渗透测试与漏洞利用系列课程【第一课】

2018-04-0807:00:38 发表评论

渗透测试与漏洞利用系列课程【第一课】

前言

病毒

计算机病毒 Computer Virus 自行执行、自我复制

蠕虫病毒 worm 利用网络进行复制和传播,传染途径是通过网络和电子邮件。

类别复制传染
普通病毒需要传播受感染的驻留文件来进行复制计算机内的文件系统而言
蠕虫不使用驻留文件即可在系统之间进行自我复制互联网内的所有计算机

木马 Trojan Horse 表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。基于远程控制的黑客工具,隐蔽性、非授权性、欺骗性。

木马 不具传染性,不能复制自身,不刻意去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。

渗透测试

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。

  • 黑箱测试 Zero-Knowledge Testing,渗透者对系统一无所知。这类型测试,最初信息获取来自于DNS、Web、Email及各种公开对外的服务器。
  • 白盒测试 测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料、网站或其它程序的代码片断、与单位员工沟通。这类测试目的是模拟企业内部雇员的越权操作。
  • 隐秘测试 极少数人知晓,有效检验单位中的信息安全事件监控、响应、恢复做得是否到位。

设置Vmware Workstation

只说一下网络连接。

vmnet1 是 host-only,选择用 vmnet1 虚拟机可以与真实系统相互共享文件,但是虚拟机无法访问外部互联网。

vmnet8 是 NAT,即网络地址转换,虚拟机和真实系统可以相互共享,都能访问外部互联网。而且虚拟机是借用真实系统的IP上网的,不会受到IP-MAC绑定的限制。

 

Kali

部分内容被隐藏
需登陆后可查看

二进制文件

PE文件

源代码 通过 编译 和 连接 后形成可执行文件。PEPortable Executable)是Win32平台下可执行文件遵守的数据格式。常见的可执行文件(如*.exe文件和*.dll文件)都是PE文件。

PE文件格式把可执行文件分成若干个 数据节(section),不同资源被存放在不同的节中。一个典型的PE文件中包含的节如下:

  • .text 二进制机器代码
  • .data 初始化的数据块,如宏定义、全局变量、静态变量等。
  • .idata 可执行文件所使用的动态链接库等外来函数与文件的信息。
  • .rsrc 存放程序的资源,如图标、菜单等。

除此以外,还可能出现的节包括.reloc.edata.tls.rdata等。

标准PE文件节信息往往是大致相同的。可以把代码中的任意部分编译到PE的任意节中,节名也可以自己定义,如果可执行文件经过了加壳处理,PE的节信息就会变得非常古怪。

加壳 的全称是可执行程序资源压缩。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。

加壳 其实是利用特殊算法,对EXEDLL文件里的代码、资源等进行压缩、加密,类似WINZIP 的效果,只不过这个压缩之后的文件可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样就可以比较有效地防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。

加壳工具通常分为压缩壳和加密壳两类。

  • 压缩壳,减小软件体积大小
  • 加密壳种类比较多,不同的壳侧重点不同,保护程序/额外功能(注册机制、使用次数、时间限制)

虚拟内存

Windows的内存分为:物理内存和虚拟内存。通常,在用户模式下,用调试器看到的内存地址都是虚拟内存。

用户编程地址称为 虚拟地址/逻辑地址/虚拟内存/逻辑地址空间

计算机物理内存访问地址称为 实地址/物理地址/物理存储空间/主存空间

程序进行 虚地址 到 实地址 转换的过程称为程序的再定位

PE文件与虚拟内存的映射

  • 文件偏移地址(File Offset) 数据在PE文件中的地址叫文件偏移地址,这是文件在磁盘上存放时相对于文件开头的偏移。
  • 装载基址(Image BasePE装入内存时的基地址。默认EXE在内存中的基地址是0x00400000DLL0x10000000
  • 虚拟内存地址(Virtual Address) PE文件中的指令被装入内存后的地址
  • 相对虚拟地址(Relative Virtual Address) 相对虚拟地址是内存地址相对于映射基址的偏移量。

虚拟内存地址、映射基址、相对虚拟内存地址三者之间有如下关系:VA = Image Base + RVA

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!