[精选]计算机信息系统安全概述15314.pptx

《[精选]计算机信息系统安全概述15314.pptx》由会员分享，可在线阅读，更多相关《[精选]计算机信息系统安全概述15314.pptx（211页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1 1章章 计算机信息系统安全概述计算机信息系统安全概述1.1 1.1 计算机信息系统的定义计算机信息系统的定义1.2 1.2 计算机信息系统安全简介计算机信息系统安全简介1.2.1 1.2.1 计算机信息系统安全的定义计算机信息系统安全的定义1.2.2 1.2.2 信息系统自身的安全脆弱性信息系统自身的安全脆弱性1.2.3 1.2.3 对信息系统安全的威胁对信息系统安全的威胁1.3 Windows1.3 Windows信息系统安全机制简介信息系统安全机制简介1.3.1 Windows 20001.3.1 Windows 2000安全机制简介安全机制简介1.3.2 SQL Server 2

2、0001.3.2 SQL Server 2000安全机制简介安全机制简介1.4 Windows1.4 Windows信息系统面临的安全威胁信息系统面临的安全威胁1.4.1 1.4.1 安全威胁之系统破解安全威胁之系统破解1.4.2 1.4.2 安全威胁之计算机病毒安全威胁之计算机病毒1.4.3 1.4.3 安全威胁之恶意攻击安全威胁之恶意攻击1.1 1.1 计算机信息系统的定义计算机信息系统的定义 信息系统信息系统是指用于采集、处理、存储、传是指用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。织结构、人员和组件的总和。信

3、息系统信息系统 （Information SystemInformation System）是指由计算机及其相关和配套的设备、是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。存储、传输、检索等处理的人机系统。1.2 1.2 计算机信息系统安全简介计算机信息系统安全简介 1.2.1 1.2.1 计算机信息系统安全的定义计算机信息系统安全的定义 信息系统安全定义为：确保以电磁信号为主要形式的、在计算机网络化（开放互联）系统中进行自动通信、处理和

4、利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。1.2.2 1.2.2 信息系统自身的安全脆弱性信息系统自身的安全脆弱性 1 1硬件组件硬件组件2 2软件组件软件组件3 3网络和通信协议网络和通信协议信息系统硬件组件的安全隐患多来源于设计，主要表现为物理安全方面的问题。软件组件的安全隐患来源于设计和软件工程中的问题。（1）缺乏对用户身份的鉴别（2）缺乏对路由协议的鉴别认证（3）TCP/UDP的缺陷1.2.31.2.3 对信息系统安全的威胁对信息系统安全的威胁

5、1基本威胁（1 1）信息泄露）信息泄露（2 2）完整性破坏）完整性破坏（3 3）服务拒绝）服务拒绝（4 4）未授权访问）未授权访问2 2威胁信息系统的主要方法威胁信息系统的主要方法（1 1）冒充）冒充（2 2）旁路控制）旁路控制（3 3）破坏信息的完整性）破坏信息的完整性攻击者可以从以下三方面破坏信息的完整性：篡改：改变信息流的次序、时序、流向、内容和形式。删除：删除消息全部或其中一部分。插入：在消息中插入一些无意义的或有害的消息。（4 4）破坏系统的可用性）破坏系统的可用性（5 5）重放）重放（6 6）截取和辐射侦测）截取和辐射侦测（7 7）陷门）陷门（8 8）特洛伊木马）特洛伊木马（9 9

6、）抵赖）抵赖3威胁和攻击的来源（1 1）内部操作不当）内部操作不当（2 2）内部管理不严造成系统安）内部管理不严造成系统安全管理失控全管理失控（3 3）来自外部的威胁和犯罪）来自外部的威胁和犯罪 黑客黑客 信息间谍信息间谍 计算机犯罪计算机犯罪1.3 Windows1.3 Windows信息系统安全机制简介信息系统安全机制简介 1.3.1 Windows 20001.3.1 Windows 2000安全机制简介安全机制简介 Windows NT 4.0的不足 Windows NT应用于企业级服务时，如果不使用那些繁冗的附加软件产品，便无法提供分布式SSO（单点登录）服务。委派功能（将针对限定账

7、号集合的有限管理优选权指派给另一用户的能力）则更是少得可怜。同样无法借助平面化Windows NT域就组织层次和管理结构进行适当规划。Windows NT 4.0也没有为和用户账号有关的应用程序专用信息提供存储位置。而Windows NT所具备的PKI功能（最多只能算雏形状态）则仅被限定于Web环境，并只能面向基于Microsoft Exchange Server的通信任务提供部分支持，但PKI功能本身却没有实现全面集成化。首先首先，MicrosoftMicrosoft在围绕在围绕Win2KWin2K展开设计工作的展开设计工作的过程中，秉承了多项旨在弥补过程中，秉承了多项旨在弥补Windows

8、 NT 4.0Windows NT 4.0自身缺陷的技术意图，该公司将这种操作系统自身缺陷的技术意图，该公司将这种操作系统定位于终极电子商务支持平台。定位于终极电子商务支持平台。其次其次，Win2KWin2K在很大程度上依赖于行业标准和相在很大程度上依赖于行业标准和相关协议。关协议。再次再次，MicrosoftMicrosoft还需要提供一个有助于降低应还需要提供一个有助于降低应用程序开发成本的软件系统平台。用程序开发成本的软件系统平台。最后最后，为应对电子商务所提出的挑战，为应对电子商务所提出的挑战，Win2KWin2K已已具备了在整个操作系统内面向具备了在整个操作系统内面向PKIPKI提供

9、技术支持提供技术支持的能力。的能力。1 1ADAD组件组件AD堪称Win2K操作系统的旗舰级组件，主要用来克服Windows NT 4.0在目录功能方面存在的伸缩性、扩展性、开放性和管理能力问题。AD为操作系统存储账号及控制策略信息。AD依赖操作系统控制对AD对象的访问。操作系统对AD中对象强制实施许可进入。操作系统的授信信息存放在AD中。2 2CryptoAPICryptoAPI组件组件CryptoAPICryptoAPI的设计目标在于，面向基于使用可安装加密服的设计目标在于，面向基于使用可安装加密服务提供程序之操作系统的全部应用程序及其他相关组件提务提供程序之操作系统的全部应用程序及其他相

10、关组件提供针对低级加密服务的一站式供针对低级加密服务的一站式“采购采购”模式模式 CryptoAPI为应用程序提供一站式为应用程序提供一站式“采购采购”服务服务 3 3证书服务器证书服务器证书服务器，主要用来针对证书的申请、签发、公布和管理任务提供CA所应具备的基本功能特性。证书服务器可面向Exchange Server提供许可证码身份验证和安全MIME（S/MIME）集成特性。管理人员必须为针对证书服务器配置实施操控而以手工方式就文本文件进行编辑。证书服务器缺乏对于PKI企业级使用需求来说是至关重要的管理特性。证书服务器具备在其他第三方目录中实现证书发布的能力。4 4身份验证服务身份验证服务

11、SSPISSPI（Security Support Provider InterfaceSecurity Support Provider Interface）将通过另一将通过另一种种APIAPI提供身份验证服务。客户端提供身份验证服务。客户端/服务器应用程序不仅需要对服务器应用程序不仅需要对访问服务器的客户端执行身份验证，而且，有时甚至需要对访访问服务器的客户端执行身份验证，而且，有时甚至需要对访问客户端的服务器实施验证。问客户端的服务器实施验证。SSPI在身份验证服务中所扮演的角色在身份验证服务中所扮演的角色 5 5加密服务加密服务Win2K所配备的所配备的EFS则允许你仅仅通过选中一个复

12、选框的简单则允许你仅仅通过选中一个复选框的简单操作即可在文件系统层对相关文件进行加密。操作即可在文件系统层对相关文件进行加密。EFS可借助面向用可借助面向用户和应用程序的完全透明度对加密和解密任务进行处理。户和应用程序的完全透明度对加密和解密任务进行处理。Win2K主要凭借主要凭借IPSec面向用户和应用程序提供充分透明度，面向用户和应用程序提供充分透明度，进而跨越网络系统对数据资料加以保护。进而跨越网络系统对数据资料加以保护。IPSec可面向可面向TCP/IP通信提供身份验证、机密性、数据完整性和筛选服务。通信提供身份验证、机密性、数据完整性和筛选服务。IPSec在在Win2K体系结构中所处

13、位置体系结构中所处位置 1.3.2 SQL Server 20001.3.2 SQL Server 2000 安全机制简介安全机制简介 SQL Server是Microsoft公司开发的大型数据库软件，Microsoft为SQL Server建立了一种既灵活又强大的安全管理机制，SQL Server的安全机制是与下层的Win2K操作系统结合在一起的，它能够对用户访问SQL Server服务器系统和数据库的安全进行全面的管理。1 1验证方法选择验证方法选择 验证是指检验用户的身份标识；授权是指允许用户做些什么。构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。2Web环境中的

14、验证IIS 5.0，可以用四种方法验证用户:第一种方法第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的Win2K账户;第二种方法第二种方法是让所有网站使用Basic验证;在客户端只使用IE 6.0、IE 5.0浏览器的情况下，你可以使用第三种验证方法第三种验证方法。你可以在Web网站上和虚拟目录上都启用Win2K验证;第四种方法第四种方法是如果用户都有个人数字证书，你可以把那些证书映射到本地域的Win2K账户上。3 3设置全局组设置全局组构造安全策略的下一个步骤是确定用户应该属于什么组。控制数据访问权限最简单的方法是，对于每一组用户，分别地为它创建一个满足该组用户权限要求的、域内全局

15、有效的组。除了面向特定应用程序的组之外，我们还需要几个基本组。基本组的成员负责管理服务器。4 4允许数据库访问允许数据库访问权限分配给角色而不是直接把它们分配给全局组。创建了数据库之后，我们可以用sp_grantdbaccess存储过程授权DB_Name Users组访问它。如果要拒绝数据库访问，我们可以创建另外一个名为DB_Name Denied Users的全局组，授权它访问数据库，然后把它设置为db_denydatareader以及db_denydatawriter角色的成员。5分配权限分配权限实施安全策略的最后一个步骤是创建用户定义的数据库角实施安全策略的最后一个步骤是创建用户定义的数

16、据库角色，然后分配权限。完成这个步骤最简单的方法是创建一色，然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色。些名字与全局组名字配套的角色。创建好角色之后就可以分配权限。在这个过程中，我们只创建好角色之后就可以分配权限。在这个过程中，我们只需用到标准的需用到标准的GRANTGRANT、REVOKEREVOKE和和DENYDENY命令。命令。接下来我们就可以加入所有接下来我们就可以加入所有SQL ServerSQL Server验证的登录。用户定验证的登录。用户定义的数据库角色可以包含义的数据库角色可以包含SQL ServerSQL Server登录以及登录以及NTNT

17、全局组、本全局组、本地组、个人账户地组、个人账户 。由于内建的角色一般适用于整个数据库而不是单独的对象，由于内建的角色一般适用于整个数据库而不是单独的对象，因此这里建议你只使用两个内建的数据库角色，即因此这里建议你只使用两个内建的数据库角色，即db_securityadmindb_securityadmin和和db_ownerdb_owner。6 6简化管理简化管理SQL Server验证的登录不仅能够方便地实现，而且与NT验证的登录相比，它更容易编写到应用程序里。但是，如果用户的数量超过25，或者服务器数量在一个以上，或者每个用户都可以访问一个以上的数据库，或者数据库有多个管理员，SQL S

18、erver验证的登录便不容易管理了。由于SQL Server没有显示用户有效权限的工具，要记住每个用户具有哪些权限以及他们为何要得到这些权限就更加困难。即使对于一个还要担负其他责任的小型数据库管理员，简化安全策略也有助其减轻问题的复杂程度。因此，首选的方法应该是使用NT验证的登录，然后通过一些精心选择的全局组和数据库角色管理数据库访问。1.4 Windows1.4 Windows信息系统面临的信息系统面临的 安全威胁安全威胁 1.4.1 1.4.1 安全威胁之系统破解安全威胁之系统破解 1 1WindowsWindows系统登录密码破解简介系统登录密码破解简介（1 1）删除）删除SAMSAM文

19、件（仅适合于文件（仅适合于Windows 2000Windows 2000）（2 2）修改账户密码）修改账户密码（3 3）穷举法破解账户密码）穷举法破解账户密码2 2文件级加密破解简介文件级加密破解简介（1 1）OfficeOffice文件加密与破解文件加密与破解（2 2）FoxMailFoxMail账号加密与破解账号加密与破解3 3软件注册码破解简介软件注册码破解简介注册码加密保护的原理比较简单，即要求软件安装注册码加密保护的原理比较简单，即要求软件安装者必须输入正版软件才拥有的一组字码（字符或数者必须输入正版软件才拥有的一组字码（字符或数字的组合），经软件验证通过后方可完成安装。注字的组合

20、），经软件验证通过后方可完成安装。注册码的验证方式根据不同的软件各有不同，有的是册码的验证方式根据不同的软件各有不同，有的是直接明文放在软件中，有的经过加密或变形后再进直接明文放在软件中，有的经过加密或变形后再进行比较，还有的需要通过网络申请注册码，然后再行比较，还有的需要通过网络申请注册码，然后再进行验证。不管通过哪种验证方式，注册码的破解进行验证。不管通过哪种验证方式，注册码的破解均有一定的规律可循，即通过反汇编工具追踪软件均有一定的规律可循，即通过反汇编工具追踪软件的验证过程，在找到验证规律的基础上实现破解。的验证过程，在找到验证规律的基础上实现破解。1.4.2 1.4.2 安全威胁之计

21、算机病毒安全威胁之计算机病毒 1 1计算机病毒的基本特征计算机病毒的基本特征（1 1）传染性）传染性（2 2）隐蔽性）隐蔽性（3 3）破坏性）破坏性（4 4）可触发性）可触发性2 2计算机病毒的发展趋势计算机病毒的发展趋势（1 1）网络成为计算机病毒传染的主要载体；）网络成为计算机病毒传染的主要载体；（2 2）传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的病毒类型；）传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的病毒类型；（3 3）恶意网页的泛滥；）恶意网页的泛滥；（4 4）病毒与木马技术相互结合，出现带有明显木马特征的病毒；）病毒与木马技术相互结合，出现带有明显木马特征的病毒；（5

22、5）传播方式多样化；）传播方式多样化；（6 6）跨操作系统的病毒；）跨操作系统的病毒；（7 7）手机病毒、信息家电病毒的出现。）手机病毒、信息家电病毒的出现。3 3计算机反病毒技术的发展趋势计算机反病毒技术的发展趋势（1 1）适当增加杀毒软件的功能）适当增加杀毒软件的功能（2 2）杀毒软件的技术革新）杀毒软件的技术革新（3 3）操作系统的稳固性）操作系统的稳固性（4 4）企业病毒解决方案和个人病毒防范）企业病毒解决方案和个人病毒防范1.4.3 1.4.3 安全威胁之恶意攻击安全威胁之恶意攻击 1源IP地址欺骗攻击假设同一网段内有两台主机假设同一网段内有两台主机A A和和B B，另一网段内有主机

23、，另一网段内有主机X X。B B 授予授予A A某些特权。某些特权。X X 为获得与为获得与A A相同的特权，所做欺骗相同的特权，所做欺骗攻击如下：首先，攻击如下：首先，X X冒充冒充A A，向主机，向主机 B B发送一个带有随机发送一个带有随机序列号的序列号的SYNSYN包。主机包。主机B B响应，回送一个应答包给响应，回送一个应答包给A A，该，该应答号等于原序列号加应答号等于原序列号加1 1。然而，此时主机。然而，此时主机A A已被主机已被主机X X利利用拒绝服务攻击用拒绝服务攻击“淹没淹没”了，导致主机了，导致主机A A服务失效。结果，服务失效。结果，主机主机A A将将B B发来的包丢

24、弃。为了完成三次握手，发来的包丢弃。为了完成三次握手，X X还需要还需要向向B B回送一个应答包，其应答号等于回送一个应答包，其应答号等于B B向向A A发送数据包的发送数据包的序列号加序列号加1 1。此时主机。此时主机X X 并不能检测到主机并不能检测到主机B B的数据包的数据包（因为不在同一网段），只有利用（因为不在同一网段），只有利用TCPTCP顺序号估算法来顺序号估算法来预测应答包的顺序号并将其发送给目标机预测应答包的顺序号并将其发送给目标机B B。如果猜测正。如果猜测正确，确，B B则认为收到的则认为收到的ACKACK是来自内部主机是来自内部主机A A。此时，。此时，X X即即获得了

25、主机获得了主机A A在主机在主机B B上所享有的特权，并开始对这些服上所享有的特权，并开始对这些服务实施攻击。务实施攻击。要防止防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：（1 1）抛弃基于地址的信任策略）抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等等。（2 2）使用加密方法）使用加密方法 在包发送到网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。（3 3）进行包过滤）进行包过滤 可以配置路

26、由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。2源路由欺骗攻击假设主机假设主机A A享有主机享有主机B B的某些特权，主机的某些特权，主机X X想冒充主机想冒充主机A A从主机从主机B B（假设（假设IPIP为为aaa.bbb.ccc.dddaaa.bbb.ccc.ddd）获得某些服）获得某些服务。首先，攻击者修改距离务。首先，攻击者修改距离X X最近的路由器，使得到最近的路由器，使得到达此路由器且包含目的地址达此路由器且包含目的地址aaa.bbb.ccc.dddaaa.bbb.ccc.ddd的数据的数据包以主

27、机包以主机X X所在的网络为目的地；然后，攻击者所在的网络为目的地；然后，攻击者X X利利用用IPIP欺骗向主机欺骗向主机B B发送源路由（指定最近的路由器）发送源路由（指定最近的路由器）数据包。当数据包。当B B回送数据包时，就传送到被更改过的路回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。通过一个特殊的路径来获得某些被保护数据。为了为了防范防范源路由欺骗攻击，一般采用下面两种措施：源路由欺骗攻击，一般采用下面两种措施：1.1.对付这种攻击最好的办法是配置路由器，使它抛弃那对付

28、这种攻击最好的办法是配置路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。些由外部网进来的却声称是内部主机的报文。2.2.在路由器上关闭源路由。用命令在路由器上关闭源路由。用命令no ip source-routeno ip source-route。3拒绝服务攻击SYN FloodSYN Flood常常是源常常是源IPIP地址欺骗攻击的前奏，又称半开式地址欺骗攻击的前奏，又称半开式连接攻击。每当我们进行一次标准的连接攻击。每当我们进行一次标准的TCPTCP连接就会有一连接就会有一个三次握手的过程，而个三次握手的过程，而SYN FloodSYN Flood在它的实现过程中只有在它的实现

29、过程中只有三次握手的前两个步骤，当服务方收到请求方的三次握手的前两个步骤，当服务方收到请求方的SYNSYN并并回送回送SYN-ACKSYN-ACK确认报文后，请求方由于采用源地址欺骗确认报文后，请求方由于采用源地址欺骗等手段，致使服务方得不到等手段，致使服务方得不到ACKACK回应，这样，服务方会回应，这样，服务方会在一定时间内处于等待接收请求方在一定时间内处于等待接收请求方ACKACK报文的状态，一报文的状态，一台服务器可用的台服务器可用的TCPTCP连接是有限的，如果恶意攻击方快连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，则服务器的系统可用资源、速连续地发送此类连接请求，则服务

30、器的系统可用资源、网络可用带宽急剧下降，将无法向其他用户提供正常的网络可用带宽急剧下降，将无法向其他用户提供正常的网络服务。网络服务。为了为了防止防止拒绝服务攻击，我们可以采取以下的预防措施：拒绝服务攻击，我们可以采取以下的预防措施：1.1.建议在该网段的路由器上做一些配置的调整，这些调建议在该网段的路由器上做一些配置的调整，这些调整包括限制整包括限制SynSyn半开数据包的流量和个数。半开数据包的流量和个数。2.2.要防止要防止SYNSYN数据段攻击，我们应对系统设定相应的内数据段攻击，我们应对系统设定相应的内核参数，使得系统强制对超时的核参数，使得系统强制对超时的SynSyn请求连接数据包

31、复请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的迅速处理无效的SynSyn请求数据包。请求数据包。3.3.建议在路由器的前端做必要的建议在路由器的前端做必要的TCPTCP拦截，使得只有完拦截，使得只有完成成TCPTCP三次握手过程的数据包才可进入该网段，这样可三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。以有效地保护本网段内的服务器不受此类攻击。4.4.对于信息淹没攻击，我们应关掉可能产生无限序列的对于信息淹没攻击，我们应关掉可能产生无限序列的服务来防止这种攻击。服务来防止这种

32、攻击。4 4网络嗅探攻击网络嗅探攻击网络嗅探就是使网络接口接收不属于本主机的数据。计算网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据帧头包含目的主机的硬件地址，只有信道的网络，其数据帧头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为混杂模式节点。通常账户和口令等信数据包的机器被称为混杂模式节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被攻击者在混杂息都以明文的形

33、式在以太网上传输，一旦被攻击者在混杂模式节点上嗅探到这些信息，相关的计算机和用户就难以模式节点上嗅探到这些信息，相关的计算机和用户就难以避免被攻击的厄运。避免被攻击的厄运。对于网络嗅探攻击，我们可以采取以下措施进行防范防范：（1 1）网络分段）网络分段 （2 2）加密）加密 （3 3）一次性口令技术）一次性口令技术 （4 4）禁用杂错节点）禁用杂错节点 5 5缓冲区溢出攻击缓冲区溢出攻击缓冲区是用户为程序运行时在缓冲区是用户为程序运行时在计算计算机内存中申请到的一段连续的存储机内存中申请到的一段连续的存储空间，它保存了给定类型的数据。缓冲区溢出指的是一种常见且危害空间，它保存了给定类型的数据。

34、缓冲区溢出指的是一种常见且危害很大的系统攻击手段，通过向程序的缓冲区写入超出其长度的很大的系统攻击手段，通过向程序的缓冲区写入超出其长度的内容内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。令，以达到攻击的目的。一般的防范防范措施包括：（1 1）程序指针完整性检查）程序指针完整性检查 （2 2）堆栈的保护）堆栈的保护（3 3）数组边界检查）数组边界检查（4 4）利用工具软件发现漏洞并修补）利用工具软件发现漏洞并修补2.1 Windows2.1 Windows系统的注册表系统的注册表2.2 Vis

35、ual C+2.2 Visual C+编程基础编程基础2.3 2.3 汇编语言编程及反汇编调试汇编语言编程及反汇编调试2.4 Windows2.4 Windows系统驱动程序开发系统驱动程序开发第2章 基础知识简介2.1 Windows2.1 Windows系统的注册表系统的注册表 2.1.1 2.1.1 注册表的结构注册表的结构 注册表的外部形式外部形式是Windows目录下的两个二进制文件System.dat和User.dat，内部组织结构内部组织结构是一个类似于目录管理的树状分层的结构。对于树枝，我们把它叫做“项项”，对于树叶，叫做“值项值项”。值项包括三部分：值的名称、值的名称、值的数

36、据类型以及值本身。值的数据类型以及值本身。WindowsWindows系统的注册表有系统的注册表有5 5种数据类型，种数据类型，它们是：它们是：REG_BINARYREG_BINARY：二进制值（：二进制值（B B）。）。REG_DWORDREG_DWORD：DWORDDWORD值（值（D D）。）。REG_EXPAND_SZREG_EXPAND_SZ：可扩展字符串（：可扩展字符串（E E）。）。REG_MULTI_SZREG_MULTI_SZ：多重字符串（：多重字符串（M M）。）。REG_SZREG_SZ：数据字符串（：数据字符串（S S）。）。注册表的根键主要包括5大根键，即：HKEY_

37、CURRENT_USERHKEY_CURRENT_USER：包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。HKEY_USERSHKEY_USERS：包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_USER是HKEY_USERS的子项。HKEY_LOCAL_MACHINE：包含针对该计算机（对于任何用户）的配置信息。HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT：是HKEY_LOCAL_MACHINESoftware的子项。此处存储的信息可以确保当使用Windows资源管理器打开文件时，将使

38、用正确的应用程序打开对应的文件类型。HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG：包含本地计算机在系统启动时所用的硬件配置文件信息。1HKEY_LOCAL_MACHINE根键根键HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE根键中存放的是用来控制系统和软件的设置。根键中存放的是用来控制系统和软件的设置。（1 1）HARDWAREHARDWARE子键子键 该子键包含了系统使用的浮点处理器、串口等有关信息。该子键包含了系统使用的浮点处理器、串口等有关信息。DESCRIPTIONDESCRIPTION：用于存放有关系统信息。：用于存放有关系统

39、信息。DEVICEMAPDEVICEMAP：用于存放设备映像。：用于存放设备映像。RESOURCEMAPRESOURCEMAP；用于存放资源映像；用于存放资源映像。（2 2）SAMSAM子键子键 （3 3）SECURITYSECURITY子键子键 该子键位于该子键位于HKEY_LOCAL_MACHINESecurityHKEY_LOCAL_MACHINESecurity分支上，该分支只是为将来的分支上，该分支只是为将来的 高级功能而预留的。高级功能而预留的。（4 4）SOFTWARESOFTWARE子键子键 该子键中保留的是所有已安装的该子键中保留的是所有已安装的3232位应用程序的信息。位应

40、用程序的信息。（5 5）SYSTEMSYSTEM子键子键该子键存放的是启动时所使用的信息和修复系统时所需的信息，其中包该子键存放的是启动时所使用的信息和修复系统时所需的信息，其中包 括各个驱动程序的描述信息和配置信息等括各个驱动程序的描述信息和配置信息等 。2HKEY_CLASSES_ROOT根键根键HKEY_CLASSES_ ROOTHKEY_CLASSES_ ROOT主键与当前注册使用的用户有关，它实际上是主键与当前注册使用的用户有关，它实际上是HKEY_CURRENT_USERHKEY_CURRENT_USERSOFTWARESOFTWAREClassesClasses和和HKEY_LO

41、CAL_MACHINEHKEY_LOCAL_MACHINESOFTWARESOFTWAREClassesClasses的交集。如果两者的的交集。如果两者的内容有冲突，则内容有冲突，则HKEY_CURRENT_USERHKEY_CURRENT_USERSOFTWARESOFTWAREClassesClasses优先。优先。（1 1）同一台计算机上的不同用户可以分别定制不同）同一台计算机上的不同用户可以分别定制不同 的的Windows 2000Windows 2000。（2 2）提高了注册表的安全性。）提高了注册表的安全性。（3 3）支持漫游类注册。）支持漫游类注册。“单用户类注册单用户类注册”（

42、per-user class registrationper-user class registration）3 3HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG根键根键 如果你在Windows中设置了两套或者两套以上的硬件配置文件（Hardware Configuration file），则在系统启动时将会让用户选择使用哪套配置文件。而HKEY_CURRENT_CONFIG根键中存放的则是当前配置文件的所有信息。4 4HKEY_USERSHKEY_USERS根键根键 该根键保存了存放在本地计算机口令列表中的用户标识和密码列表，即用户设置。每个用户的预配置信息都存

43、储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。其内容取决于计算机是否激活了用户配置文件，若未激活用户配置文件，则可以看到称为.DEFAULT的单一子键，该子键包括和所有用户相关的各种设置，并且和Windows下的USER.DAT文件相配合。若激活了用户配置文件并且正确地执行了登录，则还有一个“用户名”的子键，该用户名为用户登录的名称。5 5HKEY_CURRENT_USERHKEY_CURRENT_USER根键根键 HKEY_ CURRENT_USER下面有7个子键：AppEventsAppEvents：这个子键里登记已注册的各种应用事件。ControlPa

44、nelControlPanel：它里面涉及控制面板设置有关的内容。InstallLocationsMRUInstallLocationsMRU：Windows安装路径的有关信息。KeyboardlayoutKeyboardlayout：关于键盘设置的信息。NetworkNetwork：有关网络设置的信息。RemoteAccessRemoteAccess：安装IE时建立的子关键字，包含该应用程序的有关信息。SoftwareSoftware：用户安装软件的有关信息。HKEY_CURRENT_USERHKEY_CURRENT_USER根键中保存的信息（当前用户的子键信息）根键中保存的信息（当前用户的

45、子键信息）与与HKEY_ USERS.DefaultHKEY_ USERS.Default分支中所保存的信息是相同的。任何对分支中所保存的信息是相同的。任何对HKEY_CURRENT_USERHKEY_CURRENT_USER根键中的信息的修改都会导致对根键中的信息的修改都会导致对HKEY_USERS.DefaultHKEY_USERS.Default中子键信息的修改，反之也是如此。中子键信息的修改，反之也是如此。2.1.2 2.1.2 注册表的操作注册表的操作 1 1注册表的备份注册表的备份点击注册表编辑器的点击注册表编辑器的“文件文件”菜单，再点击菜单，再点击“导出导出”选项，在弹出的选项

46、，在弹出的对话框中输入文件名对话框中输入文件名“regedit”“regedit”，将，将“保存类型保存类型”选为选为“注册表文件注册表文件”，再将，再将“导出范围导出范围”设置为设置为“全部全部”，接下来选择文件存储位置，接下来选择文件存储位置，最后点击最后点击“保存保存”按钮，就可将系统的注册表保存到硬盘上。同样，按钮，就可将系统的注册表保存到硬盘上。同样，如果点击如果点击“导入导入”选项，选择要导入的注册表文件，就可以完成整个选项，选择要导入的注册表文件，就可以完成整个注册表的还原。注册表的还原。2 2注册表项目的还原注册表项目的还原单击程序界面单击程序界面“文件文件”项下拉菜单中的项下

47、拉菜单中的“导入导入”命令，程序会给出一命令，程序会给出一个对话框，在其中的文件列表窗口中选择需要还原的文件名，之后单个对话框，在其中的文件列表窗口中选择需要还原的文件名，之后单击击“打开打开”按钮确定即可。按钮确定即可。3 3向注册表中添加新的项或子项向注册表中添加新的项或子项启动注册表编辑器，在程序左边的树形列表窗口中选择将在其下添加启动注册表编辑器，在程序左边的树形列表窗口中选择将在其下添加新项的项或子项。单击程序界面菜单条中的新项的项或子项。单击程序界面菜单条中的“编辑编辑”项，并从关联的项，并从关联的下拉菜单中选择下拉菜单中选择“新建新建”命令，在出现的窗口中的命令，在出现的窗口中的

48、“项名称项名称”文本框文本框中输入需要添加的新项名称，对于指定类别，可根据自己的需要设置，中输入需要添加的新项名称，对于指定类别，可根据自己的需要设置，当然如果不添加也可以。最后单击确定按钮，返回程序界面即可。当然如果不添加也可以。最后单击确定按钮，返回程序界面即可。4 4以关键字方式查找以关键字方式查找 首先在注册表编辑器界面中选择需要扫描的项或子项所在窗口，单击界面菜单条“编辑”项下拉菜单中的“查找”命令。在“查找内容”文本框中输入需要查找的内容关键字，并选择相应的扫描控制方式，之后，单击“查找下一个”按钮确定即可。5 5删除注册表中无用的子项或值项删除注册表中无用的子项或值项首先在程序界

49、面中找到需要删除项目所在的主项窗口，然后定位需要删除的值项，一般对于软件注册项都包括在HKEY_CURRENT_USER项下的Software子项中。单击程序界面菜单条“编辑”项下拉菜单中的“删除”命令或者是直接按下“Delete”键，程序会给出删除确认对话框，单击“Yes”按钮确认即可。6 6设置注册表项的权限设置注册表项的权限首先在程序界面窗口中选择需要指定权限的项，单击界面“编辑”项下拉菜单，从中选择“权限”命令，在“名称”列表框中选择需要设置权限的用户或组，如果暂时还没有添加，可单击“添加”按钮，在关联的“选择用户、计算机或组”设置界面中选择需要添加的对象。在界面中的“权限”项列表框中

50、设置允许当前选择对象的使用权限，其中包括“读取”和“完全控制”（读写）。此外，当点“高级”项，程序会给出针对当前授权注册表项访问控制设置，其中包括了更加严密的授权设置，如是否允许查询数值、设置数值、创建子项、枚举子项、通知、创建链接、删除、写入DAC、写入所有者、读取控制等，根据自己的需要选择即可。2.2 Visual C+2.2 Visual C+编程基础编程基础 2.2.1 Visual C+2.2.1 Visual C+概述概述 Visual C+Visual C+（以下简称（以下简称VC+VC+）是微软开发）是微软开发的一套的一套C/C+C/C+编译器，它包含了综合的微软编译器，它包含