漏洞攻擊技術論文

漏洞攻擊技術論文

　　隨著互聯網的迅速發展，漏洞攻擊已成為了一種最廣泛的攻擊方式，下面是小編精心推薦的一些漏洞攻擊技術論文，希望你能有所感觸!

　　漏洞攻擊技術論文篇一

　　計算機系統漏洞攻擊及防范研究

　　摘要：隨著互聯網的迅速發展，系統漏洞攻擊已成為了一種最廣泛的攻擊方式，該文對計算機系統漏洞攻擊進行了分析，并提出了病毒防范的建議，從而達到提高計算機用戶安全工作環境的目的。

　　關鍵詞：系統漏洞;漏洞攻擊;防范

　　中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2015)27-0035-02

　　Abstract： With the rapid development of the Internet， the system has become the most widely used attack mode， this paper analyzes the computer system vulnerabilities， and puts forward some suggestions to prevent the virus， so as to achieve the purpose of improving the safety working environment of computer users.

　　Key words： system vulnerability; vulnerability attack; prevention

　　1 引言

　　隨著互聯網的迅速發展，人們在工作和生活中也越來越依賴于網絡，這對病毒的傳播提供了更快、更廣的途徑。計算機病毒不僅是對計算機系統造成危害，而且對計算機用戶的隱私數據信息造成威脅，因此每一位計算機用戶都應該對計算機病毒有所了解，掌握基本的病毒防御措施，提高自己的網絡安全意識。

　　2 系統漏洞攻擊介紹

　　計算機系統漏洞是指在硬件、軟件及協議的實現中存在的缺陷，黑客利用這種缺陷產生相應危害的攻擊。隨著互聯網的快速發展，計算機的廣泛應用，操作系統的漏洞已經被越來越多的黑客所利用，計算機遭受的攻擊也越來越頻繁。系統漏洞主要分為緩沖區溢出漏洞和內存損壞漏洞。緩沖區溢出漏洞是最常見、最典型的漏洞之一，緩沖區是一個有限的數據存儲區域，當某個程序存儲于緩沖區的數據大于緩沖區的容量時就會發生溢出，溢出的數據到相鄰的內存地址，病毒制造者就會利用這種漏洞，對接收數據的緩沖區長度進行計算分析，從而將自己的病毒代碼程序放在發送的數據后面，覆蓋的數據正是病毒代碼的地址，當操作系統程序執行完畢返回時就會執行病毒代碼，造成危害。像“紅色代碼”、“沖擊波”等病毒就是利用該漏洞來攻擊計算機。內存損壞漏洞是由已經釋放的內存塊被重新使用所造成的。特別是在使用微軟COM技術時，如果使用對象不加以引用，就很容易造成內存的破壞，導致軟件異常而無法繼續執行。

　　2.1 MS08-067漏洞分析

　　MS08-067是一個具有主動暴露性的高危漏洞，可以造成“遠程執行代碼”的后果，非常的適合制作網絡蠕蟲。MS08-067漏洞位于netapi32.dll中，其中NetpwpathCanonicalize()函數在解析路徑名時存在堆棧上溢的問題，攻擊者利用這點來構造路徑參數來覆蓋函數的返回地址，從而來執行遠程代碼。攻擊者也可以通過RPC發送請求，使svchost.exe產生遠程溢出。

　　以netapi32.dll為例來分析漏洞形成的原因。

　　從圖1中可知，Netapi32.dll!netpwpathcanonicalize函數通過內部函數Canonicalizepathname來處理傳入的路徑，在Canonicalizepathname函數中出現漏洞溢出。該函數首先把路徑中的“/”轉換成“\”，然后修改傳入路徑緩沖區來得到相對的路徑。在處理相對路徑時，使用兩個指針分別指向前一個斜杠和當前的“\”，當掃描到“…\”時，復制從Currentslash開始的數據到Prevslash開始的空間，然后從當前的Prevslash指針減1的位置開始向前搜索來重新定位Prevslash，函數的處理過程如圖2所示。

　　當完成對’…\’的替換，緩沖區的內容為’\a’。依照函數的算法，Prevslash減1并開始向前搜索，Prevslash已經向前越過了路徑緩沖區的起始地址，導致該函數向堆棧的低地址上溢出，攻擊者就可以通過傳入已構造的路徑數據覆蓋掉函數的返回地址來執行代碼。

　　2.2 ARP協議安全漏洞分析

　　ARP協議的基本功能是通過目的設備的IP地址來查詢目的設備的MAC地址從而保證數據通信的正常進行。ARP攻擊通過偽造IP地址和MAC地址來實現ARP欺騙，在網絡中產生大量的ARP通信數據量來使網絡阻塞，進行ARP的重定向和嗅探攻擊。利用偽造的MAC地址發送ARP響應數據包，實現對ARP高速緩存的攻擊。

　　當局域網內的某臺主機運行了ARP欺騙程序時，就會欺騙到局域網內的所有主機和路由器，讓上網的流量都必須通過病毒的主機，從而竊取用戶的信息，上網速度也會變慢。由ARP病毒引起的ARP欺騙，中毒的機器會發送虛假的ARP應答包進行ARP欺騙，從而使其它客戶機不能獲得真實的MAC地址，導致無法上網進行正常的數據通信。病毒的樣本由三個組件構成，分別為%windows%\system32\loadhw.exe病毒組件;%windows%\system32\drivers\npf.sys發ARP欺騙包的驅動程序;%windows%\system32\msitinit.dll命令驅動程序發ARP欺騙包的控制者。ARP病毒的運行過程是：首先，LOADHW.EXE執行時會釋放npf.sys和msitinit.dll兩個組件; 隨后npf.sys和msitinit.dll注冊為內核級驅動設備：”Netgroup Packet Filter D riner”，msitinit.dll還負責發送一些指令，如發送ARP欺騙包、抓包等指令來操作驅動程序npf.sys; npf.sys負責監護msitinit.dll，并將LOADHW.EXE注冊為自啟動程序：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE] DWMYTEST =LOADHW.EXE.

　　3 漏洞防范措施

　　系統軟件越來越復雜，漏洞也隨之越來越多，所受到的攻擊也越來越嚴重，為了創建一個安全健康的操作環境，可以從幾個方面來防范，盡可能地阻止外來的攻擊。

　　(1) 對計算機系統漏洞有一個基本的認識，養成定期升級、打補丁的良好習慣。

　　(2) 用戶可以在“開始”菜單中的“Windows update”選項中經常關注最新的更新信息。

　　(3) 利用任務管理器查看有無異常的程序，及時關閉占用大量內存或CPU時間的服務程序，經常查殺毒。

　　(4) 對注冊表進行備份，或者下載注冊表修復程序，一旦發現異常立刻進行修復。

　　(5) 關閉不需要的系統服務，可以通過“控制面板”――“管理工具”――“服務”來啟動服務管理器，根據需要關閉一些不用的服務程序，比如RPC服務。

　　4 結語

　　文中僅僅對MS08-067漏洞和ARP協議安全漏洞兩種類型的攻擊進行了分析，但由于計算機用戶所使用的系統及一些主流的路由器防火墻軟件都存在著安全漏洞，造成了黑客進行不同類型的攻擊，產生巨大的危害。只有全面提高計算機用戶的病毒分析與病毒防御技術能力，才能使計算機系統遭受攻擊的可能性降低，危害降為最小。

　　參考文獻：

　　[1] 王雨晨. 系統漏洞原理與常見攻擊方法[J]. 計算機工程與應用，2010(3)：62-64.

　　[2] 吳舒平，張玉清. 漏洞庫發展現狀的研究及啟示[J]. 計算機安全， 2010(11)： 82-84.

　　[3] 黃俊強，宋超臣. 一種多方聯動的信息系統漏洞應對方案[J]. 信息安全與技術，2014(6)：41-43.

點擊下頁還有更多>>>漏洞攻擊技術論文