程序安全课件.ppt

3.4.3 Rootkit和索尼XCP (续) XCP的行为 索尼公司利用XCP Rootkit阻止用户复制音乐CD，而允许用户播放它们。XCP通过混淆其他进程读CD的结果来妨碍其他程序的任何访问。 CD第一次插入PC机驱动器时，Rootkit在没有用户的干预下利用Windows的“自动运行”特征，安装到PC机上。XCP必须隐藏自己，防止被用户删除，因此，Rootkit屏蔽了所有$sys$开头的文件。 精品 3.4.3 Rootkit和索尼XCP (续) XCP的行为(续) 索尼公司犯了两个错误：一，它发布的代码为信任的用户系统带来了恶意代码感染的可能；二，在未经用户知晓和允许的条件下安装了这些代码，并通过策略阻止删除这些代码。 精品 3.4.3 Rootkit和索尼XCP (续) 补丁渗透 Russinovich报告了XCP的故事。索尼公司面对严重的负面舆论。发布了XCP Rootkit卸载程序。但仍然存在安全漏洞：卸载程序发布在一个网页上用于下载和执行，程序员无法验证这些代码，确实就是卸载程序；卸载程序在XCP Rootkit卸装后，又留在了用户系统中，成为新的安全漏洞。 Felten和Halderman的调查报告指出：数字版权管理的需求非常类似于恶意代码开发者的需求。索尼公司就曾经与主要反病毒软件厂商合作，让它的XCP Rootkit不被查出。 精品 3.4.4 权限提升 恶意代码希望访问更多系统对象，因此，必须有更高的权限运行。权限提升(privilege escalation)攻击就是恶意代码以一个低权限用户启动，而运行在更高级权限的手段。 权限提升的实例 2006年4月，Symantec发布了一个软件漏洞补丁(bulletin Sym06-007)，修补Live Update的漏洞。更新过程包含几个程序的执行，如LU1，LU2，Sys3，和Sys4。 LU1和LU2是Live Update组件， Sys3和Sys4是标准操作系统组件。操作系统使用查找路径来执行程序。Symantec软件产品在Macintosh版本中允许Live Update通过查找路径而不是明确指定路径来寻找程序。Live Update是提升权限运行的，并可以将权限传递给Sys3和Sys4。如果用户设定查找路径从用户空间开始并放置一个Sys3程序， Sys3程序将以提升权限运行。 精品 3.4.4 权限提升 (续) 权限提升的影响 恶意代码编写者可以通过创建一个小的Shell程序Sys3，将它存于任何地方，重置查找路径，调用Live Update。结果是Sys3在特权模式下接管控制权，并借此攻击系统。恶意代码在运行一次后，可以设置一个标志以便将来获得提高了的特权。 精品 3.4.5 界面幻觉 界面幻觉(interface illusion)是一个哄骗攻击，攻击中全部或部分网页是假的。攻击者的目的是让用户确信而去做一些不该做的事情。 由于屏幕的每个点可以寻址，一个恶意界面可以显示假的地址条和假的滚动条，来欺骗用户。 精品 3.4.6 键盘记录器 键盘和程序之间没有直接的途径来处理击键操作。一个按键可以产生一个被设备驱动程序接收的信号，转换，分析并传输，最终由程序接受。键盘记录器(keystroke logger)的恶意程序暗中保存一个所有按键的副本。键盘记录器可以独立保存每个按键的记录或与特定程序相关联的按键日志。 精品 3.4.7 中间人攻击 中间人攻击(man-in-the-middle attack)是恶意程序在另外两个程序(典型的是在用户输入和应用程序结果)之间插入自己。一个例子是恶意程序运行在文字处理器与文件系统之间，每次都阻止保存文件或加密保存文件，以敲诈文件创立者。 精品 3.4.8 定时攻击 通过程序执行时间来推断执行操作以及数量。这种攻击特别适合攻击密码算法，如，RSA算法的密钥。通过对执行时间的比较与分析，推断出密码算法密钥的具体数值。 精品 3.4.9 隐蔽通道：泄露信息的程序 传送信息的通信方式是隐蔽的、与其他方式同时进行，并且是非常合理的。我们一般把这些特殊的通信途径称为隐蔽通道 (covert channel)。 图 3.11 泄露信息的隐蔽通道 精品 3.4.9 隐蔽通道：泄露信息的程序 (续) 隐蔽通道概述 当程序已经投入使用后，就不应该让程序员访问其中的敏感数据了。因为可能从这些敏感数据获利，程序员可能希望可以开发这样的程序，以便能在运行期间秘密与程序员通信并传输数据。 精品 3.4.9 隐蔽通道：泄露信息的程序 (续) 创建隐蔽通道的方式 传输数据可以通过改变输出格式、改变每行