14、计算机病毒的特点以及运行机制。(包括传统计算机病毒、宏病毒以及蠕虫病毒)
传统计算机病毒:附着于宿主程序,通过运行宿主程序传染,传染目标为本地文件。
宏病毒:Office 宏中的恶意代码,运行宏时发作,传染目标为Office软件的相关文档。
15、木马程序的特点、功能以及运行机制。(从程序结构、植入方式、控制等几方面阐述)
特点:[Client/Server概念]木马程序不会自我繁殖,或刻意传染其他文件,通过伪装自身吸引用户下载执行[隐蔽性,自动运行性,欺骗性,自动回复性,自动打开端口],有些木马除了普通文件操作,还有搜索cache中的口令,设置口令,扫描IP,记录键盘,注册表操作等。
20、试简述操作系统对一般对象常用的访问控制方法,分析这些方法的特点并比较之。
操作系统中,对一般对象的访问控制采用访问目录、访问控制列表和访问控制矩阵三种控制方法。
采用访问目录的控制方法,每个用户都需要一张访问目录表,该列表指定了该用户可以访问的对象以及访问权限,该方法易于实现。但主要有三个问题,首先,如果所有用户都可访问的共享对象太多,将造成列表太大;另一个问题是如果要撤消某一个共享对象的访问权限,要更新的列表可能很多,开销很大。第三个问题跟文件别名有关。
加载过程:宏病毒通常保存在自动宏,标准宏中。当用户打开了感染病毒的文档后,宏病毒就会被激活,获得对文档的控制权,转移到计算机上,并驻留在Normal等模板上。
传染过程:感染宏病毒后,所有用到这些模板定义的宏的Office文件都会染上宏病毒,并会随着这些文档传播到其他计算机上。
加密与解密使用同一个算法,解密密钥是加密密钥的逆序。证明见PPT P66。
6、何为对称(秘钥)加密算法和非对称(公钥)加密算法?试说明各自的特点以及主要应用场合。
对称密钥又称秘密密钥,需要发送、接收双方保证密钥的保密性。非对称密钥又称公钥加密,公钥可公开。
实现:A使用B公钥加密随机生成的密钥Ka,B使用A公钥加密随机生成的密钥Kb,A、B分别用自己的密钥解密得到Kb、Ka,Ka与Kb相加作为对称密钥。进行安全传输。
作用:验证信息发送者(身份认证)。确认数据完整性,不可否认性。确保传输过程中不被非法篡改,破坏,并能对消息发送者进行身份认证,防止其对发送的消息进行抵赖,也能防止攻击者冒充别人发送虚假信息。
实现:每个需要验证的员工将自己的信息与公钥用自己的私钥加密发送给上司,上司附上自己的信息与公钥,用自己的私钥加密,若不存在上司,则该员工为根节点。验证过程:某员工使用根节点的公钥解密得到第二层上司的公钥,使用第二层上司的公钥解密的到第三层,……,直到找到需要确认身份的对方或找到最底依然没有找到对方(验证失败)。
功能:为木马发送者提供操控被害者计算机的门户,实施各种破坏,窃取,远程操控[资源浏览,远程控制(I/O),窃取信息,发送信息]。
运行机制:黑客将木马服务端加以伪装,在网络上发布,通过Email、网页等Server程序植入[间接入侵法,直接入侵法,伪装法,网页法,Email法]。攻击阶段:联机,设置[设置协议,端口,连接密码,插件]并使用木马客户端扫描已被感染的计算机(检查Email获得被黑者IP地址),运行客户端,输入相应IP地址联机,开始操作。
危害:若溢出到用户数据空间,则影响程序运行结果;若溢出到用户代码空间,则程序运行出错;若一出道系统数据或系统代码空间时,可能引发系统操作结果错误,系统操作逻辑错误,甚至引发系统崩溃。
13、举例说明何为“检查时刻到使用时刻(TOCTTOU)”漏洞?简述其解决方案。
避免被侵入的对策:间谍程序的植入方式有软件捆绑,恶意网站,邮件发送。相对的对策:不浏览不健康、无安全证书的站点,不在非正规网站下载软件,不收阅陌生人的电子邮件。其次可以安装防火墙进行监控,不定期利用反间谍软件搜索,查杀。
陷门:通往一个模块内部的入口,在文档中没有记录。陷门一般在开发期间加入,目的是供开发者更方便的调试程序,或者为将来模块修改和功能增强提供入口,或者程序失效时的一个维护通道。若没有维护好,容易被黑客利用取得系统控制权。
黑客通过控制第三方计算机,使用port转向攻击目标计算机,以达到隐藏身份的目的。通过修改服务端口实现。
特点和危害:安装后很难察觉,计算机很容易感染间谍程序,大部分为广告程序(将用户购买习惯发送,以进行有针对性的推销活动),大多数间谍程序会干扰浏览器正常运行,泄露隐私。
3、计算机入侵的最易渗透原则(最薄弱环节原则)指的是什么?对安全管理工作有何指导意义?
一个入侵者总是企图利用任何可能的入侵手段。这种入侵没有必要通过显而易见的手段,也没有必要针对安装有最可靠的防御系统。
采用访问控制列表的控制方法,每个对象都有一个列表,列表中包含可以访问该对象的所有主体,以及主体具有的访问权限。这一控制方法可以在列表包含默认用户以及相应的访问权限,这样,特殊用户可以在列表的前面说明其访问权限,而其他用户则是默认的访问权限,这一方法可以大大地减小控制列表,使维护更加方便。
访问控制矩阵是一张表格,每一行代表一个主体,每一列代表一个对象,表中的每个元素都表示一个主体对某一个对象的访问权限。总的说来,访问控制矩阵是一个稀疏矩阵,因为许多主
输入(64),初始置换,低块(32)作为新高块(32),低块加密(32),低块扩展(48),密钥移位,选择置换(64-56-48),扩展低块(48)与密钥(48)按位异或,替换[S盒,每组6位替换为4位](48-32),排列,与高块(32)相加(32),作为新的低块(32),循环16次,逆初始置换。(每次循环密钥移动不同位数)
传统病毒机制:宿主程序运行-检查病毒是否驻留内存(若未驻留则将病毒驻留于内存,修改中断向量、中断服务程序)-[等待触发中断]-相应中断触发-[传染、攻击开始]-文件是否有传染标志(若没有传染标志,则进行传染)-进行相应攻击(通过各种中断表现)。
体对大多数对象没有访问权。访问控制矩阵可以用一个形式为主体,对象,权限的三元组表示。但是查找大量的三元组效率太低,故很少使用。
在unix系统中,可以通过对一个可执行文件设置Suid位,使其他用户在运行该程序时获得文件主的访问权限,可以对该文件主的其他文件也有完全的访问权限,而一旦退出该程序,用户恢复其原来的权限。
1)在文件末尾附加文件的消息摘要,用对称密钥加密消息与摘要,接收者收到后先用对称密钥解密,再将文件用同样的hash函数运算,所得摘要与附加的摘要进行比对。
公钥加密速度较慢无法满足即时通讯,而对称密钥加密需要密钥保密。对称加密密钥较短,用非对称加密算法进行加密、通信,建立一个受保护的信道。
PS:此类计算机病毒会通过改变进驻的途径(如感染设备驱动程序,改首尾链接为中间插入,修改文件首簇号以首先进驻系统)修改中断屏蔽寄存器禁止单步调试,降低代码可读性,避免修改中断向量,维持宿主外部特征,不使用明显传染标志,加密等方法提高隐蔽性。
蠕虫病毒机制:扫描系统漏洞-取得主机管理员权限-通过本机与其相连的网络计算机的交互将自身复制到新主机并启动。主要通过电子邮件、恶意网页、共享网络资源、聊天工具等形式传播。
可以利用Suid访问许可的特点做很多有关系统安全方面的工作,unix系统的口令修改程序就是一个很好的例子,任何用户都可以且只能通过运行该程序来修改自己的口令,而用户自己则不能直接修改口令文件,保证了系统的安全。
22、试简述口令攻击的一般方法,并讨论一个安全的口令选择要注意什么?如何构造一个安全的鉴别系统?
签名过程:发送者使用发送者私钥对消息摘要进行加密,将明文与加密的摘要发送给接收者。
验证过程:接收者使用发送者公钥对消息摘要进行解密,并用相同哈希函数进行比对。
完整过程:A使用A的私钥对消息摘要签名,使用随机生成的对称密钥K对明文加密,使用B的公钥对K加密,密文密钥签名发送给B。B使用B的私钥对K解密,使用K对密文解密得到明文,使用同样的哈希函数对其运算得到一组摘要,使用A的公钥对发送来的加密摘要解密,并于自己运算得到的摘要比对。
4、本课程所涉及的几个古典加密算法的加密过程。(包括替换算法和置换算法)
凯撒密码(有ห้องสมุดไป่ตู้密钥),将某一字母直接替换为另一字母。
一次一密乱码本:与消息接收者共用一本密钥,每个密钥每次发信/接收即作废。明文密钥=密文(弗吉尼亚表)。
腊肠攻击:利用数据精度的限制,取得精度无法记录的获利,而许多账户累积起来的获利非常可观。例子见书。
实现方法:存储通道,利用存储器中是否有某个特定的目标传递信息;文件上锁通道,通过判定一个文件是否被上锁传递一位信息;时间通道,通过事件的发生速度来传递信息。
在线口令攻击是通过截取口令,如果口令是加密的,还要采用暴力攻击、字典攻击或猜测用户可能的口令等方法对口令进行解密。
离线口令攻击则通过分析系统中的口令文件来获得相关的口令。如果口令文件是加密的,则可以采用暴力攻击、字典攻击或猜测用户可能的口令等方法对相关的口令进行解密;如果口令文件是明文,则系统一般是通过设置访问权限的方法控制对口令文件的访问,攻击者可以通过利用操作系统缺陷来获取对口令文件的访问权限、分析口令可能存放的内存区或利用系统备份来获取相关的口令。