惡意代碼 惡意代碼與應用程序攻擊
1,來源 高手或腳本小子(Script Kiddie)
2,病毒 傳播和破壞
病毒傳播技術
1,主引導記錄MBR
MBR與Boot Sector
2,文件型病毒
3,宏病毒 主要感染Office文檔,如Melissa和I Love You等病毒。
平台
99%的病毒主要感染Windows操作系統。
80%的病毒都是宏病毒,主要感染Microsoft Office文檔。
反病毒機制
基於簽名的檢測技術(Signature-Based Detection)
處理方法:
1,如果可以清除,就清除病毒並還原系統
2,識別出病毒但是不知道如何清除,則隔離文件。
3,如果沒有配置隔離或超出上限,則清除被感染文件。
輔助工具:Tripwire,用來發現非授權的文件改動。
病毒技術
復合病毒(Multipartite)多種傳播技術試圖滲透只防御一種方法的系統
隱形病毒(Stealth)通過篡改OS來隱藏自身
多態病毒(Polymorphic)會修改自己的代碼
加密病毒(Encrypted)通過加密隱藏自身
騙局(Hoax)虛假的病毒告警信息
邏輯炸彈
木馬 例如BO(Back Orifice)
僵屍網絡(Botnet)僵屍主控(Botmaster)
蠕蟲 如Code Red
間諜軟件與廣告軟件
活動內容 如Java Applet或ActiveX控件
反病毒軟件的處理方式
去除(Removal)指刪除惡意代碼,但是並不修復惡意代碼導致的損壞http://.。
清除(Cleaning)指不僅刪除惡意代碼,還能夠修復惡意代碼導致的損壞。
密碼攻擊(計算機基礎知識)
1,猜測攻擊
2,字典攻擊
3,社會工程學攻擊
拒絕服務攻擊
1,SYN洪泛
2,分布式DoS工具箱
3,Smurf攻擊 冒充受害主機向大量的計算機發送虛假的ping包。Fraggle攻擊是一個變種,利用了不常用的chargen和echo UDP協議。
4,DNS放大攻擊
5,淚珠攻擊(Teardrop)錯誤分片
6,陸地攻擊(LAND)構造特定的TCP包(SYN置位,源和目地相同)導致目標死機
7,DNS毒化攻擊
8,死亡之ping,ping of death 發送超過65535的ping包
應用程序攻擊
1,緩沖區溢出
2,檢驗時間到使用時間(打時間差)
3,後門
4,Rootkit
Web應用程序的安全性
1,跨站腳本攻擊 利用網站跳轉技術發動攻擊
2,SQL注入攻擊
* 動態Web應用引入數據庫
* 通過構造SQL語句發動攻擊,破壞SQL數據
* 可通過驗證輸入信息和權限控制的方法防范
偵察攻擊
1,IP探測
2,端口掃描
3,漏洞掃描
4,垃圾搜尋
偽裝攻擊
1,IP欺騙(IP Spoofing)
2,會話劫持(Session Hijacking)
誘騙技術
1,蜜罐(Honey Pot)
2,偽缺陷(Pseudoflaw)
CISSP備考系列之惡意代碼與應用程序攻擊.
