《CISM培训课件》——恶意代码与安全攻防.pptxVIP

恶意代码与安全攻防;知识体：恶意代码与安全攻防;恶意代码定义;恶意代码发展史;恶意代码发展史;恶意代码发展史;恶意代码发展史;恶意代码发展史;恶意代码分类;典型恶意代码类别;恶意代码的危害;编译病毒;解释病毒;蠕虫病毒;木马病毒;其他恶意代码;恶意代码的发展趋势;恶意代码的传播方式;恶意代码的防治;人员控制措施—恶意软件的意识教育;技术控制措施-构建综合病毒防御体系;保护区域边界;保护网络和基础设施;计算环境病毒防护目标： 使用信息保障技术确保数据在进人、离开或驻留客户机和服务器时具有保密性、完整性和可用性。 技术手段： 使用安全的操作系统和应用程序（补丁、安全加固加固等） 防病毒系统 主机入侵检测 主机脆弱性扫描 文件完整性保护 ……;支撑性基础设施;管理控制措施—恶意软件防护的策略;知识体：恶意代码与安全攻防;攻击的过程;获取攻击目标资料 网络信息 主机信息 应用部署信息 漏洞信息 其他任何有价值的信息 分析目标信息、寻找攻击途径 排除迷惑信息 可被利用的漏洞 利用工具 ;收集哪些信息;信息收集的技术;公开信息收集范例;公开信息收集范例;公开信息收集;域名信息收集;网络信息收集;系统信息收集-TCP/IP协议栈检测;系统信息收集-服务旗标检测;原理 通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务 扫描方式 全扫描 半打开扫描 隐秘扫描 …… 扫描技巧 随机扫描 慢速扫描 …… ;信息收集防御策略;典型端口扫描;漏洞扫描;43;实施攻击-无孔不入的攻击者;IPC (Interprocess communications）进程间通信 Windows配置的脆弱性 IPC$空会话连接 管理共享（C$、D$、admin$） …… ;E:\copy ncx99.exe \\victim\ADMIN$;IPC安全问题解决;原理 利用用户登录会话框的输入法帮助绕过验证，访问到系统资源 演示录像 解决 补丁 删除帮助文件 ;利用应用实现缺陷-unicode解码漏洞;Unicode解码漏洞演示;利用人性缺陷-密码破解;密码穷举;破解工具;;根据用户规则快速生成各类密码字典 提高密码破解效率 密码破解知识的具体体现 攻击者常用的工具 ……;系统及应用安全策略对抗密码 限制密码尝试???数 限制必须提供安全的密码 密码有效期等 好的密码特征 自己容易记住，别人不好猜 其他密码管理策略 密码信封 A、B角 ……;利用人性缺陷-社会工程学攻击;传统社会中的社会工程学;案例一、凯文·米特尼克最擅长什么;案例二：“最大的计算机诈骗”过程;案例三：好心网管的失误;网络社会的社会工程学;如何防止社会工程学攻击？;利用协议的缺陷-拒绝服务;拒绝服务攻击的类型;;分布式拒绝服务攻击（DDoS）;拒绝服务攻击的危害;工具介绍;拒绝服务攻击防御;利用协议实现缺陷-电子欺骗;电子欺骗的类型;攻击方式-ARP欺骗;ARP欺骗基础-Arp协议工作过程;ARP欺骗实现;ARP欺骗的危害;ARP欺骗的解决;利用软件开发缺陷-缓冲区溢出;缓冲区溢出基础-堆栈及指针;简单示例;简单示例;简单示例;83;84;85;缓冲区溢出防御;脚本安全问题 注入类攻击：SQL注入、资源注入、xpath注入、命令注入等 跨站脚本 …… SQL注入是其中最典型的脚本安全问题 ;利用应用脚本开发的缺陷-SQL注入;SQL注入基础知识;SQL注入简单示例;SQL注入范例-检测;SQL注入范例－操作数据库;SQL注入的危害;SQL注入攻击演示;95;后门可以作什么 方便下次直接进入 监视用户所有行为、隐私 完全控制用户主机 后门放置方式 如果已经入侵 简??！ 如果尚未入侵 手动放置 利用系统漏洞，远程植入 利用系统漏洞，诱骗执行;特洛伊木马 随系统自启动 修改注册表 服务 Ini文件 RootKit 设备驱动 脚本后门 难以查找 隐藏账号 考验管理人员耐心与细心 ;清除/改写日志 日志存放路径 例如：IIS访问日志位置 %WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log 修改系统日期 删除中间文件 删除创建的用户 ;日志保护;总结;谢谢，请提问题！