系統(tǒng)安全漏洞與惡意代碼介紹

1、系統(tǒng)安全漏洞與惡意代碼介紹課程內(nèi)容2安全漏洞、惡意代碼與攻防知識體知識域安全漏洞惡意代碼的產(chǎn)生與發(fā)展惡意代碼的實現(xiàn)技術(shù)惡意代碼的防御技術(shù)惡意代碼安全漏洞的發(fā)現(xiàn)與修復(fù)安全漏洞的產(chǎn)生與發(fā)展知識子域知識域：安全漏洞知識子域：安全漏洞的產(chǎn)生與發(fā)展了解安全漏洞的含義了解安全漏洞產(chǎn)生的原因了解國內(nèi)外常見安全漏洞分類了解安全漏洞的發(fā)展趨勢知識子域：安全漏洞的發(fā)現(xiàn)與修復(fù)了解安全漏洞的靜態(tài)與動態(tài)挖掘方法的基本原理了解補丁分類及修復(fù)時應(yīng)注意的問題3漏洞的概念漏洞概念的提出漏洞（Vulnerability）又叫脆弱性，這一概念早在1947年馮諾依曼建立計算機系統(tǒng)結(jié)構(gòu)理論時就有涉及，他認(rèn)為計算機的發(fā)展和自然生命有相似

2、性，一個計算機系統(tǒng)也有天生的類似基因的缺陷，也可能在使用和發(fā)展過程中產(chǎn)生意想不到的問題。學(xué)者們對漏洞的定義從訪問控制角度定義（學(xué)者 Denning 做出的定義）從風(fēng)險管理角度的定義（學(xué)者Longstaff的定義）使用狀態(tài)空間描述的方法給出的定義（ 學(xué)者Bishop的定義）4標(biāo)準(zhǔn)機構(gòu)的定義1999年，ISO/IEC15408（GB/T18336）定義：漏洞是存在于評估對象（TOE）中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點；2006年，美國NIST信息安全關(guān)鍵術(shù)語詞匯表定義：漏洞是指存在于信息系統(tǒng)、系統(tǒng)安全過程、內(nèi)部控制或?qū)崿F(xiàn)中的，可被威脅源攻擊或觸發(fā)的弱點；2006年，ISO/IEC

3、SC 27SD6：IT安全術(shù)語詞匯表定義：漏洞是一個或多個威脅可以利用的一個或一組資產(chǎn)的弱點；是違反某些環(huán)境中安全功能要求的TOE中的弱點；是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計及實施中的缺陷、弱點或特性。 5漏洞的理解信息安全漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、維護和使用等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷一旦被惡意主體所利用，就會造成對信息產(chǎn)品或系統(tǒng)的安全損害，從而影響構(gòu)建于信息產(chǎn)品或系統(tǒng)之上正常服務(wù)的運行，危害信息產(chǎn)品或系統(tǒng)及信息的安全屬性。錯誤、缺陷、弱點和故障并不等于漏洞。6漏洞產(chǎn)生的原因技術(shù)原因軟件系統(tǒng)復(fù)雜性提高，質(zhì)量難于控制，安全性降低公用模塊的

4、使用引發(fā)了安全問題經(jīng)濟原因“檸檬市場”效應(yīng)環(huán)境原因從傳統(tǒng)的封閉、靜態(tài)和可控變?yōu)殚_放、動態(tài)和難控攻易守難安全缺陷安全性缺陷是信息系統(tǒng)或產(chǎn)品自身“與生俱來”的特征，是其的固有成分7漏洞的分類分類的目的從各個方面來描述漏洞，如從漏洞的成因、利用漏洞的技術(shù)、漏洞的作用范圍等；用一個分類屬性來表達(dá)漏洞的一個本質(zhì)特征，而為漏洞的每個屬性賦值的過程，就是給漏洞在該維屬性上分類的過程；分類原則：可接受性、易于理解性、完備性、確定性、互斥性、可重復(fù)性、可用性；8NVD漏洞分類代碼注入（Code Injection）緩沖錯誤（Buffer Errors）跨站腳本（Cross-Site Scripting（XSS）

5、權(quán)限許可和訪問控制（Permissions，Privileges，and Access Control）配置（Configuration）路徑遍歷（Path Traversal）數(shù)字錯誤（Numeric Error）SQL注入（SQL Injection）輸入驗證（Input validation）授權(quán)問題（Authentication Issues跨站請求偽造（Cross-Site Request Forgery（CSRF）資源管理錯誤（Resource Management Errors）信任管理（Credentials Management）加密問題（Cryptographic Issu

6、es）信息泄露（Information Leak/Disclosure）競爭條件（Race Condition）后置鏈接（Link Following）格式化字符串（Format String Vulnerability）操作系統(tǒng)OS命令注入（OS Command Injections）設(shè)計錯誤（Design Error）資料不足（Insufficient Information）。中國的漏洞發(fā)布公布 cnnvdCve是世界著名的漏洞發(fā)布公布 平臺 。烏云 是中國最近較火的涔涔發(fā)布公布平臺 。9漏洞的危害漏洞是信息安全的核心漏洞無處不在攻擊者對漏洞的利用研究不斷進步漏洞的利用速度也越來越快10

7、為什么需要研究安全漏洞漏洞客觀存在現(xiàn)實緊迫性漏洞是一種戰(zhàn)略資源數(shù)量、種類、分布對網(wǎng)絡(luò)安全影響非常重要地下經(jīng)濟的源點 11知識域：安全漏洞知識子域：安全漏洞的發(fā)現(xiàn)與修復(fù)了解安全漏洞的靜態(tài)與動態(tài)挖掘方法的基本原理了解補丁分類及修復(fù)時應(yīng)注意的問題12漏洞的發(fā)現(xiàn)從人工發(fā)現(xiàn)階段發(fā)展到了依靠自動分析工具輔助的半自動化階段漏洞發(fā)現(xiàn)方法靜態(tài)漏洞檢測動態(tài)漏洞檢測13靜態(tài)漏洞檢測不運行代碼而直接對代碼進行漏洞挖掘的方法適用對象完整的或不完整的源代碼二進制代碼中間代碼片段方法原理流分析符號執(zhí)行模型檢測14流分析控制流分析代碼中控制流走向的信息，獲得控制流圖(CFG)，即代碼的控制結(jié)構(gòu)信息?？刂屏鲌D是對代碼執(zhí)行時可能

8、經(jīng)過的所有路徑的圖形化表示，通過對代碼中的分支、循環(huán)等關(guān)系的分析來獲得代碼的結(jié)構(gòu)關(guān)系。數(shù)據(jù)流數(shù)據(jù)流分析是要得出程序中數(shù)據(jù)流動的信息，也就是程序中變量的相關(guān)信息，比如，可到達(dá)的變量定義，可用的表達(dá)式，別名信息，變量的使用及取值情況等15符號執(zhí)行符號執(zhí)行的目標(biāo)是把程序轉(zhuǎn)化成一組約束，同時檢查程序模擬執(zhí)行過程中的狀態(tài)是否出錯。這組約束中既包含程序中的路徑條件，也包含要求程序滿足的正確性條件或者程序員給出的斷言。符號執(zhí)行的方法也是在程序的CFG上使用WorkList算法進行遍歷。16模型檢測模型檢測是給定被測系統(tǒng)的模型和目標(biāo)屬性的描述之后，可自動地對被測系統(tǒng)的狀態(tài)空間進行窮盡搜索，以檢測目標(biāo)屬性是否被

9、滿足。度量指標(biāo)：可靠性被檢測為真的任何屬性，都確實為真，即無誤報；完備性所有確實為真的屬性，必然可被檢測出為真，即無漏報。17動態(tài)漏洞檢測在代碼運行的狀態(tài)下，通過監(jiān)測代碼的運行狀態(tài)或根據(jù)測試用例結(jié)果來挖掘漏洞的方法特點與靜態(tài)分析方法相比，動態(tài)分析方法的最大優(yōu)勢在于其分析結(jié)果的精確，即誤報率較低方法模糊測試滲透測試軟件監(jiān)測18模糊測試在程序外部提供非預(yù)期輸入，并監(jiān)控程序?qū)斎氲姆磻?yīng)，從而發(fā)現(xiàn)程序內(nèi)部故障，廣泛應(yīng)用于軟件安全測試發(fā)展階段：第一代主要用于健壯性和可靠性測試。第二代主要用于發(fā)現(xiàn)系統(tǒng)的漏洞。第三代智能模糊測試側(cè)重于更合理的測試數(shù)據(jù)集的構(gòu)造。19動態(tài)污染傳播在程序運行時，標(biāo)記某些信息，例如

10、變量、存儲單位、寄存器的值等，從而跟蹤攻擊路徑，獲取漏洞信息步驟標(biāo)識污點源，如不可信文件、不可信網(wǎng)絡(luò)、各種輸入分析污染源的傳播根據(jù)觸發(fā)機制，對具有污染標(biāo)識的數(shù)據(jù)、內(nèi)存等進行檢查，從而發(fā)現(xiàn)可能的安全問題20滲透測試滲透測試的概念滲透測試是通過模擬攻擊方法，來評估對象（系統(tǒng)或產(chǎn)品）安全的一種方法。滲透測試的優(yōu)勢測試是基于軟件運行的最后環(huán)境，因此，除了可以發(fā)現(xiàn)軟件本身的安全問題外，更重要的是還可以發(fā)現(xiàn)一些關(guān)于環(huán)境和配置的安全問題。21滲透測試的方法及步驟授權(quán)與鑒別安全分析非法操作分析管理架構(gòu)安全分析規(guī)則有效性分析性能隱患分析核心安全功能強度分析隱通道分析22安全漏洞的修復(fù)安裝補丁是漏洞消減的技術(shù)手段

11、之一。數(shù)據(jù)顯示，及時安裝有效補丁可避免約95%的信息安全損失補丁修復(fù)中存在的兩難問題：打什么樣的補?。垦a丁質(zhì)量問題如何打補??？操作方式問題什么時間打補??？修復(fù)時機問題23補丁分類從文件類型以源代碼形式存在以二進制形式存在從內(nèi)存角度文件補?。ɡ溲a?。﹥?nèi)存補?。嵫a丁）24補丁安裝時應(yīng)注意的問題補丁安裝部署之前需要經(jīng)過必要的測試需要從可靠來源不斷獲取最新補丁信息安裝補丁時需要做好備份和相應(yīng)的應(yīng)急措施25安全漏洞的修復(fù)標(biāo)準(zhǔn)化的安全配置2002年，美國率先在軍隊推行標(biāo)準(zhǔn)化的安全配置與核查（IAVA）根據(jù)漏洞分析和風(fēng)險評估的安全加固傳統(tǒng)的安全加固手段越來越難以應(yīng)付日益復(fù)雜的攻擊行為，漏洞信息的及時披露和

12、分發(fā)越來越重要。 加固核查與問責(zé)通過安全審計核實漏洞消除情況和效果。 26知識域：惡意代碼知識子域：惡意代碼的產(chǎn)生與發(fā)展了解惡意代碼的發(fā)展歷史及趨勢了解惡意代碼的類型理解惡意代碼的傳播方式27什么是惡意代碼沒有有效作用、干擾或破壞計算機系統(tǒng)/網(wǎng)絡(luò)功能的程序或代碼（一組指令）指令類型二進制代碼腳本語言宏語言表現(xiàn)形式病毒、蠕蟲、后門程序、木馬、流氓軟件、邏輯炸彈等28惡意代碼的危害29網(wǎng)絡(luò)擁塞蠕蟲傳播或爆發(fā)占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓系統(tǒng)控制形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來發(fā)動任何攻擊信息泄露監(jiān)視用戶操作，竊取個人隱私破壞系統(tǒng)及數(shù)據(jù)它已經(jīng)成為網(wǎng)絡(luò)犯罪的主要工具，也是國家、組織之間網(wǎng)絡(luò)戰(zhàn)的主要武

13、器惡意代碼發(fā)展孕育和誕生1949：馮諾依曼在復(fù)雜自動機組織論提出概念1960：生命游戲（約翰康維 ） 磁芯大戰(zhàn)（貝爾實驗室三名程序員 ）1977年科幻小說P-1的青春使得惡意程序有了計算機病毒的名稱1983：真正的惡意代碼在實驗室產(chǎn)生30惡意代碼發(fā)展1986年第一個PC病毒：Brain virus1988年Morris Internet worm6000多臺1990年第一個多態(tài)病毒1991年virus construction set-病毒生產(chǎn)機1991年 DIR2病毒1994年Good Times(joys)1995年首次發(fā)現(xiàn)macro virus31羅伯特.莫里斯惡意代碼發(fā)展1996年ne

14、tcat的UNIX版發(fā)布（nc）1998年第一個Java virus(StrangeBrew)1998年netcat的Windows版發(fā)布（nc）1998年back orifice(BO)/CIH1999年melissa/worm(macrovirus by email)1999年back orifice(BO) for WIN2k1999年DOS/DDOS-Denial of Service TFT/ trin001999年knark內(nèi)核級rootkit(linux)32惡意代碼發(fā)展2000年love Bug(VBScript)2001年Code Red worm(overflow for

15、IIS)2001年Nimda-worm(IIS/ web browser/outlook/file share etc.)2002年SQL slammer(sqlserver)2003年MSBlaster/ Nachi2003年中文上網(wǎng)2004年MyDoom/ Sasser2006年熊貓燒香33惡意代碼發(fā)展2010年Stuxnet(工業(yè)蠕蟲)2012年火焰病毒34各種蠕蟲、木馬悄悄的潛伏在計算機中，竊取信息惡意代碼的發(fā)展趨勢從傳播速度上來看，惡意代碼爆發(fā)和傳播速度越來越快從攻擊意圖來看，惡意代碼的開發(fā)者越來越專業(yè)化，其意圖也從游戲、炫耀專向為惡意牟利從功能上來看，惡意代碼的分工越來越細(xì)從實現(xiàn)技

16、術(shù)來看，惡意代碼實現(xiàn)的關(guān)鍵技術(shù)不斷變化從傳播范圍來看，惡意代碼呈現(xiàn)多平臺傳播的特征35惡意代碼分類36照惡意代碼運行平臺按照惡意代碼傳播方式按照惡意代碼的工作機制按照惡意代碼危害分類蠕蟲病毒后門木馬有害工具流氓軟件風(fēng)險程序其他惡意代碼分類37不傳染的依附型惡意代碼流氓軟件、邏輯炸彈、惡意腳本不傳染的獨立型惡意代碼木馬、rootkit、風(fēng)險程序傳染的依附型惡意代碼傳統(tǒng)的病毒（CIH等）傳染的獨立型惡意代碼蠕蟲病毒可以不依附于所謂的數(shù)組而獨立存在。蠕蟲一定經(jīng)過網(wǎng)絡(luò)傳播。傳染的獨立型惡意代碼是信息系統(tǒng)目前最大的威脅！惡意代碼的傳播方式38移動存儲文件傳播軟件捆綁網(wǎng)絡(luò)傳播網(wǎng)頁電子郵件即時通訊共享主動放

17、置AutoRunOPEN=Autorun.exeICON=icon.ico惡意代碼傳播方式-移動存儲39自動播放功能Windows默認(rèn)自動執(zhí)行autorun.inf指定的文件設(shè)置組策略編輯器惡意代碼傳播方式-軟件捆綁強制安裝在安裝其他軟件時被強制安裝上默認(rèn)安裝在安裝其他軟件是被默認(rèn)安裝上40惡意代碼傳播方式-網(wǎng)頁41將木馬偽裝為頁面元素利用腳本運行的漏洞偽裝為缺失的組件通過腳本運行調(diào)用某些com組件在渲染頁面內(nèi)容的過程中利用格式溢出釋放或下載木馬惡意代碼傳播方式-郵件42社會工程學(xué)欺騙性標(biāo)題吸引人的標(biāo)題I love you病毒庫娃等利用系統(tǒng)及郵件客戶端漏洞尼姆達(dá)（畸形郵件MIME頭漏洞）惡意代

18、碼傳播方式-通訊與數(shù)據(jù)傳播即時通訊偽裝即時通訊中的用戶向其聯(lián)系人發(fā)送消息。使用欺騙性或誘惑性的字眼P2P下載偽造有效資源進行傳播43惡意代碼傳播方式-共享共享44管理共享C盤、D盤Windows安裝目錄用戶共享用戶設(shè)置的共享典型病毒LovegateSpybotSdbot惡意代碼傳播方式-主動放置獲得上傳文件權(quán)限，上傳木馬程序Web方式計劃任務(wù)注冊表攻擊者被攻擊者45惡意代碼傳播方式-漏洞利用各種系統(tǒng)漏洞緩沖區(qū)溢出：沖擊波、振蕩波利用服務(wù)漏洞IIS的unicode解碼漏洞：紅色代碼46知識域：惡意代碼知識子域：惡意代碼的實現(xiàn)技術(shù)理解惡意代碼修改配置文件、修改注冊表、設(shè)置系統(tǒng)服務(wù)等加載方式理解惡意

19、代碼進程、網(wǎng)絡(luò)及系統(tǒng)隱藏技術(shù)理解惡意代碼進程保護和檢測對抗自我保護技術(shù)47惡意代碼加載方式隨系統(tǒng)啟動而加載開始菜單中的啟動項啟動配置文件注冊表啟動項系統(tǒng)服務(wù)組策略隨文件執(zhí)行加載感染/文件捆綁瀏覽器插件修改文件關(guān)聯(lián)其他48隨系統(tǒng)啟動加載方式-啟動配置開始菜單啟動項啟動配置文件Autorun.batWin.iniSystem.ini已經(jīng)很少有病毒采用過于明顯用戶登錄后才能啟動49隨系統(tǒng)啟動加載方式-注冊表注冊表啟動項：HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsloadHKEY_LOCAL_MACHINESoft

20、wareMicrosoftWindows NTCurrentVersionWinlogonUserinitHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce50優(yōu)勢隱蔽性強方式多樣加載位置Load鍵值Userinit鍵值RunRunServicesOnceRunServicesRunOnce隨系統(tǒng)啟動加載方式-服務(wù)51優(yōu)勢隱蔽性強無需用戶登錄權(quán)限較高加載方式

21、單獨服務(wù)替換系統(tǒng)服務(wù)程序隨系統(tǒng)啟動加載方式-組策略優(yōu)勢類似啟動項，但隱蔽性更高不足需要用戶登錄52隨文件執(zhí)行加載方式-感染/文件合并傳統(tǒng)病毒宏病毒程序合并53隨文件執(zhí)行加載方式-瀏覽器插件優(yōu)勢隱蔽性強清理困難54隨文件執(zhí)行加載方式-修改文件關(guān)聯(lián)55原理正常情況下文本文件（.txt）關(guān)聯(lián)到記事本notepad.exe打開病毒修改文本文件（.txt）關(guān)聯(lián)到病毒文件打開優(yōu)勢隱蔽性強，可關(guān)聯(lián)任意類型文件，甚至可以關(guān)聯(lián)目錄操作惡意代碼隱藏技術(shù)進程隱藏進程迷惑DLL注入網(wǎng)絡(luò)隱藏端口復(fù)用無端口反向端口系統(tǒng)隱藏隱藏、系統(tǒng)文件流文件隱藏Hook技術(shù)56惡意代碼進程隱藏技術(shù)-進程迷惑隨機進程名每次啟動生成不一樣的

22、進程名，退出后無法查找系統(tǒng)進程類命名Windows.exeSystem1.exeKernel.exe相似進程名同名不同路徑的進程 c:windowssystem32iexplore.exe(trojan) c:Program FilesInternet Exploreriexplore.exe(right)名稱相近的程序 svchost.exe(right) svch0st.exe(trojan)57惡意代碼進程隱藏技術(shù)-DLL注入動態(tài)鏈接庫文件 （DLL）概念什么是DLL注入DLL注入技術(shù)是惡意代碼將DLL文件放進某個進程的地址空間里，讓它成為那個進程的一部分DLL注入的優(yōu)勢無進程隱蔽性強清

23、除難度大58惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-端口復(fù)用/無端口端口復(fù)用技術(shù)重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下用，具有很強的欺騙性無端口使用無端口的協(xié)議59icmphttp服務(wù)器客戶機80應(yīng)用服務(wù)惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-反彈端口端口反向連接技術(shù)，系指惡意代碼攻擊的服務(wù)端（被控制端）主動連接客戶端（控制端）。60連接請求80連接請求攻擊者受害者受害者攻擊者惡意代碼隱藏技術(shù)-系統(tǒng)隱藏默認(rèn)情況下，windows不顯示隱藏文件和系統(tǒng)文件，惡意代碼將自身屬性設(shè)置為隱藏和系統(tǒng)文件以實現(xiàn)隱藏61惡意

24、代碼系統(tǒng)隱藏技術(shù)-流文件62ADS(Alternate Data Streams)交換數(shù)據(jù)流NTFS 文件系統(tǒng)下，每個文件都可以有多個數(shù)據(jù)流一個文件以流的形式附加到另一個文件（載體）中，流文件對explorer.exe等文件管理軟件不可見，病毒可以利用此方式進行隱藏62惡意代碼系統(tǒng)隱藏技術(shù)-hook技術(shù)Hook（系統(tǒng)鉤子）鉤子機制允許應(yīng)用程序截獲處理window消息或特定事件。在目標(biāo)窗口處理消息前處理它63設(shè)置系統(tǒng)鉤子，勾取對文件及目錄操作獲得文件列表存放內(nèi)存地址獲取文件列表結(jié)果將病毒文件自身從列表結(jié)構(gòu)中刪除惡意代碼自我保護進程保護進程守護超級權(quán)限檢測對抗反動態(tài)調(diào)試反靜態(tài)調(diào)試64惡意代碼進程保

25、護-進程守護主程序被停止，重新啟動主程序重新啟動主進程65惡意代碼主程序?qū)崿F(xiàn)惡意代碼主功能守護程序監(jiān)視并保護主進程正常運行阻止主程序的退出重啟主程序從備份中還原主程序從網(wǎng)絡(luò)中重新下載主程序從備份中還原惡意代碼進程保護-超級權(quán)限什么是超級權(quán)限技術(shù)惡意代碼通過將自身注冊成為設(shè)備驅(qū)動，從而獲得較高權(quán)限，阻止反病毒軟件對它的查殺并干擾反惡意代碼軟件的正常運行超級權(quán)限技術(shù)特點非常高的權(quán)限安全模式下可工作無法直接查殺66惡意代碼檢測對抗技術(shù)-反跟蹤為什么需要反跟蹤反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。常用的反跟蹤技術(shù)有兩類反動態(tài)跟蹤技術(shù)反靜態(tài)分析技術(shù)。 67惡意代碼反

26、調(diào)試技術(shù)-反動態(tài)調(diào)試通過禁止跟蹤中斷、封鎖鍵盤輸入和屏幕顯示等方法，防止調(diào)試工具分析惡意代碼主要包括：禁止跟蹤中斷封鎖鍵盤輸入和屏幕顯示檢查運行環(huán)境，破壞調(diào)試工具運行68惡意代碼反調(diào)試技術(shù)-反靜態(tài)調(diào)試通過加殼、加密、變形以及代碼混淆等技術(shù)，加大惡意代碼自身的復(fù)雜性，增加調(diào)試分析的難度主要方法加殼：對惡意代碼的可執(zhí)行二進制程序進行壓縮，使其執(zhí)行流程發(fā)生變化加密：隨著加密密鑰的變化，惡意代碼會產(chǎn)生不同的表現(xiàn)形式，進一步提高了其抗靜態(tài)分析的能力代碼混淆：通過插入偽指令、混淆程序數(shù)據(jù)和控制流等方法，防止靜態(tài)分析和檢測69知識域：惡意代碼知識子域：惡意代碼的防御技術(shù)理解惡意代碼預(yù)防方法：減少漏洞、減輕威

27、脅等理解惡意代碼特征碼掃描、行為檢測等檢測方法理解惡意代碼靜態(tài)與動態(tài)分析方法理解不同類型惡意代碼的清除方法70惡意代碼的預(yù)防技術(shù)增強安全策略與意識減少漏洞補丁管理主機加固減輕威脅防病毒軟件間諜軟件檢測和刪除工具入侵檢測/入侵防御系統(tǒng)防火墻路由器、應(yīng)用安全設(shè)置等71惡意代碼檢測技術(shù)特征碼掃描校驗和行為監(jiān)測72特征碼掃描工作機制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優(yōu)勢準(zhǔn)確(誤報率低)易于管理不足效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要更新特征庫）73應(yīng)用最廣泛的惡意代碼檢測技術(shù)惡意代碼檢測技術(shù)-沙箱技術(shù)74工作機制將惡意代碼放入虛擬機中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實際操作系統(tǒng)優(yōu)勢優(yōu)點能較好的解決變形代碼的檢測惡意代碼檢測技術(shù)-行為檢測工作機制：基于統(tǒng)計數(shù)據(jù)惡意代碼行為有哪些行為符合度優(yōu)勢能檢測到未知病毒不足誤報率高難點：病毒不可判定原則75惡意代碼分析技術(shù)靜態(tài)分析需