《软件安全》复习PPT.ppt

校验和检测技术－预期符合性 校验和检测技术：在文件使用/系统启动过程中，检查检测对象的实际校验和与预期是否一致，因而可以发现文件/引导区是否感染。 预期：正常文件内容和正常引导扇区数据 静态可信：可信计算机对主引导扇区和一些系统关键程序进行了校验，从而保障系统启动之后的初始安全。 * 启发式扫描技术 经验和知识：专业反病毒技术人员使用反汇编、调试或沙箱工具稍加分析，就可能判定出某程序是否染毒，为什么？ 启发式代码扫描技术(Heuristic Scanning)实际上就是恶意代码检测经验和知识的软件实现。 * 可疑的程序代码指令序列 格式化磁盘类操作 有哪些信誉好的足球投注网站和定位各种可执行程序的操作 实现驻留内存的操作 发现非常用的或未公开的系统功能调用的操作、子程序调用中只执行入栈操作、远距离(超过文件长度的三分之二)跳转指令等 敏感系统行为， 敏感API函数（序列）调用功能。。。 启发式扫描步骤 定义通用可疑特征（指令序列或行为） 对上述功能操作将被按照安全和可疑的等级进行排序，授以不同的权值。 鉴别特征，如果程序的权值总和超过一个事先定义的阈值，则认为 “发现病毒” 启发式扫描优缺点 优点 能够发现未知病毒 缺点 误报率高 解决方案： 启发式扫描技术＋传统扫描技术 可提高病毒检测软件的检测率，同时有效降低了总的误报率。 “启发式扫描+特征值扫描”的检测率 蜜罐 蜜罐（Honeypot） 通常是指未采取安全防范措施、并且将模拟的程序漏洞主动暴露在网络中的计算机。 特点 与一般计算机不同，其内部运行着多种多样特殊用途的“自我暴露程序”和行为记录程序 引诱恶意软件在蜜罐内更加充分的运行，并记录下其行为。 工作模式 被动型蜜罐 主动型蜜罐 例如：存在漏洞的应用程序、服务等 蜜罐 主动型蜜罐——实现思路 Step1:通过爬虫等主动获取潜在的恶意软件(载体) Step2:将其在蜜罐主机内打开、运行，并模拟进行交互 Step3:根据运行特征，发现和收集漏洞利用信息和恶意软件样本。 云计算和虚拟化技术使得设计和部署更为真实、更加先进的客户端蜜罐环境变得更加容易和低成本 浏览器（flash）漏洞的客户端蜜罐部署示例 * * * hehe * * * * * * * * * * * * * * * Directory－16项＊8字节 * 5.1 IMPORT Directory Table 如何从PE文件定位到引入目录表（IDT）的起始位置？ PE可选文件头的DataDirectory。 * 5.4 IAT（ IMPORT Address Table） 引入地址表：DWORD数组［可通过可选文件头中的DataDirectory的第13项定位］ 在文件中时，其内容与Import Name Table完全一样。 在内存中时，每个双字中存放着对应引入函数的地址。 * 为何需要导出序号表？ 导出函数名字和导出地址表中的地址不是一一对应关系。 为什么？ 一个函数实现可能有多个名字； 某些函数没有名字，仅通过序号导出。 * 堆栈溢出的示意图 可以直观的见到,写入内存的数据大于我们分配的长度,导致临近的内存数据被覆盖,如果精心准备覆盖到程序返回指针的数据,程序的进程可能就会被攻击者所控制. * * 4.1.2.2 栈溢出的利用 根据被覆盖的数据位置和所要实现的目的不同，分为以下三种： 修改邻接变量 修改函数返回地址 S.E.H.结构覆盖 * 4.1.2.2 修改邻接变量 由于函数的局部变量是依次存储在栈帧上的，因此如果这些局部变量中有数组之类的缓冲区，并且程序中存在数组越界缺陷，那么数组越界后就有可能破坏栈中相邻变量的值，甚至破坏栈帧中所保存的EBP、返回地址等重要数据。 * 4.1.2.2 修改邻接变量 观察如图4-4所示程序源代码，当代码执行到int verify_password(char *password)时，栈帧状态如右图所示。 当输入口令超过7个字符，越界字符ASCII码会修改掉authenticated的值，进而绕过密码验证程序。 程序在内存中的映像 …… 文本（代码）段 数据段 堆栈段 内存低地址 内存高地址 内存递增方向 初始化数据段 非初始化数据段(BSS) 堆(Heap) 栈(stack) 堆的增长方向 栈的增长方向 内核数据代码 00x7FFFFFFF PEBTEB 系统DLL 代码段 * * 4.1.3.1 堆的结构 堆块 空闲态：堆块被链入空链表中，由系统管理。 占有态：堆块会返回一个由程序员定义的句柄，由程序员管理。 * 4.1.3.1 堆的结构 空闲堆块比占有堆块多出了两个4字节的指针，这两个指针用于链接系统中的其他空闲堆块。