Download
1 / 121
1.21k likes | 1.38k Views
第3章 网络防御技术. 指导教师 : 杨建国. 2013年8月10日. 第3章 网络防御技术. 3 .1 安全架构 3 .2 密码技术 3 .3 防火墙技术 3 .4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术. 3 . 10 可信计算 3 . 11 访问控制机制 3 . 12 计算机取证 3 . 13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计.
E N D
第3章 网络防御技术 指导教师:杨建国 2013年8月10日
第3章 网络防御技术 • 3.1 安全架构 • 3.2 密码技术 • 3.3 防火墙技术 • 3.4 杀毒技术 • 3.5 入侵检测技术 • 3.6 身份认证技术 • 3.7 VPN技术 • 3.8 反侦查技术 • 3.9 蜜罐技术 • 3.10可信计算 • 3.11访问控制机制 • 3.12计算机取证 • 3.13数据备份与恢复 • 3.14 服务器安全防御 • 3.15 内网安全管理 • 3.16 PKI网络安全协议 • 3.17 信息安全评估 • 3.18 网络安全方案设计
数据恢复技术 信息安全专业
硬盘,是指采用金属或玻璃等硬物质为盘体,上面均匀涂满磁性介质用以记录信息的存储媒介。硬盘,是指采用金属或玻璃等硬物质为盘体,上面均匀涂满磁性介质用以记录信息的存储媒介。 硬盘具有高速随机读写的特点,容量大,成本低,关机后仍能保持数据,且稳定性好。因此成为计算机必备的主要存储器。 一、硬盘基础知识
硬盘的发展 硬盘的物理结构 硬盘的逻辑结构 本章主要学习内容
计算机的作用就是存储和计算。数据是信息的表达方式,数据的安全非常重要。计算机的作用就是存储和计算。数据是信息的表达方式,数据的安全非常重要。 存储方式经由早期的打孔机、磁带机,现在普遍使用硬盘机,今后还向光和半导体,甚至生物方面发展。 温彻斯特硬盘技术具有部件全部密封、内部磁片固定并高速旋转、磁片表面光滑、磁头运动悬浮等特点。 1、硬盘的发展
磁盘的内部由磁片、磁头及定位系统、电动机和电子线路组成。磁盘的内部由磁片、磁头及定位系统、电动机和电子线路组成。 2、硬盘的物理结构 • 磁盘数据的存储实际上是根据电磁转换原理而实现的。
软盘划分了18个扇面,而硬盘通常有63个扇面。现代硬盘的扇区已不再等角度划分了。软盘划分了18个扇面,而硬盘通常有63个扇面。现代硬盘的扇区已不再等角度划分了。 最外圈的磁道记为0磁道。 磁盘数据组织图示
3、硬盘的逻辑结构 要组织磁盘上存储的数据,使得可以方便的存储和访问,就要实现数据的定位。 数据的定位主要有两种方式: CHS地址 LBA线性地址 由于硬盘技术和操作系统及存储结构等因素,硬盘容量在不同的发展时期有着不同的硬盘容量限制。
早期硬盘存储空间采用3维地址结构描述: C=Cylinder(柱面。若干盘体重叠,相同的磁道(track上)构成的一个立面体) H=Head(磁头。一张盘有两面(side),每面一个磁头) S=Sector(扇区。盘体上的圆形轨迹为磁道,把磁道等分为若干存储区域) 磁盘的容量=柱面总数×磁头总数×每道扇区总数×每扇区容量(512byte) CHS地址
LBA是逻辑块地址的简称,它是一种线性地址结构,它其实是由CHS计算的扇区编号顺序编址,即0柱0面1扇区为LBA 0扇区。 现在的硬盘厂家为了保持兼容性,仍然提供了虚拟的CHS参数,可在BIOS设置中看到。 对硬盘的数据访问是靠系统调用INT 13H中断程序实现的,它将欲访问的数据地址传递给硬盘接口电路(ATA接口)完成读写操作。 LBA地址
528MB的限制:早期的硬盘的CHS参数被限制为:磁头数最大16,柱面数最大1024,扇区最大63,每扇区字节数为512字节。因此1024×16×63×512B≈528MB528MB的限制:早期的硬盘的CHS参数被限制为:磁头数最大16,柱面数最大1024,扇区最大63,每扇区字节数为512字节。因此1024×16×63×512B≈528MB 8GB容量限制:将柱面数增加到16384,其他不变,共计24bit,则硬盘容量最大为: 16384×16×63×512B≈8.4GB 4、硬盘容量限制
32GB容量限制:硬盘采用了虚拟CHS值,使得柱面数为65535,其他不变,共计26bit,这样,磁盘的总容量最大为:32GB容量限制:硬盘采用了虚拟CHS值,使得柱面数为65535,其他不变,共计26bit,这样,磁盘的总容量最大为: 65535×16×63×512B≈32GB 137G容量限制:由于普遍使用了LBA寻址模式和虚拟CHS参数,将扇区数进一步增加为255,共计28位,将其乘积作为LBA值。这样系统使用28位的LBA参数,约计137GB。 硬盘容量限制
操作系统中数据通常以文件形式存放,所以文件是进行逻辑管理的基本单位。那么文件是如何在磁盘上被组织管理的呢?操作系统中数据通常以文件形式存放,所以文件是进行逻辑管理的基本单位。那么文件是如何在磁盘上被组织管理的呢? 管理组织文件存取的系统称为文件系统。 我们把磁盘划分为多个分区,每个分区可以使用不同的文件系统。我们将学习分区管理方式。 二、硬盘存储结构
硬盘总体存储结构 主引导扇区 主引导记录(MBR) 硬盘分区表(DPT) 扩展分区及虚拟MBR 重建分区表 MBR、逻辑锁、0磁道的损坏与修复 本章主要学习内容
硬盘存取数据的最小单位是扇区,硬盘以扇区为单位来分区,组织数据,在操作系统中不能直接对扇区进行访问。硬盘存取数据的最小单位是扇区,硬盘以扇区为单位来分区,组织数据,在操作系统中不能直接对扇区进行访问。 要对硬盘的底层单位(扇区)进行查看和编辑,就需要专用的工具软件,可完成这项任务的工具有很多,推荐使用的是: Diskedit(DOS) WinHex(Windows) 1、常用编辑软件
Diskedit是Norton公司的DOS工具包中的一个最有用的磁盘编辑工具,由于开发较早,它只能运行在DOS下,支持FAT16、FAT12文件系统,但不能对大于8GB的空间进行操作。Diskedit是Norton公司的DOS工具包中的一个最有用的磁盘编辑工具,由于开发较早,它只能运行在DOS下,支持FAT16、FAT12文件系统,但不能对大于8GB的空间进行操作。 Diskedit是DOS下功能最强大的磁盘编辑器,能够编辑物理/逻辑盘,能按照不同的界面来显示扇区内容,另带有计算器、ASCII码表等实用工具。 WinHex是目前使用最多的一款工具软件,它的功能非常强大,有完善的分区管理和文件管理功能,甚至可以克隆磁盘,支持大硬盘和巨型文件。 WinHex是Win32下最强的十六进制编辑工具,它可以编辑磁盘和内存,可自动分析分区信息,支持对FAT、NTFS、EXT等常见文件系统的分析计算,支持对文件的分割、合并和比较,也能够安全擦除文件。 磁盘编辑工具介绍
我们在新购置一块硬盘后所做的第一件事情就是分区,将硬盘分割为多个独立的空间。这些空间是如何被标记并且被管理的呢?我们在新购置一块硬盘后所做的第一件事情就是分区,将硬盘分割为多个独立的空间。这些空间是如何被标记并且被管理的呢? 主引导扇区位于整个硬盘的最前端,0柱面(道)0磁头(面)1扇区,也就是LBA 0扇区。它占用一个扇区,里面包含MBR(主引导记录)和磁盘分区表(DPT)两大部分。 2、硬盘总体存储结构
在主引导扇区的后面是62个保留扇区,是未用的空白区域。在主引导扇区的后面是62个保留扇区,是未用的空白区域。 从第63个扇区开始(0柱1面1扇)后面的所有空间开始用于分区使用。 整个硬盘的总体结构由主引导扇区、各个分区和未划分空间(如果存在)组成。 3、硬盘总体存储结构
硬盘总体存储结构概览 主引导扇区 62个保留扇区 分区1 分区2 未划分空间 硬盘总存储空间
在分区内部,以常用的FAT文件系统为例,从头依次是引导扇区、FAT1、FAT2、根目录区和数据区。在分区内部,以常用的FAT文件系统为例,从头依次是引导扇区、FAT1、FAT2、根目录区和数据区。 4、FAT16分区内结构概览 FAT1 FAT2 根目录 数据区 保留区 FAT分区 引导扇区
5、主引导扇区 • 主引导扇区位于整个硬盘的第一个扇区,也是计算机启动时首先读入的扇区。它负责完成计算机的引导工作,然后将控制权交给操作系统。 • 它由以下几个部分组成:
主引导扇区图示 MBR 结束标志 DPT
主引导记录所执行的任务是: 依次读取硬盘分区表,寻找激活分区的标志80H 将激活分区的引导扇区送到内存0000:7C00H处 判断是否有分区结束标志55H AAH 若前面的步骤出错,则显示出错信息 若一切顺利,则跳转至内存0000:7C00H处,执行系统引导程序。 MBR通常是固定的,但也可以修改它。 6、主引导记录MBR
硬盘分区表共计64字节,分4项,每项16字节,即最多可以表示4个分区,称为主分区。硬盘分区表共计64字节,分4项,每项16字节,即最多可以表示4个分区,称为主分区。 4个分区不能满足我们的需要。我们采用了扩展分区的技术,使得若干分区组成一个链表,占用一个分区项,称为扩展分区。 在DOS和Windows系统中,分区表通常只占用了两项:主分区和扩展分区。 7、硬盘分区表DPT
主分区表中标明了第一项主分区和第二项扩展分区的起始地址和容量。主分区表中标明了第一项主分区和第二项扩展分区的起始地址和容量。 扩展分区的起始地址非常重要,扩展分区重各逻辑分区的位置计算均是依照它来进行的。 一般硬盘分区组织情况 主分区 扩展分区 分区1 分区2 分区3 分区4 分区5 逻辑分区
在一个磁盘中主分区必须有一个,扩展分区至多有一个。在一个磁盘中主分区必须有一个,扩展分区至多有一个。 扩展分区实际上并不是一个真正的分区,它标明了逻辑分区链表的起始位置和容量。 扩展分区中的起始扇区实际上也是一张分区表,称为扩展分区表。它的引导记录位置全置0或FFH,未用,只包含DPT和结束标记,因此,又称为虚拟MBR。 8、扩展分区
每个逻辑分区都有一张虚拟MBR,其中的分区表项只有两项,其中第一项标记了本逻辑分区的信息,第二项标明在分区链表中下一个分区的虚拟MBR信息。每个逻辑分区都有一张虚拟MBR,其中的分区表项只有两项,其中第一项标记了本逻辑分区的信息,第二项标明在分区链表中下一个分区的虚拟MBR信息。 位于扩展分区链表中的最后一个分区只使用了一个分区项用于标记本逻辑分区信息。 扩展分区的总容量应等于所包含的逻辑分区的容量之和。 9、虚拟MBR
本分区 本分区 本分区 未用 下一分区 下一分区 未用 未用 未用 未用 未用 未用 扩展分区组织图 C盘 D盘 E盘 F盘 扩展分区中的虚拟MBR链表 D E F MBR扇区 62个保留扇区
当主引导扇区的分区表被破坏时,如果没有备份,则需手工重建分区表。重建时需逐次搜寻分区信息,搜索时注意以下几点:当主引导扇区的分区表被破坏时,如果没有备份,则需手工重建分区表。重建时需逐次搜寻分区信息,搜索时注意以下几点: 硬盘分区以扇区为单位,但使用分区工具分区时通常以柱面为边界划分。 引导扇区均位于某柱面的0(或1)磁头,1扇区,且都具有结束标志“55 AA”。 一个柱面包含255磁头×63扇=16065扇区,每扇区512字节,计8225280字节。 10、重建分区表
如果安装了多重引导程序、系统还原程序或是中了引导型病毒,则MBR内容会被修改。如果安装了多重引导程序、系统还原程序或是中了引导型病毒,则MBR内容会被修改。 DOS和Windows系统都提供一个命令来修复MBR。是:fdisk /mbr 当然,最好是将整个主引导扇区进行备份,在需要的时候还原。使用winhex工具,既可以备份在保留扇区中,也可以备份为文件。 11、MBR损坏与修复
逻辑锁故障的原理是将分区链表通过修改链接成环形,导致系统启动检查分区表时陷入死循环。逻辑锁故障的原理是将分区链表通过修改链接成环形,导致系统启动检查分区表时陷入死循环。 不管使用硬盘、光盘、软盘或是其他媒介启动计算机,只要遍历分区表,则都会死锁。 要修复,只有使用特制的启动程序启动,将分区表备份再清零。然后正常启动,用工具修复分区表。 12、逻辑锁故障与修复
0磁道是硬盘最前方的磁道,主引导扇区、第一个分区均位于0磁道,如果0磁道损坏,则无法启动系统。0磁道是硬盘最前方的磁道,主引导扇区、第一个分区均位于0磁道,如果0磁道损坏,则无法启动系统。 只要检查主引导扇区未损坏,则可以通过手工修改分区位置来避开对0磁道的使用。 修改分区表后再重新格式化分区,但使用分区工具的时候会提示分区表有错误,千万不要使用自动纠正功能。 13、0磁道损坏与修复
主引导扇区后面有62个保留扇区,你认为为什么要这样做?(可能的原因)主引导扇区后面有62个保留扇区,你认为为什么要这样做?(可能的原因) 小于137GB的硬盘采用28位LBA地址,如果硬盘容量发展到大于2TB(32位)的时候在分区表中可以如何表示?谈谈你的看法。 如果前两个分区出现了交叉重叠的情况,可能会导致什么样的后果? 思考
计算机除了硬件以外,还必须有软件系统才可以运行,这就是操作系统。不同的操作系统可以支持一个或多个文件系统。计算机除了硬件以外,还必须有软件系统才可以运行,这就是操作系统。不同的操作系统可以支持一个或多个文件系统。 FAT文件系统是我们常用的文件系统,广泛用于个人计算机平台上,现在许多移动存储媒体都支持FAT文件系统格式。 三、FAT文件系统
FAT文件系统简介 簇的概念 FAT文件系统引导扇区 FAT表 簇到扇区的转换 文件目录表FDT FAT32长文件名结构 FAT系统数据恢复 本章主要学习内容
FAT文件系统是一种用于个人计算机小型操作系统的文件管理方案,最初由IBM公司用于DOS操作系统。FAT文件系统是一种用于个人计算机小型操作系统的文件管理方案,最初由IBM公司用于DOS操作系统。 FAT文件系统结构较简单,管理方便,但不具备用于商业系统的安全性、容错性、保密性等特点。 FAT12用于软盘,FAT16用于早期操作系统,FAT32用于现代操作系统。 1、FAT文件系统简介
在FAT32分区内部,由保留扇区、FAT表和数据区三个部分组成。在FAT32分区内部,由保留扇区、FAT表和数据区三个部分组成。 保留扇区是指分区内FAT表之前的扇区,也包括引导扇区。 FAT表通常有两份,系统会同时写入两份,但只会读取第一份的内容。 分区格式化后,首先会创建根目录,因此根目录通常位于数据区首端,也就是标记为0簇的位置。 FAT32分区内结构概览 FAT1 FAT2 数据区 保留区 根目录 FAT32分区 引导扇区
在FAT文件系统中,存储文件的基本单位是簇。一个簇由1~128个扇区组成,但必须是2的n次方倍。在FAT文件系统中,存储文件的基本单位是簇。一个簇由1~128个扇区组成,但必须是2的n次方倍。 软盘的一个簇由一个扇区组成,硬盘分区的簇通常由8个扇区组成,计4KB。 在一个分区中的簇大小是固定的,其大小在引导扇区的BPB(BIOS参数块)中给出。 2、簇
操作系统以簇为单位给文件分配空间,通常每个文件会浪费掉0.5簇空间。操作系统以簇为单位给文件分配空间,通常每个文件会浪费掉0.5簇空间。 如果把簇空间设置的大些,则会造成浪费空间较多,如果簇空间过小,则会造成FAT表增大,使得链表加长,同样会浪费空间,而且使访问速度降低。 簇大小一般由格式化程序自动指定,在32位系统中一般为4KB~16KB。 3、簇大小
FAT文件系统的引导扇区也只有一个扇区,它是由格式化工具生成的。它通常在系统安装时生成,位于该分区的最前端。FAT文件系统的引导扇区也只有一个扇区,它是由格式化工具生成的。它通常在系统安装时生成,位于该分区的最前端。 软盘没有分区表,整个软盘被视为一个分区,软盘的第一个扇区就是系统引导扇区。 引导扇区主要包含BPB(BIOS参数块)、DOS引导记录和结束标识等组成部分。 4、FAT引导扇区结构
FAT32引导扇区图示 跳转指令,跳至引导程序处执行 定义了该分区的重要参数信息 根据分区参数执行系统引导功能 引导扇区结束标志55H AAH
引导扇区的头3个字节是跳转指令,如EB 58则表示跳至当前偏移58H处指令执行。 FAT引导扇区的BPB部分从偏移3开始,存放了关于该分区的重要信息,如大小、位置、卷标等。该部分在格式化时产生。 接下来是引导记录程序(DBR),它在安装系统的时候产生,内容随系统不同而变化。 最后两个字节是引导扇区结束标记。 5、FAT引导扇区分析
FAT32的BPB参数描述-2 • FAT16与FAT32分区的BPB参数在前24H字节内的定义是相同的,后面则不同。详细的BPB参数分析参考教材。
FAT12和16文件系统的起始簇位于数据区,即在FDT(文件根目录表)之后。首簇在该分区中的相对扇区位置为:FAT12和16文件系统的起始簇位于数据区,即在FDT(文件根目录表)之后。首簇在该分区中的相对扇区位置为: 保留扇区数+FAT表扇区数×2+FDT FAT32文件系统没有专门的目录表区,根目录的起始簇号在BPB中给出,因此首簇在分区中相对扇区位置为: 保留扇区数+FAT表扇区数×2(2份FAT表) 6、起始簇位置
使用磁盘编辑工具打开非系统分区,将引导扇区复制(即备份)一份到后一个扇区中。使用磁盘编辑工具打开非系统分区,将引导扇区复制(即备份)一份到后一个扇区中。 修改其BPB参数中的序列号(43H~46H)和卷标(47H~51H) 保存退出,然后打开该分区,观察修改结果。 再次使用磁盘编辑工具,将该分区的引导扇区中的BPB参数部分清零。 保存退出,再次打开该分区,观察修改结果。 使用磁盘编辑工具将该引导扇区还原。 7、引导扇区编辑实验
