惡意代碼分析和防范

1、關于惡意代碼分析與防范第一張，PPT共四十七頁，創(chuàng)作于2022年6月 請先思考以下3個問題什么是上網安全意識？惡意代碼如何進入我們的計算機？惡意代碼以什么形式存在于我們的計算機中？第二張，PPT共四十七頁，創(chuàng)作于2022年6月 一個每天都要遇到的操作1可移動存儲設備的使用演示U盤的使用過程第三張，PPT共四十七頁，創(chuàng)作于2022年6月 一個每天都要遇到的操作2 一個通過QQ的病毒用來擴散惡意代碼，以創(chuàng)建一個IRC僵尸網絡（感染了60,000臺主機）。請訪問： WW第四張，PPT共四十七頁，創(chuàng)作于2022年6月 一個每天都要遇到的操作3如果您的電腦配有攝像頭，在您使用完攝像頭之后，您會：（ ）拔

2、掉攝像頭，或者將攝像頭扭轉方向（546人，44.1%）無所謂（693人，55.9%） 第五張，PPT共四十七頁，創(chuàng)作于2022年6月 一個每天都要遇到的操作4還有什么？下載軟件的來源：Office文檔、圖片、視頻：設置密碼：第六張，PPT共四十七頁，創(chuàng)作于2022年6月 惡意代碼的基本概念惡意代碼，又稱Malicious Code，或MalCode,MalWare。其是設計目的是用來實現某些惡意功能的代碼或程序。發(fā)展及特征長期存在的根源第七張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒概念臭蟲（bug)生物學中的病毒真的完全不等于嗎?它是計算機上的野生動物第八張，PPT共四十七頁，創(chuàng)作

3、于2022年6月 什么是計算機病毒Virus,拉丁文:毒藥就是一段特殊的小程序, 由于具有與生物學病毒相類似的特征(潛伏性、傳染性、發(fā)作期等)，所以人們就用生物學上的病毒來稱呼它。美國計算機安全專家是這樣定義計 算機病毒的：”病毒程序通過修改其他程序的方法將自己的精確拷貝或可能演化的形式放入其他程序中，從而感染它們”。第九張，PPT共四十七頁，創(chuàng)作于2022年6月 病毒的廣義和狹義定義狹義: 我國出臺的中華人民共和國計算機安全保護條例對病毒的定義如下：“計算機病毒是指編制、或者在計算機程序中插入的，破壞數據、影響計算機使用，并能自我復制的一組計算機指令或者程序片段代碼。” 廣義: 能夠引起計算

4、機故障,破壞計算機數據的程序都統(tǒng)稱為計算機病毒。第十張，PPT共四十七頁，創(chuàng)作于2022年6月 惡意代碼 第十一張，PPT共四十七頁，創(chuàng)作于2022年6月 網絡惡意代碼的分類計算機病毒：一組能夠進行自我傳播、需要用戶干預來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、新歡樂時光、求職信、惡鷹、rose網絡蠕蟲:一組能夠進行自我傳播、不需要用戶干預即可觸發(fā)執(zhí)行的破壞性程序或代碼。其通過不斷搜索和侵入具有漏洞的主機來自動傳播。利用系統(tǒng)漏洞（病毒不需要漏洞）如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波特洛伊木馬：是指一類看起來具有正常功能，但實際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控

5、制端兩端組成。如冰河、網絡神偷、灰鴿子第十二張，PPT共四十七頁，創(chuàng)作于2022年6月 網絡惡意代碼的分類（續(xù)）后門：使得攻擊者可以對系統(tǒng)進行非授權訪問的一類程序。如Bits、WinEggDrop、TiniRootKit：通過修改現有的操作系統(tǒng)軟件，使攻擊者獲得訪問權并隱藏在計算機中的程序。如RootKit、Hkdef、ByShell拒絕服務程序，黑客工具，廣告軟件，間諜軟件流氓軟件第十三張，PPT共四十七頁，創(chuàng)作于2022年6月 幾個容易混淆的分類計算機病毒VS網絡蠕蟲木馬VS后門第十四張，PPT共四十七頁，創(chuàng)作于2022年6月 后門 VS 特洛伊木馬如果一個程序僅僅提供遠程訪問，那么它只是

6、一個后門。如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。木馬是披著羊皮的狼！它對用戶個人隱私造成極大威脅。第十五張，PPT共四十七頁，創(chuàng)作于2022年6月 病毒程序與正常程序的比較 病 毒 程 序其它正常可執(zhí)行程序一般比較小一般比較大并非完整的程序，必須依附在其它程序上是完整的程序，獨立的存在于磁盤上沒有文件名有自己的文件名和擴展名，如COM、EXE有感染性，能將自身復制到其它程序上不能自我復制在用戶完全不知道的情況下執(zhí)行根據用戶的命令執(zhí)行在一定條件下有破壞作用無破壞作用第十六張，PPT共四十七頁，創(chuàng)作于2022年6月 病毒起源探究1949年，馮諾伊曼文章復雜自動裝

7、置的理論及組織的行為中提出一種會自我繁殖的程序的可能，但沒引起注意1960年，美國的約翰康維在編寫生命游戲程序時，首先實現了程序自我復制技術。 1977，科幻小說p-1的青春貝爾實驗室，磁芯大戰(zhàn),達爾文游戲提示:一般認為，計算機病毒的發(fā)源地在美國。第十七張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的發(fā)展DOS階段 視窗階段 宏病毒階段 (演示)互連網階段 網絡、蠕蟲階段Java、郵件炸彈、木馬階段第十八張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的特性傳染性隱藏性潛伏性可觸發(fā)性破壞性不可預見性非授權性第十九張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的分類按存在的

8、媒體：網絡型、文件型、引導型按傳染方式：駐留型、非駐留型按破壞能力：良性（徐明莫言英）、惡性、極惡性按算法：伴隨型、蠕蟲型、寄生型、詭秘型、變型按入侵方式：源代碼嵌入攻擊、代碼取代攻擊、系統(tǒng)修改型、外殼附加型按傳播媒介：單機、網絡第二十張，PPT共四十七頁，創(chuàng)作于2022年6月 病毒的命名：實測比較各種防毒軟件的查毒能力瑞星發(fā)現有拒絕服務的黑客工具瑞星查出有木馬類黑客工具江民防火墻能對UDP協(xié)議的訪問把關，就有能力發(fā)現黑客攻擊的開始踩點瑞星對黑客開后門能有所覺察第二十一張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名DOS病毒命名(一日喪命散、含笑半步顛)1.按病毒發(fā)作癥狀命名：小

9、球 熊貓燒香 花屏病毒 步行者病毒 武漢男孩2.按病毒發(fā)作的時間命名 ：黑色星期五 ；3.按病毒自身包含的標志命名 ：CIH （不是HIV)按病毒發(fā)現地命名：如“黑色星期五”又稱Jurusalem(耶路撒冷)病毒 第二十二張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名4.按病毒發(fā)現地命名 ：Jurusalem(耶路撒冷)病毒，Vienna(維也納)病毒 5.按病毒的字節(jié)長度命名： 以病毒傳染文件時文件的增加長度或病毒自身代碼的長度來命名，如1575、2153、1701、1704、1514、4096 第二十三張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名反病毒公司為了

10、方便管理，會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的。一般格式為：. 第二十四張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。病毒名是指一個病毒的家族特征，是用來區(qū)別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，振蕩波蠕蟲病毒的家族名是“ Sasser ”。 第二十五張，PPT共四十七頁，創(chuàng)作于20

11、22年6月 計算機病毒的命名病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明該病毒生命力頑強），可以采用數字與字母混合表示變種標識。 第二十六張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名1、系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通過這些文件進行傳播

12、。如CIH病毒。2、蠕蟲病毒蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網絡的特性。比如沖擊波（阻塞網絡），小郵差（發(fā)帶毒郵件） 等。第二十七張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名3、木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。 Trojan.QQ3344 ，Hack.Nether.Client 4、腳本病毒：紅色代碼（Script.Redlof，歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c） 第二十八張，PPT共四十七頁，

13、創(chuàng)作于2022年6月 計算機病毒的命名5、宏病毒：宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97，Macro.Melissa 6、后門病毒 后門病毒的前綴是：Backdoor 7、病毒種植程序病毒這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產生破壞。 第二十九張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的命名8破壞性程序病毒 破壞性程序病毒的前綴是：Harm 9玩笑病毒 玩笑病毒的前綴是：Joke。 10捆綁機病毒捆綁機病毒的前綴是：Binder 第三十張，PPT共四十七頁，創(chuàng)作于2022年6月

14、 計算機病毒的命名DoS：會針對某臺主機或者服務器進行DoS攻擊；Exploit：會自動通過溢出對方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個用于Hacking的溢出工具；HackTool：黑客工具，也許本身并不破壞你的機子，但是會被別人加以利用來用你做替身去破壞別人第三十一張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的生命周期 4、發(fā)作階段1、潛伏階段2、傳染階段3、觸發(fā)階段第三十二張，PPT共四十七頁，創(chuàng)作于2022年6月 網絡惡意代碼的運行周期尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身保存線觸發(fā)線第三十三張，PPT共四十七頁，創(chuàng)作

15、于2022年6月 尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身尋找目標本地文件（.exe,.scr,.doc,vbs）可移動存儲設備電子郵件地址遠程計算機系統(tǒng)第三十四張，PPT共四十七頁，創(chuàng)作于2022年6月 尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身主動型程序自身實現病毒，蠕蟲被動型-人為實現物理接觸植入入侵之后手工植入用戶自己下載（姜太公釣魚）訪問惡意

16、網站多用于木馬，后門，Rootkit第三十五張，PPT共四十七頁，創(chuàng)作于2022年6月 尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身主動觸發(fā)蠕蟲各種漏洞（如緩沖區(qū)溢出）惡意網站網頁木馬被動觸發(fā)初次人為觸發(fā)雙擊執(zhí)行，或命令行運行打開可移動存儲設備打開本地磁盤系統(tǒng)重啟后的觸發(fā)各種啟動項（如注冊表，啟動文件）第三十六張，PPT共四十七頁，創(chuàng)作于2022年6月 尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身目標系統(tǒng)之中長期存活于讓自身靜態(tài)存在形式文件（Exe,Dll）啟

17、動項（修改注冊表、各種啟動文件）動態(tài)存在形式進程（自創(chuàng)進程或插入到其他進程之中）服務端口（對外通信）以上也是惡意代碼檢測的基礎和依據所在；而惡意代碼本身也會對文件、啟動項、進程、端口、服務等進行隱藏-即RootKit。第三十七張，PPT共四十七頁，創(chuàng)作于2022年6月 上網安全意識惡意代碼篇尋找目標在目標之中將自身保存惡意代碼執(zhí)行目標系統(tǒng)中的觸發(fā)目標系統(tǒng)之中長期存活于讓自身安裝反病毒軟件和防火墻及時更新系統(tǒng)補丁、病毒庫不訪問惡意網站為系統(tǒng)設置系統(tǒng)密碼離開計算機時鎖定計算機不從不知名網站下載軟件拒絕各種誘惑（如色情）移動存儲設備的可寫開關及時更新系統(tǒng)補丁、病毒庫對系統(tǒng)關鍵程序（如cmd.exe）

18、作權限保護不運行來歷不明文件（包括數據文件）養(yǎng)成安全的移動存儲設備使用習慣定期備份與還原系統(tǒng)關注系統(tǒng)啟動項和系統(tǒng)目錄中的可執(zhí)行文件安裝殺毒軟件，更新病毒庫定期備份與還原系統(tǒng)清除異常系統(tǒng)啟動項與系統(tǒng)目錄異常文件關注異常進程、端口、服務、網絡流量保存線觸發(fā)線存活線第三十八張，PPT共四十七頁，創(chuàng)作于2022年6月 計算機病毒的運行機制三組件：復制傳染、隱藏、破壞運行階段：復制傳播+激活第三十九張，PPT共四十七頁，創(chuàng)作于2022年6月 特洛伊木馬木馬全稱是“特洛伊木馬(Trojan Horse)”，原指古希臘人把士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。在Internet上，木馬指在可從網絡上下載(Download)的應用程序或游戲中，包含了可以控制用戶的計算機系統(tǒng)的程序，這些程序可能造成用戶的系統(tǒng)被破壞，甚至癱瘓。不可以自我復制，需要植入第四十張，PPT共四十七頁，創(chuàng)作于2022年6月 特洛伊木馬的分類及運行機制本地木馬（QQ盜號木馬）網絡木馬（遠程控制-灰鴿子）運行機制：書本+前述代碼運行周期第四十一張，PPT共四十七頁，創(chuàng)作于2022年6月 網頁掛馬網頁掛馬的種類：大家一起來試一下吧。（木馬生成器、卡飯）網頁掛馬的傳播方式網頁掛馬的運行方式網頁掛馬的檢測與防范網頁