第一章 软件安全基本概念

病毒、蠕虫和木马是可导致计算机和计算机上的信息损坏的恶意程序。它们可能使网络和操作系统变慢，危害严重时甚至会完全破坏整个系统，并且，它们还可能基于所驻主机向 周围传播，在更大范围内造成危害。这三种东西都是人为编制出的==恶意代码==，

1.1 病毒与木马

1. 病毒

定义：

计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组==计算机指令或者程序代码==

病毒往往具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，

病毒需要满足两个条件：

1. 它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中

2. 它必须能自我复制

危害：

1. 病毒既可以感染桌面计算机也可以感染网络服务器。

2. 一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。

3. 有些病毒 不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。可能会占用大量的内存

2. 蠕虫

定义：

• 蠕虫(worm)病毒是一种常见的计算机病毒，它利用网络进行复制和传播，传染途径是通过网络和电子邮件。

• 蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或 自身的某些部分到其他的计算机系统中（通常是经过网络连接）。

与病毒的区分：

• 蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破 坏性等等，

• 同时具有自己的一些==特征==，如不利用文件寄生(有的只存在于内存中)，对网络造 成拒绝服务，以及和黑客技术相结合，

区别：

• 普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制；

• 普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。

例子：

1. 震网（Stuxnet）病毒。该病毒于2010年6月首次被检测出来，是第一个专门定向 攻击真实世界中基础（能源）设施的“蠕虫”病毒，

2. （2）比特币勒索病毒。WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病 毒，在2017年5月份爆发。WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传 播的能力，能够在数小时内感染一个系统内的全部电脑。

3. 木马

定义：

• 木马(Trojan Horse)，是指那些表面上是有用的软件、实际目的却是危害计算机安全并 导致严重破坏的计算机程序。

• 它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)， 是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

特点：

• 隐蔽性：指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服 务端即使发现感染了木马，也难以确定其具体位置；

• 非授权：指一旦控制端与服务端 连接后，控制端将窃取到服务端的很多操作权限，如修改文件、修改注册表、控制鼠标、键 盘、窃取信息等等。

区别：

• 不具备传染性，需要将自身伪装起来。打开电子邮件，或者将木马捆绑在软件中

1.2 软件漏洞

1.2.1 漏洞概念

1. 软件安全漏洞

软件缺陷：有些问题可能隐藏的很深，在使用软件的过程中不会轻易体现出来。即使体现出来，它们也 可能只会造成软件崩溃不能运行而已，

软件漏洞：软件中存在的一些问题可以在某种情况下被利用来对用户 造成恶意攻击，如给用户计算机上安装木马病毒，或者直接盗取用户计算机上的秘密信息，

电脑肉鸡：

• 受别人控制的远程电脑。肉鸡可以是各种系统，如windows,linux,unix 等；

• 更可以是一家公司、企业、学校甚至是政府军队的服务器。

• 如果服务器软件存在安全漏 洞，攻击者可以发起“主动”进攻，植入木马，将该服务器变为一个任人宰割的“肉鸡”

2. 漏洞产生的原因

1. 小作坊式地软件开发

2. 赶进度带来的弊端

3. 被轻视地软件安全测试漏洞

4. 淡薄地安全思想

5. 不完善的安全维护

1.2.2 漏洞分类

1. 漏洞分类（按照漏洞生命周期的阶段分类）

1. 0day漏洞：还处于未公开状态的漏洞

2. 1day漏洞：原义是指补丁发布在1天内的漏洞，不过通常指发布补丁时间不长的漏洞。

3. 已公开漏洞：厂商已经发布补丁或修补方法，大多数用户都已打过补丁的漏洞。这类 漏洞从技术上因为已经有防范手段，并且大部分用户已经进行了修补，危害比较小。

2. 漏洞产业链

网络黑客产业链（网络黑产）：他们主要不是为了防堵安全漏洞，而是希望利用漏洞 达成目的。

黑客产业链的运作模式：

• 上游：开发、漏洞挖掘

• 中游：传播漏洞，信息窃取

• 下游：贩卖肉鸡等

1.2.3 漏洞库

1. CVE：通用漏洞列表，它实现了安全漏洞命名机制的规范化和标准化

2. NVD：美国国家漏洞数据库NVD（National Vulnerabilities Database），是美国国家标准与 技术局NIST于2005年创建的。NVD同时收录三个漏洞数据库的信息，CVE漏洞公告、US CERT漏洞公告、US-CERT安全警告，也自己发布的漏洞公告和安全警告，是目前世界上==数据量最大，条目最多的漏洞数据库之一==

3. CNNVD：中国国家信息安全漏洞库CNNVD，隶属于中国信息安全测评中心，是中国信息安全测评中心为 切实履行漏洞分析和风险评估的职能，负责建设运维的国家级信息安全漏洞库，为我国 信息安全保障提供基础服务

4. CNVD：国家信息安全漏洞共享平台CNVD。

5. EDB漏洞库：是CNCERT联 合国内重要信息系统单位、基础电信运营商、网络安全厂商建立的信息安全漏洞信息共享知 识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系

6. 微软安全公告板和微软安全建议

7. 绿盟科技的中文安全漏洞库

1.3 渗透测试

1.3.1 基本概念

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算 机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动 分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用 安全漏洞。

特点

• 渐进的并且逐步深入的过程

• 不影响业务系统正常允许

必要性

• 修金库检测金库的系统

• 更新安全策略和程序，也需要渗透测试

1.3.2 渗透测试方法

1. 黑箱测试：渗透者对系统一无所知

2. 白盒测试：测试者可以获得各种资料

3. 隐秘测试：很少有人知晓