信息安全导论 第3章.ppt

　 　　进程是一个程序及其数据在处理器上的运行过程，是系统进行资源分配和调度的独立单位。一个进程由代码段、程序指针、堆栈(用于存放临时数据)、数据段(存放全局变量)和进程控制块组成。 　　操作系统是通过进程控制块来感知和控制一个进程的，进程和进程控制块中包含的信息如图3-2所示。 　　从上图3-2可知，处于加工处理状态中的数据有如下几种数据结构： 　　(1) 进程控制块中的数据； 　　(2) 数据区中的数据； 　　(3) 堆栈中的数据； 　　(4) 代码段中的数据； 　　(5) 共享的数据。 　　例3-1 缓冲区溢出攻击。 　　缓冲区溢出攻击一般指向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。缓冲区溢出攻击示意图如图3-3所示。 3.1.2 信息处于存储状态 　　处于存储状态的信息是以文件为单位的形式存放在各种可长期保存数据的存储体中的，这些存储体包括硬盘、优盘、软盘、光盘、磁带、磁盘阵列和SAN等。 　　文件是指存储在外存储器上的相关数据的集合，是操作系统定义和实现的一种抽象数据类型，是操作系统为信息存储提供的一个统一视图。 　　一般来说，对文件的操作有打开、处理和关闭三种形式。 　　(1) 打开文件：在计算机内存中开辟一个缓冲区，用于存放被打开文件的有关信息。 　　(2) 文件处理：包括读、写、定位等操作。 　　(3) 关闭文件：将缓冲区中的内容写回到外存(磁盘)，并释放缓冲区。 　　为了分门别类的有序存放文件，操作系统把文件组织在若干文件夹(目录)中。文件夹一般采用如图3-4所示形式的层次结构(树状结构)。 每个目录通过索引节点号，或者指向一个普通的数据文件，或者指向另一个目录文件。 例3-3 用C++实现文件删除操作 #include stdio.h int main(void) { char file[80]; printf(请输入你要删除的文件路径: ); gets(file); if (remove(file) == 0) printf(删除 %s 成功\n,file); else printf(删除 %s 失败\n,file); return 0; } 　　例3-4 注册表修改。 　　注册表在计算机中由键名和键值组成，其中存储了Windows操作系统的所有配置。黑客90%以上对Windows的攻击手段都离不开读写注册表。在运行窗口中输入“regedit”命令可以进入注册表，注册表的界面如图3-5所示。 注册表的句柄可以由调用RegOpenKeyEx()和RegCreateKeyEx()函数得到，通过函数RegQueryValueEx()可以查询注册表某一项的值，通过函数RegSetValueEx()可以设置注册表某一项的值。 　　中了“冰河”木马病毒的计算机注册表都将被修改了，修改了扩展名为txt的文件的打开方式，在注册表中txt文件的打开方式定义在HKEY_CLASSES_ROOT主键下的“txtfile\shell\open\command”中。下面的代码可判断是否中了“冰河”木马。 #include stdio.h #include windows.h main() { HKEY hKEY; const char* data_Set = txtfile\\shell\\open\\command; long ret0 = (RegOpenKeyEx(HKEY_CLASSES_ROOT, data_Set, 0, KEY_READ,hKEY)); if(ret0 != ERROR_SUCCESS) //如果无法打开hKEY，则终止程序的执行 { return 0; } //查询有关的数据 unsigned char * owner_Get = new BYTE[80]; unsigned long type_1 = REG_EXPAND_SZ ; unsigned long cbData_1 = 80; long ret1=RegQueryValueEx(hKEY, NULL, NULL, type_1, owner_Get, cbData_1); if(ret1!=ERROR_SUCCESS) { return 0; } If (strcmp(owner_ Get, %systemroot%\\system32 \\notepad.exe %1) == 0) { printf(没有中冰河