《软件安全》复习课件.ppt

1、1软件安全软件安全题型：题型：选择题（选择题（10*2分分=20分）分）填空题（填空题（6*3分分=18分）分）判断题（判断题（11*2分分=22分）分）简答计算题（简答计算题（4-5小题，共小题，共40分）分）2信息的表现形式o 信息可以以多种形式表现：n 打印或书写在纸上，n 以电子数据的方式存储，n 或以胶片形式显示或者通过交谈表达出来等。3安全（Safety vs Security）o Safetyn 自然的，物理的，相对具体的n 如房屋、桥梁、大坝o Securityn 社会的，人为的，相对抽象的n 如食品、软件4我们愿意保护我们的信息吗？o 该信息的价值有多大？o 可能面临哪些风险

2、？o 为保护该信息需要付出多少成本？o 在什么情况下愿意采取安全措施？n认识到的价值*认识到的风险认识到的成本？p 是否应该采取安全措施？n真实价值*真实风险真实成本？系统引导与控制权o 系统引导与恶意软件有何关系？5计算机系统引导过程主板BIOS系统进行硬件自检硬盘主引导程序（MBR）活动分区引导程序（DBR）操作系统引导（如NTLDR）操作系统内核启动驱动程序及服务系统自启动程序6系统引导与恶意软件的关联o 系统引导与恶意软件有何关系？系统引导与恶意软件有何关系？n 恶意软件在植入系统之后，如何再次获得控制权？恶意软件在植入系统之后，如何再次获得控制权？o 在在计算机系统引导阶段计算机系统

3、引导阶段获得控制权获得控制权nBootkit：BIOS木马、木马、MBR木马等，可用于长期驻留木马等，可用于长期驻留在系统；早期的在系统；早期的DOS引导区病毒等。引导区病毒等。nCIH病毒病毒o 在在操作系统启动阶段操作系统启动阶段获得控制权获得控制权n最常见的恶意软件启动方法，多见于独立的恶意软件程序。最常见的恶意软件启动方法，多见于独立的恶意软件程序。o 在在应用程序执行阶段应用程序执行阶段获得控制权获得控制权n最常见的文件感染型病毒启动方法。最常见的文件感染型病毒启动方法。7实模式实模式REALPROTECTED保护模式保护模式VIRTUAL虚拟虚拟8086CR0的的PE位位 置置1C

4、R0的的PE位位 置置0通通过过中中断断执行执行IRETD指令指令RESET信号信号RESET对对CPU复位复位Intel80X86处理器三种工作模式关系：处理器三种工作模式关系：实模式、保护模式和虚拟实模式、保护模式和虚拟86模式模式8FAT32文件系统结构引导扇区数据存储区（以簇为单位，每簇包含多个扇区，以簇号进行标示）FAT（File Allocation Table，文件分配表）FAT1+FAT2两个功能：1.记录数据存储区每一个簇的使用情况（是否被使用，或坏簇）；2.形成每个文件的簇链表描述分区属性：1.分区大小；2.簇的大小3.FAT表个数与大小4.分区引导程序等功能：存储两类数据

5、目录项（目录和文件的属性信息，如文件名，大小，文件存储首簇号，时间等）-文件档案文件数据9文件的存储文件的存储操作示意图操作示意图引导扇区数据存储区FAT1.按照文件大小定位足够的空闲簇2.创建文件目录项(32+Bytes)3.在FAT中构建簇链表4.在对应分配的簇中写入数据10目录项的含义后缀名:INF文件名:AUTORUN文件属性首簇高16位首簇低16位文件更新日期及时间文件访问日期文件创建时间文件创建日期文件大小保留FAT32中，目录也被当作文件进行处理。如果是长文件名，则目录项向上继续扩展。11文件创建实例首簇高16位首簇低16位文件大小首簇号：000A08DE（657630）文件大小

6、：D488（54408字节，占14簇，每簇4096字节）12文件删除实例（AUTORUN.INF）-目录项的变化文件被删除后目录项的变化删除前2.首簇高位被清零13文件删除实例（AUTORUN.INF）-簇链表变化文件被删除后FAT表的变化：簇链表已被清空删除前删除后14文件删除实例（AUTORUN.INF）-文件内容无变化152.5.3被删除文件的恢复机理差异差异o 目录项：n文件名首字节被修改为E5n首簇高位被清零o FAT表簇链：n被全部清空o 文件内容：n无变化可否恢复？可否恢复？o 目录项n 文件名首位是否可还原？n 如何确定高位？o FAT表簇链如何修复？n 连续存储（默认）n 总

7、簇数（文件大小）162.5.3被删除文件的恢复机理o 还原文件名首字节n长文件名：直接逆向定位完整文件名。o 确定高位并还原n参考相邻目录项的首簇高位n从0往上试探，看首簇指向内容是否为预期文件头部o 修复FAT表簇链n通过文件大小计算所占簇数n按照连续存储假设，进行簇链修补，其中末簇FAT项用0FFFFFFF结尾。17PE文件格式查看工具文件格式查看工具1-PEViewo PEView：可按照：可按照PE文件格式文件格式对目标文件对目标文件的各字段的各字段进行详细解析。进行详细解析。18PE文件格式查看工具文件格式查看工具2-Stud_PEo Stud_PE：可按照：可按照PE文件格式文件格

8、式对目标文件对目标文件的各字段的各字段进行详细解析。进行详细解析。19PE程序调试工具程序调试工具-Ollydbgo Ollydbg：可跟踪目标程序的执行过程，：可跟踪目标程序的执行过程，属于用户态调试工具。属于用户态调试工具。2016进制文件编辑工具进制文件编辑工具-UltraEdito UltraEdit：可对目标文件进行：可对目标文件进行16进制查进制查看和修改。看和修改。213 PE文件格式总体结构文件格式总体结构1.DOS MZ header2.DOS stub3.PE header4.Section table5-1 Section 15-2 Section 2Section.5.

9、3 Section n223C处的值：处的值：000000B0指向指向PE文件头开始位置文件头开始位置231）字串）字串“PE00”o Signature 一一dword类型，值为类型，值为50h,45h,00h,00h（PE00）。）。n 本域为本域为PE标记，标记，可以此识别给定文件是否为有效可以此识别给定文件是否为有效PE文件文件。PE00242）映像文件头（映像文件头（0 x14）o 该结构域包含了关于该结构域包含了关于PE文件物理分布的信文件物理分布的信息，息，比如比如节数目节数目、后续、后续可选文件头大小可选文件头大小、机器类型机器类型等。等。3个节X86可选文件头大小253）可选

10、文件头）可选文件头o定义了定义了PE文件的很多关键信息文件的很多关键信息o内存镜像加载地址（内存镜像加载地址（ImageBase）o程序入口点（代码从哪里开始执行？程序入口点（代码从哪里开始执行？)o节在文件和内存中的对齐粒度节在文件和内存中的对齐粒度o本程序在内存中的镜像大小、文件头大小等本程序在内存中的镜像大小、文件头大小等26oImageBase：nPE文件在内存中的优先装载地址。文件在内存中的优先装载地址。oRVA地址：地址：nRelative Virtual Address，相对虚拟地址，它是相对内存中，相对虚拟地址，它是相对内存中ImageBase的偏移位置。的偏移位置。几个概念几

11、个概念-127几个概念几个概念-2o对齐粒度对齐粒度n比喻：桶的容量为比喻：桶的容量为100升，现有升，现有367升水，请问需要使用多少个桶？升水，请问需要使用多少个桶？o问题：代码节的代码实际长度为问题：代码节的代码实际长度为0 x46字节字节n文件中节对齐粒度为文件中节对齐粒度为0 x200,n内存中节对齐粒度为内存中节对齐粒度为0 x1000字节，字节，请问代码节在文件和内存中分别占用多少字节？请问代码节在文件和内存中分别占用多少字节？n为什么为什么PE文件中有很多文件中有很多“00”字节？字节？28可选文件头中的一些关键字段名字描述Address Of Entry Point *（位置

12、（位置D8H，4字节）字节）PE装载器准备运行的PE文件的第一条指令的RVA。（病毒感染中通用关键字段）（病毒感染中通用关键字段）Image Base（位置：（位置：E4H，4字节）字节）PE文件的优先装载地址。比如，如果该值是400000h，PE装载器将尝试把文件装到虚拟地址空间的400000h处。Section Alignment（位置：（位置：E8H，4字节）字节）内存中节对齐的粒度。File Alignment（位置：（位置：ECH，4字节）字节）文件中节对齐的粒度。29第一条指令在内存中的地址是多少？401000H=400000H+1000H30Directory16项8字节315.

13、1 IMPORT Directory Tableo 如何从如何从PE文件定位到引入目录表（文件定位到引入目录表（IDT）的起始位置？的起始位置？n PE可选文件头的可选文件头的DataDirectory。325.4 IAT（IMPORT Address Table）o 引入地址表：引入地址表：DWORD数组数组可通过可选文件头中的可通过可选文件头中的DataDirectory的第的第13项定位项定位n在文件中时，其内容与在文件中时，其内容与Import Name Table完全一样。完全一样。n在内存中时，每个双字中存放着对应引入函数的地址。在内存中时，每个双字中存放着对应引入函数的地址。33

14、为何需要导出序号表？o 导出函数名字和导出地址表中的地址导出函数名字和导出地址表中的地址不是一不是一一对应一对应关系。关系。o 为什么？为什么？n 一个函数实现可能有多个名字；一个函数实现可能有多个名字；n 某些函数没有名字，仅通过序号导出。某些函数没有名字，仅通过序号导出。34堆栈堆栈溢出的溢出的示意图示意图 可以直观的见到可以直观的见到,写入内存的数据大于我们分配的长写入内存的数据大于我们分配的长度度,导致临近的内存数据被覆盖导致临近的内存数据被覆盖,如果精心准备覆盖到程序如果精心准备覆盖到程序返回指针的数据返回指针的数据,程序的进程可能就会被攻击者所控制程序的进程可能就会被攻击者所控制.

15、35364.1.2.2 栈溢出的利用栈溢出的利用p 根据被覆盖的数据位置和所要实现的目的不同，根据被覆盖的数据位置和所要实现的目的不同，分为以下三种：分为以下三种：修改邻接变量修改邻接变量 修改函数返回地址修改函数返回地址 S.E.H.S.E.H.结构覆盖结构覆盖374.1.2.2 修改邻接变量修改邻接变量 由于函数的由于函数的局部变量局部变量是依次存储在栈帧是依次存储在栈帧上的，因此如果这些局部变量中有上的，因此如果这些局部变量中有数组数组之类的缓冲区之类的缓冲区，并且程序中存在，并且程序中存在数组越数组越界缺陷界缺陷，那么数组越界后就有可能，那么数组越界后就有可能破坏破坏栈中相邻变量的值，

16、甚至破坏栈帧中所栈中相邻变量的值，甚至破坏栈帧中所保存的保存的EBPEBP、返回地址等重要数据、返回地址等重要数据。384.1.2.2 修改邻接变量修改邻接变量p 观察如图观察如图4-44-4所示程序源代所示程序源代码，当代码执行到码，当代码执行到intint verify_passwordverify_password(char(char*password)password)时，栈帧状态时，栈帧状态如右图所示如右图所示。p 当输入口令超过当输入口令超过7 7个字符，个字符，越界字符越界字符ASCIIASCII码会修改掉码会修改掉authenticatedauthenticated的值，进而的

17、值，进而绕过密码验证程序。绕过密码验证程序。程序在内存中的映像程序在内存中的映像文本（代码）段文本（代码）段数据段数据段堆栈段堆栈段内存低地址内存低地址内存高地址内存高地址内存递增方向内存递增方向初始化数据段初始化数据段非初始化数据段非初始化数据段(BSS)堆堆(Heap)栈栈(stack)堆的增长方向堆的增长方向栈的增长方向栈的增长方向内核数据代码内核数据代码0 x800000000 x7FFFFFFFPEB&TEB系统系统DLL代码段代码段39404.1.3.1 堆的结构堆的结构p 堆块堆块 空闲态空闲态：堆块被：堆块被链入空链表中，链入空链表中，由系统管理由系统管理。占有态占有态：堆块会

18、：堆块会返回一个由程序返回一个由程序员定义的句柄，员定义的句柄，由程序员管理由程序员管理。414.1.3.1 堆的结构堆的结构空闲堆块空闲堆块比比占有堆块占有堆块多出了两个多出了两个4 4字节的指针，这两个指字节的指针，这两个指针用于针用于链接系统中的其他空闲堆块链接系统中的其他空闲堆块。424.1.3.1 堆的结构堆的结构p 空表空表 空闲堆块的块首中空闲堆块的块首中包含包含一对重要的指一对重要的指针针，这对指针用于，这对指针用于将空闲堆块将空闲堆块组织成组织成双向链表双向链表。根据大小不同，空根据大小不同，空表总共被分成表总共被分成128条条434.1.3.1 堆的结构堆的结构p 空表空表

19、 堆表区中有一个堆表区中有一个128128项的数组，称作空项的数组，称作空表索引（每项包含表索引（每项包含两个指针，标识一两个指针，标识一条空表）条空表）空闲堆块的大小空闲堆块的大小=索索引项引项8 8（字节）（字节）444.1.3.2 堆溢出的利用堆溢出的利用p 堆溢出利用的精髓堆溢出利用的精髓 用精心构造的数据去用精心构造的数据去溢出覆盖溢出覆盖下一个堆块的下一个堆块的块首块首，使其，使其改写改写块首中的块首中的前向指针（前向指针（flinkflink）和后）和后向指针（向指针（blinkblink），然后在分配、释放、合并等操，然后在分配、释放、合并等操作发生时作发生时伺机获得伺机获得一

20、次向内存任意地址写入任意一次向内存任意地址写入任意数据的数据的机会机会（Arbitrary Arbitrary DwordDword Reset,Reset,又称又称DwordDword ShootShoot）。通过这个机会，可以）。通过这个机会，可以控制控制设计的目标（设计的目标（任意地址），任意地址），选择选择适当的目标数据，从而适当的目标数据，从而劫持进劫持进程，运行程，运行shellcodeshellcode。454.1.3.2 堆溢出的利用堆溢出的利用p 举例：如何通过节点的拆卸产生举例：如何通过节点的拆卸产生DwordDword Shoot Shoot 拆卸节点拆卸节点nodeno

21、de时发生如下操作：时发生如下操作：node-blink-node-blink-flinkflink=node-=node-flinkflink;node-node-flinkflink-blink=node-blink;-blink=node-blink;当精心构造的数据淹没前向指针和后向指针当精心构造的数据淹没前向指针和后向指针时，如果在时，如果在flinkflink放入放入4 4字节的任意恶意数据内容字节的任意恶意数据内容，在，在blinkblink放入目标地址放入目标地址，当执行以上操作时，导，当执行以上操作时，导致目标地址的内容被修改为该致目标地址的内容被修改为该4 4字节的恶意数据

22、。字节的恶意数据。464.1.3.2 堆溢出的利用堆溢出的利用p 举例：如何通过节点的拆卸产生举例：如何通过节点的拆卸产生DwordDword Shoot Shoot PE型病毒型病毒-传统文件感染型传统文件感染型关键技术关键技术o 重定位重定位n 病毒代码目标寄生位置不固定病毒代码目标寄生位置不固定o API函数自获取函数自获取n 需要使用的需要使用的API函数函数n 但无引入函数节支撑但无引入函数节支撑47PE型病毒型病毒-传统文件感染型传统文件感染型关键技术关键技术o 目标程序遍历搜索目标程序遍历搜索n 全盘查找，或者部分盘符查找全盘查找，或者部分盘符查找o 感染模块感染模块n 病毒代码

23、病毒代码插入位置选择与写入插入位置选择与写入n 控制权控制权返回返回机制机制48病毒代码植入HOST文件后的位置差异49解决方法o 重定位本质：重定位本质：n 修正实际地址与预期地址的差异修正实际地址与预期地址的差异o 解决方案：解决方案：n根据根据HOST特征逐一硬编码特征逐一硬编码繁琐，未必准确繁琐，未必准确n病毒代码运行过程中自我重定位病毒代码运行过程中自我重定位50常见的重定位方法之一（ebp-offset delta）Call语句功能：语句功能：n将下一条语句开始位置压入堆栈将下一条语句开始位置压入堆栈nJMP 到目标地址执行到目标地址执行51（2）API函数地址自获取o 如何获取如

24、何获取API函数地址？函数地址？n DLL文件的引出函数节文件的引出函数节n kernel32.dll：o GetProcAddress和和LoadLibraryA52文件感染o 感染的关键感染的关键n病毒代码能够得到运行病毒代码能够得到运行o选择合适的位置放入病毒代码（选择合适的位置放入病毒代码（已有节，新增节）已有节，新增节）o将控制权交给病毒代码将控制权交给病毒代码n修改程序入口点：修改程序入口点：Address of Entry Pointn或者在原目标代码执行过程中运行病毒代码（或者在原目标代码执行过程中运行病毒代码（EPO技术，技术，EntryPoint Obscuring）n程序

25、的正常功能不能被破坏程序的正常功能不能被破坏o感染时，记录原始感染时，记录原始“程序控制点位置程序控制点位置”o病毒代码执行完毕之后，返回病毒代码执行完毕之后，返回控制权控制权o避免重复感染：感染标记避免重复感染：感染标记53宏病毒如何获得控制权宏病毒如何获得控制权 o 利用如下自动执行宏，将病毒代码写在如下宏中，利用如下自动执行宏，将病毒代码写在如下宏中，由于这些宏会自动执行，因此获取控制权。由于这些宏会自动执行，因此获取控制权。自动宏功能演示自动宏功能演示54宏病毒的感染宏病毒的感染 o在在Word和其他微软和其他微软Office系列办公软件中，宏分为两种系列办公软件中，宏分为两种。n内建

26、宏：内建宏：位于文档中，对该文档有效，位于文档中，对该文档有效，如文档如文档打开（打开（AutoOpen）、）、保存、打印、关闭等。保存、打印、关闭等。n全局宏全局宏：位于：位于office模模板中，为所有文档所共用，如打开板中，为所有文档所共用，如打开Word程序程序（AutoExec）。）。o宏病毒的传播路线：宏病毒的传播路线：n单机：单个单机：单个Office文档文档Office文档模板文档模板多个多个Office文档文档n网络：电子邮件居多网络：电子邮件居多55网络蠕虫基本功能o 四个主要模块：四个主要模块：n信息收集信息收集：主要主要完成对本地和目标完成对本地和目标节点主机的信息汇集

27、；节点主机的信息汇集；n扫描探测扫描探测：发现易感染主机群体发现易感染主机群体；n攻击渗透攻击渗透：利用已发现的服务漏洞利用已发现的服务漏洞实施攻击实施攻击控制权获取控制权获取；n自我自我推进：推进：完成对目标节点的感染完成对目标节点的感染蠕虫主体程序传输蠕虫主体程序传输。56木马的通信方式o 传输通道构建信息传输通道构建信息n IP地址、端口等信息、第三方网站地址地址、端口等信息、第三方网站地址o 建立通信连接的方式建立通信连接的方式o 正向连接正向连接o 反向连接反向连接57正向连接o 正向连接正向连接防火墙拦截58反向连接o 反向连接反向连接59远控木马的常见功能与意图o 1.木马结构木

28、马结构n 完整的木马一般由完整的木马一般由木马配置程序木马配置程序、控制端程序控制端程序（客（客户端）和户端）和被控制端程序被控制端程序（服务端程序）等三部分组（服务端程序）等三部分组成。成。60 恶意代码检测对象与策略o恶意代码的检测是将恶意代码的检测是将检测对象检测对象与与恶意代码特征（检测标准）恶意代码特征（检测标准）进进行对比分析，行对比分析，定位病毒程序或代码定位病毒程序或代码，或，或检测恶意行为检测恶意行为。o检测对象检测对象主要包括：主要包括：n引导扇区引导扇区n文件系统中可能带毒的文件文件系统中可能带毒的文件n内存空间内存空间n主板主板BIOS等等(网络流量、系统行为等网络流量

29、、系统行为等)61 特征值检测技术 o 病毒特征值病毒特征值是反病毒软件鉴别特定计算是反病毒软件鉴别特定计算机病毒的一种标志。通常是从病毒样本机病毒的一种标志。通常是从病毒样本中提取的中提取的一段或多段字符串或二进制串一段或多段字符串或二进制串。o 具体思路：具体思路：n获取样本获取样本-提取样本特征提取样本特征-更新病毒库更新病毒库-查杀病毒查杀病毒62校验和检测技术校验和检测技术预期符合性预期符合性o 校验和检测技术：校验和检测技术：在文件使用在文件使用/系统启动过程中，系统启动过程中，检查检测对象的实际校验和检查检测对象的实际校验和与预期是否一致与预期是否一致，因而，因而可以发现文件可以

30、发现文件/引导区是否感染。引导区是否感染。o 预期：预期：正常文件内容和正常引导扇区数据正常文件内容和正常引导扇区数据静态可信：可信计算机对主引导扇区和一些系统关键程序进行了校验，从而保障系统启动之后的初始安全。63 启发式扫描技术启发式扫描技术o 经验经验和和知识知识：专业反病毒技术人员使用：专业反病毒技术人员使用反汇编、调试或沙箱工具稍加分析，就反汇编、调试或沙箱工具稍加分析，就可能判定出某程序是否染毒，为什么？可能判定出某程序是否染毒，为什么？o 启发式代码扫描技术启发式代码扫描技术(Heuristic Scanning)实际上就是实际上就是恶意代码检测恶意代码检测经验和知识的软件实现经

31、验和知识的软件实现。64可疑的程序代码指令序列可疑的程序代码指令序列o格式化磁盘类操作格式化磁盘类操作o搜索和定位各种可执行程序的操作搜索和定位各种可执行程序的操作o实现驻留内存的操作实现驻留内存的操作o发现非常用的或未公开的系统功能调用的操作、子程序调用中发现非常用的或未公开的系统功能调用的操作、子程序调用中只执行入栈操作、远距离只执行入栈操作、远距离(超过文件长度的三分之二超过文件长度的三分之二)跳转指跳转指令等令等o敏感系统行为，敏感系统行为，o敏感敏感API函数（序列）调用功能。函数（序列）调用功能。启发式扫描步骤1.定义定义通用可疑特征（指令序列或行为）通用可疑特征（指令序列或行为）

32、2.对上述功能操作将被按照安全和可疑的等级进行对上述功能操作将被按照安全和可疑的等级进行排序排序，授以不同的，授以不同的权值权值。3.鉴别特征鉴别特征，如果程序的权值总和超过一个事先定，如果程序的权值总和超过一个事先定义的义的阈值阈值，则认为，则认为“发现病毒发现病毒”启发式扫描优缺点o优点优点n能够发现未知病毒能够发现未知病毒o缺点缺点n误报率高误报率高o解决方案：解决方案：n启发式扫描技术启发式扫描技术传统扫描技术传统扫描技术n可提高病毒检测软件的检测率，同时有效降可提高病毒检测软件的检测率，同时有效降低了总的误报率。低了总的误报率。“启发式扫描+特征值扫描”的检测率蜜罐o蜜罐（蜜罐（Ho

33、neypot）n通常是指通常是指未采取安全防范措施未采取安全防范措施、并且将模拟的并且将模拟的程序漏洞程序漏洞主动暴露主动暴露在网络中的计算机。在网络中的计算机。o特点特点n与一般计算机不同，其内部运行着多种多样特与一般计算机不同，其内部运行着多种多样特殊用途的殊用途的“自我暴露程序自我暴露程序”和和行为记录程序行为记录程序n引诱恶意软件在蜜罐内更加充分的运行，并记引诱恶意软件在蜜罐内更加充分的运行，并记录下其行为。录下其行为。o工作工作模式模式n被动型蜜罐被动型蜜罐n主动型蜜罐主动型蜜罐蜜罐主机行为记录工具自我暴露的诱饵程序自我暴露的诱饵程序例如：存在漏洞的应用程序、服务等蜜罐o主动型蜜罐主动型蜜罐实现实现思路思路nStep1:通过爬虫等通过爬虫等主动获取主动获取潜在潜在的恶意软件的恶意软件(载体载体)nStep2:将其在蜜罐主机内打开、将其在蜜罐主机内打开、运行，并运行，并模拟进行交互模拟进行交互nStep3:根据运行特征，根据运行特征，发现和收发现和收集漏洞利用信息和恶意软件样本集漏洞利用信息和恶意软件样本。o云云计算和虚拟化技术使得设计和部署更计算和虚拟化技术使得设计和部署更为真实、更加先进的客户端蜜罐环境变为真实、更加先进的客户端蜜罐环境变得更加容易和低成本得更加容易和低成本浏览器（flash）漏洞的客户端蜜罐部署示例