惡意代碼及防護技術(I)匯總課件

第11講惡意代碼及防護技術楊明紫金學院計算機系網絡信息安全11/12/2022第11講惡意代碼及防護技術楊明網絡信息安全11/10/21內容惡意代碼的概念計算機病毒反病毒技術內容惡意代碼的概念2網絡攻擊技術演變趨勢圖網絡攻擊技術演變趨勢圖3惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計算機系統中實施破壞或竊取信息分類依附性傳播方式自我復制惡意代碼的概念定義依附性傳播方式自我復制4惡意代碼的主要功能收集你的相關信息誘騙訪問惡意網站刪除敏感信息監(jiān)視鍵盤竊取文件開啟后門（肉雞）作為網絡傳播的起點隱藏在主機上的所有活動

惡意代碼的主要功能收集你的相關信息誘騙訪問惡意網站刪除敏感信5常見的惡意代碼種類惡意代碼類型主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊擴散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念11/12/2022常見的惡意代碼種類主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊6惡意代碼的危害攻擊系統，造成系統癱瘓或操作異常；危害數據文件的安全存儲和使用；泄露文件、配置或隱私信息；肆意占用資源，影響系統或網絡的性能；攻擊應用程序，如影響郵件的收發(fā)。惡意代碼的危害攻擊系統，造成系統癱瘓或操作異常；7惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/12/2022惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/10/20228計算機病毒定義計算機病毒能夠尋找宿主對象，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產生的根源炫耀、玩笑、惡作劇或是報復各種矛盾激化、經濟利益驅使計算機系統的復雜性和脆弱性網絡戰(zhàn)“震網”病毒計算機病毒定義9計算機病毒的特征主要特征宿主性：依附在另一個程序上隱蔽性：長期隱藏，條件觸發(fā)傳染性：自我復制，感染其他程序破壞性：執(zhí)行惡意的破壞或惡作劇、消耗資源變異性：逃避反病毒程序的檢查計算機病毒的特征主要特征10計算機病毒的發(fā)展簡史1998CIH病毒1998年盜版光盤破壞硬盤數據2000愛蟲病毒2000年電子郵件傳播自身并破壞數據文件2002SQL蠕蟲王2003年利用SQLserver2000遠程堆棧緩沖區(qū)溢出漏洞通過網絡傳播公用互聯網絡癱瘓20042004年利用windows的LSASS中存在一個緩沖區(qū)溢出漏洞進行傳播傳播自身，癱瘓網絡，破壞計算機系統震蕩波20062006年利用所有成熟的網頁掛馬、U盤ARP欺騙、網絡共享傳播自身，破壞用戶數據，組建僵尸網絡熊貓燒香20082008年利用flash漏洞等第三方應用程序漏洞掛馬傳播傳播自身，攻擊安全軟件，組建僵尸網絡，盜取賬號牟利木馬群計算機病毒的發(fā)展簡史1998CIH病毒1998年2000愛蟲11宏病毒特點利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執(zhí)行程序宏病毒感染文檔，而不是可執(zhí)行代碼宏病毒是平臺無關的宏病毒容易傳染電子郵件不同類型的宏自動執(zhí)行：normal.dot，啟動自動宏：打開/關閉文檔、創(chuàng)建、退出宏命令宏病毒特點12宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒宏病毒的基本機制11/12/2022宏病毒有毒文件.docNormal.dot激活autoope13病毒的傳播途徑病毒的傳播途徑14計算機病毒的工作原理計算機病毒的結構引導模塊設法獲得被執(zhí)行的機會，獲取系統的控制權以引導其他模塊進行工作。傳染模塊完成計算機病毒的繁殖和傳播觸發(fā)模塊是毒破壞行動是否執(zhí)行的決定者破壞模塊具體負責破壞活動的執(zhí)行計算機病毒的工作原理計算機病毒的結構15病毒的基本工作機制被感染程序執(zhí)行病毒的基本工作機制被感染程序執(zhí)行16計算機病毒的引導機制基本方法主動型（也稱為隱蔽型或技術型）被動型（也稱為公開型或欺騙型）計算機病毒的引導過程駐留內存：病毒若要發(fā)揮其破壞作用，一般要駐留內存。有的病毒不駐留內存。竊取系統控制權：病毒駐留內存后，必須取代或擴充系統的原有功能，并竊取系統的控制權。隱蔽等待觸發(fā)：此后病毒隱蔽自己，等待時機，在條件成熟時，再進行傳染和破壞。計算機病毒的引導機制基本方法17計算機病毒的寄生對象計算機病毒的寄生對象磁盤的引導扇區(qū)和特定文件（EXE、COM等可執(zhí)行程序DLL、DOC、HTML等經常使用的文件中計算機病毒的寄生對象計算機病毒的寄生對象18常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導扇區(qū)或者文件中的原有內容。鏈接法病毒程序將自身插入到原有內容的首部、尾部或者中間，和原有內容鏈接為一個整體。常用的寄生方式替代法19病毒的活動過程潛伏階段病毒是空閑的觸發(fā)階段病毒被某個事件激活包括日期、某個程序運行、中斷調用、啟動次數等繁殖階段復制病毒、傳染其他程序執(zhí)行階段執(zhí)行某種有害或無害的功能盜竊、破壞數據信息、破壞硬件設備、耗費系統資源、產生視覺/聽覺效果等病毒的活動過程潛伏階段20計算機病毒的過去與現在自我復制和傳播，破壞電腦功能和數據，甚至破壞硬件，影響電腦正常使用病毒技術本身沒有突破，和以前的病毒沒有本質區(qū)別技術目的從炫技、惡作劇、仇視破壞到貪婪依托互聯網，集團化運作，以經濟利益作為唯一目標通過磁盤、光盤、電子郵件、網絡共享等方式傳播危害的表象：一個電腦病毒感染數千萬臺電腦，橫行全球，破壞用戶系統(CIH、梅麗莎、沖擊波、尼姆達等等)生產、傳播、破壞的流程完全互聯網化，組成分工明確、日趨成熟的病毒產業(yè)鏈；各種基礎互聯網應用都成為病毒入侵通道，其中“網頁掛馬”最常見，占總量90%以上。傳播途徑計算機病毒的過去與現在自我復制和傳播，破壞電腦功能和數據病毒21計算機病毒的防護病毒的預防病毒的檢測病毒的清除計算機病毒的防護病毒的預防22病毒的防范病毒的防范預防為主、治療為輔防范措施安裝真正有效的防殺計算機病毒軟件不要隨便直接運行或直接打開電子函件中夾帶的附件文件安裝網絡服務器時應保證沒有計算機病毒存在一定要用硬盤啟動網絡服務器病毒的防范病毒的防范23病毒的防范注意病毒傳入途徑終端漏洞導致病毒傳播郵件接收導致病毒傳播外部帶有病毒的介質直接接入網絡導致病毒傳播內部用戶繞過邊界防護措施，直接接入因特網導致病毒被引入網頁中的惡意代碼傳入病毒的防范注意病毒傳入途徑24反病毒技術特征掃描的方法根據提取的病毒特征，查找計算機中是否有文件存在相同的感染特征。內存掃描程序盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內存中隱藏自己。內存掃描程序可以直接搜索內存，查找病毒代碼。完整性檢查器

記錄計算機在未感染狀態(tài)可執(zhí)行文件和引導記錄的信息指紋，將這一信息存放在硬盤的數據庫中，并根據需要進行匹配測試，判斷文件是否被病毒感染。反病毒技術特征掃描的方法25反病毒技術行為監(jiān)視器

行為監(jiān)視器又叫行為監(jiān)視程序，它是內存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監(jiān)視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續(xù)。CPU仿真器或虛擬機一個可執(zhí)行文件中的指令先由仿真器來解釋，而不是直接由底層的處理器解釋。使用虛擬機技術，是目前較為前沿的一種反病毒技術。以程序在執(zhí)行過程是否具有感染行為作為依據來判斷該程序是否是病毒，查毒準確率幾乎可達100％。反病毒技術行為監(jiān)視器26防病毒軟件防病毒軟件瑞星、360安全衛(wèi)士、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山防病毒網關保護網絡入口的防病毒網關保護郵件器的防病毒網關防病毒軟件防病毒軟件27反病毒產品發(fā)展180s末－90s初，病毒數量激增，硬件防病毒卡出現290s中殺防集成化，90s末出現實時防毒的反病毒軟件32000年前后，出現集中控制分布處理的網絡殺毒軟件42003年左右，出現具備防毒功能的硬件網關設備52008年以后，出現基于云計算的云殺毒服務反病毒產品發(fā)展180s末－90s初，病毒數量激增，硬件防病毒28小結惡意代碼的概念定義和分類計算機病毒定義與特征結構與工作原理反病毒技術病毒的檢測反病毒軟件小結惡意代碼的概念29第11講惡意代碼及防護技術楊明紫金學院計算機系網絡信息安全11/12/2022第11講惡意代碼及防護技術楊明網絡信息安全11/10/230內容惡意代碼的概念計算機病毒反病毒技術內容惡意代碼的概念31網絡攻擊技術演變趨勢圖網絡攻擊技術演變趨勢圖32惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計算機系統中實施破壞或竊取信息分類依附性傳播方式自我復制惡意代碼的概念定義依附性傳播方式自我復制33惡意代碼的主要功能收集你的相關信息誘騙訪問惡意網站刪除敏感信息監(jiān)視鍵盤竊取文件開啟后門（肉雞）作為網絡傳播的起點隱藏在主機上的所有活動

惡意代碼的主要功能收集你的相關信息誘騙訪問惡意網站刪除敏感信34常見的惡意代碼種類惡意代碼類型主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊擴散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念11/12/2022常見的惡意代碼種類主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊35惡意代碼的危害攻擊系統，造成系統癱瘓或操作異常；危害數據文件的安全存儲和使用；泄露文件、配置或隱私信息；肆意占用資源，影響系統或網絡的性能；攻擊應用程序，如影響郵件的收發(fā)。惡意代碼的危害攻擊系統，造成系統癱瘓或操作異常；36惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/12/2022惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/10/202237計算機病毒定義計算機病毒能夠尋找宿主對象，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產生的根源炫耀、玩笑、惡作劇或是報復各種矛盾激化、經濟利益驅使計算機系統的復雜性和脆弱性網絡戰(zhàn)“震網”病毒計算機病毒定義38計算機病毒的特征主要特征宿主性：依附在另一個程序上隱蔽性：長期隱藏，條件觸發(fā)傳染性：自我復制，感染其他程序破壞性：執(zhí)行惡意的破壞或惡作劇、消耗資源變異性：逃避反病毒程序的檢查計算機病毒的特征主要特征39計算機病毒的發(fā)展簡史1998CIH病毒1998年盜版光盤破壞硬盤數據2000愛蟲病毒2000年電子郵件傳播自身并破壞數據文件2002SQL蠕蟲王2003年利用SQLserver2000遠程堆棧緩沖區(qū)溢出漏洞通過網絡傳播公用互聯網絡癱瘓20042004年利用windows的LSASS中存在一個緩沖區(qū)溢出漏洞進行傳播傳播自身，癱瘓網絡，破壞計算機系統震蕩波20062006年利用所有成熟的網頁掛馬、U盤ARP欺騙、網絡共享傳播自身，破壞用戶數據，組建僵尸網絡熊貓燒香20082008年利用flash漏洞等第三方應用程序漏洞掛馬傳播傳播自身，攻擊安全軟件，組建僵尸網絡，盜取賬號牟利木馬群計算機病毒的發(fā)展簡史1998CIH病毒1998年2000愛蟲40宏病毒特點利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執(zhí)行程序宏病毒感染文檔，而不是可執(zhí)行代碼宏病毒是平臺無關的宏病毒容易傳染電子郵件不同類型的宏自動執(zhí)行：normal.dot，啟動自動宏：打開/關閉文檔、創(chuàng)建、退出宏命令宏病毒特點41宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒宏病毒的基本機制11/12/2022宏病毒有毒文件.docNormal.dot激活autoope42病毒的傳播途徑病毒的傳播途徑43計算機病毒的工作原理計算機病毒的結構引導模塊設法獲得被執(zhí)行的機會，獲取系統的控制權以引導其他模塊進行工作。傳染模塊完成計算機病毒的繁殖和傳播觸發(fā)模塊是毒破壞行動是否執(zhí)行的決定者破壞模塊具體負責破壞活動的執(zhí)行計算機病毒的工作原理計算機病毒的結構44病毒的基本工作機制被感染程序執(zhí)行病毒的基本工作機制被感染程序執(zhí)行45計算機病毒的引導機制基本方法主動型（也稱為隱蔽型或技術型）被動型（也稱為公開型或欺騙型）計算機病毒的引導過程駐留內存：病毒若要發(fā)揮其破壞作用，一般要駐留內存。有的病毒不駐留內存。竊取系統控制權：病毒駐留內存后，必須取代或擴充系統的原有功能，并竊取系統的控制權。隱蔽等待觸發(fā)：此后病毒隱蔽自己，等待時機，在條件成熟時，再進行傳染和破壞。計算機病毒的引導機制基本方法46計算機病毒的寄生對象計算機病毒的寄生對象磁盤的引導扇區(qū)和特定文件（EXE、COM等可執(zhí)行程序DLL、DOC、HTML等經常使用的文件中計算機病毒的寄生對象計算機病毒的寄生對象47常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導扇區(qū)或者文件中的原有內容。鏈接法病毒程序將自身插入到原有內容的首部、尾部或者中間，和原有內容鏈接為一個整體。常用的寄生方式替代法48病毒的活動過程潛伏階段病毒是空閑的觸發(fā)階段病毒被某個事件激活包括日期、某個程序運行、中斷調用、啟動次數等繁殖階段復制病毒、傳染其他程序執(zhí)行階段執(zhí)行某種有害或無害的功能盜竊、破壞數據信息、破壞硬件設備、耗費系統資源、產生視覺/聽覺效果等病毒的活動過程潛伏階段49計算機病毒的過去與現在自我復制和傳播，破壞電腦功能和數據，甚至破壞硬件，影響電腦正常使用病毒技術本身沒有突破，和以前的病毒沒有本質區(qū)別技術目的從炫技、惡作劇、仇視破壞到貪婪依托互聯網，集團化運作，以經濟利益作為唯一目標通過磁盤、光盤、電子郵件、網絡共享等方式傳播危害的表象：一個電腦病毒感染數千萬臺電腦，橫行全球，破壞用戶系統(CIH、梅麗莎、沖擊波、尼姆達等等)生產、傳播、破壞的流程完全互聯網化，組成分工明確、日趨成熟的病毒產業(yè)鏈；各種基礎互聯網應用都成為病毒入侵通道，其中“網頁掛馬”最常見，占總量90%以上。傳播途徑計算機病毒的過去與現在自我復制和傳播，破壞電腦功能和數據病毒50計算機病毒的防護病毒的預防病毒的檢測病毒的清除計算機病毒的防護病毒的預防51病毒的防范病毒的防范預防為主、治療為輔防范措施安裝真正有效的防殺計算機病毒軟件不要隨便直接運行或直接打開電子函件中夾帶的附件文件安裝網絡服務器時應保證沒有計算機病毒存在一定要用硬盤啟動網絡服務器病毒的防范病毒的防范52病毒的防范注意病毒傳入途徑終端漏洞導致病毒傳播郵件接收導致病毒傳播外部帶有病毒的介質直接接入網絡導致病毒傳播內部用戶繞過邊界防護措施，直接接入因特網導致病毒被引入網頁中的惡意代碼傳入病毒的防范注意病毒傳入途徑53反病毒技術特征掃描的方法根據提取的病毒特征，查找計算機中是否有文件存在相同的感染特征。內存掃描程序盡管病毒可以毫無覺察的