惡意代碼分析與防護分析課件

1、惡意代碼分析與防護 第1頁，共58頁。惡意代碼的基本概念惡意代碼，又稱Malicious Code，或MalCode,MalWare。是黑客們編寫的擾亂社會和他人，用來實現(xiàn)某些惡意功能的代碼或程序。第2頁，共58頁。主要內(nèi)容6.1 計算機惡意代碼概述6.2 計算機惡意代碼的主要類型6.3 計算機惡意代碼分析6.4 常見惡意代碼感染跡象與處理6.5 計算機惡意代碼防護6.6 計算機惡意代碼攻防應(yīng)用實例6.7 惡意代碼的防范第3頁，共58頁。 惡意代碼的發(fā)展史惡意代碼經(jīng)過20多年的發(fā)展，破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡(luò)化程度逐步提高，網(wǎng)絡(luò)傳播的惡意代碼對人們?nèi)粘Ｉ钣绊懺絹碓酱蟆?

2、988 年11 月泛濫的Morris蠕蟲，頃刻之間使得6000 多臺計算機（占當(dāng)時Internet 上計算機總數(shù)的10%多）癱瘓，造成嚴(yán)重的后果，并因此引起世界范圍內(nèi)關(guān)注。1998 年CIH病毒造成數(shù)十萬臺計算機受到破壞。1999 年Happy 99、Melissa 病毒大爆發(fā)，Melissa 病毒通過E-mail 附件快速傳播而使E-mail 服務(wù)器和網(wǎng)絡(luò)負(fù)載過重，它還將敏感的文檔在用戶不知情的情況下按地址簿中的地址發(fā)出。2000 年5 月爆發(fā)的“愛蟲”病毒及其以后出現(xiàn)的50 多個變種病毒，是近年來讓計算機信息界付出極大代價的病毒，僅一年時間共感染了4000 多萬臺計算機，造成大約87 億美

3、元的經(jīng)濟損失。第4頁，共58頁。 惡意代碼的發(fā)展史2001 年，國信安辦與公安部共同主辦了我國首次計算機病毒疫情網(wǎng)上調(diào)查工作。結(jié)果感染過計算機病毒的用戶高達(dá)73，其中，感染三次以上的用戶又占59多，網(wǎng)絡(luò)安全存在大量隱患。2001 年8月，“紅色代碼”蠕蟲利用微軟Web 服務(wù)器IIS 4.0 或5.0 中Index服務(wù)的安全漏洞，攻破目標(biāo)機器，并通過自動掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003 年，SLammer 蠕蟲在10 分鐘內(nèi)導(dǎo)致互聯(lián)網(wǎng)90脆弱主機受到感染。同年8月，“沖擊波”蠕蟲爆發(fā)，8天內(nèi)導(dǎo)致全球電腦用戶損失高達(dá)20億美元之多。2004年到2006年，振蕩波蠕蟲、愛情后門、波特

4、后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對網(wǎng)絡(luò)主機進(jìn)行瘋狂傳播，給國家和社會造成了巨大的經(jīng)濟損失。第5頁，共58頁。惡意代碼的主要特征惡意代碼從80 年代發(fā)展至今體現(xiàn)出來的3個主要特征：惡意代碼日趨復(fù)雜和完善：從非常簡單的，感染游戲的Apple II 病毒發(fā)展到復(fù)雜的操作系統(tǒng)內(nèi)核病毒和今天主動式傳播和破壞性極強的蠕蟲。惡意代碼在快速傳播機制和生存性技術(shù)研究取得了很大的成功。惡意代碼編制方法及發(fā)布速度更快：惡意代碼剛出現(xiàn)時發(fā)展較慢，但是隨著網(wǎng)絡(luò)飛速發(fā)展，Internet 成為惡意代碼發(fā)布并快速蔓延的平臺。特別是過去5 年，不斷涌現(xiàn)的惡意代碼，證實了這一點。第6頁，共58頁。惡意代碼的主要特征(續(xù))惡

5、意代碼從80 年代發(fā)展至今體現(xiàn)出來的3個主要特征：從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動攻擊的惡意代碼：惡意代碼的早期，大多數(shù)攻擊行為是由病毒和受感染的可執(zhí)行文件引起的。然而，在過去5 年，利用系統(tǒng)和網(wǎng)絡(luò)的脆弱性進(jìn)行傳播和感染開創(chuàng)了惡意代碼的新紀(jì)元。第7頁，共58頁。惡意代碼的定義 90 年代末，惡意代碼的定義隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸豐富，Grimes 將惡意代碼定義為，經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺計算機系統(tǒng)到另外一臺計算機系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計算機系統(tǒng)完整性的程序或代碼。它包括計算機病毒(Computer Virus)、蠕蟲(Worms)、特洛伊木馬(Trojan Horse

6、)、邏輯炸彈(Logic Bombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(Malicious Scripts)和惡意ActiveX 控件等。由此定義，惡意代碼兩個顯著的特點是：非授權(quán)性和破壞性。 第8頁，共58頁。計算機病毒的命名DOS病毒命名：1.按病毒發(fā)作癥狀命名：小球 熊貓燒香 花屏病毒 步行者病毒 武漢男孩2.按病毒發(fā)作的時間命名 ：黑色星期五 ；3.按病毒自身包含的標(biāo)志命名 ：CIH （不是HIV)按病毒發(fā)現(xiàn)地命名：如“黑色星期五”又稱Jurusalem(耶路撒冷)病毒 第9頁，共58頁。計算機病毒的命名4.按病毒發(fā)現(xiàn)地命名 ：Jur

7、usalem(耶路撒冷)病毒，Vienna(維也納)病毒 5.按病毒的字節(jié)長度命名： 以病毒傳染文件時文件的增加長度或病毒自身代碼的長度來命名，如1575、2153、1701、1704、1514、4096 第10頁，共58頁。計算機病毒的命名反病毒公司為了方便管理，會按照病毒的特性，將病毒進(jìn)行分類命名。雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的。一般格式為：. 第11頁，共58頁。計算機病毒的命名病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Wo

8、rm 等等還有其他的。病毒名是指一個病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，振蕩波蠕蟲病毒的家族名是“ Sasser ”。 第12頁，共58頁。計算機病毒的命名 病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如 Worm.Sasser.b 就是指振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明該病毒生命力頑強），可以采用數(shù)字與字母混合表示變種標(biāo)識。 第13頁，共58頁。計算機病毒的命名1、系統(tǒng)病毒 系統(tǒng)病毒的前綴為：W

9、in32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通過這些文件進(jìn)行傳播。如CIH病毒。2、蠕蟲病毒 蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件） 等。第14頁，共58頁。計算機病毒的命名3、木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。 Trojan.QQ3344 ，Hack.Nether.Client 4、腳本病毒：紅色代碼（Scr

10、ipt.Redlof，歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c） 第15頁，共58頁。計算機病毒的命名5、宏病毒：宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97，Macro.Melissa 6、后門病毒 后門病毒的前綴是：Backdoor 7、病毒種植程序病毒這類病毒的公有特性是運行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。 第16頁，共58頁。計算機病毒的命名8破壞性程序病毒 破壞性程序病毒的前綴是：Harm 9玩笑病毒 玩笑病毒的前綴是：Joke。 10捆綁機病毒捆綁機病毒的前

11、綴是：Binder 第17頁，共58頁。6.2 計算機惡意代碼的主要類型 按傳播方式，惡意代碼可以分成五類：病毒、木馬、蠕蟲、間諜軟件和移動代碼。 第18頁，共58頁。6.2 計算機惡意代碼的主要類型 (1)病毒 病毒一般都具有自我復(fù)制的功能，同時，它們還可以把自己的副本分發(fā)到其他文件、程序或電腦中去。病毒一般鑲嵌在主機的程序中，當(dāng)被感染文件執(zhí)行操作的時候（例如：打開一個文件，運行一個程序，點擊郵件的附件等），病毒就會自我繁殖。 由于設(shè)計者的目的不同，病毒也擁有不同的功能，一些病毒只是用于惡作劇，而另一些則是以破壞為目的，還有一些病毒表面上看是惡作劇病毒，但實際上隱含破壞功能。第19頁，共58

12、頁。 (2)特洛伊木馬 特洛伊木馬從表面上看沒有什么，但是實際上卻隱含著惡意意圖。一類木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時它可以攜帶惡意代碼，還有一類木馬會以一個軟件的身份出現(xiàn)（例如：一個可供下載的游戲），但它實際上是一個竊取密碼的工具。這種病毒通常不容易被發(fā)現(xiàn)，因為它一般是以一個正常的應(yīng)用的身份在系統(tǒng)中運行的。 特洛伊木馬可以分為以下三個模式： 通常潛伏在正常的程序應(yīng)用中，附帶執(zhí)行獨立的惡意操作; 通常潛伏在正常的程序應(yīng)用中，但是會修改正常的應(yīng)用進(jìn)行惡意操作; 完全覆蓋正常的程序應(yīng)用，執(zhí)行惡意操作 。 第20頁，共58頁。完整的木馬程序一般由兩個部份組成：一個是服

13、務(wù)器程序一個是控制器程序“中了木馬”就是指計算機被安裝了木馬的服務(wù)器程序，而擁有控制器程序的人就可以通過網(wǎng)絡(luò)遠(yuǎn)程控制該計算機。監(jiān)聽端口替代系統(tǒng)功能 第21頁，共58頁。 (3)蠕蟲 是一種可以自我復(fù)制的完全獨立的程序，它可以通過信息系統(tǒng)或計算機網(wǎng)絡(luò)進(jìn)行自身傳播。蠕蟲的自我復(fù)制不象其他的病毒，它可以自動創(chuàng)建與它的功能完全相同的副本，并在沒人干涉的情況下自動運行。蠕蟲是通過系統(tǒng)存在的漏洞和設(shè)置的不安全性（例如：設(shè)置共享）來進(jìn)行入侵的。它的自身特性可以使它以及快的速度傳輸（在幾秒中內(nèi)從地球的一端傳送到另一端）。其中比較典型的有Blaster和SQL Slammer。 SQL Slammer (200

14、3年1月) 該病毒利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務(wù)進(jìn)行攻擊，全球超過50萬臺服務(wù)器被攻擊。 第22頁，共58頁。 (4)間諜軟件 “間諜軟件”其實是一個灰色區(qū)域，所以并沒有一個明確的定義。然而，正如同名字所暗示的一樣，它通常被泛泛的定義為從計算機上搜集信息，并在未得到該計算機用戶許可（即用戶不知情的情況下）時便將信息傳遞到第三方的軟件，包括監(jiān)視擊鍵，搜集機密信息（密碼、信用卡號、PIN碼等），獲取電子郵件地址，跟蹤瀏覽習(xí)慣等。間諜軟件還有一個副產(chǎn)品，在其影響下這些行為不可避免的影響網(wǎng)絡(luò)性能，減慢系統(tǒng)速度，進(jìn)而影響整個商業(yè)進(jìn)程。 通常這些信息會被傳給廣

15、告商或其他相關(guān)人員。第23頁，共58頁。 (5)移動代碼 移動代碼是能夠從主機傳輸?shù)娇蛻舳擞嬎銠C上并執(zhí)行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木馬的一部分被傳送到客戶計算機上的。另外，移動代碼可以利用系統(tǒng)的漏洞進(jìn)行入侵，例如非法的數(shù)據(jù)訪問和盜取root帳號。 通常用于編寫移動代碼的工具包括Java applets、ActiveX、JavaScript和VBScript。 移動代碼另外兩個比較常見的名稱是“網(wǎng)頁木馬”或“網(wǎng)頁惡意代碼”。第24頁，共58頁。隨著惡意代碼的不斷進(jìn)化，實際中的許多惡意代碼同時具有多種特征，這樣可以具有更大的威脅性。最典型的是蠕蟲病毒，它是蠕蟲和病毒的混合體，同時具

16、有蠕蟲和病毒的特征。普通病毒蠕蟲存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機第25頁，共58頁。6.3 計算機惡意代碼分析 如何發(fā)現(xiàn)系統(tǒng)中有惡意代碼呢？雖然有許多反病毒工具可以報警，但對于一些新出現(xiàn)的惡意代碼，反病毒軟件也可能暫時無法識別，但我們可以通過一些事先的征兆加以注意。（1） 平時運行正常的計算機突然經(jīng)常性無緣無故地死機（2） 操作系統(tǒng)無法正常啟動（3） 運行速度明顯變慢（4） 正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足問題（5） 無意中要求對U盤進(jìn)行寫操作（6） 以往正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤 （7） 系統(tǒng)文件的時間、日期、大小發(fā)生變化（8） 硬

17、盤讀寫時間明顯增加(頻繁讀寫硬盤)（9） 磁盤空間迅速減少第26頁，共58頁。惡意代碼攻擊機制 惡意代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機制大體相同，其整個作用過程分為6個部分：侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤或U盤往系統(tǒng)上安裝軟件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限才能完成。第27頁，共58頁。惡意代碼攻擊機制 隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會改名

18、、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時，就發(fā)作并進(jìn)行破壞活動。破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。重復(fù)至對新的目標(biāo)實施攻擊過程。第28頁，共58頁。6.4 常見惡意代碼感染跡象與處理（1）禁止使用電腦 危害程度： 感染概率： 現(xiàn)象描述：盡管網(wǎng)絡(luò)流氓們用這一招的不多，但是一旦你中招了，后果真是不堪設(shè)想！瀏覽了含有這種惡意代碼的網(wǎng)頁其后果是：關(guān)閉系統(tǒng)、運行、注銷、注冊表編輯器、DOS程序、運行任何程序被禁止，系統(tǒng)無法進(jìn)入實模式、驅(qū)動器被隱藏。 解決辦法：一般來說上述八大現(xiàn)象你都遇上了的話，

19、基本上系統(tǒng)就給廢了，建議重裝。 第29頁，共58頁。6.4 常見惡意代碼感染跡象與處理（2）格式化硬盤 危害程度： 感染概率： 現(xiàn)象描述：這類惡意代碼的特征就是利用IE執(zhí)行ActiveX的功能，讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網(wǎng)頁，瀏覽器就會彈出一個警告說當(dāng)前的頁面含有不安全的ActiveX，可能會對你造成危害，問你是否執(zhí)行。如果你選擇是的話，硬盤就會被快速格式化，因為格式化時窗口是最小化的，你可能根本就沒注意，等發(fā)現(xiàn)時已悔之晚矣。 解決辦法：除非你知道自己是在做什么，否則不要隨便回答是。該提示信息還可以被修改，如改成Windows正在刪除本機的臨時文件，是否繼續(xù)，所以千萬要注

20、意！此外，將計算機上F、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。 第30頁，共58頁。6.4 常見惡意代碼感染跡象與處理（3）下載運行木馬程序 危害程度： 感染概率： 現(xiàn)象描述：在網(wǎng)頁上瀏覽也會中木馬？當(dāng)然，由于IE5.0本身的漏洞，使這樣的新式入侵手法成為可能，方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞，將木馬放在eml文件里，然后用一段惡意代碼指向它。上網(wǎng)者瀏覽到該惡意網(wǎng)頁，就會在不知不覺中下載了木馬并執(zhí)行，其間居然沒有任何提示和警告！ 解決辦法：第一個辦法是升級您的IE5.0，IE5.0以上版本沒這毛?。淮送?，安裝金山毒霸、Nort

21、on等病毒防火墻，它會把網(wǎng)頁木馬當(dāng)作病毒迅速查截殺。 第31頁，共58頁。6.4 常見惡意代碼感染跡象與處理（4）注冊表的鎖定 危害程度： 感染概率： 現(xiàn)象描述：有時瀏覽了惡意網(wǎng)頁后系統(tǒng)被修改，想要用Regedit更改時，卻發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運行該程序，然后讓你聯(lián)系管理員。解決辦法：能夠修改注冊表的又不止Regedit一個，找一個注冊表編輯器，例如：Reghance。將注冊表中的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值DisableRegistryTools鍵值恢復(fù)為0，即可恢

22、復(fù)注冊表。 第32頁，共58頁。6.4 常見惡意代碼感染跡象與處理（5）默認(rèn)主頁修改 危害程度： 感染概率： 現(xiàn)象描述：一些網(wǎng)站為了提高自己的訪問量和做廣告宣傳，利用IE的漏洞，將訪問者的IE不由分說地進(jìn)行修改。一般改掉你的起始頁和默認(rèn)主頁，為了不讓你改回去，甚至將IE選項中的默認(rèn)主頁按鈕變?yōu)槭У幕疑?。解決辦法：起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain，在右半部分窗口中將Start Page的鍵值改為about:blank即可。同理，展開注冊表到HKEY_CURRENT_USERSoftware

23、MicrosoftInternet ExplorerMain，在右半部分窗口中將Start Page的鍵值改為about:blank即可。 第33頁，共58頁。6.4 常見惡意代碼感染跡象與處理（5）默認(rèn)主頁修改 注意：有時進(jìn)行了以上步驟后仍然沒有生效，估計是有程序加載到了啟動項的緣故，就算修改了，下次啟動時也會自動運行程序，將上述設(shè)置改回來，解決方法如下： 運行注冊表編輯器Regedit.exe，然后依次展開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵，然后將下面的registry.exe子鍵（名字不固定）刪除，最

24、后刪除硬盤里的同名可執(zhí)行程序。退出注冊編輯器，重新啟動計算機，問題就解決了。 第34頁，共58頁。6.4 常見惡意代碼感染跡象與處理（5）默認(rèn)主頁修改 默認(rèn)主頁的修改。運行注冊表編輯器，展開HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain，將DefaultURL子鍵的鍵值中的那些惡意網(wǎng)站的網(wǎng)址改正，或者設(shè)置為IE的默認(rèn)值。 IE選項按鈕失效。運行注冊表編輯器，將HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel中的DWORD值Settin

25、gs=dword:1、Links=dword:1、SecAddSites=dword:1全部改為0，將HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值homepage的鍵值改為0。 第35頁，共58頁。6.4 常見惡意代碼感染跡象與處理（6）篡改IE標(biāo)題欄 危害程度： 感染概率： 現(xiàn)象描述：在系統(tǒng)默認(rèn)狀態(tài)下，由應(yīng)用程序本身來提供標(biāo)題欄的信息。但是，有些網(wǎng)絡(luò)流氓為了達(dá)到廣告宣傳的目的，將串值Windows Title下的鍵值改為其網(wǎng)站名或更多的廣告信息，從而達(dá)到改變IE標(biāo)題欄的目的。

26、非要別人看他的東西，而且是通過非法的修改手段，除了無恥兩個字，再沒有其它形容詞了。 解決辦法：展開注冊表到HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain下，在右半部分窗口找到串值Windows Title，將該串值刪除。重新啟動計算機。 第36頁，共58頁。6.4 常見惡意代碼感染跡象與處理（7）篡改默認(rèn)搜索引擎 危害程度： 感染概率： 現(xiàn)象描述：在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現(xiàn)網(wǎng)絡(luò)搜索，被篡改后只要點擊那個搜索工具按鈕就會鏈接到網(wǎng)絡(luò)注氓想要你去的網(wǎng)站。 解決辦法：運行注冊表編輯器，依次展開HKEY_LO

27、CAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch和HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改為某個搜索引擎的網(wǎng)址即可。 第37頁，共58頁。6.4 常見惡意代碼感染跡象與處理（8）IE右鍵修改 危害程度： 感染概率： 現(xiàn)象描述：有的網(wǎng)絡(luò)流氓為了宣傳的目的，將你的右鍵彈出的功能菜單進(jìn)行了修改，并且加入了一些亂七八糟的東西，甚至為了禁止你下

28、載，將IE窗口中單擊右鍵的功能都屏蔽掉。 解決辦法：1.右鍵菜單被修改。打開注冊表編輯器，找到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt，刪除相關(guān)的廣告條文。 2.右鍵功能失效。打開注冊表編輯器，展開到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions，將其DWORD值NoBrowserContextMenu的值改為0。 第38頁，共58頁。6.4 常見惡意代碼感染跡象與處理（9）篡改地址欄文字 危害程度： 感染概率： 現(xiàn)象描述：

29、中招者的IE地址欄下方出現(xiàn)一些莫名其妙的文字和圖標(biāo)，地址欄里的下拉框里也有大量的地址，并不是你以前訪問過的。 解決辦法：1.地址欄下的文字。在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolBar下找到鍵值LinksFolderName，將其中的內(nèi)容刪去即可。 2.地址欄中無用的地址。在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypeURLs中刪除無用的鍵值即可。 第39頁，共58頁。6.4 常見惡意代碼感染跡象與處理（10）啟動時彈出對話框 危害程度： 感染概率： 現(xiàn)象

30、描述：1.系統(tǒng)啟動時彈出對話框，通常是一些廣告信息，例如歡迎訪問某某網(wǎng)站等等。2.開機彈出網(wǎng)頁，通常會彈出很多窗口，讓你措手不及，惡毒一點的，可以重復(fù)彈出窗口直到死機。 解決辦法：1.彈出對話框。打開注冊表編輯器，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon主鍵，然后在右邊窗口中找到LegalNoticeCaption和LegalNoticeText這兩個字符串，刪除這兩個字符串就可以解決在啟動時出現(xiàn)提示框的現(xiàn)象了。 2.彈出網(wǎng)頁。點擊開始-運行-輸入msconfig,選擇啟動，把里面后綴為url、html

31、、htm的網(wǎng)址文件都勾掉。 。 第40頁，共58頁。6.4 常見惡意代碼感染跡象與處理（11）IE窗口定時彈出 危害程度： 感染概率： 現(xiàn)象描述：中招者的機器每隔一段時間就彈出IE窗口，地址指向網(wǎng)絡(luò)注氓的個人主頁。解決辦法：點擊開始-運行-輸入msconfig,選擇啟動，把里面后綴為hta的都勾掉，重啟。第41頁，共58頁。計算機病毒的防治措施 防毒是主動的，主要表現(xiàn)在監(jiān)測行為的動態(tài)性和防范方法的廣譜性；防毒是從病毒的寄生對象、內(nèi)存駐留方式、傳染途徑等病毒行為入手進(jìn)行動態(tài)監(jiān)測和防范，一方面防止外界病毒向機內(nèi)傳染，另一方面抑制現(xiàn)有病毒向外傳染；防范的目標(biāo)不僅是已知的病毒，而是以現(xiàn)有的病毒機理設(shè)計

32、的一類病毒，包括按現(xiàn)有機理設(shè)計的未來新病毒或變種病毒。 防毒的重點是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防毒的難點就在于如何快速、準(zhǔn)確、有效地識別病毒行為，處理不當(dāng)會帶來“假報警”，就像“狼來的”的寓言一樣，頻頻虛假報警的后果是報警不再引起用戶的警惕。另外，防毒對于不按現(xiàn)有病毒機理設(shè)計的新病毒也可能無能為力。6.5 計算機惡意代碼防護第42頁，共58頁。計算機病毒的防治措施 消毒是被動的，只有發(fā)現(xiàn)病毒后，對其剖析、選取特征串，才能設(shè)計出該“已知”病毒的消毒軟件，但發(fā)現(xiàn)新病毒或變種病毒時，又要對其剖析、選取特征串，才能設(shè)計出新

33、的消毒軟件，它不能檢測和消除研制者未曾見過的“未知”病毒，甚至對已知病毒的特征串稍作改動，就可能無法檢測了這種變種病毒或者在殺毒時會出錯。 被動消除病毒只能治標(biāo)，只有主動預(yù)防病毒才是防治病毒的根本。因此，“預(yù)防勝于治療”。原則上說，計算機病毒防治應(yīng)采取“主動預(yù)防為主，被動處理結(jié)合”的策略，偏廢那一方面都是不應(yīng)該的。 6.5 計算機惡意代碼防護第43頁，共58頁。以防為主、與治結(jié)合、互為補充!防御在病毒尚未入侵或剛剛?cè)肭诌€未發(fā)作時，就進(jìn)行攔截阻擊或立即報警。免疫使正常對象具有免疫力，不再受病毒感染。檢測采用各種檢測方法將病毒識別出來。清除清除受害系統(tǒng)中的病毒，恢復(fù)系統(tǒng)的原始無毒狀態(tài)。6.5 計算

34、機惡意代碼防護第44頁，共58頁。計算機病毒的預(yù)防技術(shù)磁盤引導(dǎo)區(qū)保護加密可執(zhí)行程序 讀寫控制技術(shù)系統(tǒng)監(jiān)控技術(shù)智能判斷型：設(shè)計病毒行為過程判定知識庫，應(yīng)用人工智能技術(shù)，有效區(qū)分正常程序與病毒程序行為，是否誤報警取決于知識庫選取的合理性。缺點：單一的知識庫無法覆蓋所有的病毒行為，如對不駐留內(nèi)存的新病毒，就會漏報。 智能監(jiān)察型：設(shè)計病毒特征庫（靜態(tài)）、病毒行為知識庫（動態(tài)）、受保護程序存取行為知識庫（動態(tài)）等多個知識庫及相應(yīng)的可變推理機。通過調(diào)整推理機，能夠?qū)Ω缎骂愋筒《荆`報和漏報較少。這是未來預(yù)防病毒技術(shù)發(fā)展的方向。 6.5 計算機惡意代碼防護第45頁，共58頁。6.6 計算機惡意代碼攻防應(yīng)用實

35、例（1）SOLA病毒演示、預(yù)防及處理 （2）震蕩波病毒 第46頁，共58頁。6.7 惡意代碼的防范基于主機的基于網(wǎng)絡(luò)的基于主機的惡意代碼防范方法主要包括：基于特征的掃描技術(shù)、校驗和、沙箱技術(shù)和安全操作系統(tǒng)對惡意代碼的防范，等等。第47頁，共58頁。1. 基于特征的掃描技術(shù)基于主機的惡意代碼防范方法是目前檢測惡意代碼最常用的技術(shù)，主要源于模式匹配的思想。掃描程序工作之前，必須先建立惡意代碼的特征文件，根據(jù)特征文件中的特征串，在掃描文件中進(jìn)行匹配查找。用戶通過更新特征文件更新掃描軟件，查找最新的惡意代碼版本。這種技術(shù)廣泛地應(yīng)用于目前的反病毒引擎中 ?；谔卣鞯膾呙杓夹g(shù)主要存在兩個方面的問題它是一種

36、特征匹配算法，對于加密、變形和未知的惡意代碼不能很好地處理；需要用戶不斷升級更新檢測引擎和特征數(shù)據(jù)庫，不能預(yù)警惡意代碼入侵，只能做事后處理。 第48頁，共58頁。2. 校驗和校驗和是一種保護信息資源完整性的控制技術(shù)，例如Hash 值和循環(huán)冗余碼等。只要文件內(nèi)部有一個比特發(fā)生了變化，校驗和值就會改變。未被惡意代碼感染的系統(tǒng)首先會生成檢測數(shù)據(jù)，然后周期性地使用校驗和法檢測文件的改變情況。運用校驗和法檢查惡意代碼有3 種方法：（1）在惡意代碼檢測軟件中設(shè)置校驗和法。對檢測的對象文件計算其正常狀態(tài)的校驗和并將其寫入被查文件中或檢測工具中，而后進(jìn)行比較。（2）在應(yīng)用程序中嵌入校驗和法。將文件正常狀態(tài)的校

37、驗和寫入文件本身中，每當(dāng)應(yīng)用程序啟動時，比較現(xiàn)行校驗和與原始校驗和，實現(xiàn)應(yīng)用程序的自我檢測功能。（3）將校驗和程序常駐內(nèi)存。每當(dāng)應(yīng)用程序開始運行時，自動比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)留保存的校驗和。第49頁，共58頁。校驗和兩個缺點校驗和可以檢測未知惡意代碼對文件的修改，但也有兩個缺點：首先，校驗和法實際上不能檢測文件是否被惡意代碼感染，它只是查找變化。即使發(fā)現(xiàn)惡意代碼造成了文件的改變，校驗和法也無法將惡意代碼消除，也不能判斷究竟被那種惡意代碼感染。其次，惡意代碼可以采用多種手段欺騙校驗和法，使之認(rèn)為文件沒有改變。第50頁，共58頁。3. 沙箱技術(shù)沙箱技術(shù)指根據(jù)系統(tǒng)中每一個可執(zhí)行程序的訪問

38、資源，以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的“沙箱”，限制惡意代碼的運行。每個應(yīng)用程序都運行在自己的且受保護的“沙箱”之中，不能影響其它程序的運行。同樣，這些程序的運行也不能影響操作系統(tǒng)的正常運行，操作系統(tǒng)與驅(qū)動程序也存活在自己的“沙箱”之中。美國加州大學(xué)Berkeley 實驗室開發(fā)了基于Solaris 操作系統(tǒng)的沙箱系統(tǒng)，應(yīng)用程序經(jīng)過系統(tǒng)底層調(diào)用解釋執(zhí)行，系統(tǒng)自動判斷應(yīng)用程序調(diào)用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。第51頁，共58頁。4. 安全操作系統(tǒng)對惡意代碼的防范惡意代碼成功入侵的重要一環(huán)是，獲得系統(tǒng)的控制權(quán)，使操作系統(tǒng)為它分配系統(tǒng)資源。無論哪種惡意代碼，無論要達(dá)到何種惡意目的，都必須具有相應(yīng)的權(quán)限。沒有足夠的權(quán)限，惡意代碼不可能實現(xiàn)其預(yù)定的惡意目標(biāo)，或者僅能夠?qū)崿F(xiàn)其部分惡意目標(biāo)。第52頁，共58頁。基于網(wǎng)絡(luò)的惡意代碼防范方法由于惡意代碼具有相當(dāng)?shù)膹?fù)雜性和行為不確定性，惡意代碼的防范需要多種技術(shù)綜合應(yīng)用，包括惡意代碼監(jiān)測與預(yù)警、惡意代碼傳播抑制、惡意代碼漏洞自動修復(fù)、惡意代碼阻斷等?；诰W(wǎng)絡(luò)的惡意代碼防范方法包括：惡意代碼檢測防御和惡意代碼預(yù)警。其中常見的惡意代碼檢測防御包括：基于GrIDS的惡意代碼檢測、基于PLD硬件的檢測防御、基于HoneyPot的檢測防御和基于CCDC的檢測防御。第53