附件形式上交.pptVIP

实验一 实验一 格式： 附件形式上交 课程名＋实验次数＋姓名＋学号 上交日期 下次实验之前 jingxi@ustc.edu.cn 实验一 口令破解 Windows口令破解 Linux口令破解 文件恢复 FAT32文件恢复 实验一 Windows口令验证过程： 实验一 Windows口令破解 字典破解 通过破解者的了解，来猜测作为密码的某些信息 暴力破解 对长度和字符进行设置后，进行穷举攻击 实验一 Windows口令破解方式 离线破解 在线破解 实验一 Windows口令破解的过程 通过在线攻击使用一个程序连接到目标主机，不断尝试各种口令试图登陆目标主机。目标主机系统中某些低等级的帐号的口令被尝试成功，然后，攻击者使用其帐号进入系统获取密码存放文件（SAM文件），最后使用离线破解的方式进行破解 实验一 Linux 口令破解 加密机制 使用单向加密算法对口令进行加密 DES salt为2位 Crypt函数 MD5 salt为8位 Char *crypt(const char *key,cont char *salt) 实验一 Linux 口令破解 保护措施 阴影文件 /etc/passwd（对所有用户可见） /etc/shadow（只有root用户才能读取） User:$1$XSyyxElu$sBdtmzhTKhjLdVzRT2fB71:13382:0:99999:7::: 实验一 Linux 口令破解方法 使用工具 John the Ripper 使用Crypt函数－假设已经获得了root权限后 记录口令的盐（随机值） 用Crypt函数加密进行验证 实验一 FAT32文件恢复 手工精确恢复 手工模糊恢复 使用FinalDate进行文件恢复 实验一 FAT32文件恢复 实验一 FAT(文件分配表) FAT16,FAT32 保存着段与段之间的连接信息，是文件管理系统用来记录每个文件的存储位置的表格。每一项记录一个簇的信息 FAT1＝FAT2 FAT的第0簇和第1簇是保留簇，记录数据的簇是从第2簇开始的 结尾簇的标志是FFFFFF0F 实验一 FAT(文件分配表) FAT的第0簇和第1簇是保留簇，记录数据的簇是从第2簇开始的 簇号用32位二进制来表示，结尾簇的标志是FFFFFF0F 删除之后：簇的结尾标志没有了 实验一 FDT（文件目录表） 记录根目录下每个文件或目录的起始单元，文件属性 48 45 4C 4C 4F 20 20 20 54 58 54 20 00 8F A5 71 45 39 45 39 00 00 B2 71 45 39 03 00 0C 00 00 00 实验一 FDT（文件目录表） 删除文件后，目录项的首字节变为E5 (48?E5) 删除后再格式化 FAT表项 尝试用模糊恢复 FDT表项 * * 输入用户名和密码后，按回车键 GINA会收集这些信息并将这些安全信息给LSA进行验证 LSA传递这些信息给SSPI SSPI传递用户名及密码给Kerberos SSP, 检查目的主机机器是本机还是域名， 如果是本机，则返回一个错误消息给SSPI， 如果找不到KDC，则通知GINA LSA传递信息给SSPI， SSPI传递用户名及密码给 NTLM driver MAV1-0 SSP NTLM driver用Netlogon服务和 本地SAM来验证用户 通过KDC服务进行验证 使用NTLM进行验证 候选口令产生器 口令加密 密码比较 输出匹配口令 匹配 不匹配 盐：是在新建用户时，系统随机生成的一个字符串 用户输入的口令 用户名 口令密文 散列值 盐 DATA FDT(32) FAT2 FAT1 DBR(32) MBR(63) 主引导记录区 操作系统引导记录区 由分区软件创建 记录了硬盘的主引导记录 由高级格式化程序创建 是操作系统可以直接访问的第一个扇区 文件系统写入时将会改写的区域 文件名 文件扩展名 起始簇号 文件长度