《应用系统安全》PPT课件.ppt

《《应用系统安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《应用系统安全》PPT课件.ppt（80页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第7章章 应用系统安全应用系统安全2/1/20231计算机系统安全原理与技术(第2版)本章主要内容本章主要内容恶意程序恶意程序 应用系统的编程安全应用系统的编程安全 Web安全安全 软件保护软件保护安全软件工程安全软件工程 2/1/20232计算机系统安全原理与技术(第2版)7.1 恶意程序恶意程序恶意程序恶意程序恶意程序恶意程序(Malicious Program)(Malicious Program)其分类如图其分类如图其分类如图其分类如图:2/1/20233计算机系统安全原理与技术(第2版)7.1.1 计算机病毒计算机病毒1 1计算机病毒的概念计算机病毒的概念计算机病毒的概念计算机病毒

2、的概念在在在在19941994年年年年2 2月月月月2828日颁布的中华人民共和国日颁布的中华人民共和国日颁布的中华人民共和国日颁布的中华人民共和国计算机信息系统安全保护条例中是这样定义计算机信息系统安全保护条例中是这样定义计算机信息系统安全保护条例中是这样定义计算机信息系统安全保护条例中是这样定义计算机病毒的：计算机病毒的：计算机病毒的：计算机病毒的：“是指编制或者在计算机程序是指编制或者在计算机程序是指编制或者在计算机程序是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响中插入的破坏计算机功能或者毁坏数据，影响中插入的破坏计算机功能或者毁坏数据，影响中插入的破坏计算机功能或者

3、毁坏数据，影响计算机使用，且能自我复制的一组计算机指令计算机使用，且能自我复制的一组计算机指令计算机使用，且能自我复制的一组计算机指令计算机使用，且能自我复制的一组计算机指令或者程序代码。或者程序代码。或者程序代码。或者程序代码。”2/1/20234计算机系统安全原理与技术(第2版)7.1.1 计算机病毒计算机病毒1 1计算机病毒的概念计算机病毒的概念计算机病毒的概念计算机病毒的概念计算机病毒是一种计算机程序。此处的计算机计算机病毒是一种计算机程序。此处的计算机计算机病毒是一种计算机程序。此处的计算机计算机病毒是一种计算机程序。此处的计算机为广义的、可编程的电子设备，包括数字电子为广义的、可编

4、程的电子设备，包括数字电子为广义的、可编程的电子设备，包括数字电子为广义的、可编程的电子设备，包括数字电子计算机、模拟电子计算机、嵌入式电子系统等。计算机、模拟电子计算机、嵌入式电子系统等。计算机、模拟电子计算机、嵌入式电子系统等。计算机、模拟电子计算机、嵌入式电子系统等。既然计算机病毒是程序，就能在计算机的中央既然计算机病毒是程序，就能在计算机的中央既然计算机病毒是程序，就能在计算机的中央既然计算机病毒是程序，就能在计算机的中央处理器处理器处理器处理器(CPU)(CPU)的控制下执行。这种执行，可以的控制下执行。这种执行，可以的控制下执行。这种执行，可以的控制下执行。这种执行，可以是直接执行

5、，也可解释执行。此外，它也能像是直接执行，也可解释执行。此外，它也能像是直接执行，也可解释执行。此外，它也能像是直接执行，也可解释执行。此外，它也能像正常程序一样，存储在磁盘、内存储器中，也正常程序一样，存储在磁盘、内存储器中，也正常程序一样，存储在磁盘、内存储器中，也正常程序一样，存储在磁盘、内存储器中，也可固化成为固件。可固化成为固件。可固化成为固件。可固化成为固件。2/1/20235计算机系统安全原理与技术(第2版)7.1.1 计算机病毒计算机病毒1 1计算机病毒的概念计算机病毒的概念计算机病毒的概念计算机病毒的概念计算机病毒不是用户所希望执行的程序，因此计算机病毒不是用户所希望执行的程

6、序，因此计算机病毒不是用户所希望执行的程序，因此计算机病毒不是用户所希望执行的程序，因此病毒程序为了隐藏自己，一般不独立存在病毒程序为了隐藏自己，一般不独立存在病毒程序为了隐藏自己，一般不独立存在病毒程序为了隐藏自己，一般不独立存在(计计计计算机病毒本原除外算机病毒本原除外算机病毒本原除外算机病毒本原除外)，而是寄生在别的有用的，而是寄生在别的有用的，而是寄生在别的有用的，而是寄生在别的有用的程序或文档之上。计算机病毒最特殊的地方在程序或文档之上。计算机病毒最特殊的地方在程序或文档之上。计算机病毒最特殊的地方在程序或文档之上。计算机病毒最特殊的地方在于它能自我复制，或者称为传染性。它的另一于它

7、能自我复制，或者称为传染性。它的另一于它能自我复制，或者称为传染性。它的另一于它能自我复制，或者称为传染性。它的另一特殊之处是，在条件满足时能被激活。自我复特殊之处是，在条件满足时能被激活。自我复特殊之处是，在条件满足时能被激活。自我复特殊之处是，在条件满足时能被激活。自我复制性和激活性有时又称活动性制性和激活性有时又称活动性制性和激活性有时又称活动性制性和激活性有时又称活动性(Living)(Living)。2/1/20236计算机系统安全原理与技术(第2版)7.1.1 计算机病毒计算机病毒2 2病毒剖析病毒剖析病毒剖析病毒剖析计算机病毒在结构上有着共同性，一般由计算机病毒在结构上有着共同性

8、，一般由计算机病毒在结构上有着共同性，一般由计算机病毒在结构上有着共同性，一般由3 3部部部部分组成分组成分组成分组成:（1 1）潜伏模块）潜伏模块）潜伏模块）潜伏模块（2 2）传染模块）传染模块）传染模块）传染模块（3 3）表现模块）表现模块）表现模块）表现模块2/1/20237计算机系统安全原理与技术(第2版)7.1.1 计算机病毒计算机病毒3 3常用反病毒技术常用反病毒技术常用反病毒技术常用反病毒技术（1 1）访问控制）访问控制）访问控制）访问控制（2 2）进程监视）进程监视）进程监视）进程监视（3 3）完整性验证）完整性验证）完整性验证）完整性验证（4 4）病毒查杀软件）病毒查杀软件）

9、病毒查杀软件）病毒查杀软件2/1/20238计算机系统安全原理与技术(第2版)7.1.1 计算机病毒计算机病毒4 4反病毒技术的发展反病毒技术的发展反病毒技术的发展反病毒技术的发展（1 1）主动内核技术）主动内核技术）主动内核技术）主动内核技术（2 2）人工智能技术在反病毒中的应用）人工智能技术在反病毒中的应用）人工智能技术在反病毒中的应用）人工智能技术在反病毒中的应用（3 3）数字免疫）数字免疫）数字免疫）数字免疫2/1/20239计算机系统安全原理与技术(第2版)7.1.2 蠕虫蠕虫一般认为一般认为一般认为一般认为“网络蠕虫是一种智能化、自动化，网络蠕虫是一种智能化、自动化，网络蠕虫是一种

10、智能化、自动化，网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不综合网络攻击、密码学和计算机病毒技术，不综合网络攻击、密码学和计算机病毒技术，不综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或需要计算机使用者干预即可运行的攻击程序或需要计算机使用者干预即可运行的攻击程序或需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的代码。它会扫描和攻击网络上存在系统漏洞的代码。它会扫描和攻击网络上存在系统漏洞的代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者因特网从一个节点节点主机，通过局域网或者因特网从一

11、个节点节点主机，通过局域网或者因特网从一个节点节点主机，通过局域网或者因特网从一个节点传播到另外一个节点传播到另外一个节点传播到另外一个节点传播到另外一个节点”。该定义体现了新一代。该定义体现了新一代。该定义体现了新一代。该定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征。网络蠕虫智能化、自动化和高技术化的特征。网络蠕虫智能化、自动化和高技术化的特征。网络蠕虫智能化、自动化和高技术化的特征。2/1/202310计算机系统安全原理与技术(第2版)7.1.2 蠕虫蠕虫蠕虫的一个功能结构框架如图蠕虫的一个功能结构框架如图蠕虫的一个功能结构框架如图蠕虫的一个功能结构框架如图2/1/202311计

12、算机系统安全原理与技术(第2版)7.1.2 蠕虫蠕虫网络蠕虫的工作机制网络蠕虫的工作机制网络蠕虫的工作机制网络蠕虫的工作机制 2/1/202312计算机系统安全原理与技术(第2版)7.1.3 陷陷门门陷门是一个模块的未公开的秘密入口。陷门陷门是一个模块的未公开的秘密入口。陷门陷门是一个模块的未公开的秘密入口。陷门陷门是一个模块的未公开的秘密入口。陷门产生的原因：产生的原因：产生的原因：产生的原因：程序员在程序开发期间故意插入用于程序调程序员在程序开发期间故意插入用于程序调程序员在程序开发期间故意插入用于程序调程序员在程序开发期间故意插入用于程序调试或恶意目的；试或恶意目的；试或恶意目的；试或恶

13、意目的；为了连接未来的扩展而提供的为了连接未来的扩展而提供的为了连接未来的扩展而提供的为了连接未来的扩展而提供的“钩子钩子钩子钩子”(HOOKS)”(HOOKS)；为了在程序出错后，了解模块内部各变量的为了在程序出错后，了解模块内部各变量的为了在程序出错后，了解模块内部各变量的为了在程序出错后，了解模块内部各变量的状况；状况；状况；状况；2/1/202313计算机系统安全原理与技术(第2版)7.1.3 陷陷门门为了在程序出错后，了解模块内部各变量的状为了在程序出错后，了解模块内部各变量的状为了在程序出错后，了解模块内部各变量的状为了在程序出错后，了解模块内部各变量的状况；况；况；况；稍大一点程

14、序一般都由若干个模块组成，调试稍大一点程序一般都由若干个模块组成，调试稍大一点程序一般都由若干个模块组成，调试稍大一点程序一般都由若干个模块组成，调试期间为了跟踪程序运行踪迹，常常在各个模块期间为了跟踪程序运行踪迹，常常在各个模块期间为了跟踪程序运行踪迹，常常在各个模块期间为了跟踪程序运行踪迹，常常在各个模块内部插入一些调试语句，以打印或显示的方式内部插入一些调试语句，以打印或显示的方式内部插入一些调试语句，以打印或显示的方式内部插入一些调试语句，以打印或显示的方式透视变量的取值情况，调试结束后，由未将这透视变量的取值情况，调试结束后，由未将这透视变量的取值情况，调试结束后，由未将这透视变量的

15、取值情况，调试结束后，由未将这些语句去掉，形成了陷门。些语句去掉，形成了陷门。些语句去掉，形成了陷门。些语句去掉，形成了陷门。在硬件处理器中并非所有操作码都有相应的指在硬件处理器中并非所有操作码都有相应的指在硬件处理器中并非所有操作码都有相应的指在硬件处理器中并非所有操作码都有相应的指令码，这些未定义指令可能成为操作处理器的令码，这些未定义指令可能成为操作处理器的令码，这些未定义指令可能成为操作处理器的令码，这些未定义指令可能成为操作处理器的陷门。陷门。陷门。陷门。2/1/202314计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马我们这里讨论的木马，就是这样一个有用的、或者

16、表我们这里讨论的木马，就是这样一个有用的、或者表我们这里讨论的木马，就是这样一个有用的、或者表我们这里讨论的木马，就是这样一个有用的、或者表面上有用的程序或者命令过程，但是实际上包含了一面上有用的程序或者命令过程，但是实际上包含了一面上有用的程序或者命令过程，但是实际上包含了一面上有用的程序或者命令过程，但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码，它使段隐藏的、激活时会运行某种有害功能的代码，它使段隐藏的、激活时会运行某种有害功能的代码，它使段隐藏的、激活时会运行某种有害功能的代码，它使得非法用户达到进入系统、控制系统和破坏系统的目得非法用户达到进入系统、控制系统和破坏系统的目

17、得非法用户达到进入系统、控制系统和破坏系统的目得非法用户达到进入系统、控制系统和破坏系统的目的。它是一种基于客户机的。它是一种基于客户机的。它是一种基于客户机的。它是一种基于客户机/服务器方式的远程控制程序，服务器方式的远程控制程序，服务器方式的远程控制程序，服务器方式的远程控制程序，具有隐蔽性和非授权性等特点。具有隐蔽性和非授权性等特点。具有隐蔽性和非授权性等特点。具有隐蔽性和非授权性等特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，所谓隐蔽性是指木马的设计者为了防止木马被发现，所谓隐蔽性是指木马的设计者为了防止木马被发现，所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏

18、木马，这样服务端即使发现感染会采用多种手段隐藏木马，这样服务端即使发现感染会采用多种手段隐藏木马，这样服务端即使发现感染会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也不能确定其具体位置；了木马，也不能确定其具体位置；了木马，也不能确定其具体位置；了木马，也不能确定其具体位置；所谓非授权性是指一旦控制端与服务端连接后，控制所谓非授权性是指一旦控制端与服务端连接后，控制所谓非授权性是指一旦控制端与服务端连接后，控制所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、端将享有服务端的大部分操作权限，包括修改文件、端将享有服务端的大部分操作权限，包括修

19、改文件、端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是修改注册表、控制鼠标、键盘等，而这些权力并不是修改注册表、控制鼠标、键盘等，而这些权力并不是修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。服务端赋予的，而是通过木马程序窃取的。服务端赋予的，而是通过木马程序窃取的。服务端赋予的，而是通过木马程序窃取的。2/1/202315计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马木马对系统具有强大的控制功能。一个功能强木马对系统具有强大的控制功能。一个功能强木马对系统具有强大的控制功能。一个功能强木马

20、对系统具有强大的控制功能。一个功能强大的木马一旦被植入某台机器，操纵木马的人大的木马一旦被植入某台机器，操纵木马的人大的木马一旦被植入某台机器，操纵木马的人大的木马一旦被植入某台机器，操纵木马的人就能通过网络像使用自己的机器一样远程控制就能通过网络像使用自己的机器一样远程控制就能通过网络像使用自己的机器一样远程控制就能通过网络像使用自己的机器一样远程控制这台机器，甚至能远程监控受控机器上的所有这台机器，甚至能远程监控受控机器上的所有这台机器，甚至能远程监控受控机器上的所有这台机器，甚至能远程监控受控机器上的所有操作。操作。操作。操作。著名的一些木马工具有：著名的一些木马工具有：著名的一些木马工

21、具有：著名的一些木马工具有：Back Orifice Back Orifice 2000(BO2K)2000(BO2K)、SubSevenSubSeven，以及国产的灰鸽，以及国产的灰鸽，以及国产的灰鸽，以及国产的灰鸽子、冰河等。子、冰河等。子、冰河等。子、冰河等。2/1/202316计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马官方主页宣称官方主页宣称官方主页宣称官方主页宣称“灰鸽子工作室于灰鸽子工作室于灰鸽子工作室于灰鸽子工作室于20032003年初成立年初成立年初成立年初成立,定位定位定位定位于远程控制、远程管理、远程监控软件开发，主要产于远程控制、远程管理、远程监控

22、软件开发，主要产于远程控制、远程管理、远程监控软件开发，主要产于远程控制、远程管理、远程监控软件开发，主要产品为灰鸽子远程控制系列软件产品。然而，我们痛心品为灰鸽子远程控制系列软件产品。然而，我们痛心品为灰鸽子远程控制系列软件产品。然而，我们痛心品为灰鸽子远程控制系列软件产品。然而，我们痛心的看到，目前互联网上出现了利用灰鸽子远程管理软的看到，目前互联网上出现了利用灰鸽子远程管理软的看到，目前互联网上出现了利用灰鸽子远程管理软的看到，目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的件以及恶意破解和篡改灰鸽子远程管理软件为工具的件以及恶意破解和篡改灰鸽子远程管

23、理软件为工具的件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为，这些行为严重影响了灰鸽子远程管理软件不法行为，这些行为严重影响了灰鸽子远程管理软件不法行为，这些行为严重影响了灰鸽子远程管理软件不法行为，这些行为严重影响了灰鸽子远程管理软件的声誉。自的声誉。自的声誉。自的声誉。自20072007年年年年3 3月月月月2121日起决定全面停止对灰鸽子日起决定全面停止对灰鸽子日起决定全面停止对灰鸽子日起决定全面停止对灰鸽子远程管理软件的开发和注册。此网站仅记念多年在一远程管理软件的开发和注册。此网站仅记念多年在一远程管理软件的开发和注册。此网站仅记念多年在一远程管理软件的开发和注册。此网站仅记

24、念多年在一起生活、工作过的灰鸽子工作室成员们。起生活、工作过的灰鸽子工作室成员们。起生活、工作过的灰鸽子工作室成员们。起生活、工作过的灰鸽子工作室成员们。”2/1/202317计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马1 1木马结构与分类木马结构与分类木马结构与分类木马结构与分类木马程序一般由木马程序一般由木马程序一般由木马程序一般由2 2个部分组成：个部分组成：个部分组成：个部分组成：控制端程序，用以远程控制服务端的程序。控制端程序，用以远程控制服务端的程序。控制端程序，用以远程控制服务端的程序。控制端程序，用以远程控制服务端的程序。服务端程序，被控制端远程控制的一方

25、的程序。服务端程序，被控制端远程控制的一方的程序。服务端程序，被控制端远程控制的一方的程序。服务端程序，被控制端远程控制的一方的程序。“中了木马中了木马中了木马中了木马”就是指被安装了木马的服务端程序。就是指被安装了木马的服务端程序。就是指被安装了木马的服务端程序。就是指被安装了木马的服务端程序。2/1/202318计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马1 1木马结构与分类木马结构与分类木马结构与分类木马结构与分类木马的类型很多，大致可以把它们分为以下两木马的类型很多，大致可以把它们分为以下两木马的类型很多，大致可以把它们分为以下两木马的类型很多，大致可以把它们分为

26、以下两大类：大类：大类：大类：（1 1）依照木马的植入技术来分类。一般常见的有：）依照木马的植入技术来分类。一般常见的有：）依照木马的植入技术来分类。一般常见的有：）依照木马的植入技术来分类。一般常见的有：可执行文件的捆绑木马可执行文件的捆绑木马可执行文件的捆绑木马可执行文件的捆绑木马透过动态链接库文件注入木马透过动态链接库文件注入木马透过动态链接库文件注入木马透过动态链接库文件注入木马动态网页服务程序木马动态网页服务程序木马动态网页服务程序木马动态网页服务程序木马(ASP Trojan(ASP Trojan、PHP Trojan)PHP Trojan)透过浏览器漏洞入侵的网页木马透过浏览器漏

27、洞入侵的网页木马透过浏览器漏洞入侵的网页木马透过浏览器漏洞入侵的网页木马(一般称为一般称为一般称为一般称为BMP TrojanBMP Trojan或或或或GIF Trojan)GIF Trojan)透过电子邮件入侵的邮件附件木马等。透过电子邮件入侵的邮件附件木马等。透过电子邮件入侵的邮件附件木马等。透过电子邮件入侵的邮件附件木马等。2/1/202319计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马1 1木马结构与分类木马结构与分类木马结构与分类木马结构与分类木马的类型很多，大致可以把它们分为以下两大类：木马的类型很多，大致可以把它们分为以下两大类：木马的类型很多，大致可以把

28、它们分为以下两大类：木马的类型很多，大致可以把它们分为以下两大类：（2 2）依照木马的功能来分类。）依照木马的功能来分类。）依照木马的功能来分类。）依照木马的功能来分类。远程访问型木马远程访问型木马远程访问型木马远程访问型木马破坏型木马破坏型木马破坏型木马破坏型木马密码发送型木马密码发送型木马密码发送型木马密码发送型木马键盘记录型木马键盘记录型木马键盘记录型木马键盘记录型木马DoSDoS攻击型木马攻击型木马攻击型木马攻击型木马FTPFTP木马木马木马木马反弹端口型木马反弹端口型木马反弹端口型木马反弹端口型木马攻击杀毒软件和防火墙型木马攻击杀毒软件和防火墙型木马攻击杀毒软件和防火墙型木马攻击杀毒

29、软件和防火墙型木马虽然有多种形式的木马程序，在通常情况下，一种木虽然有多种形式的木马程序，在通常情况下，一种木虽然有多种形式的木马程序，在通常情况下，一种木虽然有多种形式的木马程序，在通常情况下，一种木马程序可能同时具有以上所介绍的多种形式，以增强马程序可能同时具有以上所介绍的多种形式，以增强马程序可能同时具有以上所介绍的多种形式，以增强马程序可能同时具有以上所介绍的多种形式，以增强破坏力。破坏力。破坏力。破坏力。2/1/202320计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马2 2木马工作原理木马工作原理木马工作原理木马工作原理（1 1）配置木马）配置木马）配置木马）配

30、置木马（2 2）传播木马）传播木马）传播木马）传播木马（3 3）运行木马）运行木马）运行木马）运行木马（4 4）信息反馈）信息反馈）信息反馈）信息反馈（5 5）建立连接）建立连接）建立连接）建立连接（6 6）远程控制）远程控制）远程控制）远程控制2/1/202321计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马3 3木马伪装技术木马伪装技术木马伪装技术木马伪装技术隐蔽性是木马的最大特点。一般有以下一些隐蔽手段：隐蔽性是木马的最大特点。一般有以下一些隐蔽手段：隐蔽性是木马的最大特点。一般有以下一些隐蔽手段：隐蔽性是木马的最大特点。一般有以下一些隐蔽手段：修改图标修改图标修改图

31、标修改图标捆绑文件捆绑文件捆绑文件捆绑文件出错显示出错显示出错显示出错显示定制端口定制端口定制端口定制端口自我销毁自我销毁自我销毁自我销毁木马更名木马更名木马更名木马更名混淆文件名混淆文件名混淆文件名混淆文件名隐藏在回收站隐藏在回收站隐藏在回收站隐藏在回收站反向连接技术反向连接技术反向连接技术反向连接技术远程线程插入技术远程线程插入技术远程线程插入技术远程线程插入技术拦截系统功能调用。拦截系统功能调用。拦截系统功能调用。拦截系统功能调用。2/1/202322计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马4 4木马运行技术木马运行技术木马运行技术木马运行技术木马的自动运行是木

32、马实现其功能必不可少的木马的自动运行是木马实现其功能必不可少的木马的自动运行是木马实现其功能必不可少的木马的自动运行是木马实现其功能必不可少的一个环节。木马的自动运行需要一定的条件，一个环节。木马的自动运行需要一定的条件，一个环节。木马的自动运行需要一定的条件，一个环节。木马的自动运行需要一定的条件，一个典型的例子就是将木马插入到用户经常执一个典型的例子就是将木马插入到用户经常执一个典型的例子就是将木马插入到用户经常执一个典型的例子就是将木马插入到用户经常执行的程序中。例如行的程序中。例如行的程序中。例如行的程序中。例如Explorer.exeExplorer.exe本是本是本是本是Windo

33、wsWindows系统中一个有用的系统进程，主要系统中一个有用的系统进程，主要系统中一个有用的系统进程，主要系统中一个有用的系统进程，主要负责显示系统桌面上的图标以及任务栏等，但负责显示系统桌面上的图标以及任务栏等，但负责显示系统桌面上的图标以及任务栏等，但负责显示系统桌面上的图标以及任务栏等，但是木马与之捆绑后，只要其运行，木马也就自是木马与之捆绑后，只要其运行，木马也就自是木马与之捆绑后，只要其运行，木马也就自是木马与之捆绑后，只要其运行，木马也就自动运行了。动运行了。动运行了。动运行了。2/1/202323计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马4 4木马运行技

34、术木马运行技术木马运行技术木马运行技术还有其他一些木马自动运行的技术：还有其他一些木马自动运行的技术：还有其他一些木马自动运行的技术：还有其他一些木马自动运行的技术：设置在超链接中设置在超链接中设置在超链接中设置在超链接中捆绑到程序中捆绑到程序中捆绑到程序中捆绑到程序中内置到注册表中内置到注册表中内置到注册表中内置到注册表中隐藏在隐藏在隐藏在隐藏在Win.iniWin.ini中中中中隐藏在隐藏在隐藏在隐藏在System.iniSystem.ini中中中中隐藏在配置文件中隐藏在配置文件中隐藏在配置文件中隐藏在配置文件中隐藏于启动组中。隐藏于启动组中。隐藏于启动组中。隐藏于启动组中。2/1/202

35、324计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马5 5木马检测技术木马检测技术木马检测技术木马检测技术木马的检测很大程度上依赖于它们出现时间的长短及木马的检测很大程度上依赖于它们出现时间的长短及木马的检测很大程度上依赖于它们出现时间的长短及木马的检测很大程度上依赖于它们出现时间的长短及欺骗手段的应用。大多数木马都能够及时被各种防病欺骗手段的应用。大多数木马都能够及时被各种防病欺骗手段的应用。大多数木马都能够及时被各种防病欺骗手段的应用。大多数木马都能够及时被各种防病毒工具、反木马扫描器、防火墙工具或是入侵检测系毒工具、反木马扫描器、防火墙工具或是入侵检测系毒工具、反木马

36、扫描器、防火墙工具或是入侵检测系毒工具、反木马扫描器、防火墙工具或是入侵检测系统检测到。统检测到。统检测到。统检测到。常用的一些检测方法还有：常用的一些检测方法还有：常用的一些检测方法还有：常用的一些检测方法还有：软件软件软件软件HashHash值校验。值校验。值校验。值校验。例如从一些网站上下载软件时，我们会在软件链接旁边看到该软例如从一些网站上下载软件时，我们会在软件链接旁边看到该软例如从一些网站上下载软件时，我们会在软件链接旁边看到该软例如从一些网站上下载软件时，我们会在软件链接旁边看到该软件的件的件的件的MD5MD5值，在下载了软件之后，使用值，在下载了软件之后，使用值，在下载了软件之

37、后，使用值，在下载了软件之后，使用MD5MD5工具生成下载文件工具生成下载文件工具生成下载文件工具生成下载文件的的的的MD5MD5散列值，并将这个散列值与该网站上给出的散列值相比散列值，并将这个散列值与该网站上给出的散列值相比散列值，并将这个散列值与该网站上给出的散列值相比散列值，并将这个散列值与该网站上给出的散列值相比较，相等时说明软件没有被篡改，否则就要怀疑这个软件的真实较，相等时说明软件没有被篡改，否则就要怀疑这个软件的真实较，相等时说明软件没有被篡改，否则就要怀疑这个软件的真实较，相等时说明软件没有被篡改，否则就要怀疑这个软件的真实性。性。性。性。此外，通过运用系统完整性检验工具，如此

38、外，通过运用系统完整性检验工具，如此外，通过运用系统完整性检验工具，如此外，通过运用系统完整性检验工具，如TripwireTripwire，可以监控整，可以监控整，可以监控整，可以监控整个系统中的任何文件或文件夹的修改。这个工具扫描并记录硬盘个系统中的任何文件或文件夹的修改。这个工具扫描并记录硬盘个系统中的任何文件或文件夹的修改。这个工具扫描并记录硬盘个系统中的任何文件或文件夹的修改。这个工具扫描并记录硬盘特征，然后周期性地扫描任何变化，并且在系统发生变化时通知特征，然后周期性地扫描任何变化，并且在系统发生变化时通知特征，然后周期性地扫描任何变化，并且在系统发生变化时通知特征，然后周期性地扫描

39、任何变化，并且在系统发生变化时通知用户。用户。用户。用户。2/1/202325计算机系统安全原理与技术(第2版)7.1.4 特洛伊木马特洛伊木马5 5木马检测技术木马检测技术木马检测技术木马检测技术常用的一些检测方法还有：常用的一些检测方法还有：常用的一些检测方法还有：常用的一些检测方法还有：监控进程和端口。监控进程和端口。监控进程和端口。监控进程和端口。监控端口指监控系统当前哪些端口处于监听、连接状态，哪些进监控端口指监控系统当前哪些端口处于监听、连接状态，哪些进监控端口指监控系统当前哪些端口处于监听、连接状态，哪些进监控端口指监控系统当前哪些端口处于监听、连接状态，哪些进程在使用哪些端口，

40、即进行进程和端口的关联。监控端口是检测程在使用哪些端口，即进行进程和端口的关联。监控端口是检测程在使用哪些端口，即进行进程和端口的关联。监控端口是检测程在使用哪些端口，即进行进程和端口的关联。监控端口是检测木马的一个良好途径。木马程序的基本功能就是创建并打开一个木马的一个良好途径。木马程序的基本功能就是创建并打开一个木马的一个良好途径。木马程序的基本功能就是创建并打开一个木马的一个良好途径。木马程序的基本功能就是创建并打开一个或多个控制端或多个控制端或多个控制端或多个控制端(攻击者攻击者攻击者攻击者)能够连接上的端口。通过监视计算机上打能够连接上的端口。通过监视计算机上打能够连接上的端口。通过

41、监视计算机上打能够连接上的端口。通过监视计算机上打开的非常用端口，能够检测出等待建立连接的木马。监视本地打开的非常用端口，能够检测出等待建立连接的木马。监视本地打开的非常用端口，能够检测出等待建立连接的木马。监视本地打开的非常用端口，能够检测出等待建立连接的木马。监视本地打开端口的工具有很多，常用的包括：开端口的工具有很多，常用的包括：开端口的工具有很多，常用的包括：开端口的工具有很多，常用的包括：netstat.exenetstat.exe、fport.exefport.exe、tcpview.exetcpview.exe等。等。等。等。可以访问网站可以访问网站可以访问网站可以访问网站htt

42、p:/ 特洛伊木马特洛伊木马5 5木马检测技术木马检测技术木马检测技术木马检测技术以上介绍的这些技术的具体实现，读者可以参以上介绍的这些技术的具体实现，读者可以参以上介绍的这些技术的具体实现，读者可以参以上介绍的这些技术的具体实现，读者可以参考：考：考：考：计算机病毒分析与防治简明教程计算机病毒分析与防治简明教程计算机病毒分析与防治简明教程计算机病毒分析与防治简明教程(清华大学出清华大学出清华大学出清华大学出版社版社版社版社)WindowsWindows应用程序捆绑核心编程应用程序捆绑核心编程应用程序捆绑核心编程应用程序捆绑核心编程(清华大学出清华大学出清华大学出清华大学出版社版社版社版社)网

43、络渗透测试网络渗透测试网络渗透测试网络渗透测试-保护网络安全的技术、工具和过保护网络安全的技术、工具和过保护网络安全的技术、工具和过保护网络安全的技术、工具和过程程程程(电子工业出版社电子工业出版社电子工业出版社电子工业出版社)等书籍。等书籍。等书籍。等书籍。2/1/202327计算机系统安全原理与技术(第2版)7.2 应用系统的编程安全应用系统的编程安全7.2.1 缓冲区溢出缓冲区溢出7.2.2 格式化字符串漏洞格式化字符串漏洞7.2.3 安全编程安全编程2/1/202328计算机系统安全原理与技术(第2版)7.2.1 缓冲区溢出缓冲区溢出1 1什么是缓冲区溢出什么是缓冲区溢出什么是缓冲区溢

44、出什么是缓冲区溢出简单的说，缓冲区溢出简单的说，缓冲区溢出简单的说，缓冲区溢出简单的说，缓冲区溢出(Buffer Overflow)(Buffer Overflow)就就就就是通过在程序的缓冲区写入超出其长度的内容，是通过在程序的缓冲区写入超出其长度的内容，是通过在程序的缓冲区写入超出其长度的内容，是通过在程序的缓冲区写入超出其长度的内容，从而破坏程序的堆栈，使程序转而执行其他指从而破坏程序的堆栈，使程序转而执行其他指从而破坏程序的堆栈，使程序转而执行其他指从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。令，以达到攻击的目的。令，以达到攻击的目的。令，以达到攻击的目的。2/1/2

45、02329计算机系统安全原理与技术(第2版)7.2.1 缓冲区溢出缓冲区溢出1 1什么是缓冲区溢出什么是缓冲区溢出什么是缓冲区溢出什么是缓冲区溢出程序是从内存低端向高端按顺序存放的，输入程序是从内存低端向高端按顺序存放的，输入程序是从内存低端向高端按顺序存放的，输入程序是从内存低端向高端按顺序存放的，输入的形参按照自右至左的顺序入栈，而堆栈的生的形参按照自右至左的顺序入栈，而堆栈的生的形参按照自右至左的顺序入栈，而堆栈的生的形参按照自右至左的顺序入栈，而堆栈的生长方向与内存的生长方向相反，因此在堆栈中长方向与内存的生长方向相反，因此在堆栈中长方向与内存的生长方向相反，因此在堆栈中长方向与内存的

46、生长方向相反，因此在堆栈中压入的数据超过预先给堆栈分配的容量时，就压入的数据超过预先给堆栈分配的容量时，就压入的数据超过预先给堆栈分配的容量时，就压入的数据超过预先给堆栈分配的容量时，就会出现堆栈溢出。会出现堆栈溢出。会出现堆栈溢出。会出现堆栈溢出。简单地说，缓冲区溢出的原因是由于字符串处简单地说，缓冲区溢出的原因是由于字符串处简单地说，缓冲区溢出的原因是由于字符串处简单地说，缓冲区溢出的原因是由于字符串处理等函数没有对数组的越界加以监视和限制，理等函数没有对数组的越界加以监视和限制，理等函数没有对数组的越界加以监视和限制，理等函数没有对数组的越界加以监视和限制，结果覆盖了堆栈数据。缓冲区的溢

47、出有各种不结果覆盖了堆栈数据。缓冲区的溢出有各种不结果覆盖了堆栈数据。缓冲区的溢出有各种不结果覆盖了堆栈数据。缓冲区的溢出有各种不同的类型。同的类型。同的类型。同的类型。2/1/202330计算机系统安全原理与技术(第2版)7.2.1 缓冲区溢出缓冲区溢出1 1什么是缓冲区溢出什么是缓冲区溢出什么是缓冲区溢出什么是缓冲区溢出一般而言，有以下几种缓冲区溢出攻击的方式：一般而言，有以下几种缓冲区溢出攻击的方式：一般而言，有以下几种缓冲区溢出攻击的方式：一般而言，有以下几种缓冲区溢出攻击的方式：1 1）攻击者可用任意数据覆盖堆栈中变量的内容。）攻击者可用任意数据覆盖堆栈中变量的内容。）攻击者可用任意

48、数据覆盖堆栈中变量的内容。）攻击者可用任意数据覆盖堆栈中变量的内容。2 2）覆盖堆栈中保存的寄存器内容，导致程序崩溃。）覆盖堆栈中保存的寄存器内容，导致程序崩溃。）覆盖堆栈中保存的寄存器内容，导致程序崩溃。）覆盖堆栈中保存的寄存器内容，导致程序崩溃。3 3）把堆栈里面的返回地址覆盖，替换成一个自己）把堆栈里面的返回地址覆盖，替换成一个自己）把堆栈里面的返回地址覆盖，替换成一个自己）把堆栈里面的返回地址覆盖，替换成一个自己指定的地方，而在那个地方，可以植入一些精心设指定的地方，而在那个地方，可以植入一些精心设指定的地方，而在那个地方，可以植入一些精心设指定的地方，而在那个地方，可以植入一些精心设

49、计了的代码以达到攻击的目的。计了的代码以达到攻击的目的。计了的代码以达到攻击的目的。计了的代码以达到攻击的目的。2/1/202331计算机系统安全原理与技术(第2版)7.2.1 缓冲区溢出缓冲区溢出2 2覆盖堆栈中变量的内容覆盖堆栈中变量的内容覆盖堆栈中变量的内容覆盖堆栈中变量的内容2/1/202332计算机系统安全原理与技术(第2版)7.2.1 缓冲区溢出缓冲区溢出3 3覆盖堆栈中寄存器的内容覆盖堆栈中寄存器的内容覆盖堆栈中寄存器的内容覆盖堆栈中寄存器的内容在栈上声明的各种变量的位在栈上声明的各种变量的位在栈上声明的各种变量的位在栈上声明的各种变量的位置就紧靠着调用函数的返回置就紧靠着调用函

50、数的返回置就紧靠着调用函数的返回置就紧靠着调用函数的返回地址。如果用户输入的数据地址。如果用户输入的数据地址。如果用户输入的数据地址。如果用户输入的数据越过边界就会将调用函数的越过边界就会将调用函数的越过边界就会将调用函数的越过边界就会将调用函数的返回地址覆盖，造成程序崩返回地址覆盖，造成程序崩返回地址覆盖，造成程序崩返回地址覆盖，造成程序崩溃。溃。溃。溃。2/1/202333计算机系统安全原理与技术(第2版)7.2.2 格式化字符串漏洞格式化字符串漏洞格式化字符串的漏洞产生于数据输出函数中对输出格格式化字符串的漏洞产生于数据输出函数中对输出格格式化字符串的漏洞产生于数据输出函数中对输出格格式