计算机信息系统安全概述

第1章计算机信息系统安全概述1.1计算机信息系统的定义1.2计算机信息系统安全简介1.2.1计算机信息系统安全的定义1.2.2信息系统自身的安全脆弱性1.2.3对信息系统安全的威胁1.3Windows信息系统安全机制简介1.3.1Windows2000安全机制简介1.3.2SQLServer2000安全机制简介1.4Windows信息系统面临的安全威胁1.4.1安全威胁之系统破解1.4.2安全威胁之计算机病毒1.4.3安全威胁之恶意攻击1.1计算机信息系统的定义信息系统是指用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息系统

（InformationSystem）

是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。1.2计算机信息系统安全简介1.2.1计算机信息系统安全的定义信息系统安全定义为：确保以电磁信号为主要形式的、在计算机网络化（开放互联）系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。1.2.2信息系统自身的安全脆弱性1．硬件组件2．软件组件3．网络和通信协议信息系统硬件组件的安全隐患多来源于设计，主要表现为物理安全方面的问题。软件组件的安全隐患来源于设计和软件工程中的问题。（1）缺乏对用户身份的鉴别（2）缺乏对路由协议的鉴别认证（3）TCP/UDP的缺陷1.2.3

对信息系统安全的威胁

1．基本威胁（1）信息泄露（2）完整性破坏（3）服务拒绝（4）未授权访问2．威胁信息系统的主要方法（1）冒充（2）旁路控制（3）破坏信息的完整性攻击者可以从以下三方面破坏信息的完整性：篡改：改变信息流的次序、时序、流向、内容和形式。删除：删除消息全部或其中一部分。插入：在消息中插入一些无意义的或有害的消息。（4）破坏系统的可用性（5）重放（6）截取和辐射侦测（7）陷门（8）特洛伊木马（9）抵赖3．威胁和攻击的来源（1）内部操作不当（2）内部管理不严造成系统安全管理失控（3）来自外部的威胁和犯罪①黑客②信息间谍③计算机犯罪1.3Windows信息系统安全机制简介1.3.1Windows2000安全机制简介WindowsNT4.0的不足WindowsNT应用于企业级服务时，如果不使用那些繁冗的附加软件产品，便无法提供分布式SSO（单点登录）服务。委派功能（将针对限定账号集合的有限管理优选权指派给另一用户的能力）则更是少得可怜。同样无法借助平面化WindowsNT域就组织层次和管理结构进行适当规划。WindowsNT4.0也没有为和用户账号有关的应用程序专用信息提供存储位置。而WindowsNT所具备的PKI功能（最多只能算雏形状态）则仅被限定于Web环境，并只能面向基于MicrosoftExchangeServer的通信任务提供部分支持，但PKI功能本身却没有实现全面集成化。首先，Microsoft在围绕Win2K展开设计工作的过程中，秉承了多项旨在弥补WindowsNT4.0自身缺陷的技术意图，该公司将这种操作系统定位于终极电子商务支持平台。其次，Win2K在很大程度上依赖于行业标准和相关协议。再次，Microsoft还需要提供一个有助于降低应用程序开发成本的软件系统平台。最后，为应对电子商务所提出的挑战，Win2K已具备了在整个操作系统内面向PKI提供技术支持的能力。1．AD组件

AD堪称Win2K操作系统的旗舰级组件，主要用来克服WindowsNT4.0在目录功能方面存在的伸缩性、扩展性、开放性和管理能力问题。AD为操作系统存储账号及控制策略信息。

AD依赖操作系统控制对AD对象的访问。操作系统对AD中对象强制实施许可进入。

操作系统的授信信息存放在AD中。2．．CryptoAPI组组件件CryptoAPI的的设设计计目目标标在在于于，，面面向向基基于于使使用用可可安安装装加加密密服服务务提提供供程程序序之之操操作作系系统统的的全全部部应应用用程程序序及及其其他他相相关关组组件件提提供供针针对对低低级级加加密密服服务务的的一一站站式式““采采购购””模模式式CryptoAPI为为应应用用程程序序提提供供一一站站式式““采采购购””服服务务3．．证证书书服服务务器器证书书服服务务器器，，主主要要用用来来针针对对证证书书的的申申请请、、签签发发、、公公布布和和管管理理任任务务提提供供CA所所应应具具备备的的基基本本功功能能特特性性。。证书书服服务务器器可可面面向向ExchangeServer提提供供许许可可证证码码身身份份验验证证和和安安全全MIME（（S/MIME））集集成成特特性性。。管理理人人员员必必须须为为针针对对证证书书服服务务器器配配置置实实施施操操控控而而以以手手工工方方式式就就文文本本文文件件进进行行编编辑辑。。证证书书服服务务器器缺缺乏乏对对于于PKI企企业业级级使使用用需需求求来来说说是是至至关关重重要要的的管管理理特特性性。。证证书书服服务务器器具具备备在在其其他他第第三三方方目目录录中中实实现现证证书书发发布布的的能能力力。。4．．身身份份验验证证服服务务SSPI（（SecuritySupportProviderInterface））将通通过过另另一一种种API提提供供身身份份验验证证服服务务。。客客户户端端/服服务务器器应应用用程程序序不不仅仅需需要要对对访访问问服服务务器器的的客客户户端端执执行行身身份份验验证证，，而而且且，，有有时时甚甚至至需需要要对对访访问问客客户户端端的的服服务务器器实实施施验验证证。。SSPI在身份份验证服服务中所所扮演的的角色5．加密密服务Win2K所配配备的EFS则允许你你仅仅通通过选中中一个复复选框的的简单操操作即可可在文件件系统层层对相关关文件进进行加密密。EFS可借借助面向向用户和和应用程程序的完完全透明明度对加加密和解解密任务务进行处处理。Win2K主要要凭借IPSec面向用户户和应用用程序提提供充分分透明度度，进而而跨越网网络系统统对数据据资料加加以保护护。IPSec可面向向TCP/IP通信提提供身份份验证、、机密性性、数据据完整性性和筛选选服务。。IPSec在Win2K体系系结构中中所处位位置1.3.2SQLServer2000安安全机机制简介介SQLServer是Microsoft公司司开发的的大型数数据库软软件，Microsoft为为SQLServer建立立了一种种既灵活活又强大大的安全全管理机机制，SQLServer的安全全机制是是与下层层的Win2K操作系系统结合合在一起起的，它它能够对对用户访访问SQLServer服服务器系系统和数数据库的的安全进进行全面面的管理理。1．验证证方法选选择验证是指检验验用户的的身份标标识；授权是指允许许用户做做些什么么。构造安全全策略的的第一个个步骤是是确定SQLServer用哪种种方式验验证用户户。2．Web环境境中的验验证IIS5.0，可以以用四种种方法验验证用户户:第一种方方法是为每一一个网站站和每一一个虚拟拟目录创创建一个个匿名用用户的Win2K账户户;第二种方方法是让所有有网站使使用Basic验证;

在客客户端只只使用IE6.0、、IE5.0浏览器器的情况况下，你你可以使使用第三种验验证方法法。你可以以在Web网站站上和虚虚拟目录录上都启启用Win2K验证;第四种方方法是如果用用户都有有个人数数字证书书，你可可以把那那些证书书映射到到本地域域的Win2K账户上上。3．设置置全局组组构造安全全策略的的下一个个步骤是是确定用用户应该该属于什什么组。。控制数据访问问权限最简单单的方法是，，对于每一组组用户，分别别地为它创建建一个满足该该组用户权限4．允许数据据库访问权限分配给角角色而不是直直接把它们分分配给全局组组。创建了数据库库之后，我们们可以用sp_grantdbaccess存存储过程授权权DB_NameUsers组访访问它。如果要拒绝数数据库访问，，我们可以创创建另外一个个名为DB_NameDeniedUsers的全局局组，授权它它访问数据库库，然后把它它设置为db_denydatareader以及db_denydatawriter角角色的成员。。5．分配权限限实施安全策略略的最后一个个步骤是创建建用户定义的的数据库角色色，然后分配配权限。完成成这个步骤最最简单的方法法是创建一些些名字与全局局组名字配套套的角色。创建好角色之之后就可以分分配权限。在在这个过程中中，我们只需需用到标准的的GRANT、REVOKE和DENY命令。。接下来我们就就可以加入所所有SQLServer验证的登登录。用户定定义的数据库库角色可以包包含SQLServer登录以及及NT全局组组、本地组、、个人账户。。由于内建的角角色一般适用用于整个数据据库而不是单单独的对象，，因此这里建建议你只使用用两个内建的的数据库角色色，即db_securityadmin和db_owner。6．简化管理理SQLServer验验证的登录不不仅能够方便便地实现，而而且与NT验验证的登录相相比，它更容容易编写到应应用程序里。。但是，如果果用户的数量量超过25，，或者服务器器数量在一个个以上，或者者每个用户都都可以访问一一个以上的数数据库，或者者数据库有多多个管理员，，SQLServer验证的登录录便不容易管管理了。由于于SQLServer没有显示用用户有效权限限的工具，要要记住每个用用户具有哪些些权限以及他他们为何要得得到这些权限限就更加困难难。即使对于于一个还要担担负其他责任任的小型数据据库管理员，，简化安全策策略也有助其其减轻问题的的复杂程度。。因此，首选选的方法应该该是使用NT验证的登录录，然后通过过一些精心选选择的全局组组和数据库角角色管理数据据库访问。1.4Windows信息系统统面临的安安全全威胁1.4.1安安全威胁胁之系统破解解1．Windows系统统登录密码破破解简介（1）删除SAM文件（（仅适合于Windows2000）（2）修改账账户密码（3）穷举法法破解账户密密码2．文件级加加密破解简介介（1）Office文件件加密与破解解（2）FoxMail账账号加密与破破解3．软件注册册码破解简介介注册码加密保保护的原理比比较简单，即即要求软件安安装者必须输输入正版软件件才拥有的一一组字码（字字符或数字的的组合），经经软件验证通通过后方可完完成安装。注注册码的验证证方式根据不不同的软件各各有不同，有有的是直接明明文放在软件件中，有的经经过加密或变变形后再进行行比较，还有有的需要通过过网络申请注注册码，然后后再进行验证证。不管通过过哪种验证方方式，注册码码的破解均有有一定的规律律可循，即通通过反汇编工工具追踪软件件的验证过程程，在找到验验证规律的基基础上实现破破解。1.4.2安安全威胁胁之计算机病病毒1．计算机病病毒的基本特特征（1）传染性性（2）隐蔽性性（3）破坏性性（4）可触发发性2．计算机病病毒的发展趋趋势（1）网络成成为计算机病病毒传染的主主要载体；（2）传统病病毒日益减少少，网络蠕虫虫成为最主要要和破坏力最最大的病毒类类型；（3）恶意网网页的泛滥；；（4）病毒与与木马技术相相互结合，出出现带有明显显木马特征的的病毒；（5）传播方方式多样化；；（6）跨操作作系统的病毒毒；（7）手机病病毒、信息家家电病毒的出出现。3．计算机反反病毒技术的的发展趋势（1）适当增增加杀毒软件件的功能（2）杀毒软软件的技术革革新（3）操作系系统的稳固性性（4）企业病病毒解决方案案和个人病毒毒防范1.4.3安安全威胁胁之恶意攻击击1．源IP地址欺骗攻击击假设同一网段段内有两台主主机A和B，，另一网段内内有主机X。。B授予A某些特权。。X为获得得与A相同的的特权，所做做欺骗攻击如如下：首先，，X冒充A，，向主机B发送一个带带有随机序列列号的SYN包。主机B响应，回送送一个应答包包给A，该应应答号等于原原序列号加1。然而，此此时主机A已已被主机X利利用拒绝服务务攻击“淹没没”了，导致致主机A服务务失效。结果果，主机A将将B发来的包包丢弃。为了了完成三次握握手，X还需需要向B回送送一个应答包包，其应答号号等于B向A发送数据包包的序列号加加1。此时主主机X并不不能检测到主主机B的数据据包（因为不不在同一网段段），只有利利用TCP顺顺序号估算法法来预测应答答包的顺序号号并将其发送送给目标机B。如果猜测测正确，B则则认为收到的的ACK是来来自内部主机机A。此时，，X即获得了了主机A在主主机B上所享享有的特权，，并开始对这这些服务实施施攻击。要防止源IP地址欺欺骗行为，可可以采取以下下措施来尽可可能地保护系系统免受这类类攻击：（1）抛弃基基于地址的信信任策略阻止这类攻击击的一种十分分容易的办法法就是放弃以以地址为基础础的验证。这这将迫使所有有用户使用其其他远程通信信手段，如telnet、ssh、、skey等等等。（2）使用加加密方法在包发送到网网络上之前，，我们可以对对它进行加密密。虽然加密密过程要求适适当改变目前前的网络环境境，但它将保保证数据的完完整性、真实实性和保密性性。（3）进行包包过滤可以配置路由由器使其能够够拒绝网络外外部与本网内内具有相同IP地址的连连接请求。而而且，当包的的IP地址不不在本网内时时，路由器不不应该把本网网主机的包发发送出去。2．源路由欺欺骗攻击假设设主主机机A享享有有主主机机B的的某某些些特特权权，，主主机机X想想冒冒充充主主机机A从从主主机机B（（假假设设IP为为aaa.bbb.ccc.ddd））获获得得某某些些服服务务。。首首先先，，攻攻击击者者修修改改距距离离X最最近近的的路路由由器器，，使使得得到到达达此此路路由由器器且且包包含含目目的的地地址址aaa.bbb.ccc.ddd的的数数据据包包以以主主机机X所所在在的的网网络络为为目目的的地地；；然然后后，，攻攻击击者者X利利用用IP欺欺骗骗向向主主机机B发发送送源源路路由由（（指指定定最最近近的的路路由由器器））数数据据包包。。当当B回回送送数数据据包包时时，，就就传传送送到到被被更更改改过过的的路路由由器器。。这这就就使使一一个个入入侵侵者者可可以以假假冒冒一一个个主主机机的的名名义义通通过过一一个个特特殊殊的的路路径径来来获获得得某某些些被被保保护护数数据据。。为了了防范范源路路由由欺欺骗骗攻攻击击，，一一般般采采用用下下面面两两种种措措施施：：1.对对付付这这种种攻攻击击最最好好的的办办法法是是配配置置路路由由器器，，使使它它抛抛弃弃那那些些由由外外部部网网进进来来的的却却声声称称是是内内部部主主机机的的报报文文。。2.在在路路由由器器上上关关闭闭源源路路由由。。用用命命令令noipsource-route。。3．．拒拒绝绝服服务务攻攻击击SYNFlood常常常常是是源源IP地地址址欺欺骗骗攻攻击击的的前前奏奏，，又又称称半半开开式式连连接接攻攻击击。。每每当当我我们们进进行行一一次次标标准准的的TCP连连接接就就会会有有一一个个三三次次握握手手的的过过程程，，而而SYNFlood在在它它的的实实现现过过程程中中只只有有三三次次握握手手的的前前两两个个步步骤骤，，当当服服务务方方收收到到请请求求方方的的SYN并并回回送送SYN-ACK确确认认报报文文后后，，请请求求方方由由于于采采用用源源地地址址欺欺骗骗等等手手段段，，致致使使服服务务方方得得不不到到ACK回回应应，，这这样样，，服服务务方方会会在在一一定定时时间间内内处处于于等等待待接接收收请请求求方方ACK报报文文的的状状态态，，一一台台服服务务器器可可用用的的TCP连连接接是是有有限限的的，，如如果果恶恶意意攻攻击击方方快快速速连连续续地地发发送送此此类类连连接接请请求求，，则则服服务务器器的的系系统统可可用用资资源源、、网网络络可可用用带带宽宽急急剧剧下下降降，，将将无无法法向向其其他他用用户户提提供供正正常常的的网网络络服服务务。。为了了防止止拒绝绝服服务务攻攻击击，，我我们们可可以以采采取取以以下下的的预预防防措措施施：：1.建建议议在在该该网网段段的的路路由由器器上上做做一一些些配配置置的的调调整整，，这这些些调调整整包包括括限限制制Syn半半开开数数据据包包的的流流量量和和个个数数。。2.要要防防止止SYN数数据据段段攻攻击击，，我我们们应应对对系系统统设设定定相相应应的的内内核核参参数数，，使使得得系系统统强强制制对对超超时时的的Syn请请求求连连接接数数据据包包复复位位，，同同时时通通过过缩缩短短超超时时常常数数和和加加长长等等候候队队列列使使得得系系统统能能迅迅速速处处理理无无效效的的Syn请请求求数数据据包包。。3.建议议在路由由器的前前端做必必要的TCP拦拦截，使使得只有有完成TCP三三次握手手过程的的数据包包才可进进入该网网段，这这样可以以有效地地保护本本网段内内的服务务器不受受此类攻攻击。4.对于于信息淹淹没攻击击，我们们应关掉掉可能产产生无限限序列的的服务来来防止这这种攻击击。4．网络络嗅探攻攻击网络嗅探探就是使使网络接接口接收收不属于于本主机机的数据据。计算算机网络络通常建建立在共共享信道道上，以以太网就就是这样样一个共共享信道道的网络络，其数数据帧头头包含目目的主机机的硬件件地址，，只有硬硬件地址址匹配的的机器才才会接收收该数据据包。一一个能接接收所有有数据包包的机器器被称为为混杂模模式节点点。通常常账户和和口令等等信息都都以明文文的形式式在以太太网上传传输，一一旦被攻攻击者在在混杂模模式节点点上嗅探探到这些些信息，，相关的的计算机机和用户户就难以以避免被被攻击的的厄运。。对于网络络嗅探攻攻击，我我们可以以采取以以下措施施进行防范：（1）网网络分段段（2）加加密（3）一一次性口口令技术术（4）禁禁用杂错错节点5．缓冲冲区溢出出攻击缓冲区是是用户为为程序运运行时在在计算机内存中中申请到到的一段段连续的的存储空空间，它它保存了了给定类类型的数数据。缓缓冲区溢溢出指的的是一种种常见且且危害很很大的系系统攻击击手段，，通过向向程序的的缓冲区区写入超超出其长长度的内容，造成缓缓冲区的的溢出，，从而破破坏程序序的堆栈栈，使程程序转而而执行其其他的指指令，以以达到攻攻击的目目的。一般的防范措施包括括：（1）程程序指针针完整性性检查（2）堆堆栈的保保护（3）数数组边界界检查（4）利利用工具具软件发发现漏洞洞并修补补2.1Windows系系统的注注册表2.2VisualC++编编程基础础2.3汇汇编编语言编编程及反反汇编调调试2.4Windows系系统驱动动程序开开发第2章基基础础知识简简介2.1Windows系系统的注注册表2.1.1注注册表表的结构构注册表的的外部形式式是Windows目录录下的两两个二进进制文件件System.dat和User.dat，内部组织织结构是一个类类似于目目录管理理的树状状分层的的结构。。对于树枝枝，我们们把它叫叫做“项”，对于于树叶，，叫做““值项”。值项项包括三三部分：：值的名称称、值的的数据类类型以及及值本身身。Windows系统的的注册表表有5种种数据类类型，它它们是：：REG_BINARY：二进制制值（B）。REG_DWORD：DWORD值值（D））。REG_EXPAND_SZ：可扩展展字符串串（E））。REG_MULTI_SZ：多重字字符串（（M）。。REG_SZ：数据字字符串（（S）。。注册表的的根键主主要包括括5大根根键，即即：HKEY_CURRENT_USER：包含当当前登录录用户的的配置信信息的根根目录。。用户文文件夹、、屏幕颜颜色和““控制面面板”设设置存储储在此处处。该信信息被称称为用户户配置文文件。HKEY_USERS：包含计计算机上上所有用用户的配配置文件件的根目目录。HKEY_CURRENT_USER是HKEY_USERS的子项项。HKEY_LOCAL_MACHINE：：包含针针对该计计算机（（对于任任何用户户）的配配置信息息。HKEY_CLASSES_ROOT：是HKEY_LOCAL_MACHINE\Software的子子项。此此处存储储的信息息可以确确保当使使用Windows资资源管理理器打开开文件时时，将使使用正确确的应用用程序打打开对应应的文件件类型。。HKEY_CURRENT_CONFIG：包含本本地计算算机在系系统启动动时所用用的硬件件配置文文件信息息。1．HKEY_LOCAL_MACHINE根键键HKEY_LOCAL_MACHINE根根键中存存放的是是用来控控制系统统和软件件的设置置。（1）HARDWARE子键键该子键包包含了系系统使用用的浮点点处理器器、串口口等有关关信息。。DESCRIPTION：用用于存放放有关系系统信息息。DEVICEMAP：：用于存存放设备备映像。。RESOURCEMAP；用用于存放放资源映映像。（2）SAM子子键（3）SECURITY子键键该子键位位于HKEY_LOCAL_MACHINE\Security分支支上，该该分支只只是为将将来的高高级功能能而预留留的。（4）SOFTWARE子键键该子键中中保留的的是所有有已安装装的32位应用用程序的的信息。。（5）SYSTEM子子键该子键存存放的是是启动时时所使用用的信息息和修复复系统时时所需的的信息，，其中包包括括各个驱驱动程序序的描述述信息和和配置信信息等。。2．HKEY_CLASSES_ROOT根键HKEY_CLASSES_ROOT主主键与当当前注册册使用的的用户有有关，它它实际上上是HKEY_CURRENT_USER＼SOFTWARE＼Classes和和HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes的的交集。。如果两两者的内内容有冲冲突，则则HKEY_CURRENT_USER＼＼SOFTWARE＼＼Classes优先先。（1））同一一台计计算机机上的的不同同用户户可以以分别别定制制不同同的的Windows2000。（2））提高高了注注册表表的安安全性性。（3））支持持漫游游类注注册。。“单用用户类类注册册”（（per-userclassregistration））3．HKEY_CURRENT_CONFIG根键键如果你你在Windows中设设置了了两套套或者者两套套以上上的硬硬件配配置文文件（（HardwareConfigurationfile）），则则在系系统启启动时时将会会让用用户选选择使使用哪哪套配配置文文件。。而HKEY_CURRENT_CONFIG根键键中存存放的的则是是当前前配置置文件件的所所有信信息。。4．HKEY_USERS根根键该根键键保存存了存存放在在本地地计算算机口口令列列表中中的用用户标标识和和密码码列表表，即即用户户设置置。每每个用用户的的预配配置信信息都都存储储在HKEY_USERS根根键中中。HKEY_USERS是是远程程计算算机中中访问问的根根键之之一。。其内内容取取决于于计算算机是是否激激活了了用户户配置置文件件，若若未激激活用用户配配置文文件，，则可可以看看到称称为.DEFAULT的的单一一子键键，该该子键键包括括和所所有用用户相相关的的各种种设置置，并并且和和\Windows下的的USER.DAT文件件相配配合。。若激激活了了用户户配置置文件件并且且正确确地执执行了了登录录，则则还有有一个个“用用户名名”的的子键键，该该用户户名为为用户户登录录的名名称。。5．HKEY_CURRENT_USER根键键HKEY_CURRENT_USER下下面有有7个个子键键：AppEvents：这个子键键里登记已已注册的各各种应用事事件。ControlPanel：它里面涉涉及控制面面板设置有有关的内容容。InstallLocationsMRU：Windows安安装路径的的有关信息息。Keyboardlayout：关于键盘盘设置的信信息。Network：有关网络络设置的信信息。RemoteAccess：安装IE时建立的的子关键字字，包含该该应用程序序的有关信信息。Software：用户安装装软件的有有关信息。。HKEY_CURRENT_USER根键中保保存的信息息（当前用用户的子键键信息）与与HKEY_USERS\.Default分支中所所保存的信信息是相同同的。任何何对HKEY_CURRENT_USER根键键中的信息息的修改都都会导致对对HKEY_USERS\.Default中中子键信息息的修改，，反之也是是如此。2.1.2注册册表的操作作1．注册表表的备份点击注册表表编辑器的的“文件””菜单，再再点击“导导出”选项项，在弹出出的对话框框中输入文文件名“regedit”，，将“保存存类型”选选为“注册册表文件””，再将““导出范围围”设置为为“全部””，接下来来选择文件件存储位置置，最后点点击“保存存”按钮，，就可将系系统的注册册表保存到到硬盘上。。同样，如如果点击““导入”选选项，选择择要导入的的注册表文文件，就可可以完成整整个注册表表的还原。。2．注册表表项目的还还原单击程序界界面“文件件”项下拉拉菜单中的的“导入””命令，程程序会给出出一个对话话框，在其其中的文件件列表窗口口中选择需需要还原的的文件名，，之后单击击“打开””按钮确定定即可。3．向注册册表中添加加新的项或或子项启动注册表表编辑器，，在程序左左边的树形形列表窗口口中选择将将在其下添添加新项的的项或子项项。单击程程序界面菜菜单条中的的“编辑””项，并从从关联的下下拉菜单中中选择“新新建”命令令，在出现现的窗口中中的“项名名称”文本本框中输入入需要添加加的新项名名称，对于于指定类别别，可根据据自己的需需要设置，，当然如果果不添加也也可以。最最后单击确确定按钮，，返回程序序界面即可可。4．以关键键字方式查查找首先在注册册表编辑器器界面中选选择需要扫扫描的项或或子项所在在窗口，单单击界面菜菜单条“编编辑”项下下拉菜单中中的“查找找”命令。。在“查找找内容”文文本框中输输入需要查查找的内容容关键字，，并选择相相应的扫描描控制方式式，之后，，单击“查查找下一个个”按钮确确定即可。。5．删除注注册表中无无用的子项项或值项首先在程序序界面中找找到需要删删除项目所所在的主项项窗口，然然后定位需需要删除的的值项，一一般对于软软件注册项项都包括在在HKEY_CURRENT_USER项下的的Software子项中。。单击程序序界面菜单单条“编辑辑”项下拉拉菜单中的的“删除””命令或者者是直接按按下“Delete”键，程程序会给出出删除确认认对话框，，单击“Yes”按按钮确认即即可。6．设置注注册表项的的权限首先在程序序界面窗口口中选择需需要指定权权限的项，，单击界面面“编辑””项下拉菜菜单，从中中选择“权权限”命令令，在“名名称”列表表框中选择择需要设置置权限的用用户或组，，如果暂时时还没有添添加，可单单击“添加加”按钮，，在关联的的“选择用用户、计算算机或组””设置界面面中选择需需要添加的的对象。在在界面中的的“权限””项列表框框中设置允允许当前选选择对象的的使用权限限，其中包包括“读取取”和“完完全控制””（读写））。此外，，当点“高高级”项，，程序会给给出针对当当前授权注注册表项访访问控制设设置，其中中包括了更更加严密的的授权设置置，如是否否允许查询询数值、设设置数值、、创建子项项、枚举子子项、通知知、创建链链接、删除除、写入DAC、写写入所有者者、读取控控制等，根根据自己的的需要选择择即可。2.2VisualC++编程程基础2.2.1VisualC++概述VisualC++（以下下简称VC++）是是微软开发发的一套C/C++编译器，，它包含了了综合的微微软基本类类库（MicrosoftFoundationClassLibrary），使得得开发Windows应用程程序变得简简单而高效效。它提供供有复杂的的资源编辑辑器，可以以编辑对话话框、菜单单、工具栏栏、图像和和其他许多多Windows应应用程序的的组成元素素。它还有有一个非常常好的集成成开发环境境——DeveloperStudio，用用它可以在在编写C++程序时时对程序的的结构进行行可视化的的管理。2.2.2MFC简介MFC中的的各种类结结合起来构构成了一个个应用程序序框架，它它的目的就就是让程序序员在此基基础上来建建立Windows下的应用用程序。MFC的基基本结构是是层次结构构。该层次次结构包容容了WindowsAPI中的用户户界面部分分，并使你你能够很容容易地以面面向对象的的方式建立立Windows应应用程序。。MFC库库的主要优优点是效率率高。当使用MFC时，，首先编编写的代代码是用用来建立立必要的的用户界界面控制制并定制制其外观观。2.2.3Windows消息息机制简简介一个消息息由一个个消息名名称（UINT）和两两个参数数（WPARAM，LPARAM））组成。。当用户户进行了了输入或或是窗口口的状态态发生改改变时系系统都会会发送消消息。一个消息息必须由由某一个个窗口来来接收。。作为程程序员，，在窗口口的进程程（WNDPROC））中可以以对消息息进行分分析，对对自己感感兴趣的的消息进进行处理理。系统将会会为每一一个进程程维护一一个消息息队列，，所有属属于该进进程的消消息都会会被放入入队列中中。2.2.4VisualC++编程程示例2.3汇汇编编语言编编程及反反汇编调调试2.3.1Win32汇汇编与Masm32Win32汇编编是指32位Windows平台下下的汇编编语言，，它可以以调用Windows的API，用用Win32汇汇编写Windows应用程程序类似似于用C／SDK编程程。Win32汇编编没有进进行那么么多的封封装，更更接近系系统的底底层，使使用起来来更加灵灵活，能能做到许许多高级级语言无无法做到到的事（（如代码码重定位位）。汇汇编程序序生成的的可执行行文件体体积小，，执行速速度快，，可用于于软件的的核心程程序段，，以提高高软件性性能。与计算机机硬件密密切相关关的驱动动程序开开发，计计算机病病毒的分分析与防防治、软软件加密密解密、、软件调调试等方方面都会会用到Win32汇编编的知识识。1．MASM32简介介MASM32就就是一个个用于Win32汇编编的软件件包，它它包括汇汇编编译译器Ml.exe、资资源编译译器Rc.exe、32位链链接器Link.exe和一一个简单单的IDE环境境QEDITOR.exe。。2．MASM32与其其他Win32汇编开开发工具具的比较较Win32汇编编最好的的选择还还是MASM32，它它可以支支持高级级语法，，使汇编编编程更更简单。。同时它它还集成成了与之之配套的的链接器器和资源源编译器器，不需需要自己己逐个搜搜集。另另外，用用它附带带的IDE进行行。总之之，使用用MASM32可以方方便、快快捷地开开发出一一个汇编编程序，，是很适适合初学学者的一一个开发发平台。。2.3.3W32Dasm与静静态反汇汇编静态反汇汇编是指指把PE等格式式的可执执行文件件反汇编编为类似似汇编源源文件的的文本文文件，其其中的机机器指令令码用汇汇编助记记符来表表示。W32Dasm是一个个著名的的静态反反汇编分分析工具具，它除除了能将将应用程程序反汇汇编为汇汇编源程程序，还还提供许许多相关关信息及及便捷的的操作以以帮助对对程序的的静态调调试，另另外还有有简单的的动态调调试功能能。2.3.2MASM32编程示示例2.4Windows系系统驱动动程序开开发2.4.1Windows系统统设备驱驱动程序序简介Windwos系统结结构图当用户模模式程序序需要读读取设备备数据时时，它就就调用Win32API函函数，然后通通过Win32子系系统模块块（如KERNEL32.DLL）调调用平台台相关的的系统服务接口口实现该API，而平台相相关的系统服服务将调用内内核模式支持持函数。2.4.2Windows系统统驱动程序分分类Windows系统中的的设备驱动程程序分类结构构图虚拟设备驱动动程序（VDD）是一个用户模模式部件，它它可以使DOS应用程序序访问x86平台上的硬硬件。内核模式驱动动程序其分类包含许许多子类。PnP驱动程程序就是一种种遵循Windows2000即即插即用协议议的内核模式式驱动程序。。WDM驱动程程序是一种PnP驱动程序，，它同时还遵遵循电源管理理协议，并能能在Windows98和Windows2000间间实现源代码码级兼容。显示驱动程序序是用于显示和和打印设备的的内核模式驱驱动程序。文件系统驱动动程序在本地地硬盘或网络络上实现标准准PC文件系系统模型（包包括多层次目目录结构和命命名文件概念念）。遗留设备驱动动程序也是一种内核核模式驱动程程序，它直接接控制一个硬硬件设备而不不用其他驱动动程序帮助。。2.4.3Windows系统统驱动程序开开发模型WDM中设备备对象和驱动动程序的层次次结构WDM模型使使用了如图2-19所示示的层次结构构。图中左边边是一个设备备对象堆栈。。设备对象是是系统为帮助助软件管理硬硬件而创建的的数据结构。。一个物理硬硬件可以有多多个这样的数数据结构。处处于堆栈最底底层的设备对对象称为物理理设备对象（（PhysicalDeviceObject），或或简称为PDO。在设备备对象堆栈的的中间某处有有一个对象称称为功能设备备对象（FunctionalDeviceObject），或或简称FDO。在FDO上面和下面面还会有一些些过滤器设备备对象（FilterDeviceObject），，或简称FiDO。2.4.4Windows系统统驱动程序开开发工具简介介开发WDM离离不开DDK，微软公司司提供的DDK版本有：：Windows98DDK，，Windows2000DDK，WindowsXPDDK（Windows.XP.SP1DDK）和Windows.Server.2003DDK。开发WDM也也可以使用驱驱动开发工具具DriverStudio，它它是一个开发发工具包，包包含VtoolsD、DriverWorks、DriverNetWorks和SoftICE等开开发工具。2.4.5Windows系统统驱动程序框框架结构1．DriverEntry函数每个驱动程序序必须有一个个DriverEntry函数以用用来初始化驱驱动程序范围围内的数据结结构和资源。。当I/O管管理器装入驱驱动程序时，，它调用DriverEntry函函数。NTSTATUSDriverEntry（（INPDRIVER_OBJECTDriverObject,INPUNICODE_STRINGRegistryPath）{……}2．AddDevice函数WDM驱动程程序有一个特特殊的AddDevice函数，PnP管理理器为每每个设备实例例调用该函数数。NTSTATUSAddDevice（INPDRIVER_OBJECTDriverObject,INPDEVICE_OBJECTPhysicalDevObject）{……}*调用IoCreateDevice创建设备备对象，并建建立一个私有有的设备扩展展对象。*寄存一个或或多个设备接接口，以便应应用程序能知知道设备的存存在。另外，，还可以给出出设备名并创创建符号连接接。初始化设备扩扩展和设备对对象的Flag成员。*调用IoAttachDeviceToDeviceStack函函数把新设备备对象放到堆堆栈上。3．Dispatch函函数NTSTATUS（*PDRIVER_DISPATCH）（INPDEVICE_OBJECTDeviceObject，INPIRPIrp）{……（略）}Dispatch函数如如下处理输入入IRP的过过程如下：*在IRP中检检测驱动程序序的I/O栈栈位置以决定定做什么，并并且如果有参参数的话，检检测参数的有有效性。*尽可能满足请请求并完成IRP；否则则，由较低层层驱动程序或或其他设备驱驱动程序函数数传送它以做做进一步处理理。4．StartIo函数数大多数设备驱驱动程序有一一个StartIo函数数，该函数是是用来完成IRP的排队队功能的，因因为大多数PC外设同时时仅能处理一一个设备I/O操作。VOID（（*PDRIVER_STARTIO）（（INPDRIVER_OBJECTDeviceObject,INPIRPIrp）{……}5．其他一些些函数及其功功能函数名称函数功能Unload卸载驱动程序ISR中断服务函数DpcForIsr延时过程调用函数，完成一个I/O请求和开始另一个中断驱动的传输IRP处理函数被调来处理希望处理的IRPCancel取消一个IRPCompletion当一个低层驱动程序完成一个IRP的处理时被调用，这允许当前的驱动程序做更多的工作AdapterControl当一个DMA通道适配器可用时调用ControllerControl当一个控制器空闲时调用Timer定时器回调函数CustomerTimerDpcTimerDpc的回调函数CustomerDpc通常用于处理工作队列ConfigCallBack查询设备硬件描述回调临界段函数同步一个处理器上的中断执行。由低级IRQL的任务调用来与硬件交互即插即用通知当设备PnP状态发生变化时被调用电源通知当设备Power状态发生变化时被调用2.5.6Windows系统统驱动程序设设计准备工作作如果果你你在在设设计计一一个个设设备备驱驱动动程程序序，，你你应应该该支支持持和和其其他他相相同同类类型型设设备备的的NT驱驱动动程程序序相相同同的的IRP_MJ_XXX和和IOCTL请请求求代代码码。。如果果你你是是在在设设计计一一个个中中间间层层NT驱驱动动程程序序，，应应该该首首先先确确认认你你下下层层驱驱动动程程序序所所管管理理的的设设备备，，因因为为一一个个高高层层的的驱驱动动程程序序必必须须具具有有低低层层驱驱动动程程序序绝绝大大多多数数IRP_MJ_XXX函函数数入入口口。。高高层层驱驱动动程程序序在在接接到到I/O请请求求时时，，在在确确定定自自身身IRP当当前前堆堆栈栈单单元元参参数数有有效效的的前前提提下下，，设设置置好好IRP中中下下一一个个低低层层驱驱动动程程序序的的堆堆栈栈单单元元，，然然后后再再调调用用IoCallDriver将将请请求求传传递递给给下下层层驱驱动动程程序序处处理理。。一旦旦决决定定好好了了你你的的驱驱动动程程序序应应该该处处理理哪哪些些IRP_MJ_XXX，，就就可可以以开开始始确确定定驱驱动动程程序序应应该该有有多多少少个个Dispatch函函数数。。2.5.7Windows系系统统驱驱动动程程序序开开发发的的一一般般过过程程最简简单单的的驱驱动动程程序序开开发发步步骤骤如如下下：：（1））写写一一个个DriverEntry函函数数，，在在里里面面调调用用IoCreateDevice创创建建一一个个Device对对象象。。（2））写写一一个个处处理理IRP_MJ_CREATE请请求求的的Dispatch函函数数的的基基本本框框架架。。（（3））编编译译你你的的驱驱动动程程序序。。（（4））安安装装测测试试你你的的驱驱动动程程序序。。第3章章PE病病毒毒及及反反病病毒毒技技术术相相关关实实验验3.1PE文文件件病病毒毒简简介介3.2简简单单PE病病毒毒模模拟拟实实验验3.3PE病病毒毒的的变变异异实实验验3.4多多进进程程自自保保护护病病毒毒实实验验3.5病病毒毒的的线线程程注注入入实实验验3.6PE文文件件自自免免疫疫防防病病毒毒实实验验3.1PE文文件件病病毒毒简简介介通过过操操作作系系统统的的文文件件系系统统进进行行感感染染的的病病毒毒都都称称为为文件件病病毒毒.DOS环环境境下下有有4种种基基本本的的可可执执行行文文件件格格式式:1.批批处处理理文文件件。。是是以以.BAT结结尾尾的的文文件件。。2.设设备备驱驱动动文文件件。。是是以以.SYS结结尾尾的的文文件件。。3.COM文文件件。。是是以以.COM结结尾尾的的纯纯代代码码文文件件。。4.EXE文文件件。。是是以以.EXE结结尾尾的的文文件件。。1．．覆覆盖盖病病毒毒这种种病病毒毒直直接接用用病病毒毒文文件件替替换换被被感感染染的的文文件件，，这这样样所所感感染染文文件件的的文文件件头头也也变变成成了了病病毒毒程程序序的的文文件件头头，，不不用用做做任任何何调调整整。。显显然然，，这这种种病病毒毒不不可可能能广广泛泛流流行行，，因因为为被被感感染染的的程程序序立立刻刻就就不不能能正正常常工工作作了了，，用用户户可可以以迅迅速速的的发发现现病病毒毒的的存存在在并并采采取取相相应应的的措措施施。。这这类类病病毒毒并并不不是是一一种种典典型型意意义义上上的的文文件件病病毒毒，，主主要要出出现现在在病病毒毒发发展展的的初初期期，，现现在在已已经经很很难难发发现现了了。。2．．寄寄生生病病毒毒（1））““头头寄寄生生””病病毒毒实现现将将病病毒毒代代码码放放到到程程序序的的头头上上有有两两种种方方法法，，一种种是将将原原来来程程序序的的前前面面一一部部分分拷拷贝贝到到程程序序的的最最后后，，然然后后将将文文件件头头用用病病毒毒代代码码覆覆盖盖；；另一一种种是生生成成一一个个新新的的文文件件，，首首先先在在头头的的位位置置写写上上病病毒毒代代码码，，然然后后将将原原来来的的可可执执行行文文件件放放在在病病毒毒代代码码的的后后面面，，再再用用新新的的文文件件替替换换原原来来的的文文件件从从而而完完成成感感染染，，感感染染原原理理如如图图所所示示。。（2））““尾尾寄寄生生””病病毒毒“尾尾寄寄生生””病病毒毒可可以以不不对对原原程程序序的的代代码码位位置置进进行行修修改改，，而而且且病病毒毒代代码码一一般般作作为为一一个个相相对对独独立立的的节节加加入入，，因因而而相相对对容容易易实实现现。。但但这这种种感感染染方方式式会会增增加加原原文文件件及及运运行行文文件件的的大大小小，，因因而而隐隐蔽蔽性性较较差差。。（3））““插插入入寄寄生生””病病毒毒病毒毒可可以以将将自自己己插插入入到到被被感感染染的的程程序序中中，，可可以以整整段段的的插插入入，，也也可可以以分分成成很很多多段段，，如如果果是是插插入入到到节节间间空空位位，，则则不不会会改改变变文文件件大大小小，，隐隐蔽蔽性性较较高高，，但但需需要要被被感感染染文文件件提提供供相相应应条条件件（（如如具具有有必必要要的的空空位位等等).3．无无入口口点病病毒有一类类PE病毒毒，在在被感感染程程序执执行的的时候候，没没有改改变PE文文件的的程序序入口口地址址,病病毒代代码无无声无无息地地潜伏伏在被被感染染的程程序中中，可可能在在非常常偶然然的条条件下下才会会被触触发开开始执执行。。4．对对象文文件、、库文文件和和源代代码病病毒一些病病毒可可以感感染编编译器器生成成的中中间对对象文文件（（OBJ文文件）），或或者编编译器器使用用的库库文件件（.LIB））文件件，由由于这这些文文件不不是直直接的的可执执行文文件，，所以以病毒毒感染染这些些文件件之后后并不不能直直接的的传染染，必必须使使用被被感染染的OBJ或者者LIB链链接生生成EXE程序序之后后才能能实际际地完完成感感染过过程.3.2简简单单PE病毒毒模拟拟实验验3.2.1实实验验目的的*熟悉悉PE文件件结构构*掌握握修改改PE文件件入口口地址址*掌握握在PE文文件中中添加加新节节3.2.2实实验验原理理PE文文件格格式（（PortableExecutableFileFormat））是目目前最最常用用的可可执行行文件件格式式，其其基本本结构构如图图所示示。1．PE文件头头简介介该部分分是由由一个个IMAGE_NT_HEADERS结构构来定定义的的：IMAGE_NT_HEADERSSTRUCTSignatureDWORD?；；PE文文件标标识FileHeaderIMAGE_FILE_HEADER<>；；PE文文件表表头OptionalHeaderIMAGE_OPTIONAL_HEADER32<>；；PE文件件可选选表头头IMAGE_NT_HEADERSENDSPE文文件头头又可可以分分成三三个部部分:（1））PE文件件标识识PE文文件头头的第第一个个数据据结构构是DWORD类型型的一一个标标志，，它被被定义义为00004550h，也也就是是字符符“P”，，“E”加加上两两个0，这这也是是“PE””这个个称呼呼的由由来。。PE文文件的的文件件属性性由该该标志志后面面的PE文文件表表头（（IMAGE_FILE_HEADER））和PE文文件可可选表表头（（IMAGE_OPTIONAL_HEADER32）来来定义义。（2）IMAGE_FILE_HEADER结构IMAGE_FILE_HEADER结构的定定义如下所所示:IMAGE_FILE_HEADERSTRUCTMachineWORD?