2017-2018-2 20179213《网络攻防实践》第九周学习

教材学习

第九章 恶意代码安全攻防

恶意代码定义

?? 恶意代码是指使计算机按照攻击者的意图执行以达到恶意目标的指令集。

类型包括:计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸程序、内核套件、融合型恶意代码。

  • 计算机病毒

    • 基本特性:感染性、潜伏性、可触发性、破坏性、衍生性
    • 感染及引导机制:可执行文件、引导扇区、支持宏指令的数据文件。
    • 传播机制:移动存储、电子邮件、下载、共享目录。
  • 网络蠕虫
    • 基本特性:通过网络自主传播
    • 组成结构:弹头、传播引擎、目标选择算法、扫描引擎、有效载荷
  • 后门与木马

    ??后门是允许攻击者绕过系统常规安全控制机制的程序,能够按照攻击者自己的意图提供访问通道;而木马作为特洛伊木马的简称,是指一类看起来具有某个有用或者善意目的,但实际掩盖着一些隐藏恶意功能的程序。

  • 僵尸程序与僵尸网络
    • 僵尸网络功能结构:网络控制器和僵尸程序,其中僵尸程序分为主体功能模块和辅助功能模块
    • 僵尸程序的命令与控制机制:基于IRC协议的命令与控制机制、基于HTTP协议的命令与控制机制、基于P2P协议的命令与控制机制
  • Rootkit
    • 用户模式Rootkit和内核模式Rootkit。其中内核模式Rootkit包括Linux内核模式Rootkit和Windows内核模式Rootkit

恶意代码分析方法

  • 静态分析技术:反病毒软件扫描、文件格式识别、字符串提取分析、二进制结构分析、反汇编、反编译、代码结构与逻辑分析、加壳识别与代码脱壳。
  • 动态分析技术:快照对比、系统动态行为监控、网络协议栈监控、沙箱、动态调试。

第十章 软件安全攻防——缓冲区溢出和Shellcode

本章针对缓冲区溢出这类最为基础与传统的安全漏洞类型,详细介绍了它的基本概念、渗透攻击技术原理与具体过程,以及通过缓冲区溢出攻击注入Shellcode的实现技术原理。最后,为软件开发与使用人员提供了防御缓冲区溢出攻击的技术和方法。
  • 软件安全概述

    • 安全漏洞:在系统安全流程、设计、实现或内部控制中所存在的缺陷和弱点,能够被攻击者所利用并导致安全侵害或对系统安全策略的违反,包括三个基本元素:系统的脆弱性或

      缺点、攻击者对缺陷的可访问性以及攻击者对缺陷的可利用性。

    • 软件安全漏洞类型:内存安全规范类、输入验证类、竞争条件类、权限混淆与提升类。
  • 缓冲区溢出
    • 定义:计算机程序中存在的一类内存安全违规类漏洞,在计算机程序向特定缓冲区内填充数据时,超出了缓冲区本身的容量,导致外溢数据覆盖了相邻内存空间的合法数据,从而改变了程序执行流程破坏系统运行完整性。
    • Linux平台上的栈溢出与Shellcode
      • Linux平台栈溢出攻击技术:NSR、RNS、RS三种模式。NSR和RNS模式适用于本地缓冲区溢出和远程栈溢出攻击,而RS模式只能用于本地缓冲区溢出攻击。
      • Linux平台的Shellcode实现技术:Linux本地Shellcode实现机制、Linux远程Shellcode实现机制
    • Windows平台上的栈溢出与Shellcode
      • Windows平台栈溢出攻击技术:Windows平台栈溢出攻击技术机理(对程序运行过程中废弃栈的处理方式差异、进程内存空间的布局差异、系统功能调用的实现方式差异)、

        远程栈溢出攻击示例、野外Windows栈溢出实例

      • Windows平台Shellcode实现技术:Windows本地Shellcode、Windows远程Shellcode
  • 堆溢出攻击
    • 函数指针改写
    • C++类对象虚函数表改写
    • Linux下堆管理glibc库free()函数本身漏洞
  • 缓冲区溢出攻击的防御技术
    • 尝试杜绝溢出的防御技术
    • 允许溢出但不让程序改变执行流程的防御技术
    • 无法让攻击代码执行的防御技术

视频学习

Kali压力测试工具

压力测试通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能够提供的最大的服务级别的测试。通俗地讲,压力测试是为了测试应用程序的性能会变得不可接受。
Kali下压力测试工具包含:
- VoIP压力测试:包括iaxflood和inviteflood
- Web压力测试
- 网络压力测试
- 无线压力测试

Web压力测试

借助THC-SSL-DOS攻击工具,任何人都可以把提供SSL安全连接的网站攻击下线,这种攻击方法称为SSL拒绝服务攻击(SSL-DOS)。
德国黑客组织发布THC SSL DOS,利用SSL中已知的弱点,迅速耗费服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一攻击的电脑。
漏洞存在于协议的renegotiation过程中,renegotiation被用于浏览器到服务器之间的验证。

网络压力测试

dhcpig :耗尽DHCP资源池的压力测试。

ipv6攻击工具包:

Inundator:IDS/IPS/WAF 压力测试工具

Macof:可做泛洪攻击

Siege:是一个压力测试和评测工具,设计用于Web开发,评估应用在压力下的承受能力,可以根据配置对一个Web站点进行多用户的并发访问,记录每个用户所有请求过程的响应时间,并在一定数量的并发访问下重复进行。

T50压力测试:功能强大,且具有独特的数据包注入工具,T50支持 nix系统,可进行多种协议数据包注入,实际上支持15种协议。

无线压力测试:包括MDK3和Reaver

数字取证工具

数字取证技术将计算机调查和分析技术应用于潜在的、有法律效力的电子证据的确定与获取,同样他们都是针对黑客和入侵的,目的都是保障网络安全。
  • PDF取证工具:pdf-parser和peepdf

    peepdf是一个使用python编写的PDF文件分析工具,它可以检测到恶意的PDF文件。其设计目标是为安全研究人员提供PDF分析中可能用到的所有组件。

  • 反数字取证chkrootkit:Linux系统下查找rootkit后门工具。判断系统是否被植入Rootkit的利器。
  • 内存取证工具:Volatility是开源的Windows、Linux、Mac、Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。
  • 取证分析工具binwalk

    Binwalk是一个固件的分析工具,旨在协助研究人员对固件分析,提取及逆向工程。简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,更重要的一点是可以轻

    松扩展。

    借助binwalk中的一个很强大的功能——提取文件(压缩包)中的隐藏文件(或内容文件)。亦可分析文件格式。

  • 取证哈希验证工具集:md5deep是一套跨平台的方案,可以计算和比较MD5等哈希加密信息的摘要MD5,SHA-1,SHA-256,Tiger,Whirlpool。
  • 取证镜像工具集:针对镜像文件的取证工具,如mmsstat与mmls等命令。
  • 数字取证套件:

    数字取证工具:

数字取证套件:

1)autopsy

2)DFF(Digital Forensics Framework)是一个简单但强大的数字取证工作辅助工具,它具有灵活的模块系统,具有多种功能,包括:回复错误或崩溃导致的文件丢失,证据的研究和分析。DFF提供了一个强大的体系结构和一些列有用的模块。

3)反数字取证chkrootkit

Kali报告工具与系统服务

一次完整的渗透测试,最后要完成一份报告作为一个小结。相应的,Kali Linux为安全工程师准备了报告工具集:documentation、媒体捕捉、证据管理。

系统服务:beef、dradis、http、metasploit、mysql、openvas、ssh。

  • Dradis

    Dradis用于提高安全检测效率的信息共享框架(协作平台)。Dradis提供了一个集中的信息仓库,用于标记我们目前已经做的工作和下一步计划。基于浏览器的在线笔记。

keepnote精简的笔记本软件,特点如下:

- 富文本格式——彩色字体、内置图片、超链接,能保存网页图片文字等完整内容。

- 树形分层组织内容,分门别类,一目了然。

- 全文搜索

- 综合截图

- 文件附件

- 集成的备份和恢复

- 拼写检查(通过gtkspell)

- 自动保存

- 内置的备份和恢复(zip文件存档)

  • 媒体捕捉工具Cutycapt:将网页内容截成图片保存。
  • Recordmydesktop:屏幕录像工具
  • 证据管理:Maltego Casefile
  • MagicTree:是一个面向渗透测试人员的工具,可以帮助攻击者进行数据合并、查询、外部命令执行(比如直接调用nmap)和报告生成。所有数据都会以树形结构存储,非常方便。
  • Truectypt:免费开源的加密软件,同时支持Windows,OS,Linux等操作系统。

系统服务介绍:

  • BeEF:对应XSS测试框架BeEF的启动与关闭;
  • Dradis:对应笔记分享服务Dradis的启动与关闭;
  • HTTP:对用Kali本机Web服务的启动与关闭;
  • Metasploit:对应Metasploit服务的启动与关闭;
  • Mysql:对应Mysql服务的启动与关闭;
  • Openvas:对应Openvas服务的启动与关闭;
  • SSH:对应SSH服务的启动与关闭;(远程连接最好不要开启)

原文地址:https://www.cnblogs.com/lv6965/p/8997958.html

时间: 2024-11-05 18:27:59

2017-2018-2 20179213《网络攻防实践》第九周学习的相关文章

《网络攻防》第九周学习总结

Nmap使用实践 我们使用kali1.08攻击机对Linux靶机222.28.136.226进行nmap的相关实践,扫描其他靶机类似. 1.测试是否在线 2.查看靶机开放了哪些TCP和UDP端口及安装了什么网络服务: 3.查看靶机的操作系统版本 nmap使用方法总结: 通过主机探测,确定测试目标地址后,往往需要对主机信息做更完善的扫描.nmap可以完成以下任务:主机探测.端口扫描.版本检测.系统检测.支持探测脚本的编写.实际应用场合:通过对设备或者防火墙的探测来审计他的安全性:探测目标主机所开放

《网络攻防》第九周作业

kali视频学习 第36节 压力测试工具1.VoIP压力测试工具web压力测试:2.thc-ssl-dos的验证.3.dhcpig 尝试耗尽所有IP地址4.ipv6工具包5.inundator IDS/IPS/WAF压力测试工具耗尽对方说的日志资源.6.macof可做泛红攻击8.t50压力测试9.无线压力测试mdk3和reaver 第37节 数字取证工具 数字取证技术是将计算机调查和分析技术应用于对潜在的.有法律效力的电子证据的确定与获取,同样他们都是针对黑客和入侵目的的.目的都是保证网络的安全

2017-2018-2 20179302《网络攻防》第九周作业

教材学习总结 本周主要学习了<网络攻防---技术与实践>第9.10章的内容,主要学习了 恶意代码攻防 与软件安全攻防 恶意代码安全攻防 1.基础知识 恶意代码是指使计算机按照攻击者的意图执行以达到恶意目标的指令集.类型包括:计算机病毒.蠕虫.恶意移动代码.后门.特洛伊木马.僵尸程序.内核套件.融合型恶意代码. 计算机病毒的基本特性:感染性.潜伏性.可触发性.破坏性.衍生性 僵尸网络命令与控制机制包括: (1)基于IRC协议的命令与控制机制 (2)基于HTTP协议的命令与控制机制 (3)基于P2

2017-2018-1 20179206《网络攻防实践》第一周作业

a.你对师生关系的理解,希望是哪种关系? 我认为师生关系是一种相互平等交流的关系. 为什么这样说,因为这是由网络攻防实践这门可得特殊性来决定的,网络攻防是门实践课,需要大量的联练习和摸索,同时大部分学生对这一领域不熟悉,需要学习Linux在内的很多新东西,在中间会产生大量的新问题,这些问题需要向老师请教,如果能够尽可能的成为一种相互平等的关系,同学会更乐于去发现问题和请教问题,从而能爱上实践,爱上这门课. b.如何提问? l 提问的内容要先自我独立解决: 作为一门计算机实践课,首先放在第一位的就

第四周网络攻防实践作业

第四周 <网络攻防实践作业> 第一节.网络攻防技术与实践 1. 网络嗅探 l 定义:网络嗅探是利用计算机的网络端口解惑目的地为其他的计算机的数据报文,以监听数据流中所包含的信息. l 攻击方式:攻击者获得内部某一台主机的访问权后,能够被攻的听取网络上正在传输的数据,从中获取信息和用户口令,协议信息,为发起深层次攻击做好充足准备.同时通过这种方式,也可以发起中间人攻击,由于具有非干扰性,所以很难被发现. l 防御方式:网络嗅探可以被防御者用来捕获与分析网络的流量信息,以便找出网络中的而问题所在,

2017-2018-2 20179215《网络攻防实践》第六周作业

2017-2018-2 20179215<网络攻防实践> 第六周学习总结 课本学习笔记 一.TCP/IP网络协议攻击 1.网络安全的属性:机密性 .完整性 .可用性 .真实性 .不可抵赖性 . 2.网络攻击的基本模式分为:截获(嗅探 与 监听) .中断(拒绝服务) .篡改(数据包篡改) .伪造(欺骗) . 3.TCP/IP网络协议栈在设计时采用了分层模型,分为:网络接口层 .互联层 .传输层 .应用层.每一层当中都有针对破坏网络安全属性为目的的攻击技术.每一层所涉及的主要协议: 网络接口层:以

2017-2018-2 20179215《网络攻防实践》第八周作业

<网络攻防实践> 第八周 学习总结 一.第八章教材内容总结 Linux 操作系统简介 Linux 系统特点: 兼容UNIX :API 兼容,管理命令和各种工具: 源码开放 支持各种硬件平台,支持多CPU Linux 平台上存在大量的应用软件,以及应 用开发工具 多种不同发行版: RedHat(RHEL,Fedora, CentOS, -),Ubuntu,Debian, - 2.Linux 操作系统: 不是微内核系统,但具有某些微内核特征 Intel 版本:i386 的保护模式,特权级 内核态(

网络攻防实践 第十周作业

网络攻防实践作业 html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acronym,address,big,cite,code,del,dfn,em,img,ins,kbd,q,s,samp,small,strike,strong,sub,sup,tt,var,b,u,i,center,dl,dt,dd,ol,ul,li,fieldset,form,label,legend,tabl

20189224 《网络攻防实践》/《网络攻击与防范》第十周学习总结

20189224 <网络攻防实践>/<网络攻击与防范>第十周学习总结 冯·诺依曼体系结构和图灵机 图灵机是一个计算机的理论模型,本质上是状态机:冯诺依曼体系是图灵机的实现,包括运算.控制.存储.输入.输出五个部分.诺依曼体系相对之前的计算机最大的创新在于程序和数据的存储,以此实现机器内部编程. 图灵机的纸带应对应诺依曼计算机体系中的存储,读写头对应输入和输出,规则(读了一个符号后下一步做什么)对应运算,纸带怎么移动对应控制. 图灵机 图灵机(Turing Machine)是图灵在1

#2019-2020-1学期 20192403 《网络空间安全专业导论》第九周学习总结

2019-2020-1学期 20192403 <网络空间安全专业导论>第九周学习总结 第三章 学习收获 网络空间概述 网络空间安全包括网络硬件安全和信息资源的安全性 网络管理 目标:确保计算机网络的正常运行,是网络中的资源可以得到更加有效地利用并在计算机网络运行出现异常时能及时响应和排除故障. 管理范畴:对计算机设备管理,对接入内部的计算机.服务器等进行管理,对行为的管理等 安全网络的特征:可靠性.保密性.完整性.可控性.可审查性 常见的网络拓扑 网络拓扑概述 网络拓扑是指网络的结构方式,表示