《网络攻防》20189310第九周做业

教材学习

第9章 恶意代码安全攻防

1、恶意代码基础知识

一、恶意代码定义与分类

恶意代码定义：使计算机按照攻击者的意图执行以达到恶意目标的指令集

恶意代码类型 ?计算机病毒 ?蠕虫 ?恶意移动 ?代码后门 ?特洛伊木马 ?僵尸网络 ?内核套件

恶意代码的命名规则与分类体系

二、恶意代码发展史

恶意代码的起源

恶意代码的发展过程

恶意代码的发展趋势

三、计算机病毒

计算机病毒基本特性 ?感染性 ?潜伏性 ?可触发性 ?破坏性 ?衍生性

计算机病毒的感染及引导机制 ?可执行文件 ?引导扇区 ?支持宏指令的数据文件

计算机病毒的传播机制

四、网络蠕虫

网络蠕虫的基本特性

网络蠕虫的组成结构

（1）“弹头”

缓冲区溢出攻击

文件共享攻击

利用电子邮件传播

利用其余广泛的错误配置

（2）传播引擎

（3）目标选择法和扫描引擎

电子邮件地址

主机列表

被信任的系统

网络邻居主机

域名服务

经过特定规则任意选择IP目标地址

（4）有效荷载

植入后门

安装分布式拒绝服务攻击代理

组建僵尸网络

执行一个复杂的计算

五、后门与木马

后门

后门工具能为攻击者提供多种不一样类型的访问通道，包括如下几种： ?本地权限提高和本地帐号 ?单个命令的远程执行 ?远程命令行解释器访问 ?远程控制GUI ?无故口后门

特洛伊木马

六、僵尸程序与僵尸网络

僵尸程序和僵尸网络的演化过程

僵尸网络的功能结构

僵尸程序的命令与控制机制 ?基于IRC协议的命令与控制机制 ?基于HTTP协议的命令与控制机制

七、Rootkit

用户模式Rootkit ?提供后门访问的二进制替换程序 ?隐藏攻击者的二进制替换程序 ?用于隐藏但不替换的二进制长须 ?另一些零散工具 ?安装脚本

内核模式Rootkit

大多内核模式Rootkit采用以下技术手段 ?文件和目录隐藏 ?进程隐藏 ?网络端口隐藏 ?混杂模式隐藏 ?改变执行方向 ?设备截取和控制

Linux，Windows内核模式Rootkit

2、恶意代码分析方法

一、恶意代码分析技术概述

二、恶意代码分析环境

恶意代码发烧友的分析环境

基于虚拟化构建恶意代码分析环境

用于研究的恶意代码自动分析环境

三、恶意代码静态分析技术

反病毒软件扫描

文件格式识别

字符串提取分析

恶意代码实例名

帮助或命令行选项

用户会话

后门命令

相关URL信息，E-mail地址

包含库文件和函数调用

二进制结构分析

反汇编与反编译

代码结构与逻辑分析

加壳识别与代码脱壳

四、恶意代码动态分析技术

基于快照比对的方法和工具

系统动态行为监控方法 ?文件行为监控软件 ?进程行为监控软件 ?注册表监控软件 ?本地网络栈监控软件

网络协议栈监控方法

沙箱技术

动态调试技术

第10章 软件安全攻防——缓冲区溢出和Shellcode

1、软件安全概述

一、 软件安全漏洞威胁

二、软件安全环境

复杂性

可扩展性

连通性

三、软件安全漏洞类型

内存安全违规类

输入验证类

竞争条件类

权限混淆与提高类

2、缓冲区溢出基础概念

一、缓冲区溢出的基本概念与发展过程

缓冲区溢出基本概念

缓冲区溢出攻击技术发展过程

二、缓冲区溢出攻击背景知识

编译器与调试器的使用

汇编语言基础知识

进程内存管理

函数调用过程

三、缓冲区溢出攻击原理

分为栈溢出，堆溢出，内核溢出这三种具体技术形态。

3、Linux平台上的栈溢出与Shellcode

一、Linux平台栈溢出攻击原理

NSR模式

RNS模式

RS模式

二、Linux平台的Shellcode实现技术

Linux本地Shellcode实现机制

Linux远程Shellcode实现机制

4、Windows平台上的栈溢出与Shellcode

一、Windows平台栈溢出攻击技术

Windows平台栈溢出攻击技术机理 ?对程序运行过程当中废弃栈的处理方式差别 ?进程内存空间的布局差别 ?系统功能调用的实现方式差别

远程栈溢出攻击实例

野外Windows栈溢出实例

二、Windows平台Shellcode实现技术

Windows本地Shellcode

Windows远程Shellcode

5、堆溢出攻击

函数指针改写

C++类对象虚函数表改写

Linux下堆管理glibc库free()函数自己漏洞

6、缓冲区溢出攻击的防护技术

尝试杜绝溢出的防护技术

容许溢出但不让程序改变执行流程的防护技术

没法让攻击代码执行的防护技术

视频学习

1、KaliSecurity - 压力测试工具

压力测试经过肯定一个系统的瓶颈或者不能接受的性能点，来得到系统能提供的最大的服务级别的测试。通俗的讲，压力测试是为了发如今什么条件下你的应用程序的性能会变得不可接受。

一、VoIP压力测试工具

包括iaxflood和inviteflood

二、Web压力测试

借助THC-SSl-DOS攻击工具，任何人均可以把提供SSL安全链接的网站攻击下线。这种攻击方法被称为SSL拒绝服务攻击。德国黑客组织“The Hacker’s Choice”发布THC SSL DOS，利用SSL中的已知弱点，迅速消耗服务器资源，与传统DDos工具不一样的是，他不须要任何带宽，只须要一台执行单一攻击的电脑。 漏洞存在与协议的renegotitation过程当中，renegotiation被用于浏览器到服务器之间的验证。

三、dhcpig

耗尽DHCP资源池的压力测试。对新接入的计算机自动分配一个内网地址，dhcpig会将IP所有耗尽，新接入的计算机就获取不到IP

4.IPv6工具包

五、Inundator

防火墙压力测试工具，耗尽对方认证资源。经过日志对IDS/IPS/WAF 进行压力测试工具

六、Macof

可作泛洪攻击。

七、Siege

压力测试和评测工具，设计用于WEB开发和评估应用在压力下的承受能力；能够根据配置对一个WEB站点进行多用户的并发访问，记录每一个用户全部请求过程的相应时间，并在必定数量的并发访问下重复进行。用来测试服务器的性能。比较强大。

八、T50压力测试

T50 Sukhoi PAK FA Mixed Packet Injector是一个压力测试工具，功能强大且具备独特的数据包注入工具。T50支持Unix系统可进行多种协议的数据包注入，实际上支持15种协议。主要特色：

Flooding

CIDR support

TCP ，UDP，ICMP，IGMPVC2，IGMPV3，EGP，DCCP，RSVP，RIPV1 ，RIPv2 ，GRE，ESP，AH，EIGRp

TCP options

HIGH performance

Can hit about 1000000 packets per second

九、无线压力测试

mdk3和reaver

2、KaliSecurity - 数字取证工具

数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的肯定与获取，一样他们都是针对黑客和入侵的，目的都是宝航网络安全。

一、PDF取证工具

peepdf是一个用Python编写的PDF文件分析工具，它能够检测恶意的PDF文件，其设计目标是为安全研究人员提供PDF分析中可能用到的全部组件，无需使用3或4种工具完成统一任务。

二、反数字取证chkrootkit

较经常使用、知名，Linux系统下的查找检测Rootkit后门的工具。适用该条指令就能够检测是否被注入后门

三、内存取证工具

Volatitlity是开源的Windows，Linux，mac，Android的内存取证分析工具，有Python编写成，命令行操做，支持各类操做系统。

四、取证分割工具binwalk

是一个强大的固件分析工具，旨在协助研究人员对固件分析，提取及逆向工程用处，简单易用，彻底自动化脚本，并经过自定义签名，提取规则和插件模块，更重要的一点是能够轻松扩展。

-e 参数直接解压

也可做为一个文件格式工具。借助binwalk有个很强大的功能是提取文件中存在的隐藏文件，亦可分析文件格式。

五、取证哈希验证工具集

md5deep是一套跨平台的方案，能够计算和比较MD5等哈希加密信息的摘要MD5，SHA-1，SHA-256，Tiger，Whirlpool

六、取证镜像工具集

针对镜像文件的取证工具，如mmsstat与mmls等命令。

七、数字取证套件

autopsy是图形化界面，是以浏览器的形式访问。

dff是程序的图形化界面，是一个简单强大的数字取证工做辅助工具，有一个灵活的模块系统，具备多种功能，包括：恢复错误或崩溃致使的文件丢失，证据的研究和分析等。dff提供了一个强大的体系结构和一些有用的模块。

3、KaliSecurity - 报告工具与系统服务

一次完整的渗透测试，最后总要完成一份优雅的报告做为一个小结，kali下也有相关的报告工具集。

一、Dradis

是一个用于提升安全检测效率的信息共享框架，它提供了一个集中的信息仓库，用于标记咱们目前已经作的工做和下一步计划。一个基于浏览器的在线笔记。最后还会生成报告。

二、Keepnote

一个很精简的笔记软件，特色以下：

富文本格式：彩色字体，内置图片，超连接（即：能保存整个网页的图品文字等完整信息）。

树形分层组织内容

分门别类，一目了然

全文搜索

综合截图：屏幕截图后，能够直接在笔记本中插入

文件附件

集成的备份和恢复

拼写检查

自动保存

内置的备份和恢复（zip文件存档）

三、媒体捕捉之Cutycapt

将网页内容截成图片保存

四、媒体捕捉之Recordmydesktop

屏幕录像工具，用来录制桌面

五、证据补充之Maltego Casefile

六、MagicTree

配置稍复杂，是一个面向渗透测试人员的工具，能够帮助你轻松直接的进行数据合并，查询，外部命令执行，报告生成，全部数据都会以树形结构存储，很是方便。

七、Truecrypt

一款免费开源的文件加密软件，命令行版和图形界面版，同时支持Windows Vista/7/XP，Mac OS X，Linux等操做系统。

八、系统服务介绍

beEF:对应XSS测试框架BeEF的启动与关闭

Dradis:对应笔记本分享服务的启动与关闭

HTTP：对应kali本机WEB服务的启动与关闭

Metasploit：对应Metasploit服务的启动与关闭

MySQL：对应mysql的服务启动与关闭

openvas：对应扫描器openvas服务的启动与关闭

SSh：对应SSh的服务启动与关闭