操作系统安全—客体重用机制

客体重用和数据残留

1.客体重用定义：包含一个或多个个体的存储介质（例如，页面，磁盘扇区，磁带）的主体重新分配，通过标准系统机制，为主体重新分配时不应含有任何的残留数据（被重新分配时不能留有东西）

2.残留数据又称残留信息：是指数据在被某种形式擦除后所残留的物理表现，存储介质被移除后可能留有一些物理特性使数据能被重构

存储的清除方案

（1）简单的文件删除

内容还在只是索引被删除了。文件还是在磁盘上面。

文件数据恢复原理：在磁盘的空间中找到他具体存在的位置

各种文件数据恢复工具

 

（2）文件粉碎工具

粉碎方法：采用填0，填0xff或填随机数的办法重写文件数据区

不足：

仅仅针对未删除的文件

使用时产生的临时文件泄密

（3）数据擦除软件

擦除软件：Eraser WYWZ Clean Disk

数据擦除软件能够：

擦除磁盘剩余空间

擦除文件访问痕迹

不足：

无法擦除文件”松散空间“

（4）磁盘格式化

格式化分类

快速格式化，普通格式化，低级格式化

格式化过程

对扇区进行组织和标记

深度检测可覆盖的每个扇区

（5）扇区完整填充

以磁性存储介质为例子   美国国防部方法：复写7次，彼得，加特曼方法：复写35次

如何真正清除存储介质中的信息

1.联合存储截止一起消灭

2.强磁场消磁

3.高温焚烧

优盘摆渡攻击过程和防范办法

摆渡攻击

在网络物理隔离条件下，木马借助优盘从外网摆渡进内网

1.木马感染外网计算机

2.木马感染违规使用者的u盘

3.木马通过移动存储介质摆渡到内网

4.木马窃取资料隐藏到隐藏介质中

5.u盘回到外网计算机再把资料传出去

第一次：优盘将木马摆渡到内网

第二次：优盘将资料从内网摆渡到外网

如何防范摆渡攻击

拆掉光驱，软驱

封堵usb接口

切断外网连接

杜绝存储介质在内网外混用

仅仅只切断一次摆渡，可以用切断向外摆渡：采用光盘刻录

将优盘设置为只读，技术可行但是依赖人的自觉性

通过软件控制：在内网机安装控制软件，切断优盘的写操作，但放行读操作

 

BadUSB攻击

BadUSB攻击原理

USB枚举过程：USB设备插入计算机系统后，需要经过枚举过程才能与计算机进行通信，枚举过程就是向主机申请端口地址，发送设备描述符的过程，在这个过程中USB设备的信息是由自己提供的，具有可变性。

USB设备漏洞的原理

（1）由于USB设备枚举过程中,USB信息具有可变性，即存在USB设备具有多个输入输出的特征，并可以注销再次描述为其他的设备     eg 就是比如把自己描述为键盘鼠标等外设，让系统以为是主机在进行操作

（2）在枚举过程中，有数据通信交换的过程，在USB协议中没有校验过程，这会导致黑客可以随意添加恶意数据来攻击计算机系统

BadUSB的攻击类型

（1）模拟键盘方法

利用社会工程学的方式将键盘模拟方式的BadUSB设备接入计算机，此时计算机系统将会把BadUSB识别成一个键盘，从而执行从BadUSB输入的恶意指令，并免疫病毒查杀，从而在计算机系统内开启后门提升权限

（2）USB设备篡改Windows系统的DNS设置：

将USB设备伪装成交换机，包含DNS服务器的地址，但没有默认网关，会使得网络流量仍然能通过正常的WiFi连接，但是所有的DNS查询都会发送到USB制定的服务器，导致定向攻击（ps，也就是当你在网页输入一个ip的时候，会进行DNS解析，伪装成的交换机会把你的ip解析成另一个攻击者想要你访问的地址，从而造成攻击）

BadUSB的防范措施

1.停止使用命令提示符

BadUSB入侵都是在命令脚本上运行恶意脚本，停用就可以从根源上阻断BadbUSB对恶意脚本的调用，从而在根源上防范

2.命令行记录工具

Win10下命令行工具PowerShell自带记录命令行命令功能，命令行记录功能虽然不能起到防范作用，但是可以做到最大程度的挽回损失。

3.USB白名单：

USB通常没有唯一的序列号，但是可以使用市场上的设备防护软件如Endpoint Protectors, USB Block等对USB设备进行授权设置成白名单并且进行防护

4.磁盘加密

可以防止计算机系统上的数据泄露，也可以组织BadUSB的入侵

5.禁止USB固件的更新

BadUSB是利用USB固件更新的漏洞机制，禁止对USB设备的更新以及使用时检查USB设备的固件可以有效对BadUSB进行防护

6.安装安全防护软件

安装防护软件，如防火墙，360安全卫士，等等，可以有效限制计算机软件对DNS的篡改等等