《安全操作系统》PPT课件.ppt

安全操作系统,中国科学技术大学计算机系陈香兰（051287161312）xlanchen助教：裴建国Autumn2008,实验讲解,口令破解，Passwordcracking文件恢复，filerecovery缓冲区溢出系统安全安全审计文件事件审计主机安全审计,文件恢复，filerecovery,实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复,工具,Winhex下载evaluation版：,文件恢复，filerecovery,实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复,Illustrationofaharddisk,cylinder/head/sector,TracksandCylinders,SectorsandClusters,文件恢复，filerecovery,磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复,MBR,IA32IBMPC系统采用MBR分区表方案系统启动时，首先执行ROMBIOS中的固件该固件将会装载（0 x7C00）并执行MBR中的bootloader运行在实模式MBR中的bootloader将查找分区表，找到活动分区，加载该分区启动扇区并执行与FS类型以及OS类型有关通常用来加载OS相关的secondarybootstraploader，例如io.sys,ntldr,关于PC的启动过程，可以参见这里：BootsequenceonstandardPC(IBM-PCcompatible),512字节的MBR446字节的bootloader64字节的分区表2字节的signature：0 xAA55track0,head0,andsector1,演示本机磁盘管理信息,分区表,partitiontable,4项，MBR446字节开始的64个字节，偏移分别Partition10 x01BE(446)Partition20 x01CE(462)Partition30 x01DE(478)Partition40 x01EE(494)每项16个字节,Anexample,分区表项（细）,关于更多的systemid，参考这里,FATPartitionBootSector,BPB,关于Windows95的启动过程，参考这里,找到并加载Io.sys,NTFSPartitionBootSector,关于Windows2000的启动，参见NtldrVista和server2008：winload.exe和WindowsBootManager,找到并加载Ntldr,演示？打开整个磁盘，看分区，MBR,Partitionrecovery,误删一个分区？TestDiskgpart有些磁盘管理工具，在删除分区时，会写覆盖分区前部的几个扇区Windows2000/XP，第一个扇区需要有备份的启动扇区配合恢复病毒？分区时突然掉电/死机？安装或删除多OS之一？,查杀病毒恢复分区表,fdisk/mbr,重新分区？,文件恢复，filerecovery,实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复,FAT基本概念,扇区簇链式存储（显式）FileAllocationTable目录项FAT的备份FAT1和FAT2，大小相等,FAT的格式,最早，FAT12，用12bit对簇寻址4096（000h，001h，FF0hFFFh）4078个可用软盘InitialFAT16，用16bit对簇寻址，65517受限于16位扇区号，分区最大32MBFinalFAT16，1987磁盘技术：可以使用32位的扇区号sectors-per-cluster=64标准扇区大小512字节，簇最大32KB，分区最大2GFAT32，32位，其中28位用来寻簇若32KB的簇，则8TB，理论上受限于bootsector，32位扇区号，实际上最大2TB,FAT表的大小簇数（12/16/32）以扇区为单位向上取整FAT表项的作用（根据表项的编号和表项的值）标明磁盘类型链接一个文件的各个簇标明坏簇和可用簇,FAT表项的值,？不能用作next指针,FAT的第0项首字节标明磁盘类型，参见这里FAT的第1项不用,FAT分区布局,FAT32bootsector,JMP(3),BPB,25个字节,0 x00,OEMNAME(8),512,Sectorspercluster,Bytespersector,Reservedsectorcount,2,0 x10,Maximumnumberofrootdirectoryentries2个字节，最大512FAT12/16,Mediadescriptor参见这里,SectorsperFATforFAT12/16,Hiddensectors,Totalsectors,Numberofheads,Sectorspertrack,#ofFATs,0 x20,Operatingsystembootcode,ExtendedBPB，forFAT12/16,0 x20,Physicaldrivenumber,serialnumber,Totalsectors,0 x30,paddedwithblanks,FATtype，补空格，FAT12或16,VolumeLabel,55和AA,Reserved,Extendedbootsignature,0 x1F0,Totalsectors,ExtendedBPB，forFAT32,Operatingsystembootcode,0 x20,Sectors/FAT,0 x30,FATtype，补空格，“FAT32”,VolumeLabel,补空格,55和AA,0 x40,0 x50,serialnumber,Physicaldrivenumber,Reserved,Extendedbootsignature,Version,Clusternumberofrootdirectorystart,Reserved,Sector#ofacopyofthisbootsector,Sector#ofFSInformationSector,FATFlags,0 x1F0,Filesysteminformationsector,Filesysteminformationsector空闲簇的个数；最近分配出去的簇号,FAT各部分的偏移计算,Bootsector：分区的第一个扇区（startsector）FAT表1：Start+#ofReservedSectorsFAT表2：Start+#ofReservedSectorsFAT表大小Dataarea：Start+#ofReserved+(#ofSectorsPerFAT*2),FAT的目录,目录是一个特殊的文件每个目录项32字节名称扩展名属性（archive,directory,hidden,read-only,systemandvolume）创建日期和时间第一个簇的编号大小FAT12/16有专门的根目录区域FAT32的根目录存放在数据区域,EA-Index(usedbyOS/2andNT)inFAT12andFAT16,High2bytesoffirstclusternumberinFAT32,目录格式（8.3entry）,Filename，补空格,8字节,extension,(1),(1),(1),(2),(2),(2),(2),(2),(2),(2),Size，4字节,FirstclusterinFAT12/16；Low2bytesoffirstclusterinFAT32,Lastmodifieddate,Lastmodifiedtime,Lastaccessdate,Createdate,Createtime,Createtime,10ms*(0199),Reserved,FileAttributes,0 x00,0 x10,3字节,文件属性,FAT的长文件名,8.3entry，受限；超过？若干个长文件名目录项（倒序）短文件名目录项一个文件最多20个，可以容纳255个UTF-16字符最后一个有效字符后，填写0 x000 x00，此后填充0 xFF0 xFF,长文件名举例,假设文件名“Filewithverylongfilename.ext”,序列号的最高位（第8位）用作判断该项是否被删除序列号的第7位，用作判断是否最后长文件名的最后一项,演示？格式化FAT32查看FAT找到根目录在根目录下，创建目录、文件；删除；恢复再次格式化；恢复安全删除,文件恢复，filerecovery,实验中用到的工具磁盘相关磁盘物理组织和结构磁盘逻辑组织和结构FAT32文件恢复Ext2文件恢复,Ext2文件恢复,Linux文件系统简介工具Debugfs命令dd;od;fdisk;mkfs.ext2;mount/umount;cd;ls;md5sum;stat;rm;,在linux下查看MBR,一个获得MBR内容的方法ddbs=512count=1if=/dev/hda|od-Ax-tx1z-v在虚拟机中演示,？演示查看硬盘设备文件（/dev目录）磁盘分区(fdisk)，后，再次看硬盘设备文件格式化mkfs.ext2挂载（mount）查看系统中的分区挂载情况编辑（vi）并保存/文件摘要（md5sum）/文件状态（stat）删除文件卸载（umount）/重新挂载为只读debugfs，可读写方式，lsdel/dump文件摘要并比较,Thanks！,Theend.,Thestructureofaharddisk,http:/www.hddtech.co.uk/resource/hard-disk-functionality.htm,NTFS文件系统，基本概念,NTFS简单发展史v1.0withNT3.1,releasedmid-1993v1.1withNT3.5,releasedfall1994v1.2writtenbyNT3.51(mid-1995)andNT4(mid-1996)(occasionallyreferredtoasNTFS4.0,becauseOSversionis4.0)v3.0fromWindows2000(autumn2001;occasionallyNTFSV5.1),WindowsServer2003(spring2003;occasionallyNTFSV5.2),WindowsVista(mid-2005)(occasionallyNTFSV6.0)andWindowsServer2008Thefilesystemspecificationisatradesecret,Metadata，元数据dataaboutdata例如，跟“书”相关的元数据有：作者、出版社、出版日期、版本号、ISBN号等等Metafile，元文件severalfileswhichdefineandorganizethefilesystem常规：不可见,$MFT,DescribesallfilesonthevolumefilenamesTimestampsstreamnameslistsofclusternumberswheredatastreamsresideIndexessecurityidentifiersfileattributeslikereadonly,compressed,encrypted,etc.Foreachfile,afilerecord,MFT的前16项，系统保留第一项与MFT自身相关，MFTrecord第二项与MFT的镜像备份相关，MFTmirrorrecord上述两个文件的位置信息都保存在NTFS分区中的启动扇区中第三项与日志文件有关，用来进行文件,asimplifiedillustrationoftheMFTstructure,文件和文件属性,每个文件都由一组文件属性表示StandardInformation，例如时间戳和链接数AttributeList，用来链接不在MFT中的属性记录FileNameSecurityDescriptor，描述属主信息以及访问控制信息Data，文件数据ObjectIDLoggedToolStreamReparsePoint，用于卷的mount点IndexRootIndexAllocationBitmapVolumeInformation，仅$Volume，卷版本VolumeName，仅$Volume，卷标,用于目录和其他索引,MFTRecordforaSmallFileorDirectory,NTFS分区布局；启动扇区,Bootsector,About12,BPB&ExtendedBPB,