本文介绍了网络安全复习的重点,包括病毒分析、DLL劫持防御、XSS攻击与防御、汇编语言与程序结构、以及游戏辅助原理和安全厂商的防御方法。强调了DLL劫持的防范、汇编代码在安全中的作用、XSS攻击的类型和对策,同时讨论了传统与高级查杀技术的异同,以及缓冲区溢出的概念。
1.not-a-virus:Adware.Win32.Agent.c
not-a-virus 标明不是恶意程序,Adware标明是广告
注:主要有两种,一种是恶意程序,一种不是恶意程序,骚扰程序
注:两种情况
2.c语言转换成汇编怎么写:
c:
func(a,b,c);
汇编:
push c
push b
push a
call func
3.dll动态劫持,白加黑
DLL劫持,即动态链接库DLL文件通常加载顺序为:1、可执行程序加载的目录,2、系统目录(即 %windir%\system32 ),3、16位系统目录(即 %windir%\system),4、Windows目录(即 %windir%),5、运行某文件的所在目录,6、PATH环境变量中列出的目录,所谓劫持就是利用此原理,分别于执行程序所在目录或运行文件所在目录加入自己伪装的同名DLL,导致系统或应用软件运行时加载病毒或木马,前者如早期的lpk.dll,后者如通过劫持或替换看图或播放软件,在打开图片或视频文件时由应用软件加载病毒DLL。
防止劫持的方法是通过在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs下手动增加要调用的DLL首要查找目录,加入RE_SZ类型的"ntdll"="ntdll.dll"项,则系统载入"ntdll"时会直接从系统目录加载。由于win7在此注册表键下有较齐全的设置,相比xp而言更安全,更不用说win8,在微软的严格防堵下,安全性更高,所以除了升级杀毒软件,使用更高版本的操作系统也是很好的方法之一。
但显然目前还不能完全避免此“漏洞”(其实算不上漏洞,只能说是规则),特别是应用软件们的,通过DLL劫持来绕过安全软件主动防御的保护被称为“白加黑”,因为加载的主程序是正常的软件,主动防御可能会放过它,允许它启动,而恶意DLL则通过该软件的漏洞或替换正常的同名文件(对应用软件的文件保护似乎并不象对系统文件保护那样严密,而且并不是一直运行状态,被替换还是比较容易的), 甚至有的还会冒用合法软件的数字签字等方式,由正常程序加载,从而躲开安全软件的拦截。
木马还是会有木马的特性,如要下载其它木马或病毒、要连接外网的服务器进行远控以及在本机释放其它文件和加载自己的启动项等等,但如果仅仅主动防御可能还是会放过,毕竟是正常软件触发的,而如果所有的动作都提示,如HIPS,又可能造成普通用户烦不胜烦,就算编写规则策略也有点难度(可能误报率高,人工辨认量大)。所以此种情况下,首先应用软件要尽是使用新版本(操作系统也是),堵住漏洞,其次杀毒软件要及时更新,这时候特征码杀毒技术还是有用武之地的,如果能第一时间收集到新病毒木马或其变种的特征的话,也就是说,需要多种技术并用才能提高防范成功率。
有关DLL劫持,参考http://baike.baidu.com/view/3515992.htm
来源于http://www.stormcn.cn/post/1441.html
4.病毒分析
参考:https://blog.csdn.net/guanshanyue96/article/details/89005016 - 网络安全学习第3篇 - 使用快速分析技巧,分析样本包中的样本(使用软件total command)
5.汇编转换c
push x2
push x1
push x4
push x9
call func
func(x9,x1,x4,x9)
6.网络安全法规 - 宪法(没有规定网络安全法)
7.制定的详细安全法规 : 网络安全XX
8.请简述看这个文件开头,看它是否是一个程序,看它是否恶意程序,请写出判断语句
出现MZ PE不一定能判断它的黑白,所有的PE程序开头都会出现MZ PE,所以不能判断它的黑白
9.powershell - 启动cmd命令
(,hidden,//隐藏方式
,DownLoadFile(...exe) //下载程序
&#x
最低0.47元/天 解锁文章
扫一扫
4326
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
