轮恶心而复杂的计算,得到一个长度为8的checksum(unsigned char checksum[8]),最后检查checksum是否满足一些条件。满足则通过注册,不满足不通过。
    这题的代码相比上一题就写得好得多了,层次和逻辑都非常明显。让我们的分析也简单很多。不过这题的验证算法却是要复杂得多。
    我的办法是先找出符合规则的checksum。好吧,符合规则的checksum多了去了。而且当你调试和不调试的时候,checksum的值不一样。当然,程序一般应该是不被调试的,那就有5种checksum是符合规则的,其中有很多种取值。其中有一种checksum比较特殊,那种checksum只有一种取值可能,其值为”dbappsec”~_~好吧,这家伙又在打广告。
    经过对checksum生成算法的简单分析,就能够了解到当密码是16位的时候,checksum中的每一个字节对应密码中的2个字节。这样我们就可以暴力破解。
    破解时注意,程序还对打开它自身的方式进行检查,如果是双击打开,checksum会是一种结果。用其他自带窗口的程序打开,checksum又会是另一种结果。
    于是我们使用两个checksum就能分别得到两个密码串:
    39D09FFA4CFCC4CC
    4EB5F3992391A1AE
    按要求提交第二个密码就好。

    点评

    这题要只说算法设计的话,挺赞的。设计到逆向以及一些简单的密码学。如果生成checksum的算法能复杂一点,例如让checksum和密码不是简单地对应的,而是像MD5那样牵一发而动全身的,就更好玩了。

    这题其实逆向难度不高,就简单的分析算法,一会的事。它就是脑洞特别的大。如果是需要一个密码给你自己注册,那么你能算出好多好多个密码,有16位的,还有14位的,数量是个天文数字~_~。任何一个密码都能注册成功。在实际生活中,这些密码就完全够用了—-反正都能成功注册,效果都一样。而主办方的系统就要求你只能提交一个正确的密码。真抠!你得分析出主办方到底想让你生成什么样的密码,才行。做出来之后,我又有一种”你做题做得多吗?做得多你就懂我想让你干什么了!“的感觉。我只想说:这TMD有毛用,纯属浪费时间。


    第三题 firmware(100分?)

    题目描述

    网管小张审计日志时发现疑似黑客使用Bash漏洞对公司的路由器进行了攻击,小张通过技术手段获取到了路由器固件dump文件,但是小张不懂逆向分析,请帮助小张分析出后门程序所使用的远程服务器和端口.(flag文件在/home/ctf/flag.txt文件中,Flag形式为 md5(网址:端口)},注意网址不包含http比如:md5(www.baidu.com:80)=5411a465b86d593986b8b9f9b1c1788c)

    解法

    网上搜索一下firmware crack,然后按照教程走一趟,解出固件内的backdoor文件。简单分析,就能够得到服务器为echo.byethost51.com:36667了。不过这题提交系统有问题,我老早就解出来了,可是提交了它说答案错误,直到系统修复之后出个公告说什么答案不能提交的问题已经修复,我才提交成功。真气人,弄得我还花了很多时间去分析其他的代码。

    点评

    这个逆向挺不错,这个backdoor可不像前面那两题哦,它可是一个真正的后门哦!不过好玩的就是,路由器其他程序用的指令集是arm指令集,这个backdoor用的是x86指令集,能不能再搞笑一点儿?


    第四题 内涵的软件(200分?)

    题目描述

    图片有内涵,exe也可以有内涵,也许你等不到答案,赶快行动起来吧!!!(答案为flag{}形式,提交{}内内容即可)

    解法

    任意hex编辑器打开,抓取正则:/{\w+}/,得到flag:
    dbapp{49d3c93df25caad81232130f3d2ebfad}
    用任意exe分析器打开,然后分析字符串也可以~


    第五题 helloword(100分)

    题目描述

    有难的题目,也就有简单的题目,就像程序员一辈子编写的第一个程序,极有可能是helloword,它很普通,但是也很让人怀念。你猜这题flag在哪里?让我们怀念第一次编写的easy程序吧!(答案为flag{}形式,提交{}内内容即可)

    解法

    这是个Android APP。有简单的解法和正常的解法:
    正常的解法:
    反编译APP,然后分析,得到flag。

    简单的解法:
    16进制编辑器打开classes.dex,抓取正则:/flag{\w+}/,得到flag:
    flag{7631a988259a00816deda84afb29430a}


    题目:
    http://pan.baidu.com/s/1i3hhvPr

    展开全文
  • 网络安全技术(第4版)复习资料整理

    千次阅读 多人点赞 2018-06-28 11:17:58
    第一章:1、2017年6月1日,《网络安全法》开始实施。2、网络安全5大基本要素:保密性、完整性、可用性、可控性、不可否认性。3、计算机网络面临的威胁:(1)主动攻击:终端、篡改、伪造(2)被动攻击:截获、窃取。...

    第一章:

    1、2017年6月1日,《网络安全法》开始实施。

    2、网络安全5大基本要素:保密性、完整性、可用性、可控性、不可否认性。

    3、计算机网络面临的威胁:

    (1)主动攻击:终端、篡改、伪造

    (2)被动攻击:截获、窃取。

    4、网络脆弱性的原因:

    (1)开放的网络环境(网络用户可以自由访问网站,不受时间和空间约束,病毒等有害信息可以在网络快速扩散)。

    (2)协议本身脆弱性(网络传输离不开协议,二这些协议在不同层次、不同方面都存在漏洞)。

    (3)操作系统漏洞(系统设计存在缺陷、系统源代码存在漏洞、用户配置不正确造成的安全问题)。

    (4)人为因素(安全意识薄弱)。

    5、2015年6月11日增设网络空间安全一级学科。

    6、信息安全的四个阶段:

    (1)通信保密阶段(1959年,香农发表《保密通信的信息理论》将密码学纳入科学轨道,1976年Diffie和Hellman提出公钥密码体制,1977年,美国公布《国家数据加密标准DES》)。

    (2)计算机安全阶段(1983年,美国国防部出版《可信计算机系统评价准则》)。

    (3)信息技术安全阶段(1993-1996年,美国国防部提出《信息技术安全通用评估标准》,即CC标准)。

    (4)信息保障阶段(各国提出信息安全保障体系)。

    7、DMZ区:

    (1)概念:DMZ区,即非军事化区。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,该缓冲区是位于企业内部网络和外部网络之间的小网络区域。

    (2)访问权限:内网可以访问外网,内网可以访问DMZ区,外网不可以访问内网,外网可以访问DMZ区,DMZ访问内网有限制,DMZ不能访问外网(SMTP除外)。

    第二章:

    1、搜索引擎:

    Intitle:搜索范围限定在网页标题

    Site:搜索范围限定在特定站点中

    Inurl:搜索范围限定在url链接中

    Filetype:搜索范围限定在指定文档格式中

    Link:搜索某个链接的反向链接

    例:filetype:xlsintitle:学院

               inurl:login.php title:公司

               intitle:index of /images

    2、常见端口:

    21:ftp                               443:https

    22:ssh                              1433:ms sql server

    23:telnet                           1521:oracle

    25:smtp                            3306:mysql

    53:dns                              3389:rdp

    80:http                             8080:proxy

    110:pop3

    161:snmp

    3、nmap扫描:

    -sP (Ping扫描):仅对主机进行ping扫描(主机发现),输出做出响应的主机列表,无进一步测试。

    -sT(TCP 全连接扫描):调用socket函数connect()连接到目标主机,完成一次完整的三次握手过程,如果目标端口处于开放状态,connect()成功返回。

           -sS  (TCP 半连接扫描):扫描器向目标主机发送SYN数据包,如果应答为RST包,那么说明目标端口关闭,如果应答为SYN+ACK包,那么说明该端口处于监听状态,此时向目标主机传送一个RST包来停止连接。

           -sU  (UDP扫描):发送空的(没有数据)UDP报头到目标端口,如果返回ICMP端口不可达(代码3),该端口关闭,如果返回其他ICMP不可达错误,表明该端口被过滤(filtered)。

           -sF(TCP FIN扫描):扫描器向目标主机发送FIN包,当FIN包到达关闭的端口,数据包被丢弃,同时返回RST包,若到达打开的端口,数据包被求其且不返回数据包。

    4、死亡之ping:ping -t -l 65500

    原理:利用ip数据包头部的数据长度进行攻击,通过发送大于65536字节的ICMP包使对方操作系统崩溃。通常我们不可以发送大于65536字节的ICMP包,但可以把报文分割成片段,然后再目标主机上重组,最终导致目标主机缓冲区溢出。

    5、SYN洪水(简答,5分)

    原理:客户端向服务器发送SYN请求数据包,服务器发送SYN+AKC数据包对客户端进行响应,在服务器发送响应数据包后,将会等待一段时间以接收来自客户端的确认数据包,此时,服务器与客户端建立连接所需的资源一直被占用。SYN洪水就是利用在这段时间内向服务器发送大量SYN请求而不作ACK确认的方式,使大量连接处于等待状态,最终导致服务器资源被耗尽。

    第三章:

    1、计算机病毒的定义:计算机病毒,指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

    2、计算机病毒是程序。

    3、计算机病毒的分类(按宿主分类):

    (1)引导性病毒:引导型病毒隐藏在ROM BIOS中,先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒利用操作系统的引导模块放置在某个固定位置,并且控制权的转交方式是以物理地址为依据,而不是操作系统引导区的内容为依据。因此,病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或更换,待病毒程序被执行后,将控制权交给真正的引导区内容,使这个带病毒的系统看似正常运转,病毒却已隐藏在系统中伺机传染、发作。

    (2)文件型病毒:文件型病毒主要以可执行文件为宿主,一般感染扩展名为“.com””.exe”和”.bat”等可执行文件。文件病毒通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序,再执行宿主程序,看起来一切正常。然后,病毒驻留内存,伺机传染其他文件或直接传染其他文件。

    (3)宏病毒:宏病毒主要以MicrosoftOffice的“宏”为宿主,寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,并能通过DOC文档以及DOT模板进行自我复制及传播。

    3、引导型病毒和文件型病毒区别:

    (1)文件型病毒是病毒藏在文件里,执行可执行文件时发作。

    (2)引导型病毒是病毒藏在硬盘的引导扇区里,系统启动时发作。

    4、世界上出现的第一个病毒:

    Brain,由巴基斯坦两兄弟为了保护软件著作权制作的引导型病毒。

    5、中国出现的第一个病毒:小球病毒。

    6、蠕虫病毒和普通病毒的区别:


     7、计算机的四大组成部分:

    (1)感染标志:计算机病毒在感染前,需要先通过识别感染标志判断计算机系统是否被感染。若判断没有被感染,则将病毒程序的主体设法引导安装在计算机系统,为其感染模块和破坏表现模块的引入、运行和实施做好准备。

    (2)引导模块:实现将计算机病毒程序引入内存,并使得传染和表现模块处于活动状态。引导模块需要提供自我保护功能,避免在内存中的自身代码不被覆盖或清除。计算机病毒程序引入内存后,为传染模块和表现模块设置相应的启动条件,以便在适当的时候或合适的条件下激活传染模块或者出发表现模块。

    (3)感染模块:

    1感染条件判断子模块:根据引导模块设置的传染条件,判断当前系统环境是否满足传染条件。

    2传染功能实现子模块:如果传染条件满足,则启动传染功能,将计算机病毒程序附加在其他宿主程序上。

    (4)破坏模块

    1激发控制:当病毒满足某一条件,病毒发作。

    2破坏操作:不同病毒由不同的操作方法,典型的恶性病毒是疯狂拷贝、删除文件等。

    8、病毒的防护(简答题、填空题):

    (1)特征代码法(文件特征代码、内存特征代码):当病毒公司收集到一种新的病毒时,就会从这个病毒程序中街区一小段独一无二而且足以表示这种病毒的二进制代码,来当作扫描程序辨认此病毒的依据,而这段独一无二的二进制代码,就是所谓的病毒特征码。分析出病毒特征码后,并集中存放于病毒代码库文件中,在扫描的时候将扫描对象与特征代码库比较,如果为何,则判断为感染上病毒。

    (2)特征代码法优点:检测准确、可识别病毒名称、误报率低、依据检测结果可做杀毒处理。

    (3)特征代码法缺点:速度慢、不能检测多形性病毒、不能对付隐蔽性病毒、不能检测未知病毒。

    第四章:

    1、密码学五元组:

    (1)明文:m      明文空间:M

    (2)密文:c       密文空间:C

    (3)密钥:k

    (4)加密函数:E

    (5)解密函数:D

    2、对称密码和非对称密码的区别(填空题):对称密码加密和解密使用的密钥一样,非对称密码加密和解密使用的密钥不一样。

    3、仿射密码:

    (1)例题:密文UCR由仿射函数9x+2(mod 26)加密的,求明文。

    (2)解答:由仿射密码解密函数:m=Dk1,k2(c)=((c-k2)*k1-1)mod26,其中,k1=9,k2=2。

    求k1在mod26条件下的逆元:

    N=A*a(0)+r(0)

    A=r(0)*a(1)+r(1)

    r(0)=r(1)*a(2)+r(2)

    r(n-1)=r(n)*a(n+1)+0

    其中N=26,A=k1=9;

     

                  a(n)   a(n-1) …        a2                 a1                a0

    b(-1)   b(0)    b(1)   …     b(n-2)       b(n-1)       b(n)

     

    26=9*2+8;

    9=8*1+1;

    8=1*8+0;

    由上面公式:b-1=1,b0=1*1=1,b1=1+b0*2=bn

    由于商的个数为偶数,所以,k1在mod26条件下的逆元为:3

    所以:m=Dk1,k2(c)=((c-k2)*3)mod26

    U=20,C=2,R=17

    所以,m(U)= Dk1,k2(20)=2=C

      m(C)= Dk1,k2(2)=0=A

      m(R)= Dk1,k2(17)=19=T

    明文为:CAT

    4、playfire密码:

    (1)例题:明文this is playfire cipher 密钥:can you get the cipher,求密文。

    (2)解答:由题中条件,构造playfire密钥矩阵:


    将明文拆分成两个一组:th isis pl ay fi re ci ph er

    通过密钥矩阵及playfire加密规则,得到密文:hu fc fc rk no sf lr uf dg rl

    5、vigenenre密码:

    (1)例题:m=VIGENENRE,k=HELLO,求密文。

    (2)解答:由vigenenre密码计算公式:c=Eki(m)=(m+ki)mod26 (i=1、2、3、4、5)

       H=7,E=4,L=11,O=14,所以,k1=7,k2=4,k3=11,k4=14

       V=21,I=8,G=6,E=4,N=13,R=17

       c(V)= Ek1(V)=(21+7)mod26=2=C

       c(I)= Ek2(I)=(8+4)mod26=12=M

       c(G)= Ek3(G)=(6+11)mod26=17=R

       c(E)= Ek4(E)=(4+11)mod26=15=P

       c(N)= Ek5(N)=(13+14)mod26=1=B

    c(E)= Ek1(E)=(4+7)mod26=15=P

       c(N)= Ek2(N)=(13+4)mod26=17=R

       c(R)= Ek3(m)=(17+11)mod26=12=M

    c(E)= Ek4(E)=(4+11)mod26=15=P

    密文为:CMRPBPRMP

    6、RSA密码(给出p、q、e,求x):

    (1)例题:给出p=7,q=17,e=5,求x

    (2)解答:

      1n=p*q=119

      2Φ(n)=(p-1)*(q-1)=96

      3选取公钥e,使得gcd(e,Φ(n))=1,题目已经选取e=5

      4计算私钥d:使得(d*e)modΦ(n)=1,即(d*e)=k*96+1

      5取k=4,计算得d=77

      公开(n,e)=(119,5),将d保密。明文:m=19

      加密:c=memod(n)=195mod(119)=66

      解密:m=cdmod(n)=6677mod(119)=19

    7、逆元的含义:模n意义下,1个数a如果有逆元x,那么除以a相当于乘以x。

    8、DES的密钥输入的时候是64为,在做了第一次压缩之后,变成56位。

    9、摘要算法:MD5算法输出散列值128位,sha算法输出的散列值为160位。

    10、数字信封:数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据,数字信封是用来确保对称密钥传输安全性的技术。

    11、数字签名:数字签名指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据,数字签名是用来确保发送者对发送的信息不可否认的技术。

    12、完整加密的加密解密流程:

      

    13、PKI四大组成部分:

    (1)权威认证机构(CA):担任用户公钥证书的生成和发布或CRL的发布职能。

    (2)注册机构(RA):1进行证书申请者的身份认证,2向CA提交证书申请请求,3验证接收到的CA签发的证书,并将之发放给证书申请者。4必要时,协助证书作废过程。

    (3)证书:符合一定格式的电子文件,用来识别电子证书持有者的真实身份。

    (4)终端实体:1初始化(注册),2证书密钥更新,3证书撤销/废止/更新请求。

    14、PKI中,数字证书包含的内容:

    (1)包含姓名、地址、公司、电话号码、Email地址…与身份证上的姓名、地址等类似。

    (2)包含证书所有者的公钥。

    第五章:

    1、实体鉴别方法:

    (1)实体所知(知识、口令、密码)

    (2)实体所有(身份证、信用卡、钥匙、智能卡、令牌等)

    (3)实体特征(指纹,笔迹,声音,手型,脸型,视网膜,虹膜)

    2、访问控制的实现:

    (1)访问控制列表(ACL):客体被主体访问的权限。

     

    (2)访问控制矩阵(ACM):

    行:主体(用户)

    列:客体(文件)

    矩阵元素:规定了相应用户对应于相应的文件被准予的访问许可、访问权限。

      

    (3)访问控制能力列表(ACCL):主体可访问客体的权限。


    3、防火墙发展历程:


    4、防火墙体系结构:

    (1)双宿主主机体系结构:双宿主主机位于内部网和Intelnet之间,一般来说,使用一台装有两块网卡的堡垒主机作防火墙。这两块网卡各自与受保护的内部网和外部网相连,分别属于内网两个不同的网段。

     

    (2)被屏蔽主机体系结构:屏蔽主机防火墙易于实现,由一个堡垒主机屏蔽路由器组成。堡垒主机被安排在内部局域网中,同时在内部网和外部网之间配备了屏蔽路由器,在这种体系结构中,通常在路由器上设置过滤规则,外部网络必须通过堡垒主机才可以访问内部网络中的资源,并使这个堡垒主机成为从外部网络唯一可以直接到达的主机,对内部网络基本控制策略由安装在堡垒主机上的软件决定,确保内网不被未被授权的外部用户攻击。

     

    (3)被屏蔽子网体系结构:屏蔽子网防火墙由一个防火墙和两个路由器构成屏蔽子网。与被屏蔽主机体系结构相比,被屏蔽子网体系结构添加了周边网络,在外部网络与内部网络之间加上了额外的安全层。

      

    5、防火墙原理:

    (1)包过滤防火墙:包过滤防火墙在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项,

    ① 源、目的IP地址;

    ② 源、目的端口号;

    ③ 协议类型;

    ④ TCP报头的标志位。

    (2)代理防火墙:在一台代理设备的服务器和客户端之间建立一个过滤措施,就成了“应用代理”防火墙。这种防火墙实际上是一台小型的带有数据“检测、过滤”功能的透明代理服务器,但是并不是单纯的在一个代理设备中引入包过滤技术,而使用“应用协议分析”技术。

    (3)状态检测防火墙:状态检测防火墙通过一种被称为“状态监视”的模块,在不影响网络安全正常工作前提下,采用抽取相关数据的方法,对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。

    (4)复合型防火墙:复合型防火墙采用自适应代理技术,初始的安全检测仍然发生在应用层,一旦安全通道建立后,随后的数据包就可以重新定向到网络层,并可以根据用户定义的规则,动态“适应”传送中的数据流量。

    第七章:

    1、SQL注入流程:

    (1)判断环境,寻找注入点,判断网站后台数据库类型。

    (2)根据诸如参数类型,在脑海中重构SQL语句原貌,从而猜测数据库中的表名和列名。

    (3)在表名和列名猜解成功后,在使用SQL语句,得出字段的值。


    展开全文
  • 网络安全与加密技术

    千次阅读 2018-01-25 11:18:41
    我们知道三个字节24个位元,就可以刚好对应于4个Base64单元,即3个字节需要用4个Base64的可打印字符来表示。在Base64中的可打印字符包括字母A-Z、a-z、数字0-9 ,这样共有62个字符,此外两个可打印符号在不同的...
  • 无论你正在找工作、期望加薪或寻求更大的发展空间,下面所提到的这些网络安全岗位也许可以成为你的职业发展方向。 注:每个公司的岗位名称可能都有所差异,还是应关注详细的职位描述;以下薪资水平数据均为保守估计...
  • 网络安全技术与市场分析

    千次阅读 2005-07-18 17:11:00
    网络安全技术与市场分析
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家...
  • 网络安全工程师没有发展前景?

    千次阅读 2021-01-27 16:41:15
    不少人也担忧:网络安全工程师没有发展前景?下面我们就来一起看看这个岗位的发展前景吧! 网络安全工程师的发展前景 首先我们要想了解一个工作的发展前景,首先要对工作的内容有所了解。网络安全工程师是指遵照...
  • 这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会,包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景,以观众第一视角,带着网络安全初学者的无数疑问,并查询资料分享一些技术点。写这篇...
  • 计算机网络安全与防火墙技术

    千次阅读 2005-01-28 08:49:00
    计算机网络安全与防火墙技术(一) 防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境. 本文介绍了防火墙技术的基本概念和系统结构,讨论了实现防火墙的两种主要技术手段:一种是基于分组...
  • 最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常...
  • 网络信息安全第二讲 信息加密技术基础 一 信息加密理论基础 1.信息熵基本知识 信息熵(information entropy)是对信息状态“无序”与“不确定”的度量(从本质上讲,熵不是对信息的度量,但信息的增加而使产生的熵...
  • 大家好,我是Mr.Quark,又和大家见面了,今天我要和大家分享的是网络攻击技术八篇中的第一篇:扫描技术,在未来的几天里,将会陆续发布其余部分。希望大家在学习后仅在自己的操作系统或者虚拟机上实验,如果你想为...
  • 计算机三级网络技术考过指南

    万次阅读 多人点赞 2018-03-10 19:18:36
    计算机三级网络技术考过指南 原文链接:计算机三级网络技术考过指南 题库下载链接(50积分是CSDN上调的,不是我上传时设置的。更新版本请大家自行搜索):计算机三级网络技术无纸化考试模拟软件(2018.3) 用...
  • 1 概述 随着信息化的快速发展,对国家、组织、公司或个人来说至关重要...在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验...
  • 什么是网络安全

    千次阅读 2019-05-01 06:12:23
    网络安全 是指一组用于保护网络,程序和数据完整性免受攻击,破坏或未经授权访问的技术。 据福布斯报道,全球网络安全市场预计到2020年将达到1700亿。这一快速的市场增长受到一系列技术趋势的推动,包括不断变化的...
  • 学习网络安全攻击技术的几本书籍推荐

    万次阅读 多人点赞 2017-05-12 11:11:01
    最近想要学习服务器网络安全,攻击渗透等技术,搜索了一下,找到了几本有用的书籍,记录下来,以后阅读学习。 下面是转载...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家...
  • 区块链技术网络安全中的应用

    千次阅读 2019-03-06 14:02:01
    区块链是一个现代的数字分类账本,不仅记录货币交易,还可以记录任何价值的东西。输入的数字数据在Blockchain上作为相互共享的和永久记录的数据库。利用系统本身去中心化的特性具有明显的优势。区块链数据库不存储...
  • 网络安全面试题

    万次阅读 多人点赞 2019-02-12 15:42:14
    在当今社会网络安全行业越来越发达,也越来越多的人去学习,为了更好地进行工作,除了学好知识外还要应对企业的面试。 所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。 windows常见 ...
  • 网络安全

    千次阅读 2013-04-02 18:43:08
    网络安全是指网络系统的部件,程序,数据的安全性,它通过网络信息的存储,传输和使用过程... 下面主要说一下加密技术: 对称密码:  基本成分:  1,明文:作为算法的输入,它是原始的,可理解的消息或数
  • 网络安全】802.1X技术基础

    千次阅读 2014-11-29 21:04:41
    802.1X作为一种基于端口的用户访问控制安全机制,因其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准以来便迅速受到了设备制造商、各大网络运营商和最终用户的...
  • 小白怎么入门网络安全?看这篇就够啦!

    万次阅读 多人点赞 2020-09-04 14:09:56
    由于我之前写了不少网络安全技术相关的故事文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常人在微信里问我: 我刚入门网络安全,该怎么学?要学哪些东西?哪些方向?怎么选? 不同于Java、C/...
  • 从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇...
  • 浅谈企业网络安全边界

    万次阅读 2018-09-20 09:36:21
    企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务...
  • 国外网络安全网站

    千次阅读 2014-02-28 22:49:19
    http://www.iss.net(国外领先的网络安全软件及服务提供商) http://www.is-one.net(由IIS,软银,趋势公司共同投资建立的安氏中国) http://www.nai.com(国外著名的计算机病毒及网络安全软件服务提供商) ...
  • 信息安全技术实验一:网络监听实验

    万次阅读 多人点赞 2016-09-09 13:36:02
    3、 强化网络安全意识。二、实验环境及相关情况(包含使用软件、实验设备、主要仪器及材料等)1、实验设备:微型计算机;2、软件系统:Wireshark(Windows系统)。三、实验内容1、 启动Wireshark(Windows平台),...
  • 网络安全测评

    万次阅读 2018-09-23 22:14:24
    网络安全测评 原创: 计算机与网络安全 计算机与网络安全 4天前 一次性进群,长期免费索取教程,没有付费教程。 教程列表见微信公众号底部菜单 进微信群回复公众号:微信群;QQ群:16004488 微信公众号:计算机与...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 277,278
精华内容 110,911
关键字:

下面是网络安全技术的有