1、信息系统安全信息系统安全浙江大学考试题型考试题型判断题判断题单项选择题单项选择题简答题简答题分析题分析题计算机安全课程介绍计算机安全课程介绍1)信息安全技术是研究信息安全核心、)信息安全技术是研究信息安全核心、关键和共性的技术,以形成自主的信息安关键和共性的技术,以形成自主的信息安全防护能力、隐患发现能力、应急反应能全防护能力、隐患发现能力、应急反应能力以及信息对抗能力为目标,为建立信息力以及信息对抗能力为目标,为建立信息安全保障体系提供技术支撑安全保障体系提供技术支撑2)本课程适合于计算机专业及软件工程)本课程适合于计算机专业及软件工程专业的本科,硕士阶段,也适合非计算机专业的本科,硕士阶段
2、,也适合非计算机专业同学进一步了解计算机安全技术专业同学进一步了解计算机安全技术 计算机安全与社会计算机安全与社会1)计算机在社会上的大规模普及)计算机在社会上的大规模普及2)信息安全问题成为全社会关注的焦点之一)信息安全问题成为全社会关注的焦点之一病毒种类分布图信息安全面临的两类危险:信息安全面临的两类危险:l硬件硬件灾害,人为破坏,操作失误,硬件故障,电磁干灾害,人为破坏,操作失误,硬件故障,电磁干扰,丢失被盗扰,丢失被盗l软件软件软件数据或资料泄漏,被窃取,黑客病毒攻击等软件数据或资料泄漏,被窃取,黑客病毒攻击等现有杀毒软件不足杀毒现有杀毒软件不足杀毒 l病毒只是影响计算机安全运行一个重
3、要因素病毒只是影响计算机安全运行一个重要因素现有反入侵技术不足以解决入侵现有反入侵技术不足以解决入侵安全包括了病毒、软件漏洞、加密、防黑安全包括了病毒、软件漏洞、加密、防黑客、非法操作、系统物理故障等等多方面客、非法操作、系统物理故障等等多方面的专业技术问题的专业技术问题计算机安全的基本概念计算机安全的基本概念基本构成基本构成威胁威胁安全性的目标安全性的目标假设和信任假设和信任保证保证计算机的脆弱性计算机的脆弱性安全的基本构成安全的基本构成机密性机密性信息和资源的隐秘程度信息和资源的隐秘程度要求在敏感的领域比如商业、军事等领域使用时使信息保要求在敏感的领域比如商业、军事等领域使用时使信息保密密
4、完整性完整性涉及到数据或资源的确定性涉及到数据或资源的确定性防止对数据进行不合理和无权限的修改防止对数据进行不合理和无权限的修改包括包括数据完整性(信息的内容)数据完整性(信息的内容)完整性起源(数据的来源,经常叫做验证)完整性起源(数据的来源,经常叫做验证)可用性可用性可用性就是使用信息和得到资源的能力可用性就是使用信息和得到资源的能力可用性是可靠性的一个重要方面。可用性是可靠性的一个重要方面。安全威胁安全威胁泄密,没有授权获得信息泄密,没有授权获得信息欺骗,就是接受错误信息欺骗,就是接受错误信息中断,就是阻止正确的操作中断,就是阻止正确的操作篡夺,就是不授权地控制系统的一部篡夺,就是不授权
5、地控制系统的一部分分监听(或称窥探)监听(或称窥探)窜改窜改 伪装和欺骗伪装和欺骗抵赖抵赖 延时延时 授权和伪装的分别授权和伪装的分别安全性的目标安全性的目标防止攻击防止攻击l成功的攻击防止意味着攻击的失败成功的攻击防止意味着攻击的失败l目前技术做不到目前技术做不到检测攻击检测攻击l攻击不能被防止攻击不能被防止l监测机制当攻击发生时起作用监测机制当攻击发生时起作用l监测出潜在的攻击,或者已经发生的攻击,并把它报告出监测出潜在的攻击,或者已经发生的攻击,并把它报告出来来l技术上部分可以技术上部分可以攻击以后恢复攻击以后恢复l两种两种攻击结束后,评估和修复攻击带来的损害攻击结束后,评估和修复攻击带
6、来的损害当攻击在进行中时,系统仍然正确地操作当攻击在进行中时,系统仍然正确地操作l技术可以技术可以计算机安全的定义计算机安全的定义最狭义定义是:最狭义定义是:l计算机安全包括了信息保密,完整,防止拒绝服务,主要计算机安全包括了信息保密,完整,防止拒绝服务,主要保护信息不为非授权用户掌握,保护信息不被非法窜改破保护信息不为非授权用户掌握,保护信息不被非法窜改破坏,防止临时降低系统性能,系统崩溃而需要重新启动,坏,防止临时降低系统性能,系统崩溃而需要重新启动,以及数据永远丢失。其中保密是重点。以及数据永远丢失。其中保密是重点。广义定义:广义定义:l包括了信息设备的物理安全性、场地环境保护、物理硬件
7、包括了信息设备的物理安全性、场地环境保护、物理硬件安全、病毒、通讯设备的信息安全、网络安全等计算机运安全、病毒、通讯设备的信息安全、网络安全等计算机运行的各个方面行的各个方面国际标准化委员会对计算机安全的定义是:国际标准化委员会对计算机安全的定义是:l为数据处理系统建立与采取的技术的和管理的安全保护、为数据处理系统建立与采取的技术的和管理的安全保护、保护计算机硬件、软件、数据不因偶然的和恶意的原因而保护计算机硬件、软件、数据不因偶然的和恶意的原因而遭到破坏、更改、显露。遭到破坏、更改、显露。计算机安全评价标准计算机安全评价标准制定安全标准的策略应从以下几方由来考制定安全标准的策略应从以下几方由
8、来考虑:虑:l与计算机系统的实际环境相结合与计算机系统的实际环境相结合l与国际环境相适应与国际环境相适应 l具有一定程度的模糊性具有一定程度的模糊性l具有一定范围的适应性具有一定范围的适应性 可信计算机系统评估准则可信计算机系统评估准则可信计算机系统评估准则可信计算机系统评估准则(TCSEC-Trusted Computer System Evaluation Criteria,俗称橘皮书)是,俗称橘皮书)是美国国防部于美国国防部于1985年发表的一份技术文件年发表的一份技术文件 制定制定准则准则的目的的目的:l向制造商提供一个标准,即指导制造商如何在向制造商提供一个标准,即指导制造商如何在他
9、们新开发的、并将广泛使用的商用产品中采他们新开发的、并将广泛使用的商用产品中采用安全部件来满足敏感应用的可信要求。用安全部件来满足敏感应用的可信要求。l向用户提供一种验证标准,用户可用此标准来向用户提供一种验证标准,用户可用此标准来评估计算机系统处理秘密信息和其它敏感信息评估计算机系统处理秘密信息和其它敏感信息的可信程序。为制定规范时的安全需求提供一的可信程序。为制定规范时的安全需求提供一个基准。个基准。可信计算机系统评估准则可信计算机系统评估准则可信计算机系统评估准则可信计算机系统评估准则分成分成D,C,B和和A四类:四类:lD级:最小保护级:最小保护lC级级:自主保护自主保护lC1级:自主
10、型安全保护级:自主型安全保护lC2级:可控访问保护级:可控访问保护lB级级:强制安全保护强制安全保护lB1级:标记安全保护级:标记安全保护lB2级:结构化保护级:结构化保护lB3级:安全域级:安全域lA级:验证设计级:验证设计lA1:经过验证的设计:经过验证的设计lA2:A1级以外的系统级以外的系统英国的英国的5(安全控制可实施)(安全控制可实施)+6标准(安全目标不可实施)标准(安全目标不可实施)原西德信息安全部门原西德信息安全部门1989公布的信息技术系统可信性评价公布的信息技术系统可信性评价标准标准 OSI安全体系结构安全体系结构安全技术评价标准:国际标准化组织安全技术评价标准:国际标准
11、化组织ISO7498-2中描述开放互连中描述开放互连OSI安全体安全体系结构的系结构的5种安全服务项目种安全服务项目l鉴别鉴别 l访问控制访问控制 l数据保密数据保密 l数据完整数据完整 l抗否认抗否认计算机环境安全计算机环境安全概念概念机房安全机房安全l基础环境安全基础环境安全l机房安全等级机房安全等级应急计划应急计划计算机实体安全计算机实体安全计算机硬件物理安全计算机硬件物理安全磁介质安全磁介质安全l软磁盘构造软磁盘构造l硬磁盘分区硬磁盘分区l磁介质媒体处理、存储磁介质媒体处理、存储磁盘信息的加密和解密磁盘信息的加密和解密l目录项修改法目录项修改法l修改修改FAT表法表法l修改盘上其他信息
12、法修改盘上其他信息法l硬盘加密法硬盘加密法l磁盘特殊格式化法磁盘特殊格式化法用户用户鉴别鉴别l鉴别的基本原理鉴别的基本原理l鉴别依据鉴别依据l鉴别过程鉴别过程l用户注册用户注册l密码密码用户安全用户安全l用户策略用户策略l通道通道l文件和设备文件和设备l进程进程l电子通讯电子通讯基于输入的防盗用检测程序示例基于输入的防盗用检测程序示例鉴别鉴别鉴别是将一个身份绑定到一个主体上鉴别是将一个身份绑定到一个主体上 为了防止非法用户使用系统及合法用户对为了防止非法用户使用系统及合法用户对系统资源的非法使用,需要对计算机系统系统资源的非法使用,需要对计算机系统实体进行访问控制。实体进行访问控制。鉴别的基本
13、原理鉴别的基本原理鉴别是把身份绑定到主体上鉴别是把身份绑定到主体上 客观实体必须提供信息给系统,来证实这客观实体必须提供信息给系统,来证实这个实体个实体l实体知道哪些(如密码和秘密信息);实体知道哪些(如密码和秘密信息);l实体有哪些(如证章或卡片);实体有哪些(如证章或卡片);l实体是什么(如指纹或者视网膜的特征);实体是什么(如指纹或者视网膜的特征);l实体在哪里(如在一个特殊的终端前)。实体在哪里(如在一个特殊的终端前)。鉴别依据鉴别依据鉴别依据主要有:用户已知的事、用户拥鉴别依据主要有:用户已知的事、用户拥有的耐用物品、用户特征等有的耐用物品、用户特征等:l用户已知的事:口令,用户已知
14、的事:口令,ID l用户拥有的耐用物品,需要外设。为了防破译用户拥有的耐用物品,需要外设。为了防破译与仿制,采用编码技术:钥匙、证章、磁卡。与仿制,采用编码技术:钥匙、证章、磁卡。l用户特征主要有生理特征、举止特征用户特征主要有生理特征、举止特征 鉴别过程鉴别过程鉴别过程主要分为单向鉴别、双向鉴别、第三方鉴鉴别过程主要分为单向鉴别、双向鉴别、第三方鉴别与公钥鉴别。别与公钥鉴别。单向鉴别是用户要求应用服务器服务,用户需要被单向鉴别是用户要求应用服务器服务,用户需要被服务器鉴别,其过程:服务器鉴别,其过程:l服务器接收到用户服务器接收到用户ID与与PW(password););l确认是合法用户发出
15、的。确认是合法用户发出的。双向鉴别在单向鉴别过程后增加两个过程双向鉴别在单向鉴别过程后增加两个过程l服务器身份被用户认证;服务器身份被用户认证;l确认服务器口令由合法服务器发出。确认服务器口令由合法服务器发出。第三方鉴别是第三方存储所有口令,用户与服务器第三方鉴别是第三方存储所有口令,用户与服务器都向第三方发出都向第三方发出ID与与PW 公钥鉴别是利用公钥加密体系用密码进行鉴别公钥鉴别是利用公钥加密体系用密码进行鉴别 计算机可靠性设计计算机可靠性设计计算机故障计算机故障计算机可靠性计算机可靠性计算机容错与冗余技术计算机容错与冗余技术计算机故障计算机故障计算机故障,是指造成计算机功能错误的计算机
16、故障,是指造成计算机功能错误的硬件物理损坏或程序的错误。硬件物理损坏或程序的错误。故障可分为两大类:故障可分为两大类:l一类是元器件、电路、机械、介质等部分的物一类是元器件、电路、机械、介质等部分的物理损坏,称为硬故障;理损坏,称为硬故障;l另一类是因电磁干扰、偶尔落入的尘埃、温度另一类是因电磁干扰、偶尔落入的尘埃、温度变化、电源掉电或病毒感染而导致系统功能不变化、电源掉电或病毒感染而导致系统功能不正常,不能正常运行的故障称为软故障。正常,不能正常运行的故障称为软故障。计算机故障计算机故障计算机故障可以分为以下类别:计算机故障可以分为以下类别:l按照故障部位可以分为独立故障,局部性故障按照故障
17、部位可以分为独立故障,局部性故障,全局性故障。,全局性故障。l按照故障发生时间可以分为暂时、永久性,边按照故障发生时间可以分为暂时、永久性,边缘性故障。缘性故障。l按照故障原因可以分为硬件故障,机械故障,按照故障原因可以分为硬件故障,机械故障,人为故障,软件故障,病毒故障。人为故障,软件故障,病毒故障。计算机故障计算机故障故障检测原则:故障检测原则:l先软件后硬件,先外设后主机,先电源后负载先软件后硬件,先外设后主机,先电源后负载,先一般设备后特殊设备,先公用后专用,先,先一般设备后特殊设备,先公用后专用,先简单后复杂。简单后复杂。故障检测方法主要有:故障检测方法主要有:l原理分析法、诊断程序
18、法、直接观察。原理分析法、诊断程序法、直接观察。l插拔或更换器件、静态芯片测量、动态分析、插拔或更换器件、静态芯片测量、动态分析、升温降温法。升温降温法。l对时隐时现的故障往往用拉偏的方法可以使故对时隐时现的故障往往用拉偏的方法可以使故障现象再现,从而便于查找。障现象再现,从而便于查找。计算机可靠性计算机可靠性RAS是可靠性,可维护性,是可靠性,可维护性,可用性的综合。可用性的综合。l可靠性是计算机在规定时间与条件下完成规定可靠性是计算机在规定时间与条件下完成规定功能的概率。其中规定条件:环境条件,作用功能的概率。其中规定条件:环境条件,作用条件,维护条件,操作条件。条件,维护条件,操作条件。
19、l可维护性是因为故障而失效时,通过维护恢复可维护性是因为故障而失效时,通过维护恢复正常的能力。正常的能力。l可用性是计算机各种功能满足需要的程度,是可用性是计算机各种功能满足需要的程度,是计算机在执行任务中任何时刻都能够正常工作计算机在执行任务中任何时刻都能够正常工作的概率。的概率。计算机可靠性计算机可靠性 计算机可靠性主要有两个方面:避错和容计算机可靠性主要有两个方面:避错和容错。错。l避错就是故障检测、故障诊断技术则是通过检避错就是故障检测、故障诊断技术则是通过检测和排除系统元器件或线路故障,或纠正程序测和排除系统元器件或线路故障,或纠正程序的错误来保证和提高系统可靠性的方法。的错误来保证
20、和提高系统可靠性的方法。l所谓所谓“容错技术容错技术”,是指用增加冗余资源的方,是指用增加冗余资源的方法来掩盖故障造成的影响,使系统在元器件或法来掩盖故障造成的影响,使系统在元器件或线路有故障或软件有差错时,仍能正确地执行线路有故障或软件有差错时,仍能正确地执行预定算法的功能。预定算法的功能。计算机容错与冗余技术计算机容错与冗余技术计算机修理可以分为热修理与冷修理,其计算机修理可以分为热修理与冷修理,其区别就在于修理过程是否计算机加电运行区别就在于修理过程是否计算机加电运行。为了防止数据丢失,允许进行数据备份,为了防止数据丢失,允许进行数据备份,也可以分为热备份与冷备份。也可以分为热备份与冷备
21、份。计算机容错与冗余技术计算机容错与冗余技术冗余技术是采用多个设备同时工作,当其冗余技术是采用多个设备同时工作,当其中一个设备失效时,其它设备能够接替失中一个设备失效时,其它设备能够接替失效设备继续工作的体系。效设备继续工作的体系。在在PC服务器上,通常在磁盘子系统、电源服务器上,通常在磁盘子系统、电源子系统采用冗余技术。子系统采用冗余技术。冗余可以分为多个层次。冗余可以分为多个层次。l用户容错是用户自行备份数据。用户容错是用户自行备份数据。l线路容错是对通讯线路与网络进行冗余备份。线路容错是对通讯线路与网络进行冗余备份。l存储容错是对存储器进行容错。存储容错是对存储器进行容错。计算机容错与冗
22、余技术计算机容错与冗余技术在存储器容错中使用最多的技术就是冗余在存储器容错中使用最多的技术就是冗余磁盘阵列技术。磁盘阵列技术。冗余磁盘阵列冗余磁盘阵列RAID技术技术1987年由加州大年由加州大学伯克利分校提出。学伯克利分校提出。所谓所谓RAID(Redundant Array of Inexpensive Disks),是指将多个磁),是指将多个磁盘连成一个阵列,然后以某种方式写磁盘盘连成一个阵列,然后以某种方式写磁盘,这种方式可以在一个或多个磁盘失效的,这种方式可以在一个或多个磁盘失效的情况下防止数据丢失。情况下防止数据丢失。计算机容错与冗余技术计算机容错与冗余技术RAID通过基带条、奇偶
23、校验和镜像实现其通过基带条、奇偶校验和镜像实现其冗余和容错的目标。冗余和容错的目标。基带条意味着在文件可同时被写入多个磁基带条意味着在文件可同时被写入多个磁盘的数据块中。盘的数据块中。通过在传输后对所有数据进行冗余检测,通过在传输后对所有数据进行冗余检测,奇偶校验能够确保数据的有效性。通过奇奇偶校验能够确保数据的有效性。通过奇偶校验,当偶校验,当RAID系统的一个磁盘发生故障系统的一个磁盘发生故障时,其它磁盘能够重建该故障磁盘。时,其它磁盘能够重建该故障磁盘。镜像包括创建磁盘的复制拷贝。镜像包括创建磁盘的复制拷贝。安全模型理论安全模型理论访问控制访问控制l访问控制机制访问控制机制l自主访问控制
24、自主访问控制l强制访问控制强制访问控制访问控制矩阵访问控制矩阵l保护状态保护状态l访问控制矩阵模式访问控制矩阵模式l保护状态转变保护状态转变l条件命令条件命令l拷贝,拥有和特权的弱化拷贝,拥有和特权的弱化l总结总结访问控制访问控制访问控制是计算机保护中极其重要的一环访问控制是计算机保护中极其重要的一环。它是在身份识别的基础上,根据身份对提它是在身份识别的基础上,根据身份对提出的资源访问请求加以控制。出的资源访问请求加以控制。访问控制中三个元素:访问控制中三个元素:l访问的发起者称为主体,通常为进程,程序或访问的发起者称为主体,通常为进程,程序或用户。用户。l包括各种资源称为客体,如文件,设备,
25、信号包括各种资源称为客体,如文件,设备,信号量等。量等。l保护规则,它定义了主体与客体可能的相互作保护规则,它定义了主体与客体可能的相互作用途径。用途径。操作系统安全模型操作系统安全模型安全操作系统安全操作系统操作系统安全保护操作系统安全保护安全操作系统的确认安全操作系统的确认操作系统安全等级操作系统安全等级D类类C类(类(C1,C2)B类(类(B1,B2,B3)A类(类(A1,A2)C类类C1可信任运算基础体制,例如早期的可信任运算基础体制,例如早期的UnixC2比比C1系统加强了可调的审慎控制,例如系统加强了可调的审慎控制,例如Windows NT和和Unix安全操作系统的基本特征安全操作
26、系统的基本特征最小特权原则最小特权原则自主访问控制和强制访问控制自主访问控制和强制访问控制安全审计功能安全审计功能安全域隔离功能安全域隔离功能主要内容主要内容Windows NT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统安全扫描软件Windows 提供的四种协议提供的四种协议NT LAN Manager(NTLM)验证协议验证协议KerberosV5验证协议验证协议DPA分布式密码验证协议分布式密码验证协议基于公共密钥的协议基于公共密钥的协议解决方案解决方案及时安装补丁及时安装补丁更佳的解决方案更佳的解决方案l精细配置防火墙为主l内部路由设置ACL为辅NetWare系统lN
27、etWare操作系统经过NCSC测试,具有C2级安全标准。VAX/VMSlVMS系统具有C2级安全标准,一般都使用在一些重要的研究和军事机构里。操作系统漏洞操作系统漏洞攻击或者入侵行为可分为主动方式和被动方式l主动方式即通过网络主动发送恶意请求,达到令目标系统失去响应或者获得目标系统的控制权,从而达到进一步破坏的目的。l被动方式即利用互联网可交互的特点,在网上发布一些含有恶意代码的网页、软件、电子邮件,当其他用户浏览网页、运行软件、打开电子邮件时,恶意代码在用户计算机中发挥作用,破坏系统或者安装后门,使用户对计算机失去控制。操作系统漏洞操作系统漏洞操作系统的缺陷主要来源于以下操作系统的缺陷主要
28、来源于以下4个方面个方面lI/Ol访问策略的混乱l不完全的介入l通用性操作系统脆弱性等级操作系统脆弱性等级lA级是指允许过程用户未经授权访问的漏洞lB级是指允许本地用户非法访问的漏洞,允许本地用户获得或增加未经授权的访问主要来源于应用程序,例如缓冲区溢出lC级是指允许拒绝服务(Denial of Service)的漏洞资源耗尽系统安全扫描软件系统安全扫描软件系统安全漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的,对本主机中的各项信息都具有读写的权限,因此只要研究出相关的安全漏洞的检测方法,都可以查获该主机上是否存在着相应的安全漏洞远程检测软件一般情况下只具备远程匿名用户的权限,如
29、果对应的主机不开启远程访问服务,那么就只能通过各种试探的方法,甚至直接进行攻击的方法才能对该漏洞进行检测。即使这样,也只能检测一部分的漏洞软件安全与盗版软件盗版软件盗版l软件盗版的历史l软件盗版的商业后果软件安全涉及的范围恶意软件l简介l特洛伊木马l计算机病毒l计算机蠕虫病毒l恶意软件的其他形式l恶意软件理论保证软件质量的安全体系l软件的可靠性问题l软件测试软件盗版的商业后果软件盗版的商业后果五种类型的软件侵权行为五种类型的软件侵权行为 l1、企业盗版是指企业未经授权在其内部计算机系统中使用软件。l2、硬盘预装盗版一般发生在计算机生产商、分销商或零售商身上,他们在计算机上预装未经授权的计算机软
30、件,并将其免费奉送,以吸引用户购买计算机。l3、软件仿冒盗版是一种以盈利为目的的手段的最直接的软件侵权行为。l4、光盘盗版光盘盗版就是指CD-ROM或可刻录光盘的生产商将多个计算机程序复制到一张光盘上,并以比正版软件价格低得多的价格出售整张光盘。l5、互联网盗版是指盗版者在Internet的站点上发布广告,出售假冒软件或汇编软件或允许下载软件产品(有时需付费方可下载)。软件安全与盗版几种软件保护方式几种软件保护方式l1、数值修改,磁盘保护(必须带磁盘才能运行、数值修改,磁盘保护(必须带磁盘才能运行)破坏磁盘保护法 特殊格式化磁道保护法 l2、软件注册(注册码,序列号,注册文件)、软件注册(注册
31、码,序列号,注册文件)l3、硬件保护(、硬件保护(IC卡,狗)卡,狗)l4、网卡序列号及、网卡序列号及CPU序列号:只认随机带的网序列号:只认随机带的网卡或者卡或者CPU。l5、压缩并加密。、压缩并加密。计算机病毒计算机病毒就是把自己嵌入其他一个或多计算机病毒就是把自己嵌入其他一个或多个文件,然后进行某些动作(也可以没有个文件,然后进行某些动作(也可以没有任何动作)的程序。任何动作)的程序。第一个阶段叫做嵌入期,病毒把自己嵌入第一个阶段叫做嵌入期,病毒把自己嵌入一个文件中。第二个阶段叫做表现期,病一个文件中。第二个阶段叫做表现期,病毒采取了一些行动。毒采取了一些行动。计算机病毒引导区病毒l引导
32、区病毒是一种把自己嵌入引导区的病毒。可执行文件型病毒l可执行文件型病毒就是感染可执行程序的病毒。混合型病毒l混合型病毒是既能感染引导区又能感染应用程序的病毒。TSR病毒l驻留型(TSR)病毒是在应用程序(或是启动,或是磁盘挂起)结束后,仍然驻留在内存中的病毒。秘密病毒l秘密病毒就是秘密感染文件的病毒。加密病毒l一个加密病毒就是把除了解码例程的其他代码都加密的病毒。变型病毒l变型病毒在每次嵌入其他程序时,都改变自己的形式。宏病毒l宏病毒包含一系列将被解释而非执行的指令序列。计算机蠕虫病毒计算机蠕虫病毒计算机病毒经常感染其他程序。病毒的一计算机病毒经常感染其他程序。病毒的一个变形就是从一台电脑传向
33、另一台电脑,个变形就是从一台电脑传向另一台电脑,在每台电脑上留下自己的拷贝。在每台电脑上留下自己的拷贝。计算机蠕虫就是把自己从一台计算机拷贝计算机蠕虫就是把自己从一台计算机拷贝到另一台计算机的程序。到另一台计算机的程序。恶意软件的其他形式恶意软件的其他形式快速繁殖病毒快速繁殖病毒 l快速繁殖病毒是指那种耗光某类资源的程序 逻辑炸弹l逻辑炸弹是指那种经外部事件触发后进行违反安全规则活动的程序。软件加密软件加密 软件加密方法软件加密方法l加密技术概述加密技术概述l软件加密要求软件加密要求l软件硬加密软件硬加密l软件软加密软件软加密软盘加密防软盘加密防copy程序示例程序示例l软盘准备知识软盘准备知
34、识l软盘加密防软盘加密防copy设计思想设计思想密钥盘程序示例密钥盘程序示例软件加密要求软件加密的主要要求是防拷贝、反跟踪。软件加密的主要要求是防拷贝、反跟踪。防拷贝:软件加密防伪,采用软件运行过防拷贝:软件加密防伪,采用软件运行过程中与定制硬件进行认证的方法,有效保程中与定制硬件进行认证的方法,有效保护电子产品的嵌入式软件设计,防止对产护电子产品的嵌入式软件设计,防止对产品硬件的拷贝,保护电子产品的版权。品硬件的拷贝,保护电子产品的版权。反跟踪技术反跟踪技术 软件防拷贝技术软件防拷贝技术防拷贝技术分类防拷贝技术分类l硬件防拷贝技术硬件防拷贝技术l软硬件结合防拷贝软硬件结合防拷贝l软件防复制方
35、法软件防复制方法磁盘防拷贝技术磁盘防拷贝技术反防拷贝技术反防拷贝技术脱壳脱壳软件限制技术软件限制技术EXE文件加密器程序示例文件加密器程序示例软件防拷贝技术软件防拷贝技术通过某种技术,使得操作系统的拷贝方法通过某种技术,使得操作系统的拷贝方法,甚至拷贝软件不能将软件完整复制,或,甚至拷贝软件不能将软件完整复制,或者复制后不能使用。是防止软件扩散的主者复制后不能使用。是防止软件扩散的主要手段。要手段。主要方法:主要方法:l硬件防拷贝硬件防拷贝l软件防拷贝软件防拷贝l软硬件结合。软硬件结合。比较常用的是软盘技术。比较常用的是软盘技术。防拷贝技术分类防拷贝技术分类硬件防拷贝技术硬件防拷贝技术 l硬件
36、防拷贝通常是增加硬件接口或更换某些存储器集硬件防拷贝通常是增加硬件接口或更换某些存储器集成块,将保密系统必须运行的某些程序、数据、密钥成块,将保密系统必须运行的某些程序、数据、密钥等信息固化在接口的只读存储器中,同时在硬件上设等信息固化在接口的只读存储器中,同时在硬件上设旨一些持殊的标记,如某个特殊集成电路片的输比特旨一些持殊的标记,如某个特殊集成电路片的输比特征等征等 l加密软件运行时,要使用这些固化在接口中的程序、加密软件运行时,要使用这些固化在接口中的程序、数据和密钥,要判断是否存在特殊集成电路片的输出数据和密钥,要判断是否存在特殊集成电路片的输出特征,加密系统要对这些存储器的内容和硬件
37、特殊标特征,加密系统要对这些存储器的内容和硬件特殊标记采取一定的保密措施,使得敌手无法观察这些信息记采取一定的保密措施,使得敌手无法观察这些信息和标记和标记 l硬件防复制和加密也可以使用加密处理器,如硬件防复制和加密也可以使用加密处理器,如z8068密码处理器等密码处理器等 软件反跟踪技术软件分析技术概述软件分析技术概述加密反跟踪技术加密反跟踪技术l跟踪技术跟踪技术l反跟踪技术反跟踪技术执行程序结构执行程序结构静态跟踪、防静态分析、反防静态分析静态跟踪、防静态分析、反防静态分析软件反跟踪技术动态跟踪、防动态跟踪动态跟踪、防动态跟踪l破坏破坏debug的基本方法的基本方法l主动检测跟踪法主动检测
38、跟踪法l代码加密法代码加密法l其他防跟踪方法其他防跟踪方法软件分析技术概述软件分析技术概述从软件使用说明和操作中分析软件从软件使用说明和操作中分析软件l欲破解软件,首先应该先使用该软件,了解一下功能欲破解软件,首先应该先使用该软件,了解一下功能是否有限制,最好阅读一下软件的说明或手册,特别是否有限制,最好阅读一下软件的说明或手册,特别是自己所关心的关键部分的使用说明,这样也许能够是自己所关心的关键部分的使用说明,这样也许能够找点线索。找点线索。静态反汇编静态反汇编l所谓静态分析即从反汇编出来的程序清单上分析。所谓静态分析即从反汇编出来的程序清单上分析。l大多数软件在设计时,都采用了人机对话方式
39、,所以大多数软件在设计时,都采用了人机对话方式,所以提示信息入手进行分析。提示信息入手进行分析。lcrack时常用的静态分析工具是时常用的静态分析工具是W32DASM和和HIEW等。等。软件分析技术概述软件分析技术概述动态跟踪分析动态跟踪分析 l虽然从静态上可以了解程序的思路,但是并不虽然从静态上可以了解程序的思路,但是并不可能真正了解地了解软件的细节,如静态分析可能真正了解地了解软件的细节,如静态分析找不出线索,就要动态分析程序找不出线索,就要动态分析程序 l另外,碰到压缩程序,静态分析就无能为力了另外,碰到压缩程序,静态分析就无能为力了,只能动态分析了,只能动态分析了 l所谓动态分析是利用
40、所谓动态分析是利用SOFTICE或或TRW2000一步一步地单步执行软件。一步一步地单步执行软件。软件分析技术概述软件分析技术概述为什么需要动态跟踪分析?为什么需要动态跟踪分析?l许多软件在整体上完成的功能,一般要分解成若干模许多软件在整体上完成的功能,一般要分解成若干模块来完成,而且后一模块在执行时,往往需要使用其块来完成,而且后一模块在执行时,往往需要使用其前一模块处理的结果,这一结果我们把它叫中间结果前一模块处理的结果,这一结果我们把它叫中间结果。如果我们只对软件本身进行静态地分析,一般是很。如果我们只对软件本身进行静态地分析,一般是很难分析出这些中间结果的。难分析出这些中间结果的。l有
41、许多软件在运行时,其最初执行的一段程序往往需有许多软件在运行时,其最初执行的一段程序往往需要对该软件的后面各个模块进行一些初始始化工作,要对该软件的后面各个模块进行一些初始始化工作,而没有依赖系统的重定位。而没有依赖系统的重定位。l有许多加密程序为了阻止非法跟踪和阅读,对执行代有许多加密程序为了阻止非法跟踪和阅读,对执行代码的大部分内容进行了加密变换,而只有很短的一段码的大部分内容进行了加密变换,而只有很短的一段程序是明文。加密程序运行时,采用了逐块解密,逐程序是明文。加密程序运行时,采用了逐块解密,逐块执行和方法块执行和方法 软件分析技术概述软件分析技术概述如何进行动态跟踪分析?如何进行动态
42、跟踪分析?l对软件进行粗跟踪对软件进行粗跟踪所谓粗跟踪,即在跟踪时要大块大块地跟踪,也就是所谓粗跟踪,即在跟踪时要大块大块地跟踪,也就是说每次遇到调用说每次遇到调用CALL指令、重复操作指令指令、重复操作指令REP,循,循环操作环操作LOOP指令以及中断调用指令以及中断调用INT指令等,一般不指令等,一般不要跟踪进去,而是根据执行结果分析该段程序的功能要跟踪进去,而是根据执行结果分析该段程序的功能。l对关键部分进行细跟踪对关键部分进行细跟踪对软件进行了一定程度的粗跟踪之后,便可以获取软对软件进行了一定程度的粗跟踪之后,便可以获取软件中我们所关心的模块或程序段,这样就可以针对性件中我们所关心的模
43、块或程序段,这样就可以针对性地对该模块进行具体而详细地跟踪分析。地对该模块进行具体而详细地跟踪分析。一般情况下,对关键代码的跟踪可能要反复进行若干一般情况下,对关键代码的跟踪可能要反复进行若干次才能读懂该程序,每次要把比较关键的中间结果或次才能读懂该程序,每次要把比较关键的中间结果或指令地址记录下来,这样会对下一次分析有很大的帮指令地址记录下来,这样会对下一次分析有很大的帮助。助。静态跟踪、防静态分析、反防静态分析静态跟踪、防静态分析、反防静态分析反防静态分析是针对防静态分析而应用的技术,反防静态分析是针对防静态分析而应用的技术,主要使用动态跟踪方法,通过跟踪程序的运行,主要使用动态跟踪方法,
44、通过跟踪程序的运行,寻找真实判定正版处的跳转,修改代码,使得先寻找真实判定正版处的跳转,修改代码,使得先解密,忽略判定条件,直接执行程序体。解密,忽略判定条件,直接执行程序体。一种较为高级防静态分析方法,是后续模块需要一种较为高级防静态分析方法,是后续模块需要前面的模块运行结果,仅仅看代码是无法了解程前面的模块运行结果,仅仅看代码是无法了解程序控制流,这样可以防止破解者阅读程序。另外序控制流,这样可以防止破解者阅读程序。另外的方法还有程序自行初始化,不使用系统重定位的方法还有程序自行初始化,不使用系统重定位的方法,也破坏汇编代码的解释。的方法,也破坏汇编代码的解释。软件漏洞软件漏洞 拒绝服务拒
45、绝服务lDoS基本原理基本原理l利用软件实现的缺陷攻击利用软件实现的缺陷攻击l利用协议的漏洞攻击利用协议的漏洞攻击l进行资源比拼进行资源比拼拒绝服务拒绝服务DoS(DenialofService)拒绝服务攻)拒绝服务攻击广义上可以指任何导致你的服务器不能击广义上可以指任何导致你的服务器不能正常提供服务的攻击。正常提供服务的攻击。一个用户占有过多自愿而不给其他用户保一个用户占有过多自愿而不给其他用户保留共享资源(耗尽自愿,超负荷攻击),留共享资源(耗尽自愿,超负荷攻击),就是拒绝服务攻击。就是拒绝服务攻击。利用协议的漏洞攻击利用协议的漏洞攻击如果说上面那种漏洞危害的时间不是很长如果说上面那种漏洞
46、危害的时间不是很长,那么这种攻击的生存能力却非常强。为,那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联,所有的了能够在网络上进行互通、互联,所有的软件实现都必须遵循既有的协议,而如果软件实现都必须遵循既有的协议,而如果这种协议存在漏洞的话,所有遵循此协议这种协议存在漏洞的话,所有遵循此协议的软件都会受到影响。的软件都会受到影响。关于堆栈的基础知识关于堆栈的基础知识一个应用程序在运行一个应用程序在运行时,它在内存中的映时,它在内存中的映像可以分为三个部分像可以分为三个部分:代码段,数据段和堆代码段,数据段和堆栈段栈段(参见右图参见右图)。详细介绍堆栈段详细介绍堆栈段 堆栈 数据段
47、 代码段 栈底 栈顶 内存高端 内存低端 BufferOverflow的机理我们可以通过我们可以通过Buffer Overflow来改变来改变在堆栈中存放的过程返回地址,从而改变在堆栈中存放的过程返回地址,从而改变整个程序的流程,使它转向任何我们想要整个程序的流程,使它转向任何我们想要它去的地方它去的地方.内存漏洞一个对象被装入并且分配了内存,而在对一个对象被装入并且分配了内存,而在对象被关闭时却没有释放分配的内存,这样象被关闭时却没有释放分配的内存,这样,内存漏洞就产生了。在开发工具中也会,内存漏洞就产生了。在开发工具中也会有内存漏洞,这是我们无法控制的,但是有内存漏洞,这是我们无法控制的,
48、但是我们必须注意我们自己的代码所造成的内我们必须注意我们自己的代码所造成的内存漏洞。存漏洞。计算机病毒病毒概述病毒概述l计算机病毒概述计算机病毒概述l计算机病毒的表现计算机病毒的表现病毒的起源与发展病毒的起源与发展l病毒产生的背景病毒产生的背景l病毒发展病毒发展病毒分类病毒分类病毒分析病毒分析l病毒特征病毒特征l病毒程序结构及机制病毒程序结构及机制计算机病毒的表现计算机病毒的表现根据计算机病毒感染和发作的阶段,可以将计算根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类:发作前、发作时机病毒的表现现象分为三大类:发作前、发作时和发作后的表现现象。和发作后的表现现象。l计算机病
49、毒发作前的表现现象计算机病毒发作前的表现现象 计算机病毒发作前,是指从计算机病毒感染计算机系计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时,又自我复制,以各种手段进行传在不被发现的同时,又自我复制,以各种手段进行传播。播。病毒分类病毒分类按照计算机病毒的破
50、坏情况分类按照计算机病毒的破坏情况分类 l良性计算机病毒。良性病毒是指其不包含有立良性计算机病毒。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码即对计算机系统产生直接破坏作用的代码 l恶性计算机病毒。恶性病毒就是指在其代码中恶性计算机病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用染或发作时会对系统产生直接的破坏作用 病毒特征病毒特征传染性传染性 l传染性是病毒的基本特征。在生物界,通过传染病毒从一个传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体。在适当
