俗话说,苍蝇不叮无缝的蛋。针对这种现象有人解释:鸡蛋裂缝后很容易就会坏掉,产生异味。与苍蝇而言,异味的鸡蛋正式它的食粮,于是苍蝇就不请而至。万事万物,皆有因,果正如苍蝇和蛋的故事,信息安全中,因为信息系统存在着大大小小,或明或暗的安全漏洞,那些* * *者可都是一些嗅觉灵敏的“苍蝇”,要防范* * *,则需要查找自身存在的漏洞,及时进行修补,才能够避免被“叮”咬。
安全漏洞的实例
<强>案例1:微软漏洞强>
在上一篇中有介绍过震网事件,美国的病毒专家正是利用了Windows系统多个漏洞,达到* * * * * *的效果。上篇中未对技术细节做展开,本篇就在此稍作展开,以让深入了解* * *的原理。
漏洞1:快捷方式文件解析漏洞(ms10 - 046)
窗口在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。* * *者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备
一旦发现,就将快捷方式文件和DLL文件拷贝到其中。