黑客反向工程导论 中国科技大学计算机系 63602824

课程说明 1.教材和参考文献 (1) 黑客反汇编揭秘(第2版)，卡巴斯基， 俄Kris Kaspersky著，谭明金等译 (2) SQL 注入攻击与防御, Justin Clarke等著,黄晓磊等翻译 (3) 各种相关文献或学术文章 (4) http://staff.ustc.edu.cn/~chenkm 2.考试或考查 一次正式课堂汇报(ppt报告不超过30分钟，80%) 平时发言 20%, 点名缺3次取消汇报资格。

什么是黑客？ 　　黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。  　　但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

了解黑客的学习过程 一、收集资料 二、看动画课程与技术文章 三、实战训练 四、借助问题再去看动画与文章 五、自己制作动画与写文章 http://soft.yesky.com/security/hkjj/170/3462670all.shtml#p3462670

技术黑客常用工具 黑客领域是专业知识要求极高的行当。具有C/C++编程语言,汇编语言和机器硬件等知识,熟悉Windows等操作系统。 黑客是辛勤劳作代名词，需要为自己收集必要的黑客工具。但如此众多工具，该如何选择，怎样才能不迷失方向？

1. 调试器 SoftIce: Windows平台下的最好的调试工具之一,是具有高级命令接口的交互式工具,并被并入到DriverStudio 框架, DriverStudio 3.2 是其最后一版。 OllyDbg: 便捷的面向黑客的应用程序级调试器，支持插件机制,自动确定打包程序的原始入口位置。

2. 反汇编器 IDA Pro 是唯一适合专业人员用的反汇编器。 编译多种文件格式. 支持多处理器类型. 轻松处理Java 和.NET 虚拟机字节码. 支持宏,插件和脚本语言. 识别库函数名. 支持MS-DOS,Windows和Linux.

3. 反编译器 定义:反编译指的是从二进制程序中提取源代码的过程。 1)Delphi 对应的有DeDe 2)VB的反编译器，VB Rezq, VBDE 3)Spices Decompiler 4) DECLER—C语言

4. 十六进制编辑器 定义：将二进制程序文件按指定地址显示为十六进制数和正确的字节。 增强型：反汇编，汇编，计算器以及正则搜索函数，甚至于加解密。 HIEW： 最流行的。 WinHEX: 商用编辑器 HD Editor：类似于HIEW

5. 解包器 定义：大多数程序倾向于以打包的形式出现，直接反汇编不行；增加了反调试的机制。 打包器基本上是针对特定版本,通用的解包器很难开发。 Peid: 分析保护程序所使用的保护器或者打包器，维护一个由各种签名组成的海量数据库。

6. 转储器 定义：保存正在运行程序的转储内容是实施解包所采取的一种通用方法。几乎可以破除所有打包器和绝大多数保护器。 ProcDump: 较早开发的很笨拙。 PE Tools： 较好的工具。

7. 资源编辑器

8. 窥测器(Spy) 定义：Windows 消息窥测器 和 应用编程接口(API) 窥测器。

9. 监视器(Monitor) 定义：揭示程序访问了那些文件和注册库分支

10. 修正器(Monitor) 定义：从二进制程序文件中提取源代码的过程，虽然有很多困难，但仍有存在的价值。

11. 受保护光盘复制器

调试器与仿真器的仿真 定义：一个程序或设备模仿另外一个程序或设备的能力。 请参阅相关章节。

常用汇编指令---任务 1. 传送类指令如MOV, LEA. 2. 运算类指令ADD,SUB,ADC,SBC,MUL,DIV,INC,DEC,IMUL,IDIV等. 3. 压栈类PUSH, POP等. 4. 转移控制类指令 JMP, JNZ, JZ, JNC,JC等. 5. 调用返回类指令CALL, RET. 6. 栈指针SP, 堆,程序记数器PC, 空间分配函数等. 8. 寄存器概念, 如AX, EAX, …, 标志寄存器等　　

黑客可以攻击的范围 目前，网络安全已不再 是军方和政府要害部门 的需求。实际上，所有 的网络应用环境包括银 行、电子交易、公共电 信载体和互联/专用网络 都有网络安全的需求。

网络安全问题的根源 风险难以消除 网络系统的bug 外部的攻击 Ø 开放的网络环境 越来越多的基于网络的应用 企业的业务要求网络连接的不间断性 网络系统的bug Ø 来自内部的安全隐患 错误的实现、错误的安全配置 有限的防御措施 糟糕的管理和培训 外部的攻击

网络黑客 黑客（Hacker） 一种黑客对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都是程序员，他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在；他们不断追求更深的知识，并公开他们的发现，与其他分享；并且从来没有破坏数据的企图。 另一种黑客怀着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权，破坏重要数据，拒绝合法用户服务请求，或为了自己的目的制造麻烦。“入侵者”很容易识别，因为他们的目的是恶意的。 两者之间最主要的不同是：前者创造新东西，后者破坏东西。

网络安全体系结构 —网络安全定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全，涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关理论和技术

网络安全体系结构 —网络安全的基本属性 Ø完整性 Integrity Ø可用性 Availability 网络安全体系结构 —网络安全的基本属性 Ø完整性 Integrity 数据完整性，未被未授权篡改或者损坏 系统完整性，系统未被非法操纵，按既定的目标运行 Ø可用性 Availability 即保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况 服务的连续性，即具有按要求顺序使用的特性 Ø保密性 Confidentiality • 信息的机密性，对于未授权的个体而言，信息不可用

网络安全体系结构 —网络安全的其它属性 个体身份的认证，适用于用户、进程、系统等 授权机构可以随时控制信息的机密性 网络安全体系结构 —网络安全的其它属性 真实性 authenticity 个体身份的认证，适用于用户、进程、系统等 可控性 Controllability 授权机构可以随时控制信息的机密性 可靠性 Reliability 行为和结果的可靠性、一致性 不可否认性 Non-repudiation 要求无论发送方还是接收方都不能抵赖所进行的传输

网络安全体系结构 —从网络安全到信息保障 通信保密阶段：40年代－70年代 重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性 网络安全体系结构 —从网络安全到信息保障 通信保密阶段：40年代－70年代 重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性 主要安全威胁是搭线窃听、密码学分析—黑客 主要保护措施是加密 重要标志 1949年Shannon发表的《保密通信的信息理论》 1977年美国国家标准局公布的数据加密标准（DES） 1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制

网络安全体系结构 —从网络安全到信息保障 信息安全阶段 70－80年代 网络安全体系结构 —从网络安全到信息保障 信息安全阶段 70－80年代 重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性、可控性和不可否认性等。 主要安全威胁扩展到非法访问、恶意代码、脆弱口令等---黑客 主要保护措施是安全操作系统设计技术 主要标志是1983年美国国防部公布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别。

网络安全体系结构 —从网络安全到信息保障 信息保障（IA）阶段 90年代以来 网络安全体系结构 —从网络安全到信息保障 信息保障（IA）阶段 90年代以来 重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性 主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等---黑客 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN 主要标志是提出了新的安全评估准则CC（ISO 15408）、IPv6安全性设计

网络安全体系结构 —从网络安全到信息保障 Information Assurance Ø保护（Protect） 网络安全体系结构 —从网络安全到信息保障 Information Assurance Ø保护（Protect） • 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。安全规章、安全配置、安全措施 Ø检测（Detect） • 利用高技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。异常监视、模式发现 Ø反应（React） • 对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。 报告、记录、反应、恢复 Ø恢复（Restore） • 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。

网络安全体系结构 —网络安全问题 网络系统自身的安全缺陷 网络安全体系结构 —网络安全问题 网络系统自身的安全缺陷 软件bug存在于服务器后台程序(Daemons), 客户程序, 操作系统, 网络协议栈。 数据库管理系统安全的脆弱性 由于数据管理系统(DBMS)对数据库的管理是建立在分级管理的概念上 ，因此，DBMS的安全也是可想而知。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。 操作系统的脆弱性 (1)操作系统体系结构本身是不安全的一种因素，操作系统程序可以动态连接，I/O程序与系统服务可以打补丁升级，因此可被黑客利用，也是病毒的温床。 (2)操作系统可以创建进程，即使在网络的节点上同样也可以进行远程进程的创建与激活，更令人不安的是被创建的进程具有可以继续创建过程的权力，可以在远端服务器上安装间谍程序。 (3)守护进程Daemon具有操作系统核心层软件同等权力，会被黑客利用。 (4)网络操作系统提供的远程过程调用(RPC)服务以及它所安排的无口令入口也是黑客的通道。

网络安全体系结构 —网络安全问题 远程访问使得各种攻击无需到现场就能得手 网络的开放性 网络安全体系结构 —网络安全问题 网络的开放性 INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕 之处在于每个人都能和你互相连接 基于公开的协议—协议安全的脆弱性 TCP/IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的 因素，存在许多漏洞。黑客通常采用Sock、TCP预测或使用远程访问 (RPC)进行直接扫描等方法对防火墙进行攻击。 远程访问使得各种攻击无需到现场就能得手 连接基于主机上的实体彼此信任的原则

网络安全体系结构 —网络安全问题 攻击分类： 如：traffic analysis 如： 被动攻击：网络信息被非法窃听或截取。 网络安全体系结构 —网络安全问题 攻击分类： 被动攻击：网络信息被非法窃听或截取。 如：traffic analysis 主动攻击：网络信息或网络本身被恶意篡改或破坏。 如： modification of message denial of service

网络安全体系结构 —网络安全问题 中断威胁 使信息系统毁坏或不能使用的攻击，破坏可用性（availability）。 网络安全体系结构 —网络安全问题 中断威胁 使信息系统毁坏或不能使用的攻击，破坏可用性（availability）。 如硬盘等一块硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。 信息源 信息目的地

网络安全体系结构 —网络安全问题 窃听威胁 一般情况下，大多数网络通信都以一种不安全的“明文”形式进行，攻击者只要获取数据通信路径，就可以“窃听”或“解读”明文数据。破坏保密性 非授权方可以是一个人，一个程序，一台微机。 这种攻击包括搭线窃听，文件或程序的不正当拷贝。 信息源 信息目的地

网络安全体系结构 —网络安全问题 篡改威胁 一个非授权方获取传输的信息并篡改后再传输。这是对完整性（integrity）的攻击。 网络安全体系结构 —网络安全问题 篡改威胁 一个非授权方获取传输的信息并篡改后再传输。这是对完整性（integrity）的攻击。 这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。 信息源 信息目的地

网络安全体系结构 —网络安全问题 伪造威胁 一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）。 网络安全体系结构 —网络安全问题 伪造威胁 一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）。 包括网络中插入假信件，或者在文件中追加记录等。 信息源 信息目的地

网络安全体系结构 —网络安全问题 一个实体假装成另外一个实体。 在鉴别过程中，获取有效鉴别序列，其后以冒名重播的方式获得部分特权。 网络安全体系结构 —网络安全问题 冒充攻击 一个实体假装成另外一个实体。 在鉴别过程中，获取有效鉴别序列，其后以冒名重播的方式获得部分特权。 重放攻击 获取有效数据段以重播的方式获取对方信任。 在远程登录时如果一个人的口令不改变，则容易被第三者获取，并用于冒名重放。

网络安全体系结构 —网络安全问题 拒绝服务攻击 旨在破坏设备的正常运行和管理，而不是窃取信息。 这种攻击往往有针对性或特定目标。 网络安全体系结构 —网络安全问题 拒绝服务攻击 旨在破坏设备的正常运行和管理，而不是窃取信息。 这种攻击往往有针对性或特定目标。 往往采用IP欺骗隐瞒自己的真实地址，非法侵入目标网络 向某个应用系统或网络服务系统发送非法指令，使得系统出现异常行为或异常终止。 向某台主机或整个网络发送数据洪流，使得设备或系统因不堪过载重负而瘫痪。

分布式 DOS (DDOS): 多方同步攻击 例如：C和远程终端同步攻击A A C B SYN SYN SYN SYN SYN SYN

应用层攻击（Application Layer Attack) 应用层攻击直接将目标对准应用服务系统，应用层攻击者往往就是设计该应用系统的程序员。 应用层攻击是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可绕过正常的访问控制。特洛依木马就是一个非常典型的应用攻击程序

网络安全体系结构 —网络安全问题 攻击者不需要太多技术 攻击工具的不断完善 更多的目标：Linux、Windows 团队协作 工作量不对称 网络安全体系结构 —网络安全问题 攻击者不需要太多技术 攻击工具的不断完善 更多的目标：Linux、Windows 团队协作 工作量不对称 攻击方：夜深人静, 攻其弱点 防守方：24*7*365, 全面防护 信息不对称 攻击方：通过网络扫描、探测、 踩点对攻击目标全面了解 防守方：对攻击方一无所知 后果不对称 攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损

网络安全体系结构 —网络安全问题 假冒攻击 ←认证服务 授权侵犯 ←访问控制服务 窃听攻击 ←机密性服务 完整性破坏 ←完整性服务 网络安全体系结构 —网络安全问题 假冒攻击 ←认证服务 授权侵犯 ←访问控制服务 窃听攻击 ←机密性服务 完整性破坏 ←完整性服务 服务的否认 ←非否认服务 拒绝服务 ←认证服务，访问控制服务，完整性服务

网络安全体系结构 —网络安全的相关法律问题 网络安全体系结构 —网络安全的相关法律问题 Ø数字化生存需要什么样的法规 • 信息内容安全 • 网上交易安全 • 电子信息权利 Ø如何规制信息内容 Ø如何规制网上行为 Ø若干问题 计算机纪录的法律价值 对于远距离犯罪的法律认定权 计算机犯罪的取证 计算机犯罪损失确定

网络安全体系结构 —网络安全的相关法律问题 网络安全体系结构 —网络安全的相关法律问题 Ø 美国 1. 信息自由法 2. 个人隐私法 3. 反腐败行径法 4. 伪造访问设备和计算机欺骗滥用法 5. 电子通信隐私法 6. 计算机欺骗滥用法 7. 计算机安全法 8. 正当通信法（一度确立，后又推翻） 9. 电讯法

网络安全体系结构 —网络安全的相关法律问题 网络安全体系结构 —网络安全的相关法律问题 Ø我国基本立法与条例 • 中华人民共和国刑法 • 商标法（1982.8.23） • 专利法（1984.3.12） • 保守国家秘密法（1988.9.5） • 反不正当竞争法（1993.9.2） • 计算机软件保护条例（1991.6.4） • 计算机信息系统安全保护条例（1994.2.18） • 商用密码管理条例（1999.l0.7） • 互联网信息服务管理办法（2000.9.20）

网络安全体系结构 —网络安全的相关法律问题 网络安全体系结构 —网络安全的相关法律问题 • 电信条例（2000.9.25） • 全国人大常委会关于网络安全和信息安全的 决定（2000.12.29） • 计算机信息网络国际联网保密管理规定 • 计算机信息网络国际联网安全保护管理办法 • 计算机信息系统安全等级划分标准 • ... ...

网络安全体系结构 —网络安全评价标准 Ø美国 • TCSEC－可信计算机安全评估准则，1985，美国国防部 Ø欧洲 网络安全体系结构 —网络安全评价标准 Ø美国 • TCSEC－可信计算机安全评估准则，1985，美国国防部 Ø欧洲 • ITSEC－信息技术安全性评估准则，1991 Ø加拿大 • CTCPEC－可信计算机产品评估准则，1990 Ø国际通用准则－CC， 1996，美国、加拿大、欧洲等共同发起 Ø国际标准－ISO 15408，1999.12

网络安全体系结构 —网络安全评价标准 我国的标准化工作 网络安全体系结构 —网络安全评价标准 我国的标准化工作 1997年，已经制定、报批和发布了有关信息安全的国家标准13个，国家军用标准6个，现在正在制定中的国家标准14个。 1998，国家信息安全认证 • 产品型号认证 • 信息系统安全认证 • 信息安全服务认证 但是，标准的制定需要较为广泛的应用经验和较为 深入的研究背景。我国存在较大差距。

网络安全体系结构 —网络安全评价标准 数据加密算法：DES、RSA、T-DES、RC2、AES 可恢复密钥密码体系：EES 网络安全体系结构 —网络安全评价标准 数据加密算法：DES、RSA、T-DES、RC2、AES 可恢复密钥密码体系：EES 数字签名：DSS、RSA、SHA-1、MD5 安全网管协议：SNMPv2、SNMPv3 安全电子邮件：S/MIMI、PGP、PEM 公钥基础设施：PKI、PKIX 授权管理基础设施：PMI 密钥管理模型：IEEE 802.10、ISAKMP、KMI 应急响应体系:

网络安全体系结构 —网络安全评价标准 数字证书：X.509.V3 、X.509.V4 安全会话信道：SSL、SHTTP、TLSP 网络安全体系结构 —网络安全评价标准 数字证书：X.509.V3 、X.509.V4 安全会话信道：SSL、SHTTP、TLSP IP虚拟专网（VPN）：IPSEC、IPV6、Radius 加密程序接口：CAPI、GSS-API、CDSA 访问控制：ACL 、ROAC 安全服务系统：Kerberos、DSSA、YaKsha 安全评测：TCSES、CC 入侵检测：CIDF 安全体系结构：OSI 7498-2、DGSA、XDSF、DISSP 内容分级与标记: PICS 安全管理: ISO 17799、ISO 13335

网络安全体系结构 —安全机制 从本质上讲，所有这些技术都用到一个共同的基础，即加密与认证。因此,加密与认证是网络安全技术的核心，要深入研究网络安全技术就必须研究加密与认证技术。