CISSP备考系列之恶意代码与应用程序攻击

恶意代码恶意代码与应用程序攻击
　　1，来源 高手或脚本小子（Script Kiddie）
　　2，病毒 传播和破坏
　　病毒传播技术
　　1，主引导记录MBR
　　MBR与Boot Sector
　　2，文件型病毒
　　3，宏病毒 主要感染Office文档，如Melissa和I Love You等病毒。
　　平台
　　99%的病毒主要感染Windows操作系统。
　　80%的病毒都是宏病毒，主要感染Microsoft Office文档。
　　反病毒机制
　　基于签名的检测技术（Signature-Based Detection）
　　处理方法：
　　1，如果可以清除，就清除病毒并还原系统
　　2，识别出病毒但是不知道如何清除，则隔离文件。
　　3，如果没有配置隔离或超出上限，则清除被感染文件。
　　辅助工具：Tripwire，用来发现非授权的文件改动。
　　病毒技术
　　复合病毒（Multipartite）多种传播技术试图渗透只防御一种方法的系统
　　隐形病毒（Stealth）通过篡改OS来隐藏自身
　　多态病毒（Polymorphic）会修改自己的代码
　　加密病毒（Encrypted）通过加密隐藏自身
　　骗局（Hoax）虚假的病毒告警信息
　　逻辑炸弹
　　木马 例如BO（Back Orifice）
　　僵尸网络（Botnet）僵尸主控（Botmaster）
　　蠕虫 如Code Red
　　间谍软件与广告软件
　　活动内容 如Java Applet或ActiveX控件
　　反病毒软件的处理方式
　　去除（Removal）指删除恶意代码，但是并不修复恶意代码导致的损坏。
　　清除（Cleaning）指不仅删除恶意代码，还能够修复恶意代码导致的损坏。
　　密码攻击(计算机基础知识)
　　1，猜测攻击
　　2，字典攻击
　　3，社会工程学攻击
　　拒绝服务攻击
　　1，SYN洪泛
　　2，分布式DoS工具箱
　　3，Smurf攻击 冒充受害主机向大量的计算机发送虚假的ping包。Fraggle攻击是一个变种，利用了不常用的chargen和echo UDP协议。
　　4，DNS放大攻击
　　5，泪珠攻击（Teardrop）错误分片
　　6，陆地攻击（LAND）构造特定的TCP包（SYN置位，源和目地相同）导致目标死机
　　7，DNS毒化攻击
　　8，死亡之ping，ping of death 发送超过65535的ping包
　　应用程序攻击
　　1，缓冲区溢出
　　2，检验时间到使用时间（打时间差）
　　3，后门
　　4，Rootkit
　　Web应用程序的安全性
　　1，跨站脚本攻击 利用网站跳转技术发动攻击
　　2，SQL注入攻击
　　* 动态Web应用引入数据库
　　* 通过构造SQL语句发动攻击，破坏SQL数据
　　* 可通过验证输入信息和权限控制的方法防范
　　侦察攻击
　　1，IP探测
　　2，端口扫描
　　3，漏洞扫描
　　4，垃圾搜寻
　　伪装攻击
　　1，IP欺骗（IP Spoofing）
　　2，会话劫持（Session Hijacking）
　　诱骗技术
　　1，蜜罐（Honey Pot）
　　2，伪缺陷（Pseudoflaw）