计算机系统漏洞攻击及防范研究.docVIP

计算机系统漏洞攻击及防范研究 　　摘要：随着互联网的迅速发展，系统漏洞攻击已成为了一种最广泛的攻击方式，该文对计算机系统漏洞攻击进行了分析，并提出了病毒防范的建议，从而达到提高计算机用户安全工作环境的目的。 　　关键词：系统漏洞；漏洞攻击；防范 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）27-0035-02 　　Abstract： With the rapid development of the Internet， the system has become the most widely used attack mode， this paper analyzes the computer system vulnerabilities， and puts forward some suggestions to prevent the virus， so as to achieve the purpose of improving the safety working environment of computer users. 　　Key words： system vulnerability； vulnerability attack； prevention 　　1 引言 　　随着互联网的迅速发展，人们在工作和生活中也越来越依赖于网络，这对病毒的传播提供了更快、更广的途径。计算机病毒不仅是对计算机系统造成危害，而且对计算机用户的隐私数据信息造成威胁，因此每一位计算机用户都应该对计算机病毒有所了解，掌握基本的病毒防御措施，提高自己的网络安全意识。 　　2 系统漏洞攻击介绍 　　计算机系统漏洞是指在硬件、软件及协议的实现中存在的缺陷，黑客利用这种缺陷产生相应危害的攻击。随着互联网的快速发展，计算机的广泛应用，操作系统的漏洞已经被越来越多的黑客所利用，计算机遭受的攻击也越来越频繁。系统漏洞主要分为缓冲区溢出漏洞和内存损坏漏洞。缓冲区溢出漏洞是最常见、最典型的漏洞之一，缓冲区是一个有限的数据存储区域，当某个程序存储于缓冲区的数据大于缓冲区的容量时就会发生溢出，溢出的数据到相邻的内存地址，病毒制造者就会利用这种漏洞，对接收数据的缓冲区长度进行计算分析，从而将自己的病毒代码程序放在发送的数据后面，覆盖的数据正是病毒代码的地址，当操作系统程序执行完毕返回时就会执行病毒代码，造成危害。像“红色代码”、“冲击波”等病毒就是利用该漏洞来攻击计算机。内存损坏漏洞是由已经释放的内存块被重新使用所造成的。特别是在使用微软COM技术时，如果使用对象不加以引用，就很容易造成内存的破坏，导致软件异常而无法继续执行。 　　2.1 MS08-067漏洞分析 　　MS08-067是一个具有主动暴露性的高危漏洞，可以造成“远程执行代码”的后果，非常的适合制作网络蠕虫。MS08-067漏洞位于netapi32.dll中，其中NetpwpathCanonicalize（）函数在解析路径名时存在堆栈上溢的问题，攻击者利用这点来构造路径参数来覆盖函数的返回地址，从而来执行远程代码。攻击者也可以通过RPC发送请求，使svchost.exe产生远程溢出。 　　以netapi32.dll为例来分析漏洞形成的原因。 　　从图1中可知，Netapi32.dll！netpwpathcanonicalize函数通过内部函数Canonicalizepathname来处理传入的路径，在Canonicalizepathname函数中出现漏洞溢出。该函数首先把路径中的“/”转换成“＼”，然后修改传入路径缓冲区来得到相对的路径。在处理相对路径时，使用两个指针分别指向前一个斜杠和当前的“＼”，当扫描到“…＼”时，复制从Currentslash开始的数据到Prevslash开始的空间，然后从当前的Prevslash指针减1的位置开始向前搜索来重新定位Prevslash，函数的处理过程如图2所示。 　　当完成对’…＼’的替换，缓冲区的内容为’＼a’。依照函数的算法，Prevslash减1并开始向前搜索，Prevslash已经向前越过了路径缓冲区的起始地址，导致该函数向堆栈的低地址上溢出，攻击者就可以通过传入已构造的路径数据覆盖掉函数的返回地址来执行代码。 　　2.2 ARP协议安全漏洞分析 　　ARP协议的基本功能是通过目的设备的IP地址来查询目的设备的MAC地址从而保证数据通信的正常进行。ARP攻击通过伪造IP地址和MAC地址来实现ARP欺骗，在网络中产生大量的ARP通信数据量来使网络阻塞，进行ARP的重定向和嗅探攻击。利用伪造的MAC地址发送ARP响应数据包，实现对ARP高速缓存的攻击。 　　当局域网内的某台主机