網(wǎng)絡計算機病毒(惡意代碼)

惡意代碼防范本次課程主要講解了惡意代碼的產(chǎn)生、發(fā)展史、惡意代碼的危害、惡意代碼示例、病毒木馬后門原理以及如何對惡意代碼進行分析與防御。課程簡介學習完此課程，您將會：了解Windows、Linux系列操作系統(tǒng)中惡意代碼的識別方法及防護措施能運用相關(guān)工具及技術(shù)手段發(fā)現(xiàn)、隔離、清除常見惡意代碼，并能對常見惡意代碼源進行定位熟悉常見惡意代碼主要包括：隱藏賬戶后門、注冊表級后門、Rootkit、遠程控制木馬、鍵盤記錄木馬、網(wǎng)頁木馬、Webshell等學習目標課程目錄4病毒、木馬和后門的原理3惡意代碼的危害特點6惡意代碼防護技術(shù)5惡意代碼分析技術(shù)1惡意代碼的發(fā)展2常見惡意代碼示例51949：馮·諾依曼在《復雜自動機組織論》提出概念1960：生命游戲（約翰·康維

）

磁芯大戰(zhàn)（道格拉斯.麥耀萊、維特.維索斯基、羅伯.莫里斯）1973：真正的惡意代碼在實驗室產(chǎn)生1981年-1982年:在APPLE-II的計算機游戲中發(fā)現(xiàn)Elkcloner

惡意代碼發(fā)展史61986年—第一個PC病毒：Brainvirus1988年—MorrisInternetworm—6000多臺1990年—第一個多態(tài)病毒（躲避病毒查殺）1991年—virusconstructionset-病毒生產(chǎn)機1994年—GoodTimes(joys)1995年—首次發(fā)現(xiàn)macrovirus1996年—netcat的UNIX版發(fā)布（nc）1998年—第一個Javavirus(StrangeBrew)惡意代碼發(fā)展史羅特.莫里斯71998年—netcat的Windows版發(fā)布（nc）1998年—backorifice(BO)/CIH1999年—melissa/worm(macrovirusbyemail)1999年—backorifice(BO)forWIN2k1999年—DOS/DDOS-DenialofServiceTFT/trin001999年—knark內(nèi)核級rootkit(linux)2000年—loveBug(VBScript)2001年—CodeRed–worm(overflowforIIS)2001年—Nimda-worm(IIS/outlook/fileshareetc.)惡意代碼發(fā)展史82002年—setiri后門2002年—SQLslammer(sqlserver)2003年—hydan的steganography工具2003年—MSBlaster/Nachi2004年—MyDoom/Sasser……2006年—熊貓燒香……2010年—Stuxnet(工業(yè)蠕蟲)惡意代碼發(fā)展史9惡意代碼發(fā)展歷史常見惡意代碼示例惡意代碼的危害特點病毒、木馬和后門的原理惡意代碼分析技術(shù)惡意代碼防御技術(shù)惡意代碼和病毒防范10惡意代碼分類分類蠕蟲病毒后門木馬有害工具流氓軟件風險程序其他1011病毒名稱前綴病毒類型TROJ木馬WORM蠕蟲PE文件感染型ADW廣告組件TSPY間諜木馬JS腳本VBSVB腳本PACKER加殼文件BKDR后門程序JOKE玩笑程序EXPL利用漏洞攻擊殺毒軟件對惡意代碼的分類CIH將硬盤

FORMAT!CIH將BIOS給毀了

!1213彩帶病毒14千年老妖15QQ盜號程序16隱藏賬號后門17導出:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5把1f5換成1f4，導入注冊表Netuserguestregbackdoor注銷管理員，用guest+regbackdoor登陸克隆賬號----”禁用”的guest！18路徑：C:\Windows\System32\sethc.exe原理：替換為cmd或其他程序利用方法：遠程桌面下多按幾次shift系統(tǒng)臥底—Shift后門19注冊表項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions新建項：sethc.exe右邊新建字符串鍵值：debugger|數(shù)據(jù)cmd注冊表后門20利用NTFS文件系統(tǒng)特性，將木馬隱藏在正常文件當中，普通手段無法察覺：typecalc.exe>c:\note.txt:alternate.exe啟動木馬的命令：startc:\note.txt:note.exeNTFS數(shù)據(jù)流后門21Gh0st木馬22Gh0st木馬23鍵盤記錄--keyghost24U盤小偷--FlashThiefFlashThief.exe-instalFlashThief.exe–uninstallnetstart"WindowsManagementAcquisition“FlashThief.exe-pathD:\MyFilesFlashThief.exe-size5242880//總文件大小FlashThief.exe-interval5000//檢測移動硬盤時間間隔25隱藏進程—FU_Rootkit26隱藏于硬盤MBR無視重啟、普通格式化、重裝、Ghost最隱蔽后門--Bootkit27網(wǎng)頁木馬—網(wǎng)馬生成器28惡意代碼發(fā)展歷史常見惡意代碼示例惡意代碼的危害特點病毒、木馬和后門的原理惡意代碼分析技術(shù)惡意代碼防御技術(shù)惡意代碼和病毒防范29病毒的傳播方式30病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用占用磁盤空間和對信息的破壞搶占系統(tǒng)資源影響計算機運行速度計算機病毒的兼容性對系統(tǒng)運行的影響計算機病毒給用戶造成嚴重的心理壓力病毒的危害31電子郵件系統(tǒng)漏洞Web瀏覽即時通信文件傳播蠕蟲的傳播方式32嚴重威脅網(wǎng)絡安全

—蠕蟲爆發(fā)占用大量網(wǎng)絡資源，導致網(wǎng)絡癱瘓

—形成危害嚴重的僵尸網(wǎng)絡，被作者用來發(fā)動任何攻擊危害個人信息安全

—泄露個人隱私蠕蟲的危害33漏洞傳播系統(tǒng)漏洞；瀏覽器漏洞(網(wǎng)頁木馬)；其他應用軟件漏洞（PDF、DOC

etc）偽裝傳播捆綁；偽裝成圖片、文本等；合法軟件社會工程電子郵件、論壇、SNS聊天軟件木馬的傳播方式34監(jiān)視用戶的操作

—包括：用戶主機的進程、服務、桌面，鍵盤操作、攝像頭等等竊取用戶隱私

—包括：瀏覽的網(wǎng)頁，聊天記錄，輸入的銀行帳戶密碼，游戲帳戶密碼，竊取用戶敏感文件讓用戶主機執(zhí)行任意指令

—使用戶主機淪為傀儡主機，接受并執(zhí)行控制主機的指令你能做到的木馬都有可能做到木馬的危害35惡意代碼發(fā)展歷史常見惡意代碼示例惡意代碼的危害特點病毒、木馬和后門的原理惡意代碼分析技術(shù)惡意代碼防御技術(shù)惡意代碼和病毒防范361.掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機2.攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權(quán)限(一般為管理員權(quán)限)，獲得一個shell3.復制：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動蠕蟲病毒的一般傳播過程37修改系統(tǒng)修改注冊表啟動項文件關(guān)聯(lián)項系統(tǒng)服務項BHO項將自身添加為服務將自身添加到啟動文件夾修改系統(tǒng)配置文件自動加載服務和進程－病毒程序直接運行嵌入系統(tǒng)正常進程－DLL文件和OCX文件等驅(qū)動－SYS文件病毒自啟動方式38常見的病毒行為自動彈出網(wǎng)頁占用高CPU資源自動關(guān)閉窗口自動終止某些進程無論病毒在系統(tǒng)表現(xiàn)形式如何…我們需要關(guān)注的是病毒的隱性行為！39下載特性自動連接到Internet某Web站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種后門特性開啟并偵聽某個端口，允許遠程惡意用戶來對該系統(tǒng)進行遠程操控信息收集特性收集私人信息，特別是帳號密碼等信息，自動發(fā)送自身隱藏特性使用Rootkit技術(shù)隱藏自身的文件和進程病毒的隱性行為40當病毒感染系統(tǒng)后病毒進程已經(jīng)被系統(tǒng)加載病毒DLL文件已經(jīng)嵌入到正在運行的系統(tǒng)進程中Windows自身的特性：對于已經(jīng)加載的文件無法進行改動操作，從而導致病毒掃描引擎對檢測到的文件無法操作已經(jīng)加載的病毒不包含在損害清除模板(DCT)中少數(shù)病毒會破壞殺軟的防護模塊殺毒軟件的軟肋為什么有的病毒無法被殺毒軟件清除或隔離？41映像劫持(IFEO，ImageFileExecutionOptions），位于注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image映像劫持病毒指病毒通過映像劫持來做文章，表面上看起來是運行了一個程序，實際上病毒已經(jīng)在后臺運行了映像劫持病毒主要通過修改注冊表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionoptions項來劫持正常的程序例如：病毒vires.exe要劫持qq程序，它會在上面注冊表的位置新建一個qq.exe項，再這個項下面新建一個字符串的鍵值debugger內(nèi)容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(這里是病毒藏身的目錄)如果你把該字符串值改為任意的其他值的話，系統(tǒng)就會提示找不到該文件病毒映像劫持技術(shù)42★禁止某些程序的運行每次我們按下CTRL+ALT+DEL鍵時，都會彈出任務管理器，使用映象劫持技術(shù)在我們按下這些鍵的時候可讓它彈出命令提示符窗口：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFile

ExecutionOptions\taskmgr.exe]

“Debugger”=“cmd”

將上面的代碼另存為task_cmd.reg，雙擊導入注冊表病毒映像劫持技術(shù)43防范方法：★權(quán)限限制法如果用戶無權(quán)訪問該注冊表項了，它也就無法修改這些東西了。打開注冊表編輯器，進入：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions選中該項，右鍵—>權(quán)限—>高級，將administrator和system用戶的權(quán)限調(diào)低即可★快刀斬亂麻法打開注冊表編輯器，進入該項，直接刪掉ImageFileExecutionOptions項病毒映像劫持技術(shù)

希臘神話中特洛伊戰(zhàn)爭的故事講到，希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應外合毀滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應外合的工具叫做特洛伊木馬。44特洛伊木馬的典故特洛伊木馬

起源451、非授權(quán)植入目標機器（非正常安裝）2、有一定的隱藏性（很難被發(fā)現(xiàn)）3、實現(xiàn)一定的功能（數(shù)據(jù)竊取或遠程控制）4、有一定的潛伏性（重起后仍存在）5、通過網(wǎng)絡進行控制木馬的特征特洛伊木馬

定義46木馬的結(jié)構(gòu)組成控制模塊隱藏模塊通訊模塊植入模塊啟動模塊功能模塊控制端服務端實現(xiàn)人機圖形界面，完成主要功能利用漏洞或疏忽，完成服務端植入確保木馬的服務端能被正常啟動實現(xiàn)木馬各主要功能的核心模塊對木馬的文件與通訊進行隱藏保護服務端與控制端數(shù)據(jù)、命令傳輸用戶直接攻擊電子郵件文件下載瀏覽網(wǎng)頁+合并文件經(jīng)過偽裝的木馬被植入目標機器47植入-木馬是如何進入系統(tǒng)的特洛伊木馬

植入48作為應用程序啟動作為服務啟動作為驅(qū)動啟動作為其他程序的模塊啟動替代其他程序啟動木馬的啟動特洛伊木馬

啟動49文件功能上傳、下載、刪除、修改、瀏覽、執(zhí)行進程功能瀏覽、啟動、停止進程遠程控制功能關(guān)機、密碼獲取、屏幕截取、輸入截獲等玩笑功能屏幕翻轉(zhuǎn)、光驅(qū)彈出等木馬的功能特洛伊木馬隱藏50匯編寫的小巧木馬國內(nèi)較早的木馬反彈端口的木馬入侵微軟的蠕蟲木馬系統(tǒng)級的后門腳本后門盜竊Windows密碼BO2k,SUB7tiny冰河網(wǎng)絡神偷QazRootkitCmd.aspGina其他典型木馬介紹特洛伊木馬典型木馬51FilemonitorRegmonitorPStoolsSniffer、Port關(guān)聯(lián)異?，F(xiàn)象判斷SoftICE、IDA文件審計注冊表審計進程審計網(wǎng)絡審計異常審計逆向工程如何分析是否中了木馬特洛伊木馬對抗52收集木馬的資料與信息仔細分析木馬的特點制定完備的卸載方案備份系統(tǒng)文件和注冊表卸載檢查木馬是否存在木馬的卸載特洛伊木馬對抗53網(wǎng)銀木馬TrojSpy_Banker.YY1、木馬大小110KB～120KB左右，由VB語言編寫。運行后會在注冊表啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加：

“svchost”=“%SystemDir%\svch0st.exe”這樣每次系統(tǒng)啟動，木馬程序都會自動運行2、監(jiān)視IE瀏覽器訪問的頁面，如果發(fā)現(xiàn)用戶登錄該行網(wǎng)上銀行個人銀行頁面就會彈出偽造的IE窗口，誘騙用戶輸入登錄密碼和支付密碼用戶輸入信息提交后，就會顯示以下內(nèi)容“為了給您提供更加優(yōu)良的電子銀行服務，6月25日我行對電子銀行系統(tǒng)進行了升級。請您務必修改以上信息!”，誘騙用戶再次輸入登錄密碼和支付密碼3、木馬會將竊取到的信息通過郵件發(fā)送到指定郵件地址網(wǎng)銀木馬簡介54網(wǎng)銀大盜的釣魚頁面55網(wǎng)銀木馬TrojSpy_Banker.YY的手工解決方法：1、在注冊表啟動項中刪除以下鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“svchost”=“%SystemDir%\svch0st.exe”

2、搜索硬盤中svch0st.exe文件，并刪除網(wǎng)銀木馬清除方法56也可以借助于安全廠商的專殺工具網(wǎng)銀木馬清除方法57惡意代碼發(fā)展歷史常見惡意代碼示例惡意代碼的危害特點病毒、木馬和后門的原理惡意代碼分析技術(shù)惡意代碼防御技術(shù)惡意代碼和病毒防范58生存技術(shù)主要包括4方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)自動生產(chǎn)技術(shù)反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性，加密技術(shù)是木馬程序保護自身的重要機制。惡意代碼生存技術(shù)59惡意代碼采用反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。目前常用的反跟蹤技術(shù)有兩類：反動態(tài)跟蹤技術(shù)和反靜態(tài)分析技術(shù)。惡意代碼生存技術(shù)-反跟蹤技術(shù)60加密技術(shù)是惡意代碼自我保護的一種手段，加密技術(shù)和反跟蹤技術(shù)的配合使用，使得分析者無法正常調(diào)試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無法抽取特征串。從加密的內(nèi)容上劃分，加密手段分為信息加密、數(shù)據(jù)加密和程序代碼加密三種。惡意代碼生存技術(shù)-加密技術(shù)61利用模糊變換技術(shù)，惡意代碼每感染一個客體對象時，潛入宿主程序的代碼互不相同。目前，模糊變換技術(shù)主要分為5種：指令替換技術(shù)指令壓縮技術(shù)指令擴展技術(shù)偽指令技術(shù)重編譯技術(shù)惡意代碼生存技術(shù)-模糊變換62網(wǎng)絡隱藏加密加殼、反彈端口、端口復用等文件隱藏驅(qū)動過濾、鉤子、劫持系統(tǒng)SSDT等進程隱藏鉤子、dll注入、ActiveX控件等隱藏技術(shù)63利用Hidetool可以輕松在任務管理器中將某些進程隱藏掉進程隱藏--Hidetool64Rootkit是指其主要功能為隱藏其他程式進程的軟件，可能是一個或一個以上的軟件組合；廣義而言，Rootkit也可視為一項技術(shù)。Windows平臺上最早發(fā)現(xiàn)于1999(NTRootkit,Hoglund):不同于病毒非破壞性的信息收集工具通常運行在核心(更易隱藏)通常被黑客手工安裝確保能再次進入系統(tǒng)隱蔽地捕獲密碼，鍵擊等惡意代碼隱蔽技術(shù)-RooTkit技術(shù)65協(xié)議封裝即把一種協(xié)議作為數(shù)據(jù)段放在另一種協(xié)議里端口復用端口復用——對抗防火墻特殊訪問木馬啟動正常訪問常規(guī)服務服務端口HTTPXTrojanHTTP[Trojan]

TCP55:142804:80ESTABLISHED66為了對抗反病毒軟件，木馬采用超級管理技術(shù)對反病毒軟件系統(tǒng)進行拒絕服務攻擊，使反病毒軟件及其他安全防護軟件無法正常運行超級管理技術(shù)67也叫反彈端口技術(shù)指中了木馬程序的服務端（被控端）主動連接客戶端（控制端）端口反向連接技術(shù)68反彈端口X獲取控制端IP一般的木馬無法穿越防火墻上傳控制端的IP被控制端主動連接到控制端某FTP或主頁服務器69惡意代碼發(fā)展歷史常見惡意代碼示例惡意代碼的危害特點病毒、木馬和后門的原理惡意代碼分析技術(shù)惡意代碼防御