九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

 1） 準(zhǔn)備階段   確定攻擊目的——收集信息——服務(wù)分析——系統(tǒng)分析——漏洞分析 

2） 攻擊階段   破壞型攻擊（現(xiàn)成的工具，難度低） / 入侵型攻擊（獲得權(quán)限，難度比較大）

 3） 善后階段 留后門 / 擦除痕跡（修改日志、替換系統(tǒng)程序）

 2：掃描與防御技術(shù) 

1） 掃描是把雙刃劍對系統(tǒng)管理者而言，可以了解網(wǎng)絡(luò)的安全配置和正在運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)中可能的安全漏洞和錯(cuò)誤配置，客觀評估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級，增強(qiáng)對系統(tǒng)和網(wǎng)絡(luò)的管理和維護(hù)對攻擊者而言，掃描是絕大多數(shù)網(wǎng)絡(luò)攻擊的第一步，利用它來查找網(wǎng)絡(luò)上有漏洞的系統(tǒng)，收集信息，為后續(xù)攻擊做準(zhǔn)備 

2） 掃描類型Ping / 端口掃描 / 漏洞掃描（基于漏洞庫、基于模擬攻擊） 

3） 端口掃描技術(shù) 

a) TCP connect()不需要特權(quán)，但留下大量連接和錯(cuò)誤記錄，很容易被發(fā)現(xiàn)；端口開啟則成功返回，否則返回-1 

b) TCP SYN半連接，需要超級用戶權(quán)限來調(diào)用專門的系統(tǒng)調(diào)用；端口開啟則返回SYN/ACK，否則返回RST

 c) TCP FIN秘密掃描，需要超級用戶權(quán)限且只對特定的操作系統(tǒng)有用；端口開啟則無回復(fù)，否則返回RST 

d) UDP需要超級用戶權(quán)限，且不可靠；端口開啟則無回復(fù)，否則返回ICMP不可達(dá) 

e) FTP代理掃描PORT/LIST命令；端口開啟則返回150和226，否則返回425 can't build daa connection: Connection refused 

f) OS指紋識別主動(dòng)協(xié)議棧 / 被動(dòng)協(xié)議棧（TTL / window size / df / tos) 

4） 常用的掃描器SATAN / ISS Internet Scanner / Nessus / Nmap / X-Scan 

5） 掃描的防御 

a) 端口掃描檢測工具ProtectX / Winetd / Port Sentry 

b) 個(gè)人防火墻 

c) 日志審計(jì)

 d) 修改Banner，隱藏主機(jī)信息用戶正常連接時(shí)服務(wù)器提供的提示信息總的來說，進(jìn)制不必要的服務(wù)、屏蔽敏感信息、合理配置防火墻和IDS、及時(shí)安裝系統(tǒng)補(bǔ)丁

 3：網(wǎng)絡(luò)嗅探與防御 

1） 共享式網(wǎng)絡(luò)下的嗅探技術(shù)共享式網(wǎng)絡(luò)：任何一個(gè)節(jié)點(diǎn)都會接收到在信道中傳輸?shù)臄?shù)據(jù)幀，節(jié)點(diǎn)如何處理該數(shù)據(jù)幀，取決于數(shù)據(jù)幀的真實(shí)目的地址和節(jié)點(diǎn)網(wǎng)卡的接收模式網(wǎng)卡的接收模式：一般模式（廣播、組播、直接） /  混雜模式【網(wǎng)卡對數(shù)據(jù)幀中的目的MAC地址不加任何檢查，全部接收】數(shù)據(jù)包的處理過程：鏈路層（MAC地址匹配）——網(wǎng)絡(luò)層（IP地址匹配）——傳輸層（端口匹配） 

原理：有一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊，作為網(wǎng)卡驅(qū)動(dòng)與上層應(yīng)用的“中間人”，它將網(wǎng)卡設(shè)置成混雜模式，并將接收到的數(shù)據(jù)發(fā)送給上層應(yīng)用，由上層應(yīng)用來決定是上傳該數(shù)據(jù)包還是丟棄嗅探軟件開發(fā)庫：基于UNIX系統(tǒng)的開發(fā)庫LibPcap，基于Windows系統(tǒng)的開發(fā)庫WinPcap

 2） 交換式網(wǎng)絡(luò)下的嗅探技術(shù)交換式網(wǎng)絡(luò)：用交換機(jī)或者其他非廣播式交換設(shè)備建成的局域網(wǎng)，這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址來決定數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口 

a) 溢出攻擊——大量MAC地址錯(cuò)誤數(shù)據(jù)幀，導(dǎo)致交換機(jī)中的MAC地址與端口映射表溢出，從而退化成廣播方式來轉(zhuǎn)發(fā)數(shù)據(jù)包

 b)ARP欺騙——IP地址和MAC地址間的轉(zhuǎn)換協(xié)議（在下面會詳說） 

3） 防御

 a) 通用手段安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)——構(gòu)造合理的網(wǎng)絡(luò)分段會話加密——數(shù)據(jù)通道加密(SSH/SSL/VPN)、數(shù)據(jù)內(nèi)容加密注意重點(diǎn)區(qū)域的安全防范——網(wǎng)關(guān)、交換機(jī)、路由器等地方 

b) 共享式網(wǎng)絡(luò)下檢測混雜模式網(wǎng)卡 

i：網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測試——驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通信流量，處于混雜模式的網(wǎng)卡響應(yīng)時(shí)間數(shù)量級變化較大 

ii：ARP檢測——偽造ARP請求報(bào)文，目的地址不是廣播地址，發(fā)送給網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)；某個(gè)主機(jī)響應(yīng)這個(gè)ARP請求，則說明該節(jié)點(diǎn)處于混雜模式檢測通信丟包率——網(wǎng)絡(luò)結(jié)構(gòu)正常的情況下，數(shù)據(jù)丟包率高說明有網(wǎng)卡處于混雜模式檢測網(wǎng)絡(luò)帶寬異?！撑_機(jī)器長時(shí)間占用了較大的帶寬，說明該網(wǎng)卡處于混雜模式 

c) 交換式網(wǎng)絡(luò)下不要把網(wǎng)絡(luò)安全信任關(guān)系建立在單一的IP或MAC基礎(chǔ)上，而是IP-MAC關(guān)系上使用靜態(tài)ARP或IP-MAC對應(yīng)表代替動(dòng)態(tài)的，并禁止自動(dòng)更新，使用手動(dòng)更新定期檢查ARP請求，探測ARP欺騙 

4：口令破解與防御 

1） 口令破解方式詞典攻擊——根據(jù)用戶信息建立用戶可能使用的口令的詞典文件，利用詞典文件進(jìn)行猜測強(qiáng)行攻擊——破解時(shí)間長組合攻擊——在使用詞典單詞的基礎(chǔ)上，在單詞后面串接幾個(gè)字母和數(shù)字進(jìn)行攻擊其它攻擊——社會工程學(xué)、偷窺、搜索垃圾箱、口令蠕蟲、特洛伊木馬、網(wǎng)絡(luò)嗅探、重放 

2） 口令破解器口令產(chǎn)生器、口令加密模塊、口令比較模塊3） 口令破解的防御使用強(qiáng)口令——每45天換一次、至少包含10個(gè)字符、至少包含一個(gè)字母一個(gè)數(shù)字一個(gè)特殊符號、字母數(shù)字符號混合、不包含詞典中的單詞、不重復(fù)使用之前的五個(gè)口令、至少使用10天、設(shè)定口令登陸限制次數(shù)針對存放口令信息的系統(tǒng)——防止口令信息的未授權(quán)泄露、修改和刪除（對內(nèi)容進(jìn)行加密，隱藏原始信息，使其不可讀）一次性口令——挑戰(zhàn)響應(yīng)機(jī)制，口令并么有在網(wǎng)絡(luò)上傳輸口令管理策略 

5：欺騙攻擊與防御

 1） IP欺騙與防御簡單的IP地址變化——無法接收返回的數(shù)據(jù)包，盲目飛行攻擊，只能進(jìn)行拒絕服務(wù)攻擊源路由攻擊——指定寬松的源站線路（指明返回的數(shù)據(jù)包需要經(jīng)過的IP地址清單，如果需要，可以經(jīng)過除這些地址意外的地址），并將自己的IP列在地址清單中利用UNIX系統(tǒng)間的信任關(guān)系TCP會話劫持

（一般在網(wǎng)絡(luò)流量高峰期進(jìn)行【可供選擇的會話多，且不容易被發(fā)向】） 

過程：發(fā)現(xiàn)攻擊目標(biāo)——確認(rèn)動(dòng)態(tài)會話——猜測序列號（隨著傳輸字節(jié)數(shù)遞增）——使客戶主機(jī)下線（拒絕服務(wù)攻擊）——接管會話防御：對基本的IP欺騙——出口/入口過濾、禁止使用源路由、不使用信任關(guān)系會話劫持攻擊——加密、安全協(xié)議 

2） ARP欺騙與防御局域網(wǎng)內(nèi)通信（主機(jī)中的ARP緩存表）、局域網(wǎng)間通信（主機(jī)中的ARP緩存表，網(wǎng)關(guān)的ARP緩存表）缺陷：主機(jī)收到ARP應(yīng)答包，不驗(yàn)證而直接更新本地的ARP緩存表中的原有信息防御：IP-MAC地址綁定、靜態(tài)ARP緩存、使用ARP服務(wù)器、使用ARP欺騙防護(hù)軟件 

3） DNS欺騙與防御當(dāng)你訪問某域名，需要知道IP——進(jìn)行域名解析——本地DNS服務(wù)器——更高層DNS服務(wù)器（直到返回解析結(jié)果）怎樣偽造DNS應(yīng)答消息？一種可能是控制了某個(gè)域名服務(wù)器，在該服務(wù)器的緩存中去添加記錄，讓攻擊目標(biāo)的域名指向攻擊者的欺騙IP，但這種可能性很低；一般攻擊者是控制該服務(wù)器所在網(wǎng)絡(luò)的某臺主機(jī)，并可以監(jiān)聽該網(wǎng)絡(luò)中的通信情況，對該DNS服務(wù)器進(jìn)行欺騙攻擊，在此之前，我們要知道：DNS數(shù)據(jù)通過UDP傳輸，端口53，而一個(gè)DNS服務(wù)器可能同時(shí)進(jìn)行多個(gè)解析，這時(shí)怎么區(qū)分不同的解析過程，主要是DNS報(bào)文格式頭部的ID域，這個(gè)ID號機(jī)位DNS欺騙攻擊的關(guān)鍵所在看一個(gè)例子，就能比較好的理解該過程：假設(shè)攻擊主機(jī)X（IP為1.2.3.4），所在網(wǎng)絡(luò)有DNS服務(wù)器B，首先它向該DNS服務(wù)器請求解析一個(gè)域名Y，DNS返回域名Y的IP地址，同時(shí)攜帶一個(gè)ID號，假設(shè)為666；此時(shí)，攻擊主機(jī)X再向DNS請求解析另外一個(gè)域名Z，DNS服務(wù)器沒有該域名的IP，會向更高層的DNS服務(wù)器C請求解析，在DNS服務(wù)器C返回解析結(jié)果之前，攻擊主機(jī)X偽造成DNS服務(wù)器C的IP，并將DNS報(bào)文頭部中的ID置為666/667/668，同時(shí)將解析結(jié)果置為其自己的IP，并將解析結(jié)果發(fā)送給DNS服務(wù)器B；則DNS服務(wù)器B里會增加一個(gè)記錄，域名Z與攻擊主機(jī)X的IP對應(yīng)的記錄，在以后其它主機(jī)向DNS服務(wù)器B請求解析Z，就會重定向到攻擊主機(jī)X局限：攻擊者不能替換緩存中已存在的記錄（只能增加）、緩存刷新問題（有效期過了就得重新進(jìn)行欺騙攻擊）防御：使用最新的DNS服務(wù)器軟件、關(guān)閉DNS服務(wù)器的遞歸功能、限制動(dòng)態(tài)更新、采用分層的DNS體系結(jié)構(gòu) 

4） 其它的欺騙攻擊：Email欺騙、Web欺騙 

6：拒絕服務(wù)攻擊與防御 

概念：利用網(wǎng)絡(luò)安全防護(hù)措施不足導(dǎo)致用戶不能或者不敢繼續(xù)使用正常服務(wù)的攻擊手段分類：濫用合理的服務(wù)請求【針對目標(biāo)主機(jī)，消耗目標(biāo)主機(jī)資源】、制造高流量無用數(shù)據(jù)【針對網(wǎng)絡(luò)，占用網(wǎng)絡(luò)帶寬】、利用傳輸協(xié)議缺陷【導(dǎo)致目標(biāo)主機(jī)崩潰】、利用服務(wù)程序的漏洞【導(dǎo)致服務(wù)處理錯(cuò)誤而拒絕服務(wù)】 

典型技術(shù)：Ping of Death / 淚滴 / IP欺騙 / UDP洪水 / SYN洪水分布式拒絕服務(wù)攻擊——控制分布在網(wǎng)絡(luò)各處的數(shù)百甚至數(shù)千傀儡主機(jī)【肉機(jī)】，發(fā)動(dòng)它們同時(shí)攻擊目標(biāo)；工具有Trinoo/TFN/Stacheldrcht/Trinity防御：優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu)、保護(hù)主機(jī)系統(tǒng)安全、安裝入侵檢測系統(tǒng)、借助掃描工具

 7：緩沖區(qū)溢出攻擊與防御 

概念：向固定長度的緩沖區(qū)中寫入超出其預(yù)先分配長度的內(nèi)容，造成緩沖區(qū)中數(shù)據(jù)的溢出，從而覆蓋緩沖區(qū)相鄰的內(nèi)存空間 

特點(diǎn)：隱蔽性【在被發(fā)現(xiàn)之前，程序員一般不會意識到自己的程序存在漏洞】【被植入的攻擊代碼一般很短，執(zhí)行時(shí)間非常短，很難在執(zhí)行過程中被發(fā)現(xiàn)】【漏洞存在于防火墻內(nèi)部的主機(jī)上，攻擊者可以在防火墻內(nèi)部取得不被允許或者沒有權(quán)限的控制權(quán)】【攻擊具有隨機(jī)性和不可預(yù)測性】程序運(yùn)行時(shí)系統(tǒng)開辟的內(nèi)存：.text--.data--.bss--heap--stack--命令行參數(shù)及環(huán)境變量，從左到右為地地址到高地址，有幾個(gè)需要注意的問題1） 代碼段(.text)，存放程序的機(jī)器碼以及只讀數(shù)據(jù)，一般標(biāo)記為只讀，對該區(qū)的讀寫會導(dǎo)致段錯(cuò)誤 

2） 數(shù)據(jù)段(.data/.bss)，存放已初始化的數(shù)據(jù)段以及未初始化的數(shù)據(jù)段，編譯時(shí)分配 

3） 堆(heap)，位于BSS內(nèi)存段的上邊，用于存儲程序運(yùn)行時(shí)分配的變量 

4） 棧(stack)，用于存儲函數(shù)調(diào)用時(shí)的臨時(shí)信息的結(jié)構(gòu) 

5） 堆和棧的區(qū)別，分配和管理方式不同【堆由程序員控制，棧由編譯器自動(dòng)管理】、產(chǎn)生碎片不同【堆會造成大量的碎片，效率低】、生長方向不同【堆從低地址往高地址生長，棧由高地址往低地址生長】 

6） 函數(shù)調(diào)用時(shí)，計(jì)算機(jī)的一系列操作：首先將指令寄存器EIP入棧，作為程序的返回地址（RET）；然后將基址寄存器EBP入棧，指向當(dāng)前函數(shù)棧的底部；再把當(dāng)前的棧指針ESP復(fù)制到EBP，作為新的基地址；最后為本地變量的動(dòng)態(tài)存儲分配留出空間，并把ESP減去適當(dāng)?shù)闹稻彌_區(qū)溢出的類型 

1） 棧溢出，根據(jù)上面函數(shù)調(diào)用時(shí)的操作，當(dāng)給本地變量賦予的值超過其存儲空間，將覆蓋鄰近區(qū)域的內(nèi)存，導(dǎo)致棧溢出2） 堆溢出，動(dòng)態(tài)分配的內(nèi)存，在賦值時(shí)超過其分配的長度，會覆蓋相鄰位置的內(nèi)存 

3） BSS溢出，全局或靜態(tài)的未初始化變量，同樣的往變量寫入超過其長度的數(shù)據(jù)，會覆蓋相鄰位置的內(nèi)存緩沖區(qū)溢出攻擊的過程：在程序的地址空間里安排適當(dāng)?shù)拇a——將控制流程轉(zhuǎn)移到攻擊代碼【函數(shù)指針、激活記錄（覆蓋RET）、長跳轉(zhuǎn)緩沖區(qū)】植入代碼的構(gòu)造類型：NSR型（適合于緩沖區(qū)大的情況，往前跳轉(zhuǎn)到shellcode），RNS型（適合于緩沖區(qū)小的情況，往后跳轉(zhuǎn)到shellcode），AR型（必須事先將shellcode放置在環(huán)境變量中，應(yīng)用受到限制）防御：源碼級保護(hù)方法（程序員自身、代碼審計(jì)工具）、運(yùn)行期保護(hù)方法、阻止攻擊代碼執(zhí)行（設(shè)置數(shù)據(jù)段地址空間的屬性為不可執(zhí)行【非執(zhí)行的緩沖區(qū)技術(shù)】） 

8：Web攻擊與防御技術(shù) 

主要的四種動(dòng)態(tài)網(wǎng)頁技術(shù)及時(shí)及其安全問題 

1） CGI（通用網(wǎng)關(guān)接口）：未驗(yàn)證用戶輸入?yún)?shù)、使用路徑信息填充PATH_INFO或其它環(huán)境變量 

2） ASP（Active Service Pages）——允許腳本語言與HTML一起編寫程序；主要工作環(huán)境是微軟的IIS應(yīng)用程序結(jié)構(gòu)，跨平臺性差 

3） JSP（JavaServer Pages）——用Java語言作為腳本語言；能運(yùn)行在任何安裝了JVM的環(huán)境中，跨平臺性好上面兩個(gè)安全問題主要是源代碼泄露，以下操作都會導(dǎo)致該問題：在程序后面添加特殊符號、通過.bak文件擴(kuò)展名獲得ASP文件源代碼、code.asp（用于查看其它.asp文件的源代碼） 

4） PHP（Hypertext Preprocessor）——支持幾乎所有流行的數(shù)據(jù)庫和操作系統(tǒng)，兼容性強(qiáng)，擴(kuò)展性強(qiáng)主要漏洞：全局變量未初始化漏洞（用戶可以通過給服務(wù)器傳參來跳過驗(yàn)證機(jī)制）、文件上傳功能（PHP自動(dòng)支持文件上載，在解析之前已經(jīng)將文件臨時(shí)存儲在服務(wù)器上，且使用四個(gè)全局變量來描述該文件，若用戶通過傳參的方式來給這四個(gè)全局變量賦值，則可能使服務(wù)器處理其他文件【如passwd敏感文件】而不是這個(gè)上載的文件）PHP應(yīng)合理配置：禁止為用戶輸入創(chuàng)建全局變量、設(shè)置安全模式、禁止顯示錯(cuò)誤信息 

5）IIS服務(wù)器的安全問題：.ida和idq漏洞（暴露文件在web服務(wù)器上的物理路徑）、Unicode目錄遍歷漏洞（用戶通過構(gòu)造適當(dāng)?shù)腢nicode字符"\"和"/"等，可以遍歷磁盤上的目錄）、緩沖區(qū)溢出漏洞Web頁面盜竊以及防御主要手段：逐頁手動(dòng)掃描、自動(dòng)掃描防御：提高web頁面代碼質(zhì)量、監(jiān)視訪問日志中快速增長的GET請求（自動(dòng)掃描）、在Web站點(diǎn)上設(shè)置garbage.cgi（自動(dòng)掃描）、及時(shí)修補(bǔ)安全漏洞跨站腳本攻擊（XSS）以及防御主要攻擊對象：登陸網(wǎng)站的用戶，而不是Web服務(wù)器本身兩個(gè)條件：一個(gè)存在XSS漏洞的Web應(yīng)用程序（沒有對用戶的輸入進(jìn)行有效驗(yàn)證，而又輕易地將它們返回給客戶端）、用戶點(diǎn)擊鏈接或者訪問某一頁面SQL注入以及防御概念——通過提交精心設(shè)計(jì)的數(shù)據(jù)庫查詢代碼，根據(jù)網(wǎng)頁的返回結(jié)果來獲知網(wǎng)站的敏感信息防御：對用戶提交的數(shù)據(jù)和輸入?yún)?shù)進(jìn)行嚴(yán)格的過濾、為Web程序建立受限的連接，只能訪問特定的數(shù)據(jù)庫、摒棄動(dòng)態(tài)SQL語句（從根本上阻斷SQL注入）網(wǎng)頁驗(yàn)證碼技術(shù)防止用戶使用程序自動(dòng)進(jìn)行提交注入，防止暴力破解、惡意灌水等基于兩個(gè)假設(shè)：用戶可以收到并了解驗(yàn)證碼、攻擊者的自動(dòng)程序無法了解驗(yàn)證碼常見的幾種驗(yàn)證碼：文本驗(yàn)證碼（安全性差）、手機(jī)驗(yàn)證碼（用戶可能無法收到短信）、郵件驗(yàn)證碼（郵件可能被淹沒或過濾）、圖片驗(yàn)證碼（目前也受到極大威脅） 

9：木馬攻擊與防御技術(shù)概念——一段能實(shí)現(xiàn)有用的或必須的功能的程序，但是同時(shí)還完成一些不為人知的功能（木馬與病毒最根本的區(qū)別就是病毒有很強(qiáng)的傳染性而木馬沒有）分類：破壞型、密碼發(fā)送型、遠(yuǎn)程訪問型、鍵盤記錄木馬、DoS攻擊木馬、代理木馬、FTP木馬、程序殺手木馬（針對監(jiān)控軟件）、反彈端口木馬特點(diǎn)：有效性（能與控制端建立某種有效聯(lián)系）、隱蔽性（木馬的生命）、頑固性（有效清除木馬的難易程度）、易植入性、自動(dòng)運(yùn)行、自動(dòng)恢復(fù)（多個(gè)備份，相互恢復(fù)）攻擊步驟：植入木馬——木馬自動(dòng)加載運(yùn)行并很好隱藏自己——實(shí)現(xiàn)一些攻擊者感興趣的功能 

1） 植入技術(shù)：主動(dòng)植入（本地植入【網(wǎng)吧等環(huán)境】，遠(yuǎn)程植入【利用系統(tǒng)漏洞或第三方軟件漏洞】）、被動(dòng)植入（利用Email附件，網(wǎng)頁瀏覽，移動(dòng)存儲設(shè)備，其它可執(zhí)行程序）2） 自動(dòng)加載技術(shù)：修改系統(tǒng)啟動(dòng)時(shí)運(yùn)行的批處理文件、修改系統(tǒng)文件、修改系統(tǒng)注冊表、添加系統(tǒng)服務(wù)、修改文件關(guān)聯(lián)屬性、利用系統(tǒng)自動(dòng)運(yùn)行的程序 

3） 隱藏技術(shù)：偽隱藏（使用與windows系統(tǒng)進(jìn)程或其它正在運(yùn)行的進(jìn)程非常相似的進(jìn)程名、偽造進(jìn)程列表）；真隱藏（替換Windows系統(tǒng)中的DLL文件、將木馬程序嵌入到正在運(yùn)行的進(jìn)程中）

 4） 監(jiān)控技術(shù)：客戶端/服務(wù)器端模式建立與攻擊者之間的聯(lián)系——獲取目標(biāo)機(jī)器信息、記錄用戶事件、遠(yuǎn)程操作流行的木馬：Back Orifice / SubSeven / 冰河木馬

 防御： 

1） 木馬的檢測：端口掃描和連接檢查、檢查系統(tǒng)進(jìn)程、檢查.ini文件/注冊表/服務(wù)、監(jiān)視網(wǎng)絡(luò)通信

 2） 木馬的清除和善后：先關(guān)閉木馬進(jìn)程再刪除注冊表項(xiàng)（防止木馬的自動(dòng)恢復(fù)）【不同的木馬有不同的清除方法】、處理遺留問題（說得好泛） 

10：計(jì)算機(jī)病毒 

網(wǎng)絡(luò)蠕蟲——可以通過網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序邏輯炸彈——嵌在合法程序中的、只有當(dāng)特定的事件出現(xiàn)或在某個(gè)特殊的邏輯條件下才會進(jìn)行破壞行為的一組程序代碼陷門——一個(gè)程序模塊中未被登記的秘密入口 

典型的計(jì)算機(jī)病毒：DoS病毒：引導(dǎo)型病毒，文件型病毒的傳染機(jī)制——可執(zhí)行文件的加載過程，通過中斷首先將可執(zhí)行程序加載到內(nèi)存中，然后從第一條指令處開始執(zhí)行，病毒通常會修改可執(zhí)行文件頭的參數(shù)，使其先執(zhí)行病毒代碼，再轉(zhuǎn)去執(zhí)行真正的代碼，這洋就完成了傳染的工作Win32 PE病毒：重定位（病毒無法知道自己會感染host程序的什么地方，從而變量/常量的地址也無法知道，菏澤就需要進(jìn)行重定位）；獲取API函數(shù)地址（Win32 PE依賴于Windows API）；文件搜索（利用Windows API提供的接口）；感染文件（添加新節(jié)、附加在最后一個(gè)節(jié)上、分散插入到PE文件空隙中、覆蓋某些非常用數(shù)據(jù)、壓縮某些數(shù)據(jù)或代碼以騰出空間） 

宏病毒：利用宏語言的功能將自己復(fù)制并且繁殖到其它數(shù)據(jù)文檔里；特性（與平臺無關(guān)，可以正確打開和理解word文件的平臺都可能感染、采用高級程序語言編寫，不需了解太多底層機(jī)制和硬件原理、依賴應(yīng)用程序解釋，獲得宏病毒的同時(shí)也就獲得病毒的源程序【與傳統(tǒng)病毒以二進(jìn)制形式存在不同】）

 腳本病毒：編寫簡單、破壞力大、感染力強(qiáng)，病毒變種多、病毒生產(chǎn)機(jī)容易實(shí)現(xiàn)（可以按照用戶的要求進(jìn)行配置，以生成特定病毒的“機(jī)器”）HTML病毒：在HTML文件中用于非法修改或破壞用戶計(jì)算機(jī)配置的HTML代碼，通過ActiveX控件調(diào)用系統(tǒng)函數(shù)如RegWrite()修改用戶計(jì)算機(jī)的注冊表等 

蠕蟲：與計(jì)算機(jī)病毒的區(qū)別（蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的機(jī)器上；計(jì)算機(jī)病毒是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上，但不能獨(dú)立運(yùn)行，需要宿主程序運(yùn)行來激活它）；最大的區(qū)別在于主動(dòng)性和獨(dú)立性（計(jì)算機(jī)病毒的傳染是被動(dòng)的，需要借助用戶的行為，而蠕蟲主要利用計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)行傳播，搜索到網(wǎng)絡(luò)中存在可利用漏洞的計(jì)算機(jī)后就主動(dòng)進(jìn)行攻擊，傳播過程不需要人為干預(yù)）；傳播過程——掃描（探測漏洞）、攻擊（建立傳輸通道）、復(fù)制常用防病毒軟件：Symantec Norton AntiVirus、卡巴斯基反病毒軟件、瑞星殺毒軟件、金山毒霸、江民、McAfee VirusScan、F-Secure AntiVirus、BitDefender 

11：典型防御技術(shù) 

密碼學(xué)技術(shù)——通信雙方按約定的法則進(jìn)行信息特殊變換的一種重要保密手段 

1） 對稱密碼（通信雙方使用同一個(gè)密鑰對消息進(jìn)行加解密）DES/IDEA、

 2） 非對稱密碼（將傳統(tǒng)密碼的密鑰分為加密密鑰和解密密鑰）Diffie-Hellman/RSA/ElGamal/橢圓曲線密碼體制 

3） 單向哈希函數(shù)（單向函數(shù)是一種易于正向計(jì)算，但很難反向計(jì)算的函數(shù)；哈希函數(shù)把一個(gè)值x映射到另外一個(gè)值y，y屬于一個(gè)有固定數(shù)量值（少于x集合）的集合 

身份認(rèn)證——驗(yàn)證一個(gè)主體身份的真實(shí)性或證實(shí)某事是否屬實(shí)的過程 

1） 基于口令的認(rèn)證（口令在網(wǎng)絡(luò)上傳輸，可能被竊聽，且可能受到重放攻擊） 

2） 基于地址的認(rèn)證（一個(gè)主機(jī)存儲著可以訪問本機(jī)的其他主機(jī)的賬號信息，只要確認(rèn)了對方的主機(jī)地址，就可以利用本地的信息進(jìn)行用戶認(rèn)證，而不需要將口令在網(wǎng)上傳輸【問題：攻擊者掌握了其中一臺主機(jī)，且這臺主機(jī)被其他主機(jī)信任，則其他主機(jī)也就相當(dāng)于被攻破了） 

3） 基于生理特征的認(rèn)證（指紋識別、視網(wǎng)膜識別、發(fā)音識別等技術(shù)，一個(gè)重要衡量標(biāo)志是識別率） 

4） Kerberos認(rèn)證（基于可信賴第三方的認(rèn)證協(xié)議【認(rèn)證服務(wù)器、票據(jù)授予服務(wù)器】，用戶只需輸入一次身份認(rèn)證信息，就可以憑借此驗(yàn)證獲得的票據(jù)訪問多個(gè)服務(wù)） 

5） 公鑰基礎(chǔ)設(shè)施PKI（兩個(gè)用戶進(jìn)行通信，發(fā)送方從證書庫中獲得接收方的公鑰，利用該公鑰對信息進(jìn)行加密，發(fā)送出去，只有擁有相應(yīng)的私有密鑰的用戶才能對該消息進(jìn)行解密） 

防火墻——位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制的一組組件的集合，內(nèi)部和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻，只有符合安全策略的數(shù)據(jù)流才能通過防火墻，防火墻自身對滲透免疫 

1） 包過濾防火墻：靜態(tài)包過濾（事先定義好過濾規(guī)則，對每一個(gè)數(shù)據(jù)包都進(jìn)行信息提取和過濾匹配，過濾負(fù)載較重，容易造成網(wǎng)絡(luò)訪問的瓶頸）；動(dòng)態(tài)包過濾（動(dòng)態(tài)設(shè)置包過濾規(guī)則）2） 代理服務(wù)器型防火墻：在主機(jī)上運(yùn)行代理的服務(wù)程序，直接對特定的應(yīng)用層進(jìn)行服務(wù) 

3） 電路級網(wǎng)關(guān)

 4） 混合型防火墻防火墻產(chǎn)品：Checkpoint FireWall-1、東軟NetEye、天融信網(wǎng)絡(luò)衛(wèi)士、NetScreen入侵檢測系統(tǒng)——能及時(shí)檢測出惡意入侵的系統(tǒng)，是一種主動(dòng)防御技術(shù)（基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)）主要產(chǎn)品：Snort、ISS RealSecure、Watcher虛擬專用網(wǎng)技術(shù)——利用接入服務(wù)器、路由器及VPN專用設(shè)備、采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公用的廣域網(wǎng)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)日志和審計(jì)——在文件系統(tǒng)的i基礎(chǔ)上，加入文件系統(tǒng)更改的記錄主要審計(jì)工具：Swatch/PslogList

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報(bào)。