软件安全复习.doc

一、 基本概念1 计算机安全：是指为计算机系统建立和采取的技术和管理的安全保护措施， 以保护计算机系统中的硬件、 软件及数据， 防止因偶然或恶意的原因而使系统或信息遭到破坏、 更改或泄露。2 计算机安全等级：计算机安全由低到高分为四类七级：D1、C1、C2、B1、B2、B3、A1。 其中D1级是不具备最低安全限度的等级， C1和C2级是具备最低安全限度的等级， B1和B2级是具有中等安全保护能力的等级， B3和A1属于最高安全等级。 3 计算机系统面临的威胁按对象、性质可以分为三类：一类是对硬件实体设施；二类是对软件、数据和文档资料；再一类是兼对前两者的攻击破坏。4 国际标准化组织对计算机安全的建议和欧美各国对计算机安全的要求共有以下四点： (1) 用户的识别与验证。 (2) 存取控制。 (3) 数据完整性检查。 (4) 安全审计追踪。 5 安全机制 ：1数据加密机制，其作用主要防止信息的未授权阅读和修改、防止抵赖、 否认和伪造及防止对通信业务流分析。 2数字签名机制，数字签名机制用于实现抗抵赖和不可否认服务及鉴别对方身份真实性等特殊服务的场合。 数字签名机制的主要特征是：不使用秘密密钥就不能建立签名数据单元。 这说明：(1) 除了掌握秘密密钥的人以外， 任何人都不能建立数字签名。(2) 接收者不能建立签名数据单元。 (3) 发送者不能否认曾经发送过签名的数据单元。 3访问控制机制，访问控制机制实施对资源的访问加以限制的策略。4. 数据完整性机制： 数据完整性机制保护单个数据单元和整个数据单元数的完整性（不被修改、删除）。 5 鉴别交换机制，数据鉴别交换机制指信息交换双方之间的相互身份鉴别。 6 路由选择机制，通过路由选择机制， 可保证数据只在物理上安全的路由上传输， 保证机密信息只在具有适当保护措施的路由上传输。 7抗信息流分析机制，该机制通过产生伪通信业务， 将数据单元通信量填充到预定的数量，来防止通过通信业务流分析获取情报。8公证机制:公证机制需要有可信任的第三方， 来确保两个实体间信息的性质(如信息的来源， 发送、 接收时间， 信息的完整性等)不断发生变化。9 环境安全机制，物理环境的安全是保证信息安全的重要措施。 10审查与控制机制，各种各样的防护措施均离不开人的掌握和控制， 因此, 系统的安全最终是由人来控制的。6 软件完整性： 是为了防止拷贝或拒绝动态跟踪，而使软件具有唯一的标识；为了防修改，软件具有的抗分析能力和完整性手段；及软件所进行的加密处理。7 数据完整性： 保证存储或传输的数据不被非法删改或被意外事件破坏， 保持数据的完整。 8 计算机犯罪是指一切借助计算机技术构成的不法行为。9 windows2K安全子系统: 在windows2K操作系统中，系统的所有资源都被当做对象来处理。对象包括：文件、目录、设备、管道、进程、注册表键等。所有对对象的访问都必须通过操作系统的安全子系统的检查，由操作系统来完成对对象的访问，其他程序都无法直接访问对象。因此，操作系统是对象的保护层10. 安全描述符: windows每个对象都有一个描述他们安全的属性，称之为安全描述符，它包括：对象所有者的SID；自定义访问控制列表(DACL)，DACL包含那些用户和组可以访问这个对象的信息。系统访问控制列表(SACL),它定义对对象的审核；所有组安全ID，由POSIX子系统(类似UNIX的环境)使用。11. 访问令牌: 访问令牌是用户在通过验证的时候由登陆进程所提供的，记录用户特权信息。所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。访问令牌的内容：用户的SID、组的SID等。12. 域(domain)：是windows NT的功能核心，域是共享同一个认证数据库的一个或多个windows计算机的一个集合。对于用户的好处是他们登录到域上，可以访问域里的其他资源和服务，不需要再登录到每台服务器。域是win NT的安全管理边界。13. 信任关系是一种使得一个域中的用户被其他域中的域控制器验证的机制。信任关系创建了域之间的隐含访问能力，它就像在域间建立了桥梁。信任可以是单向或双向信任。单向信任就是域A信任域B，但域B并不信任域A。双向信任就是域A和域B之间互相信任。信任关系可以是传递的或不可传递。默认情况下，win NT域之间，信任关系是不可传递的。win2K域之间存在可传递的、双向信任关系。14. 本地安全授权(LSA)：win2K安全子系统的核心组件，其主要功能是产生访问令牌、管理本机的安全策略并向用户登录提供身份验证15. Netlogon：登录进程，用于将用户证书传递给域控制器并返回用户的域安全标识符。16. 安全参考监视器(SRM)：一个内核模式组件，它提供对对象访问的验证管理。17. 安全帐号管理器(SAM)：保存本地帐号信息的模块。18. 帐号(account)：用户帐号包含windows用户所必需的各种信息，包括用户名、全名、口令，主目录的位置、何时登录、以及个人桌面设置。19. SID： 用来唯一标识安全主体(用户、用户组、计算机)。SID保存在SAM数据库中。20. 内建帐号：SYSTEM或Local System具有本地计算机的全部特权;administrator具有本地计算机的全部特权，可以被改名，但不能被删除。Guest具有非常有限的权限，默认是被禁用。IUSR_计算机名用于Internet信息服务(IIS)的匿名服务，是guest组成员。IWAM_计算机名IIS的进程外应用程序使用这个帐号运行，是guest组成员。21. NTFS的权限类型非常丰富，因此，在访问控制方面能够提供更细致的粒度。NTFS5.0的标准文件访问权限有5个：完全控制、修改、读和执行、读、写；用户权限分配的基本原则:采用最低权限原则；限制everyone组得到的访问权限22 Windows的注册表是一个的二进制数据库，它按照分级结构存储了windows操作系统和应用程序以及用户的全部设置信息。注册表的根是根键(root keys)。每个根键包含几个子项(目录)，这些子项又包含自己的子项和值。注册表中的每个值(值项)由三部分组成：名字、数据类型、实际取值23 注册表中与自动启动有关的，HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run24 每次用户成功登录到win2K时，LSA都将为用户创建一个访问令牌。令牌中包含与用户帐号有关的所有SID：帐号的SID，所属组的SID，特殊身份的SID。25 用户创建的每一个进程都含有该用户的访问令牌，当进程访问对象时，SRM将进程的访问令牌与对象的访问控制列表(ACL)进行比较。可以使用windows2K Resource Kit中的whoami工具来查看当前用户的访问令牌。26 身份认证是指一个实体向另一个实体证明自己身份的过程，一般是用户或客户为了访问服务或资源而向服务器验证自己的身份。27 windows2K支持4种身份认证机制：Kerberos（是win2K默认认证方式）；安全套接字/传输层安全；局域网管理器（LM）；NT局域网管理器（NTLM）28 Kerberos协议定义了客户（client）、资源（要访问对象）和密钥分配中心(KDC)之间的安全交互过程。29 票据授予票据(TGT):TGT是一种特殊类型的票据，用来帮助用户获取使用网络上的服务的会话票据。30 会话票据中的大部分数据都用服务器的密钥加密过，票据中主要包括以下信息：会话密钥，客户名，所在域名，票据有效时间(10h)，时间戳，TGT保证等。31 密钥分发中心(KDC) ：KDC是通过在所在域控制器上的域服务来实现的，KDC使用活动目录（AD）作为网络用户和全局内容的数据库，KDC的主要作用是：为相互身份验证提供会话密钥；验证客户和服务器；授予票据。32 身份验证服务(AS): AS对用户进行身份验证，并发行供客户用来请求会话票据的TGT。33 票据授权服务(TGS): TGS在发行给客户的TGT的基础上，为网络服务发行会话票据。34 LDAP协议是规定了客户如何对一个集中的信息数据库进行访问、查询。LDAP协议的特点是使用很小的网络数据流量。LDAP协议使用TCP/UDP389端口。35 组策略是win2K的集中化管理配置体系，主要用于为用户组与计算机组的配置，组策略设置实现了关于特殊桌面或安全配置选项的决策。组策略让管理员能够配置计算机，比如设置标准的桌面配置、限制用户修改系统配置等36 NetBIOS是一种应用程序接口(API)，是一种接入网络服务的接口标准。它用于以太网，令牌环网等局域网环境，为应用程序提供网络通信服务，它向网络程序提供了一套方法，相互通讯及传输数据。使应用程序不用了解网络的细节和网络的状态。微软的客户机/服务器网络系统都是基于NetBIOS。37 NetBIOS位于传输层之上。NetBIOS可以使用TCP/UDP协议或是NetBEUI协议进行传输数据。38 NetBIOS提供对NetBIOS名称管理、 NetBIOS数据报/ NetBIOS会话的命令和支持39 NetBIOS名字由16个字符组成，前15个字符是计算机名或是用户名、组名，最后一个字符表示NetBIOS服务。40 WINS(Windows Internet Name Service)服务主要用于将NetBIOS名字解析成IP地址。与DNS服务类似。41 NetBIOS工作模式：会话模式；数据报模式；42 NetBIOS支持三种服务：名字服务；会话服务；数据报服务43 NetBIOS名称注册方式：使用网络广播；直接与WINS服务器通信进行名称注册。44 NetBIOS名称解析方式：网络广播；NetBIOS名称服务器(NBNS),比如：WINS服务器；使用本地的LMHOST文件；NetBIOS名称缓存，使用nbtstat c可以查看当前的NetBIOS缓存信息。45 SMB协议是一个通过网络在文件、设备、命名管道和邮槽之间操作数据的协议。SMB协议处于应用层， 它使用NetBIOS名称来标识网络对等实体。46 Windows的特殊共享：ADMIN$：这个共享对应于安装windows的目录(文件夹)，一般是WINNT目录；Driveletter$：比如：C$、D$等。这个共享对应于驱动器的根目录。IPC$：在远程管理和查看共享资源时使用，这个共享是通信时必需的，并且不能被删除、更改。PRINT$：打印机共享47 关闭默认共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters中添加两个字符串值： AutoShareServer=dword:00000000 AutoShareWks=dword:00000000 48 修改注册表来禁止空会话：HKLMSYSTEMCurrentControlSetControlLSA中的RestrictAnonymous149 win2K上至少由三个日志文件：应用程序日志、安全日志、系统日志。另外，win2K server还有其他三个日志文件：目录服务日志、DNS服务器日志、文件复制服务日志。50 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码” 51 计算机病毒的基本特征：计算机病毒的可执行性；计算机病毒的传染性；计算机病毒的非授权性；计算机病毒的隐蔽性；计算机病毒的潜伏性；计算机病毒的可触发性；计算机病毒的破坏性；计算机病毒攻击的主动性；计算机病毒的针对性；计算机病毒的衍生性；计算机病毒的寄生性(依附性)；计算机病毒的不可预见性；计算机病毒的诱惑欺骗性；计算机病毒的持久性；52 按照计算机病毒的破坏情况又可分为两类：良性病毒；恶性病毒53 按照计算机病毒特有的算法分类：伴随型病毒；蠕虫”型病毒；寄生型病毒；练习型病毒；诡秘型病毒；变形病毒54 未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码55 恶意程序大致可以分为两类：依赖于主机程序的恶意程序；不能独立于应用程序或系统程序，即存在宿主；独立于主机程序的恶意程序：能在操作系统上运行的、独立的程序56 蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成，主程序一旦在计算机中得到建立，就可以去收集与当前计算机联网的其他计算机的信息，通过读取公共配置文件并检测当前计算机的联网状态信息，尝试利用系统的缺陷在远程计算机上建立引导程序；引导程序把蠕虫带入它所感染的每一台计算机中，与普通病毒不同，蠕虫并不需要将自身链入宿主程序来达到自我复制的目的57 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段58 一般的木马都有客户端和服务器端两个程序：客户端是用于攻击者远程控制已植入木马的计算机的程序；服务器端程序就是在用户计算机中的木马程序：攻击者要通过木马攻击用户的系统，他所做的第一步是要把木马的服务器端程序植入到用户的计算机中59 特洛伊木马(Trojan house，简称木马)是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序，是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的非法程序60 国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则，前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀，病毒名为该病毒的名称及其家族，后缀一般可以不要，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小，三元组中“病毒名”的命名优先级为：病毒的发现者(或制造者)病毒的发作症状病毒的发源地病毒代码中的特征字符串。例如：WM.Cap.A；A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏(Macro)病毒，病毒名中若有PSW或者PWD之类的，一般都表示该病毒有盗取口令的功能61 计算机病毒是一类特殊的程序，也有生命周期：开发期；传染期；潜伏期；潜伏分为静态潜伏和动态潜伏；发作期；发现期；消化期；消亡期62 计算机病毒在传播过程中存在两种状态，即静态和动态63 静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载(拷贝)实现因为静态病毒尚未被加载、尚未进入内存，不可能获取系统的执行权限64 当病毒完成初始引导，进入内存后，便处于动态。动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用，都是动态病毒的“杰作”65 感染标志：有的病毒有一个感染标志，又称病毒签名，但不是所有的病毒都有感染标志感染标志是一些数字或字符串，它们以ASCII码方式存放在宿主程序程序里病毒在感染程序之前，一般要查看其是否带有感染标志感染标志不仅被病毒用来决定是否实施感染，还被病毒用来实施欺骗不同病毒的感染标志的位置、内容都不同杀毒软件可以将感染标志作为病毒的特征码之一也可以利用病毒根据感染标志是否进行感染这一特性，人为地、主动在文件中添加感染标志，从而在某种程度上达到病毒免疫的目的 66 引导模块染毒程序运行时，首先运行的是病毒的引导模块引导模块的基本动作是：检查运行的环境，如确定操作系统类型、内存容量、现行区段、磁盘设置、显示器类型等参数将病毒引入内存，使病毒处于动态，并保护内存中的病毒代码不被覆盖设置病毒的激活条件和触发条件，使病毒处于可激活态，以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块67 感染模块是病毒实施感染动作的部分，负责实现病毒的感染机制感染模块的主要功能如下：寻找感染目标检查目标中是否存在感染标志或设定的感染条件是否满足如果没有感染标志或条件满足，进行感染，将病毒代码放入宿主程序无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染感染条件控制病毒的感染动作、控制病毒感染的频率：频繁感染，容易让用户发觉；苛刻的感染条件，又让病毒放弃了众多传播机会68 破坏模块负责实施病毒的破坏动作，其内部是实现病毒编写者预定破坏动作的代码病毒的破坏力取决于破坏模块破坏模块导致各种异常现象，因此，该模块又被称为病毒的表现模块计算机病毒的破坏现象和表现症状因具体病毒而异。计算机病毒的破坏行为和破坏程度，取决于病毒编写者的主观愿望和技术能力触发条件控制病毒的破坏动作，控制病毒破坏的频率，使病毒在隐蔽的状态下实施感染病毒的触发条件多种多样，例如，特定日期触发、特定键盘按键输入，等等，都可以作为触发条件69 病毒感染必要条件，即必须要有传染目标病毒宿主病毒在以下情况下有可能被首次执行染有引导型病毒的磁盘在启动计算机时 文件型病毒的病毒代码在执行染毒文件时被执行初始化批处理启动病毒，或利用系统初始化配置文件的启动项启动病毒Win32病毒借助Windows注册表的特殊键值，在启动Windows时随之启动70 感染对象寄生在磁盘引导扇区寄生在可执行文件宏病毒和脚本病毒是比较特殊的病毒，是通过打开Office文档或浏览网页等用户行为而获取执行权某些广义下的病毒，如蠕虫，主要寄生在内存中，并不感染引导扇区和文件71 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上；或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式称作计算机病毒的被动传染72 计算机病毒是以计算机系统的运行以及病毒程序处于激活态为先决条件。当病毒处于激活态时，只要传染条件满足，病毒程序就能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式称作计算机病毒的主动传染73 对于计算机病毒的主动传染而言，其传染过程一般是：在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行在病毒引导模块将病毒传染模块驻留内存的过程中，通常还要修改系统中断向量入口地址，使该中断向量指向病毒程序传染模块一旦系统执行磁盘读写操作或系统功能调用，病毒传染模块就被激活，传染模块在判断传染条件满足的条件下，把病毒自身传染给被读写的磁盘或被加载的程序74 一台计算机中常常会同时染上多种病毒。当一个无毒的宿主程序在此计算机上运行时，便会在一个宿主程序上感染多种病毒，称为交叉感染。75 病毒采用的触发条件主要有以下几种：日期触发；时间触发；键盘触发；感染触发；启动触发；访问磁盘次数/调用中断功能触发；CPU型号/主板型号触发；打开或预览Email附件触发；随机触发76 病毒攻击和破坏，包括：攻击系统数据区；攻击文件；攻击内存；干扰系统运行；扰乱输出设备；扰乱键盘77 Win32.Funlove.4608(4099)病毒是“模块化”的PE病毒，属驻留内存、感染文件型78 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性79 木马的最终意图是窃取信息、实施远程监控80 木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成81 木马的基本原理特洛伊木马包括客户端和服务器端两个部分，也就是说，木马其实是一个服务器-客户端程序攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的82 木马常用的传播方式，有以下几种：以邮件附件的形式传播控制端将木马伪装之后添加到附件中，发送给收件人通过OICQ、QQ等聊天工具软件传播在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方通过提供软件下载的网站(Web/FTP/BBS)传播木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马通过一般的病毒和蠕虫传播通过带木马的磁盘和光盘进行传播83 木马通过伪装达到降低用户警觉、欺骗用户的目的：修改图标，捆绑文件；出错提示；自我销毁；木马更名84 木马的隐藏方式：在任务栏里隐藏；在任务管理器里隐藏；定制端口；隐藏通讯；新型隐身技术85 伪隐藏与真隐藏：隐藏木马的服务器端，可以伪隐藏，也可以是真隐藏；伪隐藏；指程序的进程仍然存在，只不过是让他消失在进程列表中；真隐藏；程序彻底地消失，不是以一个进程或者服务的方式工作86 木马程序的自动启动技术：加载程序到启动组，写程序启动路径到注册表的自动启动键值；修改Boot.ini；通过注册表里的输入法键值直接挂接启动；通过修改Explorer.exe启动参数等方法87 根据网络蠕虫所利用漏洞的不同，又可以将其细分：邮件蠕虫；网页蠕虫；系统漏洞蠕虫；88 蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞89 蠕虫爆发定理：一个大规模蠕虫爆发的充分必要条件是初始易感主机的数目S(0)（域值）90 结合蠕虫的传播模型，对蠕虫的防治分为四个阶段：预防阶段；检测阶段；遏制阶段；清除阶段91 软件