1、1軟件安全題型： 選擇題（10*2分=20分） 填空題（6*3分=18分） 判斷題（11*2分=22分） 簡答計算題（4-5小題，共40分） 2信息的表現形式信息可以以多種形式表現：打印或書寫在紙上，以電子數據的方式存儲，或以膠片形式顯示或者通過交談表達出來等。3安全（Safety vs Security）Safety自然的，物理的，相對具體的如房屋、橋梁、大壩Security社會的，人為的，相對抽象的如食品、軟件4我們愿意保護我們的信息嗎？該信息的價值有多大？可能面臨哪些風險？為保護該信息需要付出多少成本？在什么情況下愿意采取安全措施？認識到的價值*認識到的風險認識到的成本？是否應該采取安全

2、措施？真實價值*真實風險真實成本？系統引導與控制權系統引導與惡意軟件有何關系？惡意軟件如何再次獲得控制權？自身被結束之后操作系統重啟之后操作系統重裝之后硬盤更換之后。5計算機系統引導過程主板BIOS系統進行硬件自檢硬盤主引導程序（MBR）活動分區引導程序（DBR）操作系統引導（如NTLDR）操作系統內核啟動驅動程序及服務系統自啟動程序6系統引導與惡意軟件的關聯系統引導與惡意軟件有何關系？惡意軟件在植入系統之后，如何再次獲得控制權？在計算機系統引導階段獲得控制權Bootkit：BIOS木馬、MBR木馬等，可用于長期駐留在系統；早期的DOS引導區病毒等。CIH病毒在操作系統啟動階段獲得控制權最常見

3、的惡意軟件啟動方法，多見于獨立的惡意軟件程序。在應用程序執行階段獲得控制權最常見的文件感染型病毒啟動方法。7實模式REALPROTECTED保護模式VIRTUAL虛擬8086CR0的PE位 置1CR0的PE位 置0通過中斷執行IRETD指令RESET信號RESET對CPU復位Intel80X86處理器三種工作模式關系： 實模式、保護模式和虛擬86模式8FAT32文件系統結構引導扇區數據存儲區（以簇為單位，每簇包含多個扇區，以簇號進行標示） FAT（File Allocation Table，文件分配表）FAT1+FAT2兩個功能：1.記錄數據存儲區每一個簇的使用情況（是否被使用，或壞簇）；2.

4、形成每個文件的簇鏈表描述分區屬性：1.分區大小 ；2.簇的大小3.FAT表個數與大小4.分區引導程序等功能：存儲兩類數據目錄項（目錄和文件的屬性信息，如文件名，大小，文件存儲首簇號，時間等）-文件檔案文件數據9文件的存儲操作示意圖引導扇區數據存儲區FAT按照文件大小定位足夠的空閑簇2.創建文件目錄項(32+Bytes)3.在FAT中構建簇鏈表4.在對應分配的簇中寫入數據10目錄項的含義后綴名:INF文件名:AUTORUN文件屬性首簇高16位首簇低16位文件更新日期及時間文件訪問日期文件創建時間文件創建日期文件大小保留FAT32中，目錄也被當作文件進行處理。如果是長文件名，則目錄項向上繼續擴展。

5、11文件創建實例首簇高16位首簇低16位文件大小首簇號：000A08DE（657630）文件大小：D488（54408字節，占14簇，每簇4096字節）12文件刪除實例（AUTORUN.INF）-目錄項的變化文件被刪除后目錄項的變化刪除前2.首簇高位被清零13文件刪除實例（AUTORUN.INF）-簇鏈表變化文件被刪除后FAT表的變化：簇鏈表已被清空刪除前刪除后14文件刪除實例（AUTORUN.INF）-文件內容無變化152.5.3被刪除文件的恢復機理差異目錄項：文件名首字節被修改為E5首簇高位被清零FAT表簇鏈：被全部清空文件內容：無變化可否恢復？目錄項文件名首位是否可還原？如何確定高位？F

6、AT表簇鏈如何修復？連續存儲（默認）總簇數（文件大小 ）162.5.3被刪除文件的恢復機理還原文件名首字節長文件名：直接逆向定位完整文件名。確定高位并還原參考相鄰目錄項的首簇高位從0往上試探，看首簇指向內容是否為預期文件頭部修復FAT表簇鏈通過文件大小計算所占簇數按照連續存儲假設，進行簇鏈修補，其中末簇FAT項用0FFFFFFF結尾。17PE文件格式查看工具1-PEViewPEView：可按照PE文件格式對目標文件的各字段進行詳細解析。18PE文件格式查看工具2-Stud_PEStud_PE：可按照PE文件格式對目標文件的各字段進行詳細解析。19PE程序調試工具-OllydbgOllydbg：

7、可跟蹤目標程序的執行過程，屬于用戶態調試工具。2016進制文件編輯工具-UltraEditUltraEdit：可對目標文件進行16進制查看和修改。213 PE文件格式總體結構1.DOS MZ header2.DOS stub3.PE header4.Section table5-1 Section 15-2 Section 2Section .5.3 Section n223C處的值：000000B0指向PE文件頭開始位置231）字串 “PE00”Signature 一dword類型，值為50h, 45h, 00h, 00h（PE00）。 本域為PE標記，可以此識別給定文件是否為有效PE文件。

8、PE00242） 映像文件頭（0 x14）該結構域包含了關于PE文件物理分布的信息， 比如節數目、后續可選文件頭大小、機器類型等。3個節X86可選文件頭大小253）可選文件頭定義了PE文件的很多關鍵信息內存鏡像加載地址（ImageBase）程序入口點（代碼從哪里開始執行？)節在文件和內存中的對齊粒度本程序在內存中的鏡像大小、文件頭大小等26ImageBase：PE文件在內存中的優先裝載地址。 RVA地址：Relative Virtual Address，相對虛擬地址，它是相對內存中ImageBase的偏移位置。幾個概念-127幾個概念-2對齊粒度比喻：桶的容量為100升，現有367升水，請問需

9、要使用多少個桶？問題：代碼節的代碼實際長度為0 x46字節文件中節對齊粒度為0 x200,內存中節對齊粒度為0 x1000字節，請問代碼節在文件和內存中分別占用多少字節？為什么PE文件中有很多“00”字節？28可選文件頭中的一些關鍵字段名字描述Address Of Entry Point *（位置D8H，4字節）PE裝載器準備運行的PE文件的第一條指令的RVA。（病毒感染中通用關鍵字段）Image Base（位置：E4H，4字節）PE文件的優先裝載地址。比如，如果該值是400000h，PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處。Section Alignment（位置：E8H，4

10、字節）內存中節對齊的粒度。File Alignment（位置：ECH，4字節）文件中節對齊的粒度。29第一條指令在內存中的地址是多少？401000H=400000H+1000H30Directory16項8字節315.1 IMPORT Directory Table如何從PE文件定位到引入目錄表（IDT）的起始位置？PE可選文件頭的DataDirectory。325.4 IAT（ IMPORT Address Table）引入地址表：DWORD數組可通過可選文件頭中的DataDirectory的第13項定位在文件中時，其內容與Import Name Table完全一樣。在內存中時，每個雙字中存

11、放著對應引入函數的地址。33為何需要導出序號表？導出函數名字和導出地址表中的地址不是一一對應關系。為什么？一個函數實現可能有多個名字；某些函數沒有名字，僅通過序號導出。34堆棧溢出的示意圖 可以直觀的見到,寫入內存的數據大于我們分配的長度,導致臨近的內存數據被覆蓋,如果精心準備覆蓋到程序返回指針的數據,程序的進程可能就會被攻擊者所控制.35364.1.2.2 棧溢出的利用根據被覆蓋的數據位置和所要實現的目的不同，分為以下三種：修改鄰接變量修改函數返回地址S.E.H.結構覆蓋374.1.2.2 修改鄰接變量由于函數的局部變量是依次存儲在棧幀上的，因此如果這些局部變量中有數組之類的緩沖區，并且程序

12、中存在數組越界缺陷，那么數組越界后就有可能破壞棧中相鄰變量的值，甚至破壞棧幀中所保存的EBP、返回地址等重要數據。384.1.2.2 修改鄰接變量觀察如圖4-4所示程序源代碼，當代碼執行到int verify_password(char *password)時，棧幀狀態如右圖所示。當輸入口令超過7個字符，越界字符ASCII碼會修改掉authenticated的值，進而繞過密碼驗證程序。程序在內存中的映像文本（代碼）段數據段堆棧段內存低地址內存高地址內存遞增方向初始化數據段非初始化數據段(BSS)堆(Heap)棧(stack)堆的增長方向棧的增長方向內核數據代碼0 x800000000 x7FF

13、FFFFFPEB&TEB系統DLL代碼段39404.1.3.1 堆的結構堆塊空閑態：堆塊被鏈入空鏈表中，由系統管理。占有態：堆塊會返回一個由程序員定義的句柄，由程序員管理。414.1.3.1 堆的結構空閑堆塊比占有堆塊多出了兩個4字節的指針，這兩個指針用于鏈接系統中的其他空閑堆塊。424.1.3.1 堆的結構空表空閑堆塊的塊首中包含一對重要的指針，這對指針用于將空閑堆塊組織成雙向鏈表。根據大小不同，空表總共被分成128條434.1.3.1 堆的結構空表堆表區中有一個128項的數組，稱作空表索引（每項包含兩個指針，標識一條空表）空閑堆塊的大小=索引項8（字節）444.1.3.2 堆溢出的利用堆溢

14、出利用的精髓 用精心構造的數據去溢出覆蓋下一個堆塊的塊首，使其改寫塊首中的前向指針（flink）和后向指針（blink），然后在分配、釋放、合并等操作發生時伺機獲得一次向內存任意地址寫入任意數據的機會（Arbitrary Dword Reset,又稱Dword Shoot）。通過這個機會，可以控制設計的目標（任意地址），選擇適當的目標數據，從而劫持進程，運行shellcode。454.1.3.2 堆溢出的利用舉例：如何通過節點的拆卸產生Dword Shoot 拆卸節點node時發生如下操作： node-blink-flink=node-flink; node-flink-blink=node-

15、blink; 當精心構造的數據淹沒前向指針和后向指針時，如果在flink放入4字節的任意惡意數據內容，在blink放入目標地址，當執行以上操作時，導致目標地址的內容被修改為該4字節的惡意數據。464.1.3.2 堆溢出的利用舉例：如何通過節點的拆卸產生Dword Shoot PE型病毒-傳統文件感染型關鍵技術重定位病毒代碼目標寄生位置不固定API函數自獲取需要使用的API函數但無引入函數節支撐47PE型病毒-傳統文件感染型關鍵技術目標程序遍歷搜索全盤查找，或者部分盤符查找感染模塊病毒代碼插入位置選擇與寫入控制權返回機制48病毒代碼植入HOST文件后的位置差異49解決方法重定位本質：修正實際地址

16、與預期地址的差異解決方案：根據HOST特征逐一硬編碼繁瑣，未必準確病毒代碼運行過程中自我重定位50常見的重定位方法之一（ebp-offset delta）Call語句功能：將下一條語句開始位置壓入堆棧JMP 到目標地址執行51（2）API函數地址自獲取如何獲取API函數地址？DLL文件的引出函數節kernel32.dll：GetProcAddress和LoadLibraryA52文件感染感染的關鍵病毒代碼能夠得到運行選擇合適的位置放入病毒代碼（已有節，新增節）將控制權交給病毒代碼修改程序入口點：Address of Entry Point或者在原目標代碼執行過程中運行病毒代碼（EPO技術，En

17、tryPoint Obscuring）程序的正常功能不能被破壞感染時，記錄原始“程序控制點位置”病毒代碼執行完畢之后，返回控制權避免重復感染：感染標記53宏病毒如何獲得控制權 利用如下自動執行宏，將病毒代碼寫在如下宏中，由于這些宏會自動執行，因此獲取控制權。自動宏功能演示54宏病毒的感染 在Word和其他微軟Office系列辦公軟件中，宏分為兩種。內建宏：位于文檔中，對該文檔有效，如文檔打開（AutoOpen）、保存、打印、關閉等。全局宏：位于office模板中，為所有文檔所共用，如打開Word程序（AutoExec）。宏病毒的傳播路線：單機：單個Office文檔Office文檔模板多個Off

18、ice文檔網絡：電子郵件居多55網絡蠕蟲基本功能四個主要模塊：信息收集：主要完成對本地和目標節點主機的信息匯集；掃描探測：發現易感染主機群體；攻擊滲透：利用已發現的服務漏洞實施攻擊控制權獲取；自我推進：完成對目標節點的感染蠕蟲主體程序傳輸。56木馬的通信方式傳輸通道構建信息IP地址、端口等信息、第三方網站地址建立通信連接的方式正向連接反向連接57正向連接正向連接防火墻攔截控制端主動連接被控端58反向連接反向連接59遠控木馬的常見功能與意圖1.木馬結構完整的木馬一般由木馬配置程序、控制端程序（客戶端）和被控制端程序（服務端程序）等三部分組成。60 惡意代碼檢測對象與策略惡意代碼的檢測是將檢測對象

19、與惡意代碼特征（檢測標準）進行對比分析，定位病毒程序或代碼，或檢測惡意行為。檢測對象主要包括：引導扇區文件系統中可能帶毒的文件內存空間主板BIOS等(網絡流量、系統行為等)61 特征值檢測技術 病毒特征值是反病毒軟件鑒別特定計算機病毒的一種標志。通常是從病毒樣本中提取的一段或多段字符串或二進制串。具體思路：獲取樣本-提取樣本特征-更新病毒庫-查殺病毒62校驗和檢測技術預期符合性校驗和檢測技術：在文件使用/系統啟動過程中，檢查檢測對象的實際校驗和與預期是否一致，因而可以發現文件/引導區是否感染。預期：正常文件內容和正常引導扇區數據靜態可信：可信計算機對主引導扇區和一些系統關鍵程序進行了校驗，從而保障系統啟動之后的初始安全。63 啟發式掃描技術經驗和知識：專業反病毒技術人員使用反匯編、調試或沙箱工具稍加分析，就可能判定出某程序是否染毒，為什么？啟發式代碼掃描技術(Heuristic Scanning)實際上就是惡意代碼檢測經驗和知識的