教材学习

第九章 恶意代码安全攻防

恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。恶意代码的执行目标是由编写者决定,满足他们心理上或利益上的一些需求。

计算机病毒的基本特性:感染性、潜伏性、可触发性、破坏性、衍生性

僵尸网络命令与控制机制包括:

(1)基于IRC协议的命令与控制机制

(2)基于HTTP协议的命令与控制机制

(3)基于P2P协议的命令与控制机制

典型的攻击目标包括:

(1)单纯的技术炫耀或恶作剧;

(2)远程控制被攻击主机,使之能成为攻击者的傀儡主机,满足其实施跳板攻击或进一步传播恶意代码的需要;

(3)窃取私人信息(如用户账号/密码,信用卡信息等)或机密信息(如商业机密、政治军事机密等);

(4)窃取计算、存储、带宽资源;

(5)拒绝服务、进行破环活动(如破环文件/硬盘/BIOS等)。

恶意代码类型:计算机病毒、蠕虫、恶意代码、后门、特洛伊木马、僵尸程序、内核嵌套融合型恶意代码。

恶意代码分析方法:

(1)恶意代码的静态分析技术:反病毒软件扫描、文件格式识别、字符串提取分析、二进制结构分析、反汇编、反编译、代码结构与逻辑分析、加壳识别与代码脱壳。

(2)恶意代码的动态分析技术:快照对比、系统动态行为监控、网络协议栈监控、沙箱、动态调试。

第十章 缓冲区溢出和Shellcode

软件安全概述

美国国家标准技术研究院NIST将安全漏洞定义为:在系统安全流程、设计、实现或内部控制中所存在的缺陷和弱点,能够被攻击者所利用并导致安全侵害或对系统安全策略的违反,包括三个基本元素:系统的脆弱性或缺点、攻击者对缺陷的可访问性以及攻击者对缺陷的可利用性。

缓冲区溢出攻击的防御技术

(1)尝试杜绝溢出的防御技术

(2)允许溢出但不让程序改变执行流程的防御技术

(3)无法让攻击代码执行的防御技术

Kali视频学习

压力测试工具

1.VoIP压力测试工具

VoIP压力测试工具通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大的服务级别的测试,通俗的讲,压力测试是为了发现在什么条件下您的应用程序的性能会变得不可接受。

2.Web压力测试

借助THC-SSl-DOS攻击工具,任何人都可以把提供SSL安全连接的网站攻击下线。这种攻击方法被称为SSL拒绝服务攻击。德国黑客组织“The Hacker’s Choice”发布THC SSL DOS,利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDos工具不同的是,他不需要任何带宽,只需要一台执行单一攻击的电脑。

python恶意代码样本 恶意代码的目的_python恶意代码样本

3.Siege

压力测试和评测工具,设计用于WEB开发和评估应用在压力下的承受能力;可以根据配置对一个WEB站点进行多用户的并发访问,记录每个用户所有请求过程的相应时间,并在一定数量的并发访问下重复进行。在攻击的同时进行数据分析。

python恶意代码样本 恶意代码的目的_压力测试_02

4.T50压力测试

T50 Sukhoi PAK FA Mixed Packet Injector是一个压力测试工具,功能强大且具有独特的数据包注入工具。T50支持Unix系统可进行多种协议的数据包注入,实际上支持15种协议。

python恶意代码样本 恶意代码的目的_python恶意代码样本_03

数字取证工具

1.pdf取证工具

peepdf是一个用Python编写的PDF文件分析工具,它可以检测恶意的PDF文件,其设计目标是为安全研究人员提供PDF分析中可能用到的所有组件,无需使用3或4种工具完成统一任务。

2.反数字取证chkrootkit

Linux系统下的查找检测Rootkit后门的工具。适用该条指令就可以检测是否被注入后门

python恶意代码样本 恶意代码的目的_测试工具_04

3.内存取证工具

 开源的Windows,Linux,mac,Android的内存取证分析工具,有Python编写成,命令行操作,支持各种操作系统。

4.取证分割工具binwalk

binwalk是一个固件分析工具,旨在协助研究人员对固件分析,提取及逆向工程用处,简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,更重要的一点是可以轻松扩展。

借助binwalk有个很强大的功能是提取文件中存在的隐藏文件,亦可分析文件格式。

5.取证哈希验证工具集

md5deep是一套跨平台的方案,可以计算和比较MD5等哈希加密信息的摘要MD5,SHA-1,SHA-256,Tiger,Whirlpool

6.数字取证套件

dff是一个简单强大的数字取证工作辅助工具,有一个灵活的模块系统,具有多种功能,包括:恢复错误或崩溃导致的文件丢失,证据的研究和分析等。dff提供了一个强大的体系结构和一些有用的模块。
autopsy提供了一个浏览器控制台 。

python恶意代码样本 恶意代码的目的_压力测试_05

报告工具与系统服务

Dradis

Dradis是一个独立的web应用程序,它会自动在浏览器中打开https://127.0.0.1:3004。设置密码,使用任何登录名即可进入Dradis框架进行使用。同时,Dradis是一个用于提高安全检测效率的信息共享框架,它提供了一个集中的信息仓库,用于标记我们目前已经做的工作和下一步计划。

Keepnote

一个很精简的笔记软件

Cutycapt

媒体捕捉工具包括Cutycapt(将网页内容截成图片保存)和Recordmydesktop(屏幕录像工具)。

Recordmydesktop

屏幕录像工具,用来录制桌面

MagicTree

MagicTree是一个面向渗透测试人员的工具,可以帮助你轻松直接的进行数据合并,查询,外部命令执行(如直接调用nmap,将扫描结果直接导入tree中),报告生成,所有数据都会以树形结构存储,非常方便。

Truecrypt

一款免费开源的加密软件,同时支持Windows Vista/7/XP,Mac OS X,Linux等操作系统。