20159315《网络攻防实践》第九周总结#
教材学习内容总结##
9.1恶意代码基础知识
恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。恶意代码可以根据其执行方式,传播方式和对攻击者目标的影响分为计算机病毒,蠕虫,恶意移动代码,特洛伊木马,后门,僵尸程序,内核套件等。
计算机病毒是一种能够自我复制的代码,通过将自身嵌入其他程序进行感染,而感染过程通常需要人工干预才能完成。计算机病毒具有的基本特性是:感染性,潜伏性,可触发性,破坏性,衍生性。其潜在的感染目标可分为可执行文件,引导扇区和支持宏指令的数据文件三大类。计算机病毒的传播渠道包括移动设备,电子邮件及下载,共享目录等。
网络蠕虫是一种通过网络自主传播的恶意代码。从定义本质分析,网络蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无须人为干预就能传播。蠕虫正是因为具有快速主动传播的定义特性,因而能够对整个互联网造成瘫痪性的危害后果,也被称为“互联网时代的瘟疫”。基本特性:通过网络自主传播。
后门和木马是恶意代码中经常被混淆的两类技术形态,后门是允许攻击者绕过系统常规安全控制机制的程序,能够按照攻击者自己的意图提供访问通道,而木马作为特洛伊木马的简称,是指一类看起来具有某个有用或善意目的,但实际掩盖着一些隐藏恶意功能的程序。
9.2恶意代码分析方法
代码分析,或者称程序分析,是按需求使用一定的规则、方法和工具对计算机程序进行分析,以推导出程序结构、数据流程和程序行为的处理过程。程序分析技术在程序理解、程序测试、程序优化和程序重构等方面都有总要的应用。恶意代码分析利用一系列的程序分析技术和方法,来识别恶意代码关键程序结构和行为特征。分析恶意代码和良性代码都可以采用通用的代码分析技术来作为基础,主要包括动态分析和静态分析两种方法,来对代码进行逆向工程确定其功能。对恶意代码分析实践而言,一个完全受控、易于构建与恢复的分析环境是必须的。
在恶意代码分析网段中,包括了系统主要的四类恶意代码自动化分析组件,分别为静态分析机、动态分析机、网络分析机和综合分析机。静态分析:利用静态分析方法,能够对恶意代码的特性和目的有一个大体的了解,甚至能够识别出恶意代码的各个组成部分;然而利用动态分析,实际上是激活一个受控分析实验环境中的代码,当一个代码在实际系统中运行时,我们能够更加迅速地了解其行为。恶意代码静态分析的主要技术手段,具体包括反病毒软件扫描、文件格式识别、字符串提取分析、二进制结构分析、反汇编、反编译、代码结构与逻辑分析、加壳识别与代码脱壳等。进行恶意代码分析最直接的方法是使用现成的反病毒软件来扫描待分析的样本,以确定反病毒软件是否能够识别该样本,以及所识别的类型、家族、变种等信息。在面对一个未知的恶意代码样本文件时,第一步要做的工作就是对它的文件格式进行识别。在Windows平台上,二进制可执行文件EXE和DLL都是以PE文件格式组织的,而在Linux平台上,可执行文件格式则是ELF。在提取的字符串中,可能获得的用信息内容包括如下:恶意代码实例名、帮助或命令行选项、用户会话、后门口令、相关的URL信息E-mail地址、包含库文件和函数调用。在类UNIX平台上进行字符串提取的命令工具是strings。利用Strip工具来删除所有不可执行的标记性信息动态分析:恶意代码动态分析的主要技术手段具体包括快照比对、系统动态行为监控、网络协议栈监控、沙箱、动态调试等。快照比对是监控恶意代码动态运行行为最简单的方法,进行快照比对的工具软件包括RegSnap、完美卸载等。
视频学习内容总结##
(三十六 )Kali压力测试工具
压力测试通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能够提供的最大的服务级别的测试。通俗地讲,压力测试是为了测试应用程序的性能会变得不可接受。
Kali下压力测试工具包含VoIP压力测试、Web压力测试、网络压力测试及无线压力测试。
1、Voip压力测试工具
包括iaxflood和inviteflood
2、web压力测试工具
THC-SSL-DOS
借助THC-SSL-DOS攻击工具,任何人都可以把提供SSL安全连接的网站攻击下线,这种攻击方法称为SSL拒绝服务攻击(SSL-DOS)。德国黑客组织发布THC SSL DOS,利用SSL中已知的弱点,迅速耗费服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一攻击的电脑。
漏洞存在于协议的renegotiation过程中,renegotiation被用于浏览器到服务器之间的验证。
3、网络压力测试工具
dhcpig :耗尽DHCP资源池的压力测试
4、ipv6攻击工具包
5、Inundator
IDS/IPS/WAF 压力测试工具
6、Macof
可做泛洪攻击
7、Siege
Siege是一个压力测试和评测工具,设计用于Web开发,评估应用在压力下的承受能力,可以根据配置对一个Web站点进行多用户的并发访问,记录每个用户所有请求过程的响应时间,并在一定数量的并发访问下重复进行:
8、T50压力测试
功能强大,且具有独特的数据包注入工具,T50支持 nix系统,可进行多种协议数据包注入,实际上支持15种协议。
9、无线压力测试
包括MDK3和Reaver
(三十七)数字取证工具
数字取证技术将计算机调查和分析技术应用于潜在的、有法律效力的电子证据的确定与获取,同样他们都是针对黑客和入侵的,目的都是保障网络安全。
1、PDF取证工具
pdf-parser和peepdf
peepdf是一个使用python编写的PDF文件分析工具,它可以检测到恶意的PDF文件。其设计目标是为安全研究人员提供PDF分析中可能用到的所有组件。
2、反数字取证chkrootkit
Linux系统下查找rootkit后门工具。判断系统是否被植入Rootkit的利器。
3、内存取证工具
Volatility是开源的Windows、Linux、Mac、Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。
4、取证分析工具binwalk
Binwalk是一个固件的分析工具,旨在协助研究人员对固件分析,提取及逆向工程。简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,更重要的一点是可以轻松扩展。
借助binwalk中的一个很强大的功能——提取文件(压缩包)中的隐藏文件(或内容文件)。亦可分析文件格式。
分析压缩包 binwalk .zip
binwalk -e *.zip 将文件全部解压,产生新的目录_zip.zip.extracted,还可以作为文件格式分析的工具
5、取证哈希验证工具集
md5deep是一套跨平台的方案,可以计算和比较MD5等哈希加密信息的摘要MD5,SHA-1,SHA-256,Tiger,Whirlpool。
6、取证镜像工具集
针对镜像文件的取证工具,如mmsstat与mmls等命令。
7、数字取证套件
数字取证工具
数字取证套件
autopsy
DFF(Digital Forensics Framework)是一个简单但强大的数字取证工作辅助工具,它具有灵活的模块系统,具有多种功能,包括:回复错误或崩溃导致的文件丢失,证据的研究和分析。DFF提供了一个强大的体系结构和一些列有用的模块。
反数字取证chkrootkit
(三十八)Kali报告工具与系统服务
一次完整的渗透测试,最后要完成一份报告作为一个小结。相应的,Kali Linux为安全工程师准备了报告工具集:
系统服务
1、Dradis
Dradis用于提高安全检测效率的信息共享框架(协作平台)。Dradis提供了一个集中的信息仓库,用于标记我们目前已经做的工作和下一步计划。基于浏览器的在线笔记。
2、keepnote
精简的笔记本软件,特点如下:
富文本格式:彩色字体、内置图片、超链接,能保存网页图片文字等完整内容。
树形分层组织内容,分门别类,一目了然。
全文搜索
综合截图
文件附件
集成的备份和恢复
拼写检查(通过gtkspell)
自动保存
内置的备份和恢复(zip文件存档)
3、媒体捕捉工具Cutycapt
曾经介绍过的工具,将网页内容截成图片保存。
4、Recordmydesktop
屏幕录像工具
5、证据管理
Maltego Casefile
6、MagicTree是一个面向渗透测试人员的工具,可以帮助攻击者进行数据合并、查询、外部命令执行(比如直接调用nmap)和报告生成。所有数据都会以树形结构存储,非常方便。
7、Truectypt
免费开源的加密软件,同时支持Windows,OS,Linux等操作系统。
8、系统服务介绍
BeEF:对应XSS测试框架BeEF的启动与关闭;
Dradis:对应笔记分享服务Dradis的启动与关闭;
HTTP:对用Kali本机Web服务的启动与关闭;
Metasploit:对应Metasploit服务的启动与关闭;
Mysql:对应Mysql服务的启动与关闭;
Openvas:对应Openvas服务的启动与关闭;
SSH:对应SSH服务的启动与关闭;(远程连接最好不要开启)