第3章-程序安全课件.pptVIP

3.4.5 界面幻觉 界面幻觉(interface illusion)是一个哄骗攻击，攻击中全部或部分网页是假的。攻击者的目的是让用户确信而去做一些不该做的事情。 由于屏幕的每个点可以寻址，一个恶意界面可以显示假的地址条和假的滚动条，来欺骗用户。 3.4.6 键盘记录器 键盘和程序之间没有直接的途径来处理击键操作。一个按键可以产生一个被设备驱动程序接收的信号，转换，分析并传输，最终由程序接受。键盘记录器(keystroke logger)的恶意程序暗中保存一个所有按键的副本。键盘记录器可以独立保存每个按键的记录或与特定程序相关联的按键日志。 3.4.7 中间人攻击 中间人攻击(man-in-the-middle attack)是恶意程序在另外两个程序(典型的是在用户输入和应用程序结果)之间插入自己。一个例子是恶意程序运行在文字处理器与文件系统之间，每次都阻止保存文件或加密保存文件，以敲诈文件创立者。 3.4.8 定时攻击 通过程序执行时间来推断执行操作以及数量。这种攻击特别适合攻击密码算法，如，RSA算法的密钥。通过对执行时间的比较与分析，推断出密码算法密钥的具体数值。 3.4.9 隐蔽通道：泄露信息的程序 传送信息的通信方式是隐蔽的、与其他方式同时进行，并且是非常合理的。我们一般把这些特殊的通信途径称为隐蔽通道 (covert channel)。 图 3.11 泄露信息的隐蔽通道 3.4.9 隐蔽通道：泄露信息的程序 (续) 隐蔽通道概述 当程序已经投入使用后，就不应该让程序员访问其中的敏感数据了。因为可能从这些敏感数据获利，程序员可能希望可以开发这样的程序，以便能在运行期间秘密与程序员通信并传输数据。 3.4.9 隐蔽通道：泄露信息的程序 (续) 创建隐蔽通道的方式 传输数据可以通过改变输出格式、改变每行数据的长度、打印或不打印某个特定数据等实现。 图 3.12 隐蔽信道 3.4.9 隐蔽通道：泄露信息的程序 (续) 存储通道 利用存储器中是否有某个特定目标来传递信息，这样的隐蔽通道被称为存储通道(storage channel)。文件上锁通道(file lock channel)是一个简单的隐蔽通道的例子。在多用户系统中，文件可以被上锁以防止两个用户同时向同一个文件写入（当一个用户写入的内容覆盖了另外一个用户写入的内容时，文件将被损坏）。操作系统或数据管理系统在同一时间只允许一个程序写文件，而阻塞、推迟或拒绝其他程序对该文件的写入请求。隐蔽通道可以通过一个文件是否上锁而传递一个比特位的信息。 3.4.9 隐蔽通道：泄露信息的程序 (续) 存储通道(续) 图 3.13 文件上锁隐蔽通道 # 服务程序和间谍程序需要使用时钟，占用一些时间间隔 3.4.9 隐蔽通道：泄露信息的程序 (续) 存储通道(续) 图 3.14 利用文件在通道传递信号100 #共享系统资源为建立通道提供了便利。每次传输效率可能很低，但计算机为快速系统，传输效果完全可以接受 3.4.9 隐蔽通道：泄露信息的程序 (续) 时间通道 还有一种称为时间通道(timing channel)的隐蔽通道，通过事件的发生速度来传递信息。事实上，时间通道仍然是共享资源的通道，而这次共享的资源是时间。 图 3.15 隐蔽的时间通道 3.4.9 隐蔽通道：泄露信息的程序 (续) 识别潜在的隐蔽通道 由于系统资源庞大且使用频繁，找出隐蔽信道并不容易。有两种旧方法目前仍然实用。第一种方法是以系统资源分析为基础，第二种则是工作在源代码级上。 共享资源矩阵 表 3.3 共享资源矩阵 服务进程 间谍进程 上锁文件 R, M R, M 机密数据 R # R代表可以读取，M代表可以设置 3.3.11 第一个恶意代码的例子：Brain病毒 (续) 关于Brain病毒的小结 Brain病毒使用了一些普通病毒都爱玩弄的把戏，如隐藏在引导扇区中，截获并隐藏中断等，其为之后的病毒提供了一个原型。 Brain病毒总的表现比较温和。 3.3.12 另外一个例子：因特网蠕虫病毒 1988年11月2日的傍晚，因特网上诞生了第一个蠕虫病毒，并给网络造成了严重破坏。 编写和发布该蠕虫病毒的是 Cornell大学的一名研究生Robert T. Morris, Jr.。 3.3.12 另外一个例子：因特网蠕虫病毒 (续) 蠕虫病毒的行为 Morris希望该病毒完成以下三个主要任务： 1) 自己决定传播路径 2) 传染 3) 隐藏自己，使自己不被发现 3.3.12 另外一个例子：因特网蠕虫病毒 (续) 蠕虫病毒的危害