第7章 的应用系统安全.pptVIP

计算机系统安全原理与技术(第2版) 第7章 应用系统安全 本章主要内容 恶意程序 应用系统的编程安全 Web安全 软件保护 安全软件工程 7.1 恶意程序 恶意程序(Malicious Program)其分类如图: 7.1.1 计算机病毒 1．计算机病毒的概念 在1994年2月28日颁布的《中华人民共和国计算机信息系统安全保护条例》中是这样定义计算机病毒的：“是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，且能自我复制的一组计算机指令或者程序代码。” 7.1.1 计算机病毒 1．计算机病毒的概念 计算机病毒是一种计算机程序。此处的计算机为广义的、可编程的电子设备，包括数字电子计算机、模拟电子计算机、嵌入式电子系统等。既然计算机病毒是程序，就能在计算机的中央处理器(CPU)的控制下执行。这种执行，可以是直接执行，也可解释执行。此外，它也能像正常程序一样，存储在磁盘、内存储器中，也可固化成为固件。 7.1.1 计算机病毒 1．计算机病毒的概念 计算机病毒不是用户所希望执行的程序，因此病毒程序为了隐藏自己，一般不独立存在(计算机病毒本原除外)，而是寄生在别的有用的程序或文档之上。计算机病毒最特殊的地方在于它能自我复制，或者称为传染性。它的另一特殊之处是，在条件满足时能被激活。自我复制性和激活性有时又称活动性(Living)。 7.1.1 计算机病毒 2．病毒剖析 计算机病毒在结构上有着共同性，一般由3部分组成: （1）潜伏模块 （2）传染模块 （3）表现模块 7.1.1 计算机病毒 3．常用反病毒技术 （1）访问控制 （2）进程监视 （3）完整性验证 （4）病毒查杀软件 7.1.1 计算机病毒 4．反病毒技术的发展 （1）主动内核技术 （2）人工智能技术在反病毒中的应用 （3）数字免疫 7.1.2 蠕虫 一般认为“网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者因特网从一个节点传播到另外一个节点”。该定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征。 7.1.2 蠕虫 蠕虫的一个功能结构框架如图 7.1.2 蠕虫 网络蠕虫的工作机制 7.1.3 陷门 陷门是一个模块的未公开的秘密入口。陷门产生的原因： 程序员在程序开发期间故意插入用于程序调试或恶意目的； 为了连接未来的扩展而提供的“钩子”(HOOKS)； 为了在程序出错后，了解模块内部各变量的状况； 7.1.3 陷门 为了在程序出错后，了解模块内部各变量的状况； 稍大一点程序一般都由若干个模块组成，调试期间为了跟踪程序运行踪迹，常常在各个模块内部插入一些调试语句，以打印或显示的方式透视变量的取值情况，调试结束后，由未将这些语句去掉，形成了陷门。 在硬件处理器中并非所有操作码都有相应的指令码，这些未定义指令可能成为操作处理器的陷门。 7.1.4 特洛伊木马 我们这里讨论的木马，就是这样一个有用的、或者表面上有用的程序或者命令过程，但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码，它使得非法用户达到进入系统、控制系统和破坏系统的目的。它是一种基于客户机/服务器方式的远程控制程序，具有隐蔽性和非授权性等特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也不能确定其具体位置； 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 7.1.4 特洛伊木马 木马对系统具有强大的控制功能。一个功能强大的木马一旦被植入某台机器，操纵木马的人就能通过网络像使用自己的机器一样远程控制这台机器，甚至能远程监控受控机器上的所有操作。 著名的一些木马工具有：Back Orifice 2000(BO2K)、SubSeven，以及国产的灰鸽子、冰河等。 7.1.4 特洛伊木马 灰鸽子/ 官方主页宣称“灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发，主要产品为灰鸽子远程控制系列软件产品。然而，我们痛心的看到，目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为，这些行为严重影响了灰鸽子远程管理软件的声誉。自2007年3月21日起决定全面停止对灰鸽子远程管理软件的开发和注册。此网站仅记念多年在一起生活、工作过的灰鸽子工作室成员们。” 7.1.4 特洛伊木马 1．木马结构与分类 木马程序一般由2个部分组成： 控制端程序，用以远程控制服务端的程序。 服务端程序，被控制端远程控制的一方的程序。 “中