NISP 一级 | 4.2 操作系统的安全威胁

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

0x01：漏洞和漏洞扫描

对计算机系统安全威胁最大的就是系统本身的漏洞，只有存在漏洞，黑客才有机会入侵我们的计算机系统。具统计证明，99% 的黑客攻击事件都是利用计算机未修补的系统漏洞或错误的系统设定而引起的。当黑客探测到系统漏洞后，随之而来的是病毒传播、信息泄露、速度缓慢乃至整个计算机系统瘫痪崩溃。

0x0101：漏洞的定义

系统漏洞，也可以称为系统脆弱性，是指计算机系统在硬件、软件、协议的设计、具体实现以及系统安全策略上存在的缺陷和不足。

系统脆弱性是相对系统安全而言的，从广义的角度来看，一切可能导致系统安全性受到影响或破坏的因素都可以视为系统安全漏洞。

0x0102：漏洞的特性

1. 漏洞的事件局限性： 任何系统漏洞都是在用户不断使用的过程中被发现的，系统供应商随之采取新版本代理或者发布补丁程序等方式来弥补漏洞，但随着旧漏洞消失，新环境下的新漏洞也随时产生。因此系统漏洞只是存在于特定时间和环境下的，即只能针对目标系统的系统版本以上运行的软件版本以及服务运营设置等实际环境。

2. 漏洞的广泛性： 漏洞会影响到很大范围的软硬件设备，包括操作系统本身与其支撑软件平台，网络客户端和服务器软件，网络路由器，防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的系统漏洞问题，例如在不同种类的软硬件设备之间，同种设备不同版本之间，由不同设备构成的不同系统之间以及同种系统在不同的设置条件下都会存在着各种不同的安全漏洞。

3. 漏洞的隐蔽性： 安全漏洞是最常见的系统漏洞类型之一，入侵者借助于这些漏洞可以绕过系统中许多安全设置，从而实现入侵系统的目的。安全漏洞的出现是因为在对安全协议的具体实现中发生了错误，是意外出现的非正常情况，实际的系统中都会不同程度的存在各种潜在的错误，因而所有系统中都存在着安全漏洞，无论这些漏洞是否已经被发现，也无论该系统的安全级别如何，在一定程度上，安全漏洞问题是独立于系统本身的理论安全级别而存在的，也就是说系统所属的安全级别越高，系统中所存在的漏洞越少。

4. 漏洞的被发现性： 漏洞是在特定环境和时间内的必然产物，但必须发现后才会被用来入侵系统或者修补。在实际使用中，用户会发现系统中存在错误，入侵者会有意利用这些系统错误并使其成为威胁系统安全的工具，这时用户才会认识到这是一个系统安全漏洞，系统供应商会尽快发布针对这个错误的补丁程序，纠正该错误。

0x0103：漏洞产生的原因

1. 程序逻辑结构设计不合理、不严谨。

2. 程序设计错误漏洞。

3. 由于目前硬件无法解决特定的问题，使编程人员只得通过软件设计来表现出硬件功能而产生的漏洞。

0x0104：漏洞的生命周期

漏洞生命周期，即漏洞从客观存在到被发现、利用，到大规模危害和逐渐消失的一个周期。

阶段	事件	描述
第 1 阶段	系统漏洞被发现，并发布安全公告	由于软件设计者初期考虑不周等因素 导致漏洞客观存在，漏洞研究人员发 现漏洞并报告相关厂商，厂商向用户 发布安全公告，并提供升级补丁程序
第 2 阶段	借助漏洞进行传播的病毒开始出现，并传播	攻击者对安全补丁进行逆向工程，编写 利用漏洞的攻击程序并发布。但是用户 在漏洞管理方面的疏忽，如没有在第一 时间安装升级补丁程序，就会为蠕虫爆 发创造条件。此阶段漏洞的危害较小
第 3 阶段	利用漏洞的蠕虫病毒大肆爆发	蠕虫在互联网或者局域网上利用系统漏 洞大规模传播，导致网络堵塞或者瘫痪
第 4 阶段	系统漏洞被修复，但仍有发作	由于安装系统补丁，蠕虫丧失感染目标 ，已经感染的主机逐步清除使蠕虫源减 少。少数没有安装补丁的主机减少，对 网络影响不大
第 5 阶段	漏洞影响逐渐消失	一段时间过后，由于系统升级或者完成 系统补丁安装工作，或者使用新的软件 版本，漏洞造成的影响逐步消失

0x0105：系统漏洞的防范

1. 提升防火墙技术

2. 加强病毒防范措施

3. 注重漏洞扫描技术的应用

4. 强化端口解析以及加强数据备份工作

0x0106：漏洞扫描技术

漏洞扫描技术是一类重要的网络安全技术，它和防火墙入侵检测系统相互配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员能够了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级，网络管理员能够根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范，如果说防火墙网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能够有效避免黑客攻击，做到防患于未然。

漏洞扫描的必要性：

1. 防火墙的局限性和脆弱性：防火墙不能防范不经过防火墙的攻击。

2. 针对 IDS 的逃避技术

3. 网络隐患扫描系统浮出水面

扫描工具的选择：

1. 漏洞库中的漏洞数量

2. 扫描工具的易用性

3. 是否可以生成漏洞报告

4. 对于漏洞修复行为的分析和建议

5. 安全性

6. 工具的性能及价格

0x02：恶意代码

恶意代码是指故意编制或设置的、对网络或系统产生威胁或潜在威胁的计算机代码。他通过把代码在不被察觉到的情况下嵌入到另一段程序中，从而达到破坏被感染电脑数据，运行具有入侵性或破坏性的程序破坏被感染电脑数据的安全性和完整性的目的。

恶意代码的攻击机制如下图所示：

0x0201：常见的恶意代码

1. 计算机病毒（Computer Virus，CV）

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

计算机病毒具寄生性、传染性、潜伏性、隐蔽性、破坏性和可触发性的特征。

计算机病毒的危害如下：

1. 破坏操作系统的处理器管理功能

2. 破坏操作系统的文件管理功能

3. 破坏操作系统的存储管理功能

4. 直接破坏计算机系统的硬件功能

如果计算机出现了如下情况，则可能受到了病毒攻击：

1. 机器不能正常启动

2. 运行速度降低

3. 内存空间迅速减小

4. 文件内容和长度有所改变

5. 经常出现 “死机” 现象

6. 外部设备工作异常

计算机病毒的传播途径如下：

1. 电脑的硬件设备

2. 移动存储设备

3. 电脑网络

通过下列措施，可以较好的防范计算机病毒的攻击：

1. 建立良好的安全习惯

2. 关闭或删除系统中不需要的服务

3. 经常升级安全补丁

4. 使用复杂的密码

5. 迅速隔离受感染的计算机

6. 了解一些病毒知识

7. 最好安装专业的杀毒软件进行全面监控

8. 用户还应该安装个人防火墙软件进行防黑

9. 安全管理类软件

2. 木马（Trojan）

木马一词来源于希腊神话“特洛伊木马”，在计算机领域延申为窃取他人文件、财产与隐私的程序称为木马。计算机木马是一种后门程序，常被黑客用作控制远程计算机的工具。

一个完整的木马系统是由硬件部分、软件部分和具体连接部分组成：

1. 硬件部分： 建立木马连接所必须的硬件实体。

2. 软件部分： 实现远程控制所必须的软件程序。

3. 具体连接部分： 通过 INTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。

木马的传播途径很多，常见的有如下几类：

1. 通过电子邮件的附件传播

2. 通过下载文件传播

3. 通过网页传播

4. 通过聊天工具传播

木马的常见类型如下：

1. 网络游戏木马

2. 网银木马

3. 即时通讯软件木马

4. 网页点击类木马

5. 下载类木马

6. 代理类木马

7. 隐藏类木马

8. FTP 木马

木马的危害如下：

1. 盗取我们的网游账号，威胁我们的虚拟财产的安全。

2. 盗取我们的网银信息，威胁我们的真实财产的安全。

3. 利用即时通信软件盗取我们的身份，传播木马病毒。

4. 给我们的电脑打开后门，使我们的电脑可能被黑客控制。

防范木马的措施：

1. 安装杀毒软件和个人防火墙，并及时升级。

2. 把个人防火墙设置好安全等级，防止未知程序向外传送数据。

3. 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

4. 如果使用 IE 浏览器，应该安装卡卡安全助手或 360 安全浏览器，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机入侵。

3. 蠕虫（Wrom）

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播的，传染途径是通过网络和电子邮件。

最初这种病毒的定义，是因为在 DOS 环境下病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞噬屏幕上的字母并将其改写。蠕虫病毒是自包含的程序，它能传播它自身功能的拷贝或者它的某些部分到其他计算机系统中。请注意，与一般的病毒不同，蠕虫不需要将自身附带进程序，它是一种独立的智能程序。

蠕虫病毒和普通病毒的区别：

	普通病毒	蠕虫病毒
存在形式	寄存文件	独立程序
传染机制	宿主程序运行	指令代码执行直接攻击
传染目标	本地文件	网络上的计算机

蠕虫的基本程序结构如下：

1. 传播模块： 负责蠕虫的传播。传播模块又可以分为三个基本模块，即扫描模块、攻击模块和复制模块。

2. 隐藏模块： 入侵主机后，隐藏蠕虫程序，防止被用户发现。

3. 目的功能模块： 实现对计算机的控制、监视或破坏等功能。

蠕虫的传播过程如下：

1. 扫描： 由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到了一个可传播的对象。

2. 攻击： 攻击模块按漏洞攻击步骤自动攻击步骤 1 中找到的对象，取得该主机的权限（一般为管理员权限），获得一个 Shell。

3. 复制： 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

蠕虫病毒的特点如下：

1. 较强的独立性。

2. 利用漏洞主动攻击。

3. 传播更快更广

下面是防范蠕虫病毒的安全建议：

1. 安装正版杀毒软件、个人防火墙等，并及时升级，上网时打开杀毒软件实时监控功能。

2. 使用 “安全漏洞扫描” 软件，弥补操作系统和应用程序的漏洞。

3. 不浏览不良网站，不随意下载安装可疑插件。

4. 不接受 QQ、MSN、E-mail 等传来的可疑文件和链接。

0x03：端口扫描的威胁

端口扫描通常是指对目标计算机的所有端口发送同一信息，然后根据返回端口状态来分析目标计算机的端口是否打开或可用。

端口扫描行为的一个重要特征是在短时间内，很多来自相同信源地址的数据包会呈现不同的物理端口。为了隐藏攻击，攻击者可以降低扫描速度，通常来说，较大时间间隔的端口扫描是很难被识别的，为了隐藏原始攻击的地址，一般发送大量欺骗性端口扫描包，其中只有一个包的源地址是真实的，这样即使全部的扫描包被记录下来，想要辨别真正的信源地址也是很困难的。

0x0301：端口扫描的目的

1. 判断目标主机上开放了哪些服务。

2. 判断目标主机的操作系统。

0x0302：扫描器

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可以不留痕迹的发现远程服务器的各种 TCP 端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。

扫描器的功能：

1. 扫描目标主机识别其工作状态（开/关机）

2. 识别目标主机端口的状态（监听/关闭）

3. 识别目标主机系统及服务程序的类型和版本

4. 根据已知漏洞信息，分析系统脆弱点

5. 生成扫描结果报告

0x04：思考题

0x0401：常见的服务端口有哪些？

答：HTTP 80 端口；FTP 21 端口；TELNET 23 端口；远程桌面 3389 端口

0x0402：根据木马特点，如何应对木马攻击？

答：木马的检测和查杀，除了依靠杀毒软件和安全防护软件等常用手段外。还可以通过全面检测系统注册表、文件、网络连接、运行的进程等实现人工的分析。