信息系统安全第4章_1_.pptVIP

第4章 一般说来，可以对于信息系统入侵和攻击手段有下面一些： （1）恶意代码攻击 病毒 特洛伊木马 蠕虫 细菌 陷门 逻辑炸弹等 （2）消息收集攻击 （3）代码漏洞攻击 （4）欺骗和会话劫持攻击 （5）分布式攻击 （6）其他攻击 4.1 计算机病毒 4.1.1 计算机病毒的特征 1. 非授权执行性 2. 感染性 3. 潜伏性与隐蔽性 4. 寄生性 4.1.2 计算机病毒分类 1. 按照所攻击的操作系统分类 DOS病毒 UNIX/Linux病毒 Windows病毒 OS/2病毒 Macintosh病毒 手机病毒。 4.1.3 计算机病毒的基本机制 1. 潜伏 （1）引导 引导过程由三步组成： ① 驻留内存 ② 窃取控制权 ③ 恢复系统功能 （2）隐藏 （3）捕捉（也称搜索） 4.1.4 典型计算机病毒分析 （1）DOS引导型病毒分析 DOS引导型病毒是隐藏在磁盘主引导扇区（boot sector）的病毒。主引导扇区位于硬盘的0柱面0磁道1扇区，其结构如图4.2所示，用于存放主引导记录（main boot record，MBR）、硬盘主分区表（Disk Partition Table, DPT）和引导扇区标记（boot record ID）。 （2）DOS的自举过程 ① 将本来要读入到0000:7C00H处的硬盘主引导程序转移到0000:0600H处。 ② 顺序读入4个分区表的自举标志，以找出自举分区：若找不到，就转向执行INT 18H的BOOT异常，执行异常中断程序。 ③ 找到自举分区后，检测该分区标志：如果是32位/16位FAT并支持13号中断的扩展功能，就转向执行13#中断的41#功能调用，进行安装检测。检测成功，就执行42号扩展功能调用，把BOOT程序读入内存0000:7c00H处。读入成功，就执行0000:7c00H处的程序；读入失败，就调用13号中断的读扇区功能，把BOOT程序读入内存0000:7c00H处。 （3）引导型病毒的传染过程 引导型病毒的感染过程：装入内存+攻击 装入过程 1 系统开机后，进入系统检测，检测正常后，从0面0道1扇区，即逻辑0扇区读取信息到内存的0000~7C00处： 2 系统开始运行病毒引导部分，将病毒的其他部分读入到内存的某一安全区 3 病毒修改INT 13H中断服务处理程序的入口地址，使之指向病毒控制模块并执行。 4 病毒程序全部读入后，接着读入正常boot内容到内存0000:7C00H处，进行正常的启动过程。 5 病毒程序伺机等待随时感染新的系统盘或非系统盘。 2. COM文件型病毒分析 · COM型文件是如何执行的； · COM型病毒是如何寄生在COM型文件之中的； · COM型文件病毒是如何执行的。 （1）COM文件的加载与内存结构 COM文件是一种单段执行结构，它被分配在一个64k字节的空间中。 这个空间中存放 COM文件 程序段前缀（program segment prefix，PSP） 一个起始堆栈。 为了运行COM文件，要还要为它设置多个内部寄存器的初值——使4个段寄存器CS、ES、PS、SS均指向PSP+0h；使指令寄存器IP指向PSP+100h——COM文件的第1条指令处。 （2）COM型文件病毒机制 ① 病毒取得控制权的时机 一般说来，当由DOS用Jump指令跳到COM程序的起点时，是一个比较合适的时机。因为这时COM程序还没有执行，病毒的运行也不会干扰宿主程序的运行，便于病毒自己的隐蔽和安全。同时，系统为COM程序分配的内存空间还空闲着，病毒可以自由地使用这些空间。 ② 病毒取得控制权的方法 · 把被感染的COM文件的最开始（100H偏移处）几个字节，换成跳转到病毒代码的Jump指令； · 用Jump指令将流程转到病毒代码，完成感染和破坏过程； · 病毒代码执行结束，要先恢复被替换的几个字节，再跳回到100H偏移处，执行宿主程序。 （3）已感染病毒的COM型程序的执行大致过程 ① 被感染的COM文件被加载到内存。 ② 系统将控制权交到100H偏移处。 ③ 执行100H偏移处的跳转指令，开始执行病毒代码。 ④ 内存中的病毒代码开始搜索磁盘，寻找合适的感染目标。 ⑤ 找到合适的感染目标，将病毒自身复制到目标的尾部；将该目标COM文件最开始几个字节读到内存，保存到病毒码所在的某数据区；写一条转向该文件尾部的病毒代码的Jump指令，以便该COM文件被执行时通过它会把控制权交给病毒代码。 ⑥ 病毒把COM文件的最初几个字节写回到原来的100H偏移处； ⑦ 病毒代码执行一条跳转到100H偏移处的Jump指令，开始执行宿主程序。 （1）Win 32 PE文件格式 MZ格式的可执行文件的简单结构 （2）PE文件的装载过程 1 PE文件