计算机系统漏洞攻击及防范研究

2015-12-17 13:15吴冬妮赵红梅王凌云
电脑知识与技术 2015年28期
关键词:系统漏洞防范

吴冬妮+赵红梅+王凌云

摘要:随着互联网的迅速发展,系统漏洞攻击已成为了一种最广泛的攻击方式,该文对计算机系统漏洞攻击进行了分析,并提出了病毒防范的建议,从而达到提高计算机用户安全工作环境的目的。

关键词:系统漏洞;漏洞攻击;防范

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0035-02

Abstract: With the rapid development of the Internet, the system has become the most widely used attack mode, this paper analyzes the computer system vulnerabilities, and puts forward some suggestions to prevent the virus, so as to achieve the purpose of improving the safety working environment of computer users.

Key words: system vulnerability; vulnerability attack; prevention

1 引言

随着互联网的迅速发展,人们在工作和生活中也越来越依赖于网络,这对病毒的传播提供了更快、更广的途径。计算机病毒不仅是对计算机系统造成危害,而且对计算机用户的隐私数据信息造成威胁,因此每一位计算机用户都应该对计算机病毒有所了解,掌握基本的病毒防御措施,提高自己的网络安全意识。

2 系统漏洞攻击介绍

计算机系统漏洞是指在硬件、软件及协议的实现中存在的缺陷,黑客利用这种缺陷产生相应危害的攻击。随着互联网的快速发展,计算机的广泛应用,操作系统的漏洞已经被越来越多的黑客所利用,计算机遭受的攻击也越来越频繁。系统漏洞主要分为缓冲区溢出漏洞和内存损坏漏洞。缓冲区溢出漏洞是最常见、最典型的漏洞之一,缓冲区是一个有限的数据存储区域,当某个程序存储于缓冲区的数据大于缓冲区的容量时就会发生溢出,溢出的数据到相邻的内存地址,病毒制造者就会利用这种漏洞,对接收数据的缓冲区长度进行计算分析,从而将自己的病毒代码程序放在发送的数据后面,覆盖的数据正是病毒代码的地址,当操作系统程序执行完毕返回时就会执行病毒代码,造成危害。像“红色代码”、“冲击波”等病毒就是利用该漏洞来攻击计算机。内存损坏漏洞是由已经释放的内存块被重新使用所造成的。特别是在使用微软COM技术时,如果使用对象不加以引用,就很容易造成内存的破坏,导致软件异常而无法继续执行。

2.1 MS08-067漏洞分析

MS08-067是一个具有主动暴露性的高危漏洞,可以造成“远程执行代码”的后果,非常的适合制作网络蠕虫。MS08-067漏洞位于netapi32.dll中,其中NetpwpathCanonicalize()函数在解析路径名时存在堆栈上溢的问题,攻击者利用这点来构造路径参数来覆盖函数的返回地址,从而来执行远程代码。攻击者也可以通过RPC发送请求,使svchost.exe产生远程溢出。

以netapi32.dll为例来分析漏洞形成的原因。

从图1中可知,Netapi32.dll!netpwpathcanonicalize函数通过内部函数Canonicalizepathname来处理传入的路径,在Canonicalizepathname函数中出现漏洞溢出。该函数首先把路径中的“/”转换成“\”,然后修改传入路径缓冲区来得到相对的路径。在处理相对路径时,使用两个指针分别指向前一个斜杠和当前的“\”,当扫描到“…\”时,复制从Currentslash开始的数据到Prevslash开始的空间,然后从当前的Prevslash指针减1的位置开始向前搜索来重新定位Prevslash,函数的处理过程如图2所示。

当完成对…\的替换,缓冲区的内容为\a。依照函数的算法,Prevslash减1并开始向前搜索,Prevslash已经向前越过了路径缓冲区的起始地址,导致该函数向堆栈的低地址上溢出,攻击者就可以通过传入已构造的路径数据覆盖掉函数的返回地址来执行代码。

2.2 ARP协议安全漏洞分析

ARP协议的基本功能是通过目的设备的IP地址来查询目的设备的MAC地址从而保证数据通信的正常进行。ARP攻击通过伪造IP地址和MAC地址来实现ARP欺骗,在网络中产生大量的ARP通信数据量来使网络阻塞,进行ARP的重定向和嗅探攻击。利用伪造的MAC地址发送ARP响应数据包,实现对ARP高速缓存的攻击。

当局域网内的某台主机运行了ARP欺骗程序时,就会欺骗到局域网内的所有主机和路由器,让上网的流量都必须通过病毒的主机,从而窃取用户的信息,上网速度也会变慢。由ARP病毒引起的ARP欺骗,中毒的机器会发送虚假的ARP应答包进行ARP欺骗,从而使其它客户机不能获得真实的MAC地址,导致无法上网进行正常的数据通信。病毒的样本由三个组件构成,分别为%windows%\system32\loadhw.exe病毒组件;%windows%\system32\drivers\npf.sys发ARP欺骗包的驱动程序;%windows%\system32\msitinit.dll命令驱动程序发ARP欺骗包的控制者。ARP病毒的运行过程是:首先,LOADHW.EXE执行时会释放npf.sys和msitinit.dll两个组件; 随后npf.sys和msitinit.dll注册为内核级驱动设备:”Netgroup Packet Filter D riner”,msitinit.dll还负责发送一些指令,如发送ARP欺骗包、抓包等指令来操作驱动程序npf.sys; npf.sys负责监护msitinit.dll,并将LOADHW.EXE注册为自启动程序:

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE] DWMYTEST =LOADHW.EXE.

3 漏洞防范措施

系统软件越来越复杂,漏洞也随之越来越多,所受到的攻击也越来越严重,为了创建一个安全健康的操作环境,可以从几个方面来防范,尽可能地阻止外来的攻击。

(1) 对计算机系统漏洞有一个基本的认识,养成定期升级、打补丁的良好习惯。

(2) 用户可以在“开始”菜单中的“Windows update”选项中经常关注最新的更新信息。

(3) 利用任务管理器查看有无异常的程序,及时关闭占用大量内存或CPU时间的服务程序,经常查杀毒。

(4) 对注册表进行备份,或者下载注册表修复程序,一旦发现异常立刻进行修复。

(5) 关闭不需要的系统服务,可以通过“控制面板”——“管理工具”——“服务”来启动服务管理器,根据需要关闭一些不用的服务程序,比如RPC服务。

4 结语

文中仅仅对MS08-067漏洞和ARP协议安全漏洞两种类型的攻击进行了分析,但由于计算机用户所使用的系统及一些主流的路由器防火墙软件都存在着安全漏洞,造成了黑客进行不同类型的攻击,产生巨大的危害。只有全面提高计算机用户的病毒分析与病毒防御技术能力,才能使计算机系统遭受攻击的可能性降低,危害降为最小。

参考文献:

[1] 王雨晨. 系统漏洞原理与常见攻击方法[J]. 计算机工程与应用,2010(3):62-64.

[2] 吴舒平,张玉清. 漏洞库发展现状的研究及启示[J]. 计算机安全, 2010(11): 82-84.

[3] 黄俊强,宋超臣. 一种多方联动的信息系统漏洞应对方案[J]. 信息安全与技术,2014(6):41-43.

猜你喜欢
系统漏洞防范
基于模拟攻击的Windows系统漏洞提权攻击检测方法
计算机系统漏洞与安全防范技术解析
一种基于Android系统漏洞的通用攻击模型
SQL注入防护
浅析防范电能表串户的重要性及方法
也谈国际贸易合同欺诈
从工商管理角度谈如何加强金融风险防范的有效性
计算机系统漏洞与安全防范技术研究
党政机关信息系统等级保护研究