kali视频学习

第36节 压力测试工具
1、VoIP压力测试工具


web压力测试：

2、thc-ssl-dos

的验证。
3、dhcpig 尝试耗尽所有IP地址
4、ipv6工具包
5、inundator IDS/IPS/WAF压力测试工具
耗尽对方说的日志资源。

6、macof
可做泛红攻击


8、t50压力测试

9、无线压力测试
mdk3和reaver

第37节 数字取证工具

数字取证技术是将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样他们都是针对黑客和入侵目的的。目的都是保证网络的安全。

1、PDF取证工具

2、反数字取证chkrootkit

3、内存取证工具

4、取证分割工具集binwalk

可解压文件。做文件格式分析的工具。
5、取证哈希验证工具集

6、取证镜像工具集
主要是对镜像文件的取证分析。主要分析镜像中的目录等信息。
7、数字取证套件
autopsyhttp://localhost:9999/autopsy访问本地的9999端口


dff 图形界面

第38节 kali报告工具与系统服务


在线笔记。
2、keepnote
/
3、媒体捕捉cutycapt
4、
/
6、magictree


7、文件加密工具 truecrypt

8、系统服务

9、kali下的其他工具

实践作业 p379

取证分析实践
问题1-IRC一般使用哪些TCP端口
?IRC服务器通常在6667端口监听，也会使用6660—6669端口
?攻击者滥用IRC构建僵尸网络时，可能使用任意的端口构建IRC僵尸网络控制信道
?基于端口识别服务不再可靠
?基于应用协议特征进行识别
?IRC: USER/NICK等注册命令

问题2-僵尸网络是什么
?僵尸网络（botnet）僵尸网络(BotNet): 攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。
?定义特性：一对多的命令与控制通道的使用
?恶意性
?网络传播特性
?僵尸程序(Bot)
?Robot演化过来的词汇，攻击者用以控制傀儡主机的程序
?僵尸主机(Zombie，或称为傀儡主机、肉鸡)
?僵尸网络演化：传统IRC?HTTP & P2P
?目前最流行的是Storm worm

问题2-僵尸网络通常用于什么
?僵尸网络危害－提供通用攻击平台
?分布式拒绝服务攻击
?发送垃圾邮件
?窃取敏感信息
?点击欺诈

教材学习

1、第九章学习

1.1恶意代码基本知识

恶意代码定义：

恶意代码(Unwanted Code)是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。恶意代码的类型可分为：计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸网络、内核套件。

计算机病毒：

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎 仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

计算机病毒的基本特性：感染性、潜伏性、可触发性、破坏性、衍生性。

网络蠕虫：

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

网络蠕虫的组成结构可分为：弹头、传播引擎、目标选择算法和扫描引擎、有效载荷。

后门和木马：

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。 后门程序又称特洛依木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。 后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

僵尸程序和僵尸网络：

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不

觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

1.2 恶意代码分析方法

恶意代码分析的技术方法主要包括静态分析和动态分析两大类。静态分析的方法有反病毒软件扫描、二进制结构分析、反汇编反编译、代码结构与逻辑分析等方法；动态分析的方法有系统动态行为监控、网络协议栈监控、沙箱技术、动态调试技术等。

恶意代码静态分析技术包括：反病毒软件扫描、文字格式识别、字符串提取分析、二进制结构分析、反汇编、反编译、代码结构与逻辑分析、加壳识别和代码脱壳。

恶意代码动态分析技术包括：快照对比、系统动态行为监控、网路协议栈监控、沙箱、动态调试。

2、第十章学习

2.1 缓冲区溢出概念

缓冲区溢出是指当计算机向缓冲区内填充数据位数时,超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区 又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

2.2 Linux平台上的栈溢出与Shellcode

Linux平台栈溢出攻击技术按照攻击数据的构造方式不同可以分为：NSR、RNS和RS三种模式。

2.3 缓冲区溢出攻击的防御技术

解决缓冲区溢出的方法可以分为尝试杜绝溢出的防御技术、允许溢出但不让程序改变执行流程的防御技术、无法让攻击代码执行的防御技术。

原文地址：https://www.cnblogs.com/weiyier1214/p/9000116.html