课件2016-1-10

1、网络安全课程操作系统网络数据收发分析3教207课程内容 本课程主要讲解计算机网络安全基本原理，主要内容包括:（1）讲解网络安全基本概念和趋势（2）学习基本网络数据抓取和分析方法（3）以Windows 10系统为例设计数据分析场景，综合运用网络安全知识运用恰当的工具分析隐蔽网络数据交互，寻找操作系统可能存在的安全隐患。教学目标完成如下教学目标： （1）了解计算机网络安全的概念和现状 （2）了解网络数据分析工具 （3）了解Windows 10 后台数据收发情况 （4）掌握基本测试方法和规范编写。 案例背景介绍案例背景介绍案例背景介绍Windows 广泛使用及Windows 10的重要性Window

2、s 市场占有率极高深入影响个人生活和国家运行Windows 的复杂性 30年开发积累，5000万行代码 ； 3000台服务器组成的Build Farm； 核心开发人员2000人，工作团队数万人； 大概的工程量可能和胡夫金字塔相当。代码行数约 5000 万行，算上修正掉的代码估计超过一亿行。内部版本超过上千个每个版本都有所测试为其做出贡献的正式工合约工临时工超过数万人。按照 Word标准 A4 纸默认打印 +Consolas 字体+默认字号，每页 A4 纸可以打印 44 行代码。考虑到折行问题（假设有 30% 的代码行数在 A4 纸上一行打印不完），1.3*5000w=6500w 行代码。大概需

3、要 148 万张 A4 纸才能打完。每张 A4 纸长 29.7 厘米，算起来大概是 4440w 厘米，也就是 44w 米，440 公里，这还不算上各种修正掉的代码和之后的补丁。Windows 10 数据收发分析问题： Windows 10 数据收发可能侵害用户隐私，可能造成数据泄露，可能被反向注入数据，需要对其进行深入分析。1、Windows 问题定义公开声明的数据收发。 Microsoft Privacy Statementhttps:/ 10 和自带应用程序数据收发，不包含用户安装应用程序。问题windows 10 会收发什么数据？ 收发数据的频率和大小如何？ 哪些组件在收发数据？ 收发的

4、数据内容是什么？ 数据收发背后的目的？ 哪些数据收发现象是必不可少的？ 哪些数据收发现象是我们能接受或不能接受的？ 现在能够关闭什么数据？ 有什么方法能够阻止这些数据交互？Windows 10 数据收发分析目的： 1、梳理Windows 10 数据收发途径，验证Windows 10 数据收发行为是否和公开声明的一致： 收发类型是否一致，收发内容是否一致。2、发现微软未公开数据收发行为。 分析深度 发现数据交互现象； 发现数据交互地址； 分析数据交互路径和模式，定位数据交互组件； 分析数据交互内容，数据交互目的。数据交互条件1、有规律触发 新安装触发； 激活、升级触发； 特定关键字触发； 特定行

5、为触发； 定时触发；2、随机收发公开的数据交互设置？数据交互开关手段？如何关闭数据已知发送 数据收发太多，不关闭将增加分析难度 设置选项 组策略 注册表 其他知识获取知识获取的重要性互联网英文； wikipedia；学术知识库（cnki 、web of science、。）个人知识管理OneNote云笔记wikipedia云 盘PocketWindows 前置知识Windows 10 介绍 Windows 10是一个由微软开发的操作系统，是Windows家族的成员，为Windows 8.1和Windows Phone 8.1的后继者，开发代号为Threshold（包含TH1和TH2），正式版已

6、于2015年7月29日登场并开放符合条件的用户免费升级。 Windows 10的设计目标是统一包括个人电脑、平板电脑、智能手机、嵌入式系统、Xbox One及Surface和Microsoft HoloLens等等，整个Windows产品系列的操作系统。它们共享一个通用的应用程序架构和Windows Store的生态系统。Windows10是一个云化操作系统Windows 10 介绍Windows 10 是美国微软公司所研发的新一代跨平台及设备应用的操作系统。在正式版本发布一年内，所有符合条件的Windows7、Windows 8.1的用户都将可以免费升级到Windows 10，Windows

7、 Phone 8.1则可以免费升级到Windows 10 Mobile版。所有升级到Windows 10的设备，微软都将提供永久生命周期的支持。Windows 10是微软发布的最后一个独立Windows版本，下一代Windows将作为更新形式出现。Windows10发布了7个发行版本，分别面向不同用户和设备。2015年7月29日起，微软向所有的Windows 7、Windows 8.1用户通过Windows Update免费推送Windows 10，用户亦可以使用微软提供的系统部署工具进行升级。2015年11月12日，Windows 10的首个重大更新TH2（版本1511，10.0.10586

8、）正式推送，所有Windows10用户均可升级至此版本。Windows 10 介绍Windows 10 是美国微软公司所研发的新一代跨平台及设备应用的操作系统。在正式版本发布一年内，所有符合条件的Windows7、Windows 8.1的用户都将可以免费升级到Windows 10，Windows Phone 8.1则可以免费升级到Windows 10 Mobile版。所有升级到Windows 10的设备，微软都将提供永久生命周期的支持。Windows 10是微软发布的最后一个独立Windows版本，下一代Windows将作为更新形式出现。Windows10发布了7个发行版本，分别面向不同用户和

9、设备。2015年7月29日起，微软向所有的Windows 7、Windows 8.1用户通过Windows Update免费推送Windows 10，用户亦可以使用微软提供的系统部署工具进行升级。2015年11月12日，Windows 10的首个重大更新TH2（版本1511，10.0.10586）正式推送，所有Windows10用户均可升级至此版本。Windows 10 数据收发分类场景设计需要充分了解Windows 10遥测数据后台运行程序数据 提高用户体验其他数据Windows 10 数据收发分类遥测数据The telemetry data that Microsoft collects

10、is organized into four levels: 1.Security & Update2.Basic3.Enhanced4.Full分析测试 前置知识解决问题思路白盒 VS 黑盒涉及到的工具科来海量网络数据采集系统 RAW1014X科来网络分析系统 8.0 技术交流版Wireshark_win32_V1.12.4Fiddler4.0TcpviewProcess Explorer/Process Hacker涉及到的工具 Fiddler设计解决问题的场景测试场景设计防止数据污染设计解决问题的场景?Windows 10 部署、升级、激活测试大纲编写?设计解决问题的场景1. 联网批量部

11、署过程的数据出境测试2. V0的KMS激活过程中数据出境测试3. 手动补丁更新过程中的数据出境测试4. 联网KMS服务器电话激活过程中的数据外传测试5. 联网V0单机静默过程中的数据出境测试6. 联网测试环境静默过程中的数据外传测试7. 自动补丁更新过程中的数据外传测试8. 联网环境下手动安装V0过程中数据出境测试9. 联网单机操作系统出错过程中的数据出境测试网络前置知识网络分析的前置知识什么是计算机网络利用通信线路将分散在不同地方，具有独立功能的计算机连接起来，并按照一定的通信规则实现这些计算机之间资源与数据的共享，这样的一个计算机集合便称为计算机网络。网络分析的前置知识网络层次标准现在的网

12、络都采用分层的方式进行工作，当前，通用的网络层次标准有OSI和TCP/IP两种。OSI是理论上的标准，TCP/IP是工业上的事实标准。由于不同的局域网有不同的网络协议，不同的传输介质也各有其电气性能，为了使不同的网络能够互连，必须建立统一的网络互连协议。为此，ISO(国际标准化组织)提出了网络互连协议的基本框架，称为开放系统互连(OSI)参考模型。它将整个网络的功能划分成七个层次。TCP/IP协议（传输控制协议互联网协议）的缩写。美国国防部高级研究计划局DARPA为了实现异种网络之间的互连与互通,大力资助互联网技术的开发，于1977年到1979年间推出目前形式的TCP/IP体系结构和协议。它将

13、网络分为4个层次，TCP/IP协议使用范围极广，是目前异种网络通信使用的唯一协议体系，适用于连接多种机型，既可用于局域网，又可用于广域网，许多厂商的计算机操作系统和网络操作系统产品都采用或含有TCP/IP协议。TCP/IP协议已成为目前事实上的国际标准和工业标准。网络分析的前置知识OSI参考模型和TCP/IP具体层次网络是分层的，每一层分别负责不同的通信功能。应用层，表示层，会话层，传输层被归为高层，而网络层，数据链路层，物理层被归为底层。高层负责主机之间的数据传输，底层负责网络数据传输。网络分析的前置知识OSI参考模型参考模型 主要功能主要功能 常见常见协议协议 应用层 - 提供应用程序间通

14、讯； HTTP，FTP 表示层 - 处理数据格式，数据加密等； NBSSL,LPP 会话层 - 建立，维护，管理会话； RPC,LDAP 传输层 - 建立主机端到端的连接： TCP,UDP 网络层 - 寻址和路由选择； IP,ICMP 数据链路层 - 提供介质访问和链路管理等； PPP 物理层 - 比特流传输；网络分析的前置知识TCP/IP网络层次网络层次 主要功能主要功能 常见协议常见协议 应用层 - 提供应用程序接口； HTTP，FTP 传输层 - 建立端到端的连接； TCP，UDP 互联网层 - 寻址和路由选择； IP，ICMP 网络接口层 - 二进制数据流传输和物理介质访问； PPP网络分析的前置知