第九周做業

教材學習總結

惡意代碼指的是使計算機按照攻擊者的意圖執行以達到惡意目標的指令集。惡意代碼能夠根據其執行方式，傳播方式和對攻擊者目標的影響分爲計算機病毒，蠕蟲，惡意移動代碼，特洛伊木馬，後門，殭屍程序，內核套件等。
計算機病毒是一種可以自我複製的代碼，經過將自身嵌入其餘程序進行感染，而感染過程一般須要人工干預才能完成。計算機病毒具備的基本特性是：感染性，潛伏性，可觸發性，破壞性，衍生性。其潛在的感染目標可分爲可執行文件，引導扇區和支持宏指令的數據文件三大類。計算機病毒的傳播渠道包括移動設備，電子郵件及下載，共享目錄等。
網絡蠕蟲是一種能夠自我複製的代碼，而且經過網絡傳播，一般無需人爲干預就能傳播。網絡蠕蟲的組成結構是：彈頭，傳播引擎，目標選擇算法，掃描引擎，有效載荷。傳播引擎一般利用的網絡傳輸機制包括文件傳輸協議FTP，小文本傳輸協議TFTP，超文本傳輸協議HTTP，服務信息塊協議SMB以及原始SOCKET套接字等。
後門和木馬是惡意代碼中常常被混淆的兩類技術形態，後門是容許攻擊者繞過系統常規安全控制機制的程序，可以按照攻擊者本身的意圖提供訪問通道，而木馬做爲特洛伊木馬的簡稱，是指一類看起來具備某個有用或善意目的，但實際掩蓋着一些隱藏惡意功能的程序。
在windows平臺中，後門工具能夠利用自啓動文件夾，註冊表自啓動項及預訂計劃任務這三種方法達到自啓動的效果。自啓動文件夾一般的位置在C:\Documents and Settings[user_name]\Start Menu\Programs\Startup目錄下。
殭屍程序能夠按照傳播策略分爲自動傳播性殭屍程序和受控傳播性殭屍兩大類，而殭屍程序的傳播方式包括經過遠程攻擊軟件漏洞傳播，掃描NetBIOS弱密碼傳播，掃描惡意代碼留下的後門進行傳播，經過發送郵件病毒傳播，經過文件系統共享傳播等。此外，最新的殭屍程序也已經開始結合即時通訊軟件和P2P文件共享軟件進行傳播。輔助功能模塊是對殭屍程序除主體功能外其餘功能的概括，主要包括信息竊取，殭屍主機控制，下載與更新和躲避檢測與對抗分析等功能模塊。當前主流使用的僵屍網絡命令與控制機制包括：基於IRC協議的命令與控制機制，基於HTTP協議的命令與控制機制和基於P2P協議的命令與控制機制這三大類。
Rootkit能夠運行在不一樣的層次上，即用戶模式和內核模式。用戶模式Rootkit修改的是操做系統用戶態中用戶和管理員所使用的一些內建程序和庫文件，而內核模式Rootkit則直接攻擊操做系統最核心的內核，修改內核從而隱藏身份。用戶模式Rootkit還可使用DLL注入和API掛鉤技術把惡意代碼直接加入運行進程的內存空間中，AFX Window Rootkit就是一款真實且功能強大的，利用了DLL注入和API掛鉤技術所實現的用戶模式Rootkit.針對Linux操做系統內核的Rootkit攻擊利用了Linux所支持的LKM可裝載內核模塊的內核擴展機制。
惡意代碼分析的技術方法主要包括靜態和動態分析兩大類。
軟件安全漏洞是目前最多見，也是影響範圍最大的安全漏洞類型。緩衝區溢出漏洞一般多見於C/C++語言程序中的memcpy()、strcpy()等內存與字符串複製函數的引用位置，因爲這些函數並不檢查內存的越界問題，程序員也沒有足夠的意識對複製等額目標緩衝區廣泛進行嚴格的邊界保護，因此就容易發生緩衝區溢出。緩衝區溢出的根本緣由就是現代計算機系統的基礎框架結構--馮•諾伊曼體系存在本質的安全缺陷，即採用了「存儲程序」的原理，計算機程序的數據和指令都在同一內存中進行存儲，而沒有進行嚴格的分離。「棧」是一種後進先出的數據結構，其地址空間從高地址向低地址增加。Linux和Windows平臺進程內存空間分佈存在差別，要明確其對比圖。緩衝區溢出漏洞根據緩衝區在進程內存空間的位置不一樣，又分爲棧溢出，堆溢出和內核溢出這三種具體技術形態。

視頻學習總結

KaliSecurity - 壓力測試工具

壓力測試經過肯定一個系統的瓶頸或者不能接受的性能特色，來得到系統能提供的最大的服務級別的測試。通俗的講，壓力測試是爲了發如今什麼條件下您的應用程序的性能會變得不可接受。kali下壓力測試工具寶庫VoIP壓力測試，WEB壓力測試，網絡壓力測試及無線壓力測試四個分類。
(1)VoIP壓力測試工具
包括iaxflood和inviteflood
(2)THC-SSL-DOS
藉助THC-SSL-DOS攻擊工具，任何人均可以把提供SSL安全鏈接的網站攻擊下線，這種攻擊方法被稱爲SSL拒絕服務攻擊(SSL DOS)。德國黑客組織「The hacker's choice」發佈THC SSL DOS，利用SSL中的已知弱點，迅速消耗服務器資源，與傳統DDoS工具不一樣的是，它不須要任何帶寬，只須要一臺執行單一攻擊的電腦。
漏洞存在於協議的renegotiation過中，renegotiation被用於瀏覽器到服務器之間的驗證。
(3)dhcpig
耗盡DHCP資源池的壓力測試
(4)Macof
可作泛洪攻擊
(5)Siege
Siege是一個壓力測試和評測工具，設計用於WEB開發這評估應用在壓力下的承受能力：能夠根據配置對一個WEB站點進行多用戶的併發訪問，記錄每一個用戶全部請求過程的相應時間，並在必定數量的併發訪問下重複進行。
(6)T50壓力測試
T50是一個壓力測試工具，它功能強大且具備獨特的數據包注入工具，T50支持Linux系統可進行多種協議的數據包注入，實際上支持15種協議。
(7)無線壓力測試
mdk3和reaver

KaliSecurity - 數字取證工具

數字取證技術將計算機調查和分析技術應用於對潛在的，有法律效力的電子證據的肯定與獲取，一樣他們都是針對黑客和入侵的，目的都是保障網絡的安全。
(1)PDF取證工具
peepdf是一個使用python編寫的PDF文件分析工具，它能夠檢測惡意的PDF文件。其設計目標是爲安全研究人員提供PDF分析中可能使用到的全部組件，無需使用3或者4中工具來完成同一件任務。
(2)反數字取證chkrootkit
Linux下查找後門的工具，是判斷系統是否被植入Rootkit的利器。
(3)內存取證工具
volatility是開源的windowa,Linux，MAC，Android的內存取證分析工具，由python編寫成，命令行操做，支持各類操做系統。
(4)取證分隔工具binwalk
binwalk是一個固定的分析工具，旨在協助研究人員對固件非分析，提取及逆向工程用處。簡單易用，徹底自動化腳本，並經過自定義簽名，提取規則和插件模塊，還有重要的一點的是能夠輕鬆的擴展。藉助binwalk有個很強大的功能是提取文件（壓縮包）中存在的隱藏文件（或內容文件），亦可分析文件格式。，解壓縮包，查看壓縮包。
(5)取證哈希驗證工具集
md5deep是一套跨平臺的方案，能夠計算和比較MD5等哈希加密信息的摘要MD5，SH-1，SHA-256，Tiger，Whirlpool.

KaliSecurity - 報告工具與系統服務

(1)Dradis
Dradis是一個用於提升安全監測效率的信息共享框架（協做平臺），Dradis提供了一個集中地信息倉庫，用於標記咱們目前已經作的工做和下一步計劃。
(2)Keepnote
一個很精簡的筆記軟件，特色以下：
富含文本格式，彩色字體，內置圖片，超連接，樹型分層組織內容，全文搜索，綜合截圖，文件附件，集成的備份和恢復，拼寫檢查（經過gtkspell）,自動保存，內置的備份和恢復（zip文件存檔）
(3)Recordmydesktop
屏幕錄像工具，用來錄製桌面。
(4)Magic Tree
是一個面向滲透測試人員的工具，能夠幫助你輕鬆直接的進行數據合併，查詢，外部命令執行和報告生成，全部的數據都會以樹形結構存儲，很是方便。
(5)Truecrypt
是一款免費開源的加密軟件，同時支持windows vista,7/Xp,MAc OS X,linux等操做系統。
(6)服務功能介紹
能夠直接使用命令行結束工具服務。
每一項對應每一項的服務。