1.偵測Rootkit的方式:
(1)Integrity-Based:將現在的file system、boot records、memory與基準線做比對
(2)Signature-Based:將system processes、executable files與特徵庫做比對
(3)Heuristic/Behavior-Based:根據系統的活動或行為做判斷
(4)Runtime Execution Path Profilling:針對特定路徑中程式的異常行為做比對
(5)Cross View-Based:將system files、processes、registry keys做比對
2.Steganography(資料隱寫術)的分類:
(1)Semagrams:根據型態區分為Visual Semagrams、Text Semagrams
(2)Open Codes:根據排列方式區分為Covered Ciphers(含Null Cipher、Grille Cipher)、Jargon Code
3.圖片隱寫的技巧:
(1)Least Significant Bit(LSB) Insertion
(2)Masking and Filtering
(3)Algorithms and Transformation
4.Malware(惡意程式)以動作區分的類型:
共同目標:建立秘密(covert)通訊的後門
(1)Trojan:
- well-content:不需靠宿主存活
- 目的:隱藏自己
- 特徵:Dropper(藏在特定路徑或檔案)
(2)Virus:
- incomplete code:需靠宿主存活
- 目的:大量複製
- 特徵:改變(alter)宿主code的執行順序
(3)Worm:
- well-content:不需靠宿主存活
- 目的:大量複製
- 特徵:量大
補充資料:恶意代码
5.shrink-wrapped:修改過的惡意元件
6.Malvertising = Malware + Advertising
7.惡意程式常透過切開特徵的方法躲避防毒軟體的檢測。
8.木馬的分類:
(1)Command Shell Trojans:可遠端執行惡意指令
(2)Defacement Trojans:只更改程式的介面
(3)Botnet Trojans:具三層式架構(攻擊發起點、攻擊執行點、受害目標)
(4)Proxy Server Trojans:把受害者的電腦作為proxy讓攻擊者連接
(5)FTP Trojans:在受害者的電腦上安裝FTP Server
(6)VNC Trojans:在受害者的電腦上建立VNC Server的連線
(7)HTTP/HTTPS Trojans:可繞過受害者的防火牆,並建立HTTP(S)傳輸連線
(8)Remote Access Trojans:攻擊者可取得受害者電腦完整GUI介面的存取權限
(9)Covert Channel Trojans:攻擊者與受害者間建立隱蔽的通道傳輸
(10)Notification Trojans:將受害者電腦的資訊回傳給攻擊者
(11)Data Hiding Trojans:加密整個受害者的電腦
補充資料:trojan and backdoor
9.Virus生命週期:
(1)Design:開發virus
(2)Replication:大量複製
(3)Launch:執行惡意動作
(4)Detection:被偵測到惡意的行為
(5)Incorporation:被隔離
(6)Elimination:重寫virus
10.Virus Hoaxes:病毒謠言
11.Ransomware:勒索軟體
12.病毒的分類:
(1)System(Boot) Sector Virus:改變MBR的位置,讓病毒碼優先執行
(2)File and Multipartite Virus:感染可執行檔,或同時感染boot sector與可執行檔
(3)Macro Virus:針對如微軟的Word或Excel的巨集去感染
(4)Cluster Virus:改變路徑的表頭位址,指向到病毒所在的路徑
(5)Stealth/Tunneling Virus:病毒會餵給防毒軟體一個未感染的檔案
(6)Encryption Virus:把檔案做加密
(7)Polymorphic Code:變形病毒,每次感染時會改變一點自己的特徵
(8)Metamorphic Virus:變態病毒,每次改染會改變自己很多的特徵
(9)File Overwriting or Cavity Virus:病毒會插在儲存空間的空隙
(10)Sparse Infector Virus:只會在特定時間點或特定檔案大小時才會去感染
(11)Companion/Camouflage Virus:偽裝成合法的應用程式
(12)Shell Virus:會執行Shell code
(13)File Extension Virus:會隱藏副檔名,如原檔名為virus.txt.vbs,但在微軟系統中只會看到virus.txt
(14)Add-on Virus:不會改變宿主的code
(15)Intrusive Virus:改變宿主部分或全部的code
(16)Direct Action or Transient Virus:感染目標的記憶體,當host code執行時才會發作
(17)Terminate and Stay Resident(TSR) Virus:永久感染目標的記憶體
(18)Cavity Virus:覆寫主機檔案內容,不會增加檔案大小或修改功能
補充資料:認識電腦病毒
13.Sheep Dip Computer:以實際的機器對惡意軟體做動態檢測
14.防毒軟體的偵測方式:
(1)Scanning:掃特徵(signature)
(2)Integrity Checking:檢查系統檔案完整性
(3)Interception:監控有寫入硬碟的行為
(4)Code Emulation:靜態分析(漏報多)
(5)Heuristic Analysis:動態分析(誤報多)
15.Sniffing的關鍵不是在於偷聽(wiretap),而是搶到中間人的好位置。
16.promiscous mode:雜亂模式
17.偷聽從第二層開始,愈底層愈好。
18.DHCPv4、DHCPv6訊息名稱差異:
- DHCPDiscover -> Solicit
- DHCPOffer -> Advertise
- DHCPRequest -> Request, Confirm, Renew, Rebind
- DHCPAck -> Reply
- DHCPRelease -> Release
- DHCPDecline -> Decline
19.Sniffing手法:
(1)Mac Flooding:發送大量偽造的MAC位址給switch使其表溢出,讓switch變成廣播模式。
(2)Arp Spoofing:送出假的ARP回應封包給目標主機,讓對方的流量送至攻擊者主機。
(3)DHCP Attack:先跟DHCP Server拿光IP位址,並取得子網域遮罩、預設閘道,以假冒DHCP Server。
(4)Proxy Server DNS Poisoning:感染目標主機使其走攻擊者架的Proxy。
(5)DNS Cache Poisoning:送偽造的DNS封包給DNS Server,使其記錄下錯誤的Domain Name與IP的對應資料快取。
補充資料:sniffing
20.透過送ping或arp可確認對方是否開啟雜亂模式,若對方有回應received則表示有開啟。
21.社交工程最好下手的目標是那些常抱怨的員工。
22.Impersonation(假冒身份)的類型:
(1)裝可憐
(2)裝大牌
(3)裝技術支援
23.DoS的目標不是打服務,而是打掉對方的網路與資源,進而造成社交攻擊的機會。
24.DoS攻擊手法:
(1)Bandwidth Attack:發送大量ICMP ECHO封包。
(2)Service Request Floods:要求對方回應自己快速發出的所有requests。
(3)SYN Flooding:送出大量SYN封包,讓對方一直等待到記憶體用盡。
(4)ICMP Flood Attack:送出大量假地址的ICMP封包給對方,使其回應給假地址,造成放大效果。
(5)Peer-to-Peer Attack:利用DC++(Direct Connect)埠打DoS。
(6)Permanent Denial-of-Service Attack:針對硬體做攻擊。
(7)Application-Level Flood Attack:針對應用層發起的攻擊。
(8)Distributed Reflection DoS(DRDoS):假冒對方身份向其他主機發出某種類型封包,讓其他主機回應給對方。
補充資料:DoS與DDoS
25.透過異常行為檢測DoS的方法:
(1)定行為的正常值
(2)分時、分段
(3)改變點的偵測
26.Session Hijacking通常會搭配DoS增加搶到的機率。搶的時機點應在user session id建立後。
27.搶Session ID的方法:
(1)XSS:利用使用者對於網站本身的信任
(2)CSRF:利用使用者對於瀏覽器的信任
(3)Session Replay:重送在使用者認證過程中攔截到的token
28.Session Fixation(Session固定攻擊):強迫使用者使用被指定的session,如透過釣魚信件誘騙點擊。
補充資料:Session固定攻擊
課外筆記內容:
1.資料隱寫術隱藏的效果排序:
黑白圖片 > 彩色圖片 > 高頻音訊
2.SIV(System Integrity Verifiers):定期從系統檔案的hash值去判斷是否有遭置換,若有,則以原系統檔案覆蓋掉。
3.Port號分類:
(1)Well known:保留給公共服務。0~1023
(2)Registered:保留給Vender服務。1024~49151
(3)Private:爽爽用。49152~65535
4.惡意軟體檢測是否處於虛擬環境的方式是透過偵測主機網卡、CPU。
5.壓縮檔設密碼即可阻止防毒軟體偵測。
如欲閱讀後續筆記,請見CEH v9 (Certifed Ethical Hacker) 課堂筆記
沒有留言:
張貼留言