第06章惡意代碼

第6章惡意代碼惡意代碼造成的經(jīng)濟(jì)損失Windows7蘋(píng)果手機(jī)惡意代碼在安全方面的威脅1991海灣戰(zhàn)爭(zhēng)美國(guó)使伊拉克從第三方買(mǎi)入的打印機(jī)中植入可遠(yuǎn)程控制的惡意代碼，使其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)管理的雷達(dá)預(yù)警系統(tǒng)全面癱瘓。惡意代碼機(jī)理研究未來(lái)惡意代碼的趨勢(shì)中國(guó)首屆網(wǎng)絡(luò)安全宣傳周

2014-11-24-30日北京360展臺(tái)--綿羊墻

綿羊墻（TheWallofSheep）是在西方舉行的各種黑客大會(huì)或安全大會(huì)上經(jīng)常出現(xiàn)的趣味活動(dòng)，源自于黑客大會(huì)的鼻祖Defcon。2002年第十界Defcon大會(huì)的期間，一群參會(huì)的黑客偶然坐到一起，他們想掃描網(wǎng)絡(luò)找出那些使用不安全的口令，用戶密碼上網(wǎng)和收發(fā)電子郵件的人，當(dāng)他們破獲這些人的信息后，會(huì)找一些餐廳用的紙盤(pán)子把這些人的用戶名及其部分密碼寫(xiě)在上面，并將這些紙盤(pán)子貼在墻上，還在墻上寫(xiě)了個(gè)大大的“Sheep”。黑客們這樣做是想教育人們：“你很可能隨時(shí)都被監(jiān)視”。Cookie第6章惡意代碼6.1惡意代碼的概念及關(guān)鍵技術(shù)重點(diǎn)6.2計(jì)算機(jī)病毒6.3木馬6.4蠕蟲(chóng)6.5其他常見(jiàn)惡意代碼國(guó)家互聯(lián)網(wǎng)應(yīng)急中心關(guān)于近期我國(guó)部分網(wǎng)站遭受頁(yè)面劫持情況的提示2015年4月26日以來(lái)，我國(guó)部分網(wǎng)站頁(yè)面被劫持，經(jīng)查是由于境外服務(wù)器對(duì)我國(guó)境內(nèi)部分遞歸域名服務(wù)器投毒所致。被污染域名為，投毒后遞歸域名服務(wù)器上該域名被指向或4或5。此事件發(fā)生后，運(yùn)營(yíng)商積極采取措施，對(duì)被投毒域名指向進(jìn)行刷新或修改，及時(shí)控制了事件的進(jìn)一步擴(kuò)散。至4月30日12時(shí)，仍有少數(shù)遞歸域名服務(wù)器處于被污染狀態(tài)。CNCERT提醒遞歸域名服務(wù)器所有者，采取有效措施，及時(shí)刷新被污染域名，避免給用戶帶來(lái)不便。關(guān)于監(jiān)控設(shè)備存在高危漏洞可被入侵控制并對(duì)外發(fā)動(dòng)網(wǎng)絡(luò)攻擊的情況通報(bào)

2月27日，監(jiān)控設(shè)備存在高危漏洞可被入侵控制并對(duì)外發(fā)動(dòng)網(wǎng)絡(luò)攻擊的安全隱患問(wèn)題引起社會(huì)廣泛關(guān)注。因涉事監(jiān)控設(shè)備在國(guó)內(nèi)，特別是政府機(jī)關(guān)和公共行業(yè)的應(yīng)用較廣泛，存在風(fēng)險(xiǎn)較為嚴(yán)重。

自2013年起，“?？低暋碑a(chǎn)品陸續(xù)被曝光存在多個(gè)嚴(yán)重漏洞。截至2015年3月，國(guó)家信息安全漏洞共享平臺(tái)（以下簡(jiǎn)稱(chēng)“CNVD”）共向“海康威視”的400郵箱通報(bào)了4起高危漏洞事件，主要危害是可獲取后臺(tái)管理權(quán)限或可取得系統(tǒng)服務(wù)器遠(yuǎn)程控制權(quán)限。

最新漏洞[2015-5-15]關(guān)于虛擬機(jī)管理組件QEMU存在VENOM（毒液）高危漏洞的情況公告[2015-04-21]關(guān)于微軟IIS服務(wù)器存在遠(yuǎn)程代碼執(zhí)行漏洞威脅的情況通報(bào)[2015-04-17]Microsoft發(fā)布2015年4月安全更新[2015-04-17]Microsoft發(fā)布2015年4月安全更新6.1惡意代碼的概念及關(guān)鍵技術(shù)6.1.1惡意代碼的概念6.1.2惡意代碼生存技術(shù)6.1.3惡意代碼隱藏技術(shù)6.1.1惡意代碼的概念Grimes惡意代碼概念：經(jīng)過(guò)存儲(chǔ)介質(zhì)和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)系統(tǒng)到另一臺(tái)計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)而破壞計(jì)算機(jī)系統(tǒng)的安全性和完整性的程序或代碼。惡意代碼定義最顯著的兩個(gè)特點(diǎn)：非授權(quán)破壞常見(jiàn)的惡意代碼（3+4）表6-1p134-6.1.1惡意代碼的概念?lèi)阂獯a分類(lèi)：依賴于宿主程序：病毒、邏輯炸彈后門(mén)獨(dú)立于宿主程序：蠕蟲(chóng)和僵尸不進(jìn)行復(fù)制：邏輯炸彈后門(mén)僵尸程序進(jìn)行復(fù)制：病毒和蠕蟲(chóng)-6.1.1惡意代碼的概念?lèi)阂獯a發(fā)展體現(xiàn)的3個(gè)特征：惡意代碼日趨復(fù)雜和完善惡意代碼編制方法和發(fā)布速度更快從病毒->電子郵件蠕蟲(chóng)—>利用系統(tǒng)漏洞主動(dòng)攻擊的惡意代碼6.1.2惡意代碼生存技術(shù)（4種）1）反跟蹤技術(shù)2）加密技術(shù)：3）模糊變換技術(shù)4）自動(dòng)生產(chǎn)技術(shù)6.1.2惡意代碼生存技術(shù)（4種）1）反跟蹤技術(shù)反動(dòng)態(tài)跟蹤：禁止跟蹤中斷、封鎖鍵盤(pán)輸入和屏幕顯示、檢測(cè)（調(diào)試器）跟蹤法、其他反跟蹤技術(shù)。反靜態(tài)跟蹤：對(duì)惡意程序代碼分塊加密執(zhí)行，偽指令法2）加密技術(shù)：與反跟蹤技術(shù)配合使用，使分析者無(wú)法正常調(diào)用和閱讀惡意代碼，從而無(wú)法抽取惡意代碼的特征串，也無(wú)法知道其工作機(jī)理。3）模糊變換技術(shù)指令替換技術(shù)JMPCALL指令壓縮技術(shù)指令擴(kuò)展技術(shù)偽指令技術(shù)重編譯技術(shù)4）自動(dòng)生產(chǎn)技術(shù)計(jì)算機(jī)病毒生產(chǎn)器使得對(duì)計(jì)算機(jī)病毒一無(wú)所知的普通用戶，也能組合出功能各異的計(jì)算機(jī)病毒。6.1.3惡意代碼隱藏技術(shù)本地隱藏文件隱藏惡意代碼文件名改為系統(tǒng)合法程序名；操作系統(tǒng)命令；扇區(qū)標(biāo)記為壞塊隱藏進(jìn)程隱藏附著或替換系統(tǒng)進(jìn)程。網(wǎng)絡(luò)連接隱藏熟知的網(wǎng)絡(luò)端口來(lái)隱藏網(wǎng)絡(luò)連接HTTP80端口編譯器隱藏植入者編譯器開(kāi)發(fā)人員Rootkit隱藏：用戶模式和內(nèi)核模式網(wǎng)絡(luò)隱藏

防火墻和入侵檢測(cè)層的安全機(jī)制：內(nèi)容加密可隱藏通信內(nèi)容，不能隱藏通信狀態(tài)，因此對(duì)傳輸信道的隱藏主要采用隱蔽通道技術(shù)。隱蔽通道技術(shù)分2類(lèi)存儲(chǔ)隱蔽通道時(shí)間隱蔽通道

隱蔽通道分兩類(lèi)存儲(chǔ)隱蔽通道：一個(gè)進(jìn)程可以直接或間接訪問(wèn)某存儲(chǔ)空間，而該存儲(chǔ)空間有可以被另一個(gè)進(jìn)程訪問(wèn)，兩個(gè)進(jìn)程間形成的通道成為存儲(chǔ)隱蔽空間。時(shí)間隱蔽通道：一個(gè)進(jìn)程對(duì)系統(tǒng)性能產(chǎn)生的影響可以被另一個(gè)進(jìn)程觀察到并且可以利用一個(gè)時(shí)間基準(zhǔn)進(jìn)行測(cè)量，這樣形成的信息通道成為時(shí)間隱蔽通道。舉例：發(fā)送進(jìn)程和接收進(jìn)程共享一個(gè)客體，網(wǎng)絡(luò)數(shù)據(jù)包。對(duì)數(shù)據(jù)內(nèi)容的修改對(duì)應(yīng)于存儲(chǔ)隱蔽通道；對(duì)數(shù)據(jù)包順序進(jìn)行編號(hào)或者改變數(shù)據(jù)包的發(fā)送時(shí)間對(duì)應(yīng)于時(shí)間隱蔽通道。6.2計(jì)算機(jī)病毒6.2.1計(jì)算機(jī)病毒概述6.2.2計(jì)算機(jī)病毒防治技術(shù)6.2.1計(jì)算機(jī)病毒概述1）病毒的概念和特征2）病毒的種類(lèi)3）病毒的傳播-病毒的概念和特征概念：計(jì)算機(jī)病毒是一種人為編制的、能夠?qū)τ?jì)算機(jī)正常程序或數(shù)據(jù)文件造成破壞，并且能夠自我復(fù)制的一組指令程序代碼。特征：破壞性傳染性隱蔽性潛伏性多態(tài)性檢測(cè)困難不能通過(guò)掃描特征字符串發(fā)現(xiàn)不可預(yù)見(jiàn)性2）病毒的種類(lèi)按破壞程度強(qiáng)弱分：良性惡性按傳染方式分：文件型病毒引導(dǎo)型病毒按連接方式分：源碼型病毒、嵌入型、操作系統(tǒng)型外殼性3）病毒的傳播網(wǎng)絡(luò)可移動(dòng)存儲(chǔ)設(shè)備通信系統(tǒng)6.2.2計(jì)算機(jī)病毒防治技術(shù)（4）病毒預(yù)防技術(shù)病毒免疫技術(shù)病毒檢測(cè)技術(shù)?反病毒軟件6.2.2計(jì)算機(jī)病毒防治技術(shù)（4）病毒預(yù)防技術(shù)病毒的傳播途徑及預(yù)防措施不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備，包括ROM芯片、專(zhuān)用ASIC芯片和硬盤(pán)：新購(gòu)置可移動(dòng)的存儲(chǔ)設(shè)備。

計(jì)算機(jī)網(wǎng)絡(luò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)

無(wú)線通信網(wǎng)病毒的寄生場(chǎng)所及預(yù)防措施引導(dǎo)扇區(qū)計(jì)算機(jī)文件內(nèi)存空間文件分配表中斷向量病毒的寄生場(chǎng)所及預(yù)防措施引導(dǎo)扇區(qū)計(jì)算機(jī)文件執(zhí)行文件.com.exe；宏命令文件內(nèi)存空間文件分配表FAT

中斷向量病毒程序一般采用中斷方式執(zhí)行，先修改中斷向量，使系統(tǒng)在適當(dāng)?shù)臅r(shí)間轉(zhuǎn)向執(zhí)行病毒程序，在病毒程序完成傳染或破壞目的后，在轉(zhuǎn)回原來(lái)的中斷處理。匯編語(yǔ)言6.2.2-病毒免疫技術(shù)針對(duì)某一種病毒進(jìn)行的免疫方法為首保護(hù)對(duì)象加上特定病毒的感染標(biāo)記（免疫標(biāo)記）缺點(diǎn)：對(duì)不舍又感染標(biāo)記不能達(dá)到免疫目的；對(duì)病毒的變種不再使用感染標(biāo)記或新病毒；病毒種類(lèi)太多；只能組織傳染，不能組織破壞。針對(duì)自我完整性檢查的免疫方法為可執(zhí)行程序增加一個(gè)免疫外殼，在免疫外殼記在有關(guān)用于恢復(fù)自身的信息。免疫外殼先執(zhí)行，檢查程序大小，校驗(yàn)和。。。，沒(méi)有異常，再執(zhí)行該程序。6.2.2-病毒檢測(cè)技術(shù)特征判定技術(shù)靜態(tài)

根據(jù)病毒程序特征(如感染標(biāo)記，特征程序段內(nèi)容等）對(duì)病毒進(jìn)行分類(lèi)，而后在程序運(yùn)行過(guò)程凡有類(lèi)似特征點(diǎn)出現(xiàn)，則認(rèn)定為病毒比較法可能感染對(duì)象vs原始備份掃描法

每種病毒代碼含有的特定字符或字符串特征掃描器：病毒特征碼庫(kù)掃描引擎。校驗(yàn)和法

分析法未知新病毒，對(duì)使用者的要求高行為判定技術(shù)：動(dòng)態(tài)

占用INT13H

：引導(dǎo)型病毒攻擊引導(dǎo)扇區(qū)后，一般占用Int13H

向.com和.exe做寫(xiě)入動(dòng)作病毒和宿主程序的切換6.2.2-反病毒軟件反病毒軟件發(fā)展經(jīng)歷4代：簡(jiǎn)單掃描病毒特征匹配符啟發(fā)式掃描自行發(fā)現(xiàn)規(guī)律，解密；完整的檢查，校驗(yàn)和存儲(chǔ)自駐留型受染文件中病毒的行為而非特征鑒別病毒全面預(yù)防措施一組含有許多和反病毒技術(shù)聯(lián)系的包，包括掃描軟件和主動(dòng)設(shè)置陷阱，訪問(wèn)控制，限制病毒入侵能力6.3木馬6.3.1木馬概述6.3.2木馬的工作原理6.3.3木馬防治技術(shù)6.3.1木馬概述引入：特洛伊木馬vs計(jì)算機(jī)領(lǐng)域木馬：有隱藏性，與遠(yuǎn)程計(jì)算機(jī)連接遠(yuǎn)程機(jī)通過(guò)網(wǎng)絡(luò)控制本地機(jī)的惡意程序木馬與傳統(tǒng)病毒的不同不像感染文件；一般以尋找后門(mén)、竊取密碼和重要文件為主；對(duì)計(jì)算機(jī)進(jìn)行監(jiān)視、控制、查看、修改資料有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。木馬的危害以網(wǎng)絡(luò)為依托傳播，偷取用戶隱私后門(mén)程序黑客從這個(gè)后門(mén)進(jìn)入系統(tǒng)，隨心所欲計(jì)算機(jī)……查看發(fā)布DDoS攻擊6.3.2木馬的工作原理木馬的工作模式客戶機(jī)/服務(wù)器：控制端/入侵計(jì)算機(jī)中綁定將木馬服務(wù)器綁定在某個(gè)合法軟件上，誘使用戶使用該合法軟件木馬的攻擊步驟(6)配置木馬：木馬偽裝信息反饋傳播木馬：用戶打開(kāi)郵件，運(yùn)行綁定木馬的程序，木馬偽裝方法（6）運(yùn)行木馬：安裝觸發(fā)條件信息收集，反饋建立連接遠(yuǎn)程控制木馬常用技術(shù)進(jìn)程注入技術(shù)三線程技術(shù)端口復(fù)用技術(shù)超級(jí)管理技術(shù)廣外女生金山毒霸天網(wǎng)防火墻端口反向連接技術(shù)國(guó)外Boint國(guó)內(nèi)灰鴿子6.3.3木馬防治技術(shù)木馬預(yù)防不隨意打開(kāi)不隨意下載及時(shí)修補(bǔ)。。木馬檢測(cè)與清除查看開(kāi)放端口名令netstate工具fport查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看啟動(dòng)刪除可以啟動(dòng)程序查看系統(tǒng)進(jìn)程并停止可疑進(jìn)程查看和還原注冊(cè)表。使用殺毒軟件和木馬查殺工具6.4蠕蟲(chóng)6.4.1蠕蟲(chóng)概述6.4.2蠕蟲(chóng)的傳播過(guò)程6.4.3蠕蟲(chóng)的分析和防范6.4.1蠕蟲(chóng)概述蠕蟲(chóng)

一種結(jié)合黑客技術(shù)和計(jì)算機(jī)病毒技術(shù)，利用系統(tǒng)漏洞和應(yīng)用軟件漏洞，通過(guò)復(fù)制自身畸形傳播的、完全獨(dú)立的程序代碼

1988莫里斯蠕蟲(chóng)1998HaPpy99蠕蟲(chóng)蠕蟲(chóng)和病