windows安全原理与技术.docx
《windows安全原理与技术.docx》由会员分享,可在线阅读,更多相关《windows安全原理与技术.docx(16页珍藏版)》请在冰点文库上搜索。
windows安全原理与技术
085155Windows安全原理与技术
学分:
3学时:
48
先修课程:
高级语言程序设计、操作系统
课程性质:
专业选修(限选)课程
适用专业:
信息安全专业
内容简介:
《Windows安全原理与技术》是信息安全专业网络安全方向专业选修(限选)课程。
本课程的目的在于使学生掌握Windows系统内核的基本原理和Windows安全技术。
本课程内容:
WINDOWS系统的内存管理,虚拟内存访问,文件的内存映射;PE文件结构;进程和线程的管理、Win32消息处理、堆栈、动态链接库;活动目录、身份验证、访问控制、文件系统安全、网络传输安全、应用服务安全、组策略、安全配置与分析、安全审核和公钥基础结构等。
参考书:
[1]JeffreyRichter《Windows核心编程》机械工业出版社2000年5月
[2]GregHoglund《Windows内核的安全防护》清华大学出版社2007年4月
[3]CharlesPetzold《Windows程序设计》北京大学出版社2004年5月
[4]刘晖《Windows安全指南》电子工业出版社2008年2月
[5]王轶骏《Windows系统安全原理与技术》清华大学出版社2005-8-1
编写人:
审核人:
课程编号
《Windows安全原理与技术》课程教学大纲
48学时3学分
一、课程的性质、目的及任务
本课程的教学目的是使学生掌握Windows系统内核的基本原理和Windows安全技术。
第一部分是关于Windows系统内核,包括WINDOWS系统的内存管理,虚拟内存访问,文件的内存映射;PE文件结构;进程和线程的管理、Win32消息处理、堆栈、动态链接库。
对Windows系统内核的深入理解是掌握windows安全技术的基础。
第二部分关于Windows系统的安全体系结构和构成组件,内容涵盖了活动目录、身份验证、访问控制、文件系统安全、网络传输安全、应用服务安全、组策略、安全配置与分析、安全审核和公钥基础结构等。
通过本课程的学习,使学生对Windows系统的运行及安全机制有较深入的了解。
二、适用专业
信息安全专业
三、先修课程
高级语言程序设计、操作系统
四、课程的基本要求
1)要求学生有一定的Windows系统编程能力,因为本课会大量涉及到windows系统下的程序,所有的例子都是用c,c++实现,所以同时要求学生有较好的c,c++功底。
2)对计算机体系结构有较好的理解。
在内核编程中会涉及一些底层硬件的知识。
3)对汇编语言有一定的了解。
五、课程的教学内容
第一部分深入了解WINDOWS系统
第1章WINDOWS系统的内存管理
1.1引言
1.2内存管理概述
1.2.1虚拟内存
1.2.2CPU工作模式
1.2.3逻辑、线性和物理地址
1.2.4存储器分页管理机制
1.2.5线性地址到物理地址的转换
1.3虚拟内存访问
1.3.1获取系统信息
1.3.2在应用程序中使用虚拟内存
1.3.3获取虚存状态
1.3.4确定虚拟地址空间的状态
1.3.5改变内存页面保护属性
1.3.6进行一个进程的内存读写
1.4文件的内存映射
1.4.1内存映射API函数
1.4.2用内存映射在多个应用程序之间共享数据
1.4.3用内存映射文件读取大型文件
1.5深入认识指针的真正含义
1.5.1指针的真正本质
1.5.2用指针进行应用程序之间的通信
1.6本章小结
第2章PE文件结构
2.1引言
2.2PE文件格式概述
2.2.1PE文件结构布局
2.2.2PE文件内存映射
2.2.3Big-endian和Little-endian
2.2.43种不同的地址
2.3PE文件结构
2.3.1MS-DOS头部
2.3.2IMAGE_NT_HEADER头部
2.3.3IMAGE_SECTION_HEADER头部
2.4如何获取PE文件中的OEP
2.4.1通过文件读取OEP值
2.4.2通过内存映射读取OEP值
2.4.3读取OEP值方法的测试
2.5PE文件中的资源
2.5.1查找资源在文件中的起始位置
2.5.2确定PE文件中的资源
2.6一个修改PE可执行文件的完整实例
2.6.1如何获得MessageBoxA代码
2.6.2把MessageBoxA()代码写入PE文件的完整实例
2.7本章小结
第3章内核对象
3.1什么是内核对象
3.1.1内核对象的使用计数
3.1.2安全性
3.2进程的内核对象句柄表
3.2.1创建内核对象
3.2.2关闭内核对象
3.3跨越进程边界共享内核对象
3.3.1对象句柄的继承性
3.3.2改变句柄的标志
3.3.3命名对象
3.3.4终端服务器的名字空间
3.3.5复制对象句柄
第4章进程基础知识
4.1编写第一个Windows应用程序
4.1.1进程的实例句柄
4.1.2进程的前一个实例句柄
4.1.3进程的命令行
4.1.4进程的环境变量
4.1.5进程的亲缘性
4.1.6进程的错误模式
4.1.7进程的当前驱动器和目录
4.1.8进程的当前目录
4.1.9系统版本
4.2CreateProcess函数
4.2.1pszApplicationName和pszCommandLine
4.2.2psaProcess、psaThread和binheritHandles
4.2.3fdwCreate
4.2.4pvEnvironment
4.2.5pszCurDir
4.2.6psiStartInfo
4.2.7ppiProcInfo
4.3终止进程的运行
4.3.1主线程的进入点函数返回
4.3.2ExitProcess函数
4.3.3TerminateProcess函数
4.3.4进程终止运行时出现的情况
4.4子进程
4.5枚举系统中运行的进程
第7章线程的基础知识
7.1何时创建线程
7.2何时不能创建线程
7.3编写第一个线程函数
7.4CreateThread函数
7.4.1psa
7.4.2cbStack
7.4.3pfnStartAddr和pvParam
7.4.4fdwCreate
7.4.5pdwThreadID
7.5终止线程的运行
7.5.1线程函数返回
7.5.2ExitThread函数
7.5.3TerminateThread函数
7.5.4在进程终止运行时撤消线程
7.5.5线程终止运行时发生的操作
7.7线程的一些性质
7.7C/C++运行期库的考虑
7.7.1Oops—错误地调用了CreateThread
7.7.2不应该调用的C/C++运行期库函数
7.8对自己的ID概念应该有所了解
第10章内存映射文件
10.1内存映射的可执行文件和DLL文件
10.1.1可执行文件或DLL的多个实例不能共享静态数据
10.1.2在可执行文件或DLL的多个实例之间共享静态数据
10.1.3AppInst示例应用程序
10.2内存映射数据文件
10.2.1方法1:
一个文件,一个缓存
10.2.2方法2:
两个文件,一个缓存
10.2.3方法3:
一个文件,两个缓存
10.2.4方法4:
一个文件,零缓存
10.3使用内存映射文件
10.3.1步骤1:
创建或打开文件内核对象
10.3.2步骤2:
创建一个文件映射内核对象
10.3.3步骤3:
将文件数据映射到进程的地址空间
10.3.4步骤4:
从进程的地址空间中撤消文件数据的映像
10.3.5步骤5和步骤6:
关闭文件映射对象和文件对象
10.3.6文件倒序示例应用程序
10.4使用内存映射文件来处理大文件
10.5内存映射文件与数据视图的相关性
10.6设定内存映射文件的基地址
10.7实现内存映射文件的具体方法
10.8使用内存映射文件在进程之间共享数据
10.9页文件支持的内存映射文件
第11章堆栈
11.1进程的默认堆栈
11.2为什么要创建辅助堆栈
11.2.1保护组件
11.2.2更有效的内存管理
11.2.3进行本地访问
11.2.4减少线程同步的开销
11.2.5迅速释放堆栈
11.3如何创建辅助堆栈
11.3.1从堆栈中分配内存块
11.3.2改变内存块的大小
11.3.3了解内存块的大小
11.3.4释放内存块
11.3.5撤消堆栈
11.3.6用C++程序来使用堆栈
11.4其他堆栈函数
第12章DLL基础
12.1DLL与进程的地址空间
12.2DLL的总体运行情况
12.3创建DLL模块
12.3.1输出的真正含义是什么
12.3.2创建用于非VisualC++工具DLL
12.4创建可执行模块
12.5运行可执行模块
第13章DLL的高级操作技术
13.1DLL模块的显式加载和符号链接
13.1.1显式加载DLL模块
13.1.2显式卸载DLL模块
13.1.3显式链接到一个输出符号
13.2DLL的进入点函数
13.2.1DLL_PROCESS_ATTACH通知
13.2.2DLL_PROCESS_DETACH通知
13.2.3DLL_THREAD_ATTACH通知
13.2.4DLL_THREAD_DETACH通知
13.2.5顺序调用DllMain
13.2.6DllMain与C/C++运行期库
13.3延迟加载DLL
13.4函数转发器
13.5已知的DLL
13.6DLL转移
13.7改变模块的位置
13.8绑定模块
第二部分WINDOWS系统安全与应用
第1章数据安全
1.1NTFS权限简介
1.1.1FAT32和NTFS文件系统对比
1.1.2获得NTFS分区
1.1.2.1将分区格式化为NTFS文件
1.1.2.1系统
1.1.2.2将分区转换为NTFS文件系统
1.2NTFS权限设置
1.2.1设置权限
1.2.2判断有效权限
1.3NTFS权限高级应用
1.3.1权限的继承
1.3.2获取所有权
1.3.3权限设置的注意事项
1.4EFS加密
1.4.1加密和解密文件
1.4.2证书的备份和还原
1.4.2.1证书的备份
1.4.2.2证书的还原
1.4.3EFS的高级用法
1.4.3.1EFS加密文件的共享
1.4.3.2加密可移动存储介质
1.4.3.3使用恢复代理
1.4.3.4EFS的使用注意事项
第2章活动目录
2.1活动目录基础
2.2活动目录的体系结构
2.3活动目录对象
2.4域
2.5站点
2.6活动目录的使用
第3章身份验证
3.1身份验证概述
3.2交互式登录
3.3网络身份验证
3.4NTLM身份验证协议
3.5Kerberos身份验证协议
3.6智能卡
第4章访问控制
4.1访问控制概述
4.2访问控制机制
4.3用户和组基础
4.4内置本地组
4.5默认组成员
4.6默认的访问控制设置
第5章网络传输的安全
5.1网络的不安全性
5.2IPSe
5.3SSL
5.4VPN
第6章组策略
6.1组策略概述
6.2组策略的存储
6.3组策略的配置
6.4组策略的应用
6.5组策略的实现
第7章安全配置与分析
7.1安全配置工具集概述
7.2安全配置工具组件
7.3安全模板管理单元
7.4安全配置和分析管理单元
7.5组策略管理单元的安全设置扩展
7.6Secedit命令
第8章安全审核
8.1Windowsc2000安全审核概述
8.2审核策略的设置
8.3事件日志的管理
第9章公钥基础结构
9.1PKI基础
9.2Windowsc2000中的PKI
9.3使用Windowsc2000中的PKI
第10章WINDOWS系统中的rootkit
10.1攻击者的动机
10.10.1潜行的角色
10.10.2不需潜行的情况
10.2rootkit的定义
10.3rootkit存在的原因
10.3.1远程命令和控制
10.3.2软件窃听
10.3.3rootkit的合法使用
10.4rootkit的存在历史
10.5rootkit的工作方式
10.5.1打补丁
10.5.2复活节彩蛋
10.5.3间谍件修改
10.5.4源代码修改
10.5.5软件修改的合法性
10.6rootkit与其他技术的区别
10.6.1rootkit不是软件利用工具
10.6.2rootkit不是病毒
10.7rootkit与软件利用工具
10.8攻击型rootkit技术
10.8.1HIPS
10.8.2NIDS
10.8.3绕过IDS/IPS
10.8.4绕过取证分析工具
10.9小结
六、学时分配表
内容
讲课
课堂讨论
录像课
实验
实习
上机
小计
Windows系统的内存管理
2
2
PE文件结构
2
2
内核对象
2
2
进程基础知识
2
2
线程的相关知识
4
4
内存映射文件
2
2
堆栈
2
2
动态链接库
4
4
数据安全
2
2
4
活动目录
2
2
身份验证
2
2
访问控制
2
2
网络传输的安全
2
2
4
组策略
2
2
安全审核
2
2
4
公钥基础结构
2
2
4
Windows系统中的rootkit
4
4
合计
40
8
48
七、主要参考书
[1]JeffreyRichter《Windows核心编程》机械工业出版社2000年5月
[2]GregHoglund《Windows内核的安全防护》清华大学出版社2007年4月
[3]CharlesPetzold《Windows程序设计》北京大学出版社2004年5月
[4]刘晖《Windows安全指南》电子工业出版社2008年2月
[5]王轶骏《Windows系统安全原理与技术》清华大学出版社2005-8-1
八、评价方式(包括作业、测验、考试等)
一篇关于Windows内核安全的小论文加系统实现,占30%,考试70%。
九、说明
本大纲同时适合与计算机相关的其他专业。
本课程主要在于多动手,多实践,所给出的参考书中附有代码,可以参考学习。
大纲制定者:
大纲审定者:
大纲批准者:
升级会员 