惡意代碼具有如下共同特征：

①惡意的目的；

②本身是計算機程序；

③通過執行發生作用。

---

完整性驗證：通過對明文M生成摘要信息，然后加密摘要信息附到明文后發送給對方，對方收到后將明文M運用同樣的hash函數生成摘要信息，與解密得到的摘要信息對比，可以實現完整的驗證。

在傳輸過程中能夠保值信息的保密性、完整性、、不可否認性，設計了一個安全通信模型：

流程圖如下：

?

解析：

M：指Message代表數據；

H：指對Message進行的Hash摘要算法；

H(M)：指生成的摘要；

E：加密；

SKA：使用私鑰加密（非對稱加密密鑰）；

K：對稱加密密鑰；

PKA：使用公鑰解密（非對稱加密密鑰）。

---

Linux系統將用戶名存在/etc/passwd文件中，將口令保存在/etc/shadow中。

/etc/passwd權限：rw-r--r--

/etc/shadow權限：r--------

Linux系統的用戶名文件包含如下內容：

root:x:0:0:root:root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

用冒號分割：

第一列：root、bin、hujw：代表用戶名；

第二列：x：代表對應的帳號的口令都放到了/etc/shadow這個文件中；

第三列：0、1、500：代表用戶標識號（userId），取值范圍是0~65536，0代表超級用戶，1~499代表管理帳號、500以上代表是普通用戶；

第四列：0、1、500：代表組標識號（groupId）；

第五列：root、bin、huijianwei：代表注釋說明，記錄用戶的屬性，如名稱，電話地址等等；

第六列：root、/bin、/home/hujw：代表用戶家目錄，當用戶登錄就會出現在這個用戶中；

第七列：/bin/bash、/sbin/nologin、/bin/bash：代表用戶的shell；

---

心跳包格式如下：

心跳包類型（1字節）

心跳包數據長度（2字節）

數據/負載

如下代碼：

p指向心跳包的報文數據，s是對應客戶端的socket網絡通信套接字

void process_heartbeat(unsigned char *p, SOCKET s){unsigned short hbtype;unsigned int payload;hbtype = *p++; //心跳包數據類型n2s(p, payload); //心跳包數據長度pl = p;if(hbyte == HB_REQUEST){unsigned char *buffer, *bp;buffer = malloc(1 + 2 + payload);bp = buffer; //bp指向剛分配的內存*bp++ = HB_RESPONSE; //填充1byte的心跳類型s2n(payload, bp); //填充2byte的數據長度memcpy(bp, pl, payload);/*將構造好的心跳響應包通過socket s返回客戶端*/r = write_byte(s, buffer, 3 + payload);} }

代碼想實現的功能：

獲得了心跳包后，將類型，長度，和數據分別獲取后，構造一個響應包，其中長度和數據不變，將請求中的數據原封不動的回過去。

但是有個問題，如果數據長度是65535，而真實的數據中就只有HelloWorld，這樣會有其他6萬個字節的莫名其妙的數據，這些數據可能會帶有tcp緩存區其他數據包的數據。

存在的漏洞：

HeartBleed漏洞。由于沒有對實際數據載荷長度進行檢測，導致攻擊者可讀出內存中其他重要數據內容

模糊測試：介于手動測試和自動化測試之間的一種測試方式，通過測試工具，隨機或半隨機生成大量的數據，將這些數據發送給要測試的系統，然后測試工具檢測被測系統的狀態（能否相應，或者響應結果是否正確）分析出是否存在安全漏洞。

模糊測試屬于黑盒測試，模糊測試是自動化的動態的漏洞挖掘技術，不存在誤報。

通過模糊測試可以測試出上述代碼存在安全漏洞。

通過測試發送請求數據包大小、內容、響應數據包大小、內容，進行比較分析，可以發現上述代碼存在漏洞。

---

IDS（入侵檢測系統）：網絡安全狀態的監管，屬于被動防護；

IPS（入侵防護系統）：對入侵行為的控制，屬于主動防護；

入侵檢測是動態安全模型P2DR的重要組成部分，P2DR模型的4個主要組成部分：Protection保護、Response響應、Detection檢測、Policy策略；

如果通過抓包可以看到，大量的主機與我們的服務發送SYN數據包，如seq=0、win=512、len=0，這個異常的數據包。這就是拒絕服務攻擊（DDOS），具體名稱為SYN flood。

異常檢測：入侵者的活動異常于正常的主體活動。

誤用檢測：通過攻擊行為的特征庫，采用特征匹配的方式，確定攻擊事件。誤報率低，檢測快，但不能發現特征庫中沒有的攻擊行為。

snort是一款開源的網絡入侵檢測系統，他能實時流量分析和IP協議網絡數據包記錄。

snort的三種工作模式：嗅探器模式、包記錄模式、網絡入侵檢測模式。

總結

以上是生活随笔為你收集整理的信息安全工程师笔记-案例分析（二）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。