第4章 常见击方法.ppt

　　电话窃听、电子信息侦察、特洛伊木马、扫描、网络嗅探等是信息侦察与窃取的常用方法。其中，网络嗅探器是一种能自动捕获网络中传输报文的设备，一般设置在网络接口位置。有些嗅探器能够分析几百种协议，捕获网上传输的口令、机密文件与专用信息，还可以获取高级别的访问权限。 　 　　据军事心理学家的分析和测试证明，当一个人同时对一个事物接到两种内容完全相反的正、误信息时，其得出正确结论的概率只有50%，最高不超过65%；当再次接到错误信息时，其判断出错的概率又增加15%；当其始终接受某一错误信息导向时，即使训练有素的人，也难以得出正确的结论。 　　信息封锁与破坏是指通过一定的手段使敌方无法获取和利用信息，如拒绝服务攻击、计算机病毒、电子干扰、电磁脉冲、高能微波、高能粒子束和激光等。 　 　　例4-1 ARP欺骗攻击。 　　IP数据包放入帧中传输时，必须要填写帧中的目的物理地址。通常用户只指定目的IP地址，计算机自动完成IP地址到物理地址的转换。地址解析协议(Address Resolution Protocol，ARP)利用目的IP地址，与子网内其他计算机交换信息，完成IP地址到物理地址的转换。 　　源主机在发出ARP请求并接收到ARP应答后，将目的主机的IP地址与物理地址映射关系存入自己的高速缓冲区。目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区。读者可以通过“arp-a”命令在DOS 状态下查看本机最近获得的arp表项。ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。 　　在高速缓冲区中，新表项加入时定时器开始计时。表项添加后2分钟内没有被再次使用即被删除。表项被再次使用时会增加2 分钟的生命周期，但最长不超过10 分钟。 　　ARP协议的原理如图4-1、4-2所示。 　　ARP欺骗攻击分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是，设法通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，导致路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。图4-3为结合上述两种欺骗原理的所谓ARP双向欺骗示意图。 4.2 病毒与恶意软件 4.2.1 病毒 　　根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 　　病毒既可以感染桌面计算机也可以感染网络服务器，往往还具有一定的潜伏性、特定的触发性和很大的破坏性。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显式形式表明它们的存在。根据其性质、功能和所造成的危害，计算机病毒大致可分为定时炸弹型、暗杀型、强制隔离型、超载型、间谍型和矫令型。 　　病毒一般分成主控模块、传染模块、破坏模块和触发模块4个部分，结构框架可表示如下： 病毒程序 { 　感染模块: 　　{循环:随机搜索一个文件; 　　　　如果感染条件满足 　　　　则将病毒体写入该文件; 　　　　否则跳到循环处运行;} 　破坏模块: 　　{执行病毒的破坏代码} 　触发模块: 　　{如果触发条件满足 　　　　返回真; 　　　　否则返回假;} 　主控模块: 　　{执行传染模块; 　　　　执行触发模块 　　　　如果返回为真,执行破坏模块; 　　执行原程序;} } 　　病毒的传染模块主要完成病毒的自我复制。传染的一般过程是:当病毒程序或染毒的程序运行时，病毒截取控制权，寻求感染突破口，当传染条件满足，即将病毒代码自制到宿主程序。病毒的传染条件根据不同的传染方式有不同的类型。例如，常驻内存病毒一般修改系统中断并插入病毒中断程序。如果其他程序访问被病毒挂接中断，则即会被传染。 　　脚本病毒是计算机病毒的一种形式，主要采用脚本语言编写，它可以对系统进行操作，包括创建、修改、删除，甚至格式化硬盘，具有传播速度快，危害性大等特点。脚本病毒的书写形式灵活，容易产生变种，这就使得传统的特征提取方式对变种脚本病毒检测率很低，对未知的脚本病毒甚至无法识别。 　　微软提供了一种基于32位Windows平台的、与语言无关的脚本解释机制WSH。它使得脚本能直接在Windows桌面或命令提示符下运行。浏览器也依赖于WSH提供的VBScript和JAVAScript脚本引擎，解释网页中嵌入的脚本代码。 　　例4-2 下面的代码是一个逻辑