20189315《網絡攻防實踐》第九周做業

a、教材內容學習

第九章、惡意代碼安全攻防

一、惡意代碼定義與分類：計算機病毒、蠕蟲、惡意移動代碼、後門、特洛伊木馬、殭屍程序、內核套件（Rootkit）、融合型惡意代碼。
二、Rootkit：用戶模式Rootkit和內核模式Rootkit。其中內核模式Rootkit包括Linux內核模式Rootkit和Windows內核模式Rootkit。
三、惡意代碼分析方法：
惡意代碼分析技術概述：靜態分析和動態分析。
惡意代碼分析環境：惡意代碼發燒友的分析環境、基於虛擬化構建惡意代碼分析環境、用於研究的惡意代碼自動分析環境。
惡意代碼靜態分析技術：反病毒軟件掃描、文件格式識別、字符串提取分析、二進制結構分析、反彙編、反編譯、代碼結構與邏輯分析、加殼識別、代碼脫殼。
惡意代碼動態分析技術：基於快照對比的方法和工具、系統動態行爲監控方法（文件行爲監控軟件、進程行爲監控軟件、註冊表監控軟件、本地網絡棧行爲監控軟件）、網絡協議棧監控方法、沙箱技術、動態調試技術。

第十章、緩衝區溢出和Shellcode

一、軟件安全的困境三要素爲複雜性，可擴展性和連通性。軟件安全漏洞從技術上分爲內存安全違規類，輸入驗證類，競爭條件類，極限混淆與提高類。
二、緩衝區溢出基本概念：計算機程序中存在的一類內存安全違規類漏洞，在計算機程序向特定緩衝區內填充數據時，超出了緩衝區自己的容量，致使外溢數據覆蓋了相鄰內存空間的合法數據，從而改變了程序執行流程破壞系統運行完整性。
三、緩衝區溢出在進程內存空間中的位置不一樣，又分爲棧溢出，堆溢出和內核溢出。
四、爲了防止緩衝區溢出攻擊，通常採用嘗試杜絕溢出的防護技術，容許溢出但不讓程序改變執行流程的技術，沒法讓攻擊代碼執行的防護技術來進行防護。

b、Kai視頻學習

Kali壓力測試工具

壓力測試經過肯定一個系統的瓶頸或者不能接受的性能點，來得到系統可以提供的最大的服務級別的測試。通俗地講，壓力測試是爲了測試應用程序的性能會變得不可接受。
Kali下壓力測試工具包含VoIP壓力測試、Web壓力測試、網絡壓力測試及無線壓力測試。
一、Voip壓力測試工具
包括iaxflood和inviteflood

二、web壓力測試工具
THC-SSL-DOS：藉助THC-SSL-DOS攻擊工具，任何人均可以把提供SSL安全鏈接的網站攻擊下線，這種攻擊方法稱爲SSL拒絕服務攻擊（SSL-DOS）。德國黑客組織發佈THC SSL DOS，利用SSL中已知的弱點，迅速耗費服務器資源，與傳統DDoS工具不一樣的是，它不須要任何帶寬，只須要一臺執行單一攻擊的電腦。
漏洞存在於協議的renegotiation過程當中，renegotiation被用於瀏覽器到服務器之間的驗證。

三、網絡壓力測試工具
dhcpig ：耗盡DHCP資源池的壓力測試

四、ipv6攻擊工具包

五、Inundator
IDS/IPS/WAF 壓力測試工具

六、Macof：可作泛洪攻擊

七、Siege：
Siege是一個壓力測試和評測工具，設計用於Web開發，評估應用在壓力下的承受能力，能夠根據配置對一個Web站點進行多用戶的併發訪問，記錄每一個用戶全部請求過程的響應時間，並在必定數量的併發訪問下重複進行：

八、T50壓力測試
功能強大，且具備獨特的數據包注入工具，T50支持*nix系統，可進行多種協議數據包注入，實際上支持15種協議。

九、無線壓力測試
包括MDK3和Reaver

數字取證工具

數字取證技術將計算機調查和分析技術應用於潛在的、有法律效力的電子證據的肯定與獲取，一樣他們都是針對黑客和入侵的，目的都是保障網絡安全。
一、PDF取證工具
pdf-parser和peepdf
peepdf是一個使用python編寫的PDF文件分析工具，它能夠檢測到惡意的PDF文件。其設計目標是爲安全研究人員提供PDF分析中可能用到的全部組件。

二、反數字取證chkrootkit
Linux系統下查找rootkit後門工具。判斷系統是否被植入Rootkit的利器。

三、內存取證工具
Volatility是開源的Windows、Linux、Mac、Android的內存取證分析工具，由python編寫成，命令行操做，支持各類操做系統。

四、取證分析工具binwalk
Binwalk是一個固件的分析工具，旨在協助研究人員對固件分析，提取及逆向工程。簡單易用，徹底自動化腳本，並經過自定義簽名，提取規則和插件模塊，更重要的一點是能夠輕鬆擴展。
藉助binwalk中的一個很強大的功能——提取文件（壓縮包）中的隱藏文件（或內容文件）。亦可分析文件格式。分析壓縮包 binwalk .zip
binwalk -e .zip 將文件所有解壓，產生新的目錄_zip.zip.extracted，還能夠做爲文件格式分析的工具。

五、取證哈希驗證工具集
md5deep是一套跨平臺的方案，能夠計算和比較MD5等哈希加密信息的摘要MD5，SHA-1，SHA-256，Tiger，Whirlpool。

Kali報告工具與系統服務

一、Dradis是一個獨立的web應用程序，它會自動在瀏覽器中打開https://127.0.0.1:3004。設置密碼，使用任何登陸名便可進入Dradis框架進行使用。

二、媒體捕捉工具包括Cutycapt（將網頁內容截成圖片保存）和Recordmydesktop（屏幕錄像工具）。

三、證據管理：Maltego

四、MagicTree能夠幫助攻擊者進行數據合併、查詢、外部命令執行（如直接調用nmap，將掃描結果直接導入tree中）和報告生成，全部數據都會以樹形結構存儲。

五、Truectypt：免費開源的加密軟件，同時支持Windows，OS，Linux等操做系統。

六、系統服務目錄主要是方便咱們及時啓動或關閉某些服務，命令行輸入service 服務名 start和service 服務名 stop能夠達到相同效果。