惡意代碼及防護(hù)技術(shù)(I)匯總課件

第11講惡意代碼及防護(hù)技術(shù)楊明紫金學(xué)院計算機系網(wǎng)絡(luò)信息安全11/12/2022第11講惡意代碼及防護(hù)技術(shù)楊明網(wǎng)絡(luò)信息安全11/10/21內(nèi)容惡意代碼的概念計算機病毒反病毒技術(shù)內(nèi)容惡意代碼的概念2網(wǎng)絡(luò)攻擊技術(shù)演變趨勢圖網(wǎng)絡(luò)攻擊技術(shù)演變趨勢圖3惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計算機系統(tǒng)中實施破壞或竊取信息分類依附性傳播方式自我復(fù)制惡意代碼的概念定義依附性傳播方式自我復(fù)制4惡意代碼的主要功能收集你的相關(guān)信息誘騙訪問惡意網(wǎng)站刪除敏感信息監(jiān)視鍵盤竊取文件開啟后門（肉雞）作為網(wǎng)絡(luò)傳播的起點隱藏在主機上的所有活動

惡意代碼的主要功能收集你的相關(guān)信息誘騙訪問惡意網(wǎng)站刪除敏感信5常見的惡意代碼種類惡意代碼類型主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊擴散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念11/12/2022常見的惡意代碼種類主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊6惡意代碼的危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常；危害數(shù)據(jù)文件的安全存儲和使用；泄露文件、配置或隱私信息；肆意占用資源，影響系統(tǒng)或網(wǎng)絡(luò)的性能；攻擊應(yīng)用程序，如影響郵件的收發(fā)。惡意代碼的危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常；7惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/12/2022惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/10/20228計算機病毒定義計算機病毒能夠?qū)ふ宜拗鲗ο螅⑶乙栏接谒拗?，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產(chǎn)生的根源炫耀、玩笑、惡作劇或是報復(fù)各種矛盾激化、經(jīng)濟(jì)利益驅(qū)使計算機系統(tǒng)的復(fù)雜性和脆弱性網(wǎng)絡(luò)戰(zhàn)“震網(wǎng)”病毒計算機病毒定義9計算機病毒的特征主要特征宿主性：依附在另一個程序上隱蔽性：長期隱藏，條件觸發(fā)傳染性：自我復(fù)制，感染其他程序破壞性：執(zhí)行惡意的破壞或惡作劇、消耗資源變異性：逃避反病毒程序的檢查計算機病毒的特征主要特征10計算機病毒的發(fā)展簡史1998CIH病毒1998年盜版光盤破壞硬盤數(shù)據(jù)2000愛蟲病毒2000年電子郵件傳播自身并破壞數(shù)據(jù)文件2002SQL蠕蟲王2003年利用SQLserver2000遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞通過網(wǎng)絡(luò)傳播公用互聯(lián)網(wǎng)絡(luò)癱瘓20042004年利用windows的LSASS中存在一個緩沖區(qū)溢出漏洞進(jìn)行傳播傳播自身，癱瘓網(wǎng)絡(luò)，破壞計算機系統(tǒng)震蕩波20062006年利用所有成熟的網(wǎng)頁掛馬、U盤ARP欺騙、網(wǎng)絡(luò)共享傳播自身，破壞用戶數(shù)據(jù)，組建僵尸網(wǎng)絡(luò)熊貓燒香20082008年利用flash漏洞等第三方應(yīng)用程序漏洞掛馬傳播傳播自身，攻擊安全軟件，組建僵尸網(wǎng)絡(luò)，盜取賬號牟利木馬群計算機病毒的發(fā)展簡史1998CIH病毒1998年2000愛蟲11宏病毒特點利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執(zhí)行程序宏病毒感染文檔，而不是可執(zhí)行代碼宏病毒是平臺無關(guān)的宏病毒容易傳染電子郵件不同類型的宏自動執(zhí)行：normal.dot，啟動自動宏：打開/關(guān)閉文檔、創(chuàng)建、退出宏命令宏病毒特點12宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒宏病毒的基本機制11/12/2022宏病毒有毒文件.docNormal.dot激活autoope13病毒的傳播途徑病毒的傳播途徑14計算機病毒的工作原理計算機病毒的結(jié)構(gòu)引導(dǎo)模塊設(shè)法獲得被執(zhí)行的機會，獲取系統(tǒng)的控制權(quán)以引導(dǎo)其他模塊進(jìn)行工作。傳染模塊完成計算機病毒的繁殖和傳播觸發(fā)模塊是毒破壞行動是否執(zhí)行的決定者破壞模塊具體負(fù)責(zé)破壞活動的執(zhí)行計算機病毒的工作原理計算機病毒的結(jié)構(gòu)15病毒的基本工作機制被感染程序執(zhí)行病毒的基本工作機制被感染程序執(zhí)行16計算機病毒的引導(dǎo)機制基本方法主動型（也稱為隱蔽型或技術(shù)型）被動型（也稱為公開型或欺騙型）計算機病毒的引導(dǎo)過程駐留內(nèi)存：病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。有的病毒不駐留內(nèi)存。竊取系統(tǒng)控制權(quán)：病毒駐留內(nèi)存后，必須取代或擴充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)。隱蔽等待觸發(fā)：此后病毒隱蔽自己，等待時機，在條件成熟時，再進(jìn)行傳染和破壞。計算機病毒的引導(dǎo)機制基本方法17計算機病毒的寄生對象計算機病毒的寄生對象磁盤的引導(dǎo)扇區(qū)和特定文件（EXE、COM等可執(zhí)行程序DLL、DOC、HTML等經(jīng)常使用的文件中計算機病毒的寄生對象計算機病毒的寄生對象18常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導(dǎo)扇區(qū)或者文件中的原有內(nèi)容。鏈接法病毒程序?qū)⒆陨聿迦氲皆袃?nèi)容的首部、尾部或者中間，和原有內(nèi)容鏈接為一個整體。常用的寄生方式替代法19病毒的活動過程潛伏階段病毒是空閑的觸發(fā)階段病毒被某個事件激活包括日期、某個程序運行、中斷調(diào)用、啟動次數(shù)等繁殖階段復(fù)制病毒、傳染其他程序執(zhí)行階段執(zhí)行某種有害或無害的功能盜竊、破壞數(shù)據(jù)信息、破壞硬件設(shè)備、耗費系統(tǒng)資源、產(chǎn)生視覺/聽覺效果等病毒的活動過程潛伏階段20計算機病毒的過去與現(xiàn)在自我復(fù)制和傳播，破壞電腦功能和數(shù)據(jù)，甚至破壞硬件，影響電腦正常使用病毒技術(shù)本身沒有突破，和以前的病毒沒有本質(zhì)區(qū)別技術(shù)目的從炫技、惡作劇、仇視破壞到貪婪依托互聯(lián)網(wǎng)，集團(tuán)化運作，以經(jīng)濟(jì)利益作為唯一目標(biāo)通過磁盤、光盤、電子郵件、網(wǎng)絡(luò)共享等方式傳播危害的表象：一個電腦病毒感染數(shù)千萬臺電腦，橫行全球，破壞用戶系統(tǒng)(CIH、梅麗莎、沖擊波、尼姆達(dá)等等)生產(chǎn)、傳播、破壞的流程完全互聯(lián)網(wǎng)化，組成分工明確、日趨成熟的病毒產(chǎn)業(yè)鏈；各種基礎(chǔ)互聯(lián)網(wǎng)應(yīng)用都成為病毒入侵通道，其中“網(wǎng)頁掛馬”最常見，占總量90%以上。傳播途徑計算機病毒的過去與現(xiàn)在自我復(fù)制和傳播，破壞電腦功能和數(shù)據(jù)病毒21計算機病毒的防護(hù)病毒的預(yù)防病毒的檢測病毒的清除計算機病毒的防護(hù)病毒的預(yù)防22病毒的防范病毒的防范預(yù)防為主、治療為輔防范措施安裝真正有效的防殺計算機病毒軟件不要隨便直接運行或直接打開電子函件中夾帶的附件文件安裝網(wǎng)絡(luò)服務(wù)器時應(yīng)保證沒有計算機病毒存在一定要用硬盤啟動網(wǎng)絡(luò)服務(wù)器病毒的防范病毒的防范23病毒的防范注意病毒傳入途徑終端漏洞導(dǎo)致病毒傳播郵件接收導(dǎo)致病毒傳播外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播內(nèi)部用戶繞過邊界防護(hù)措施，直接接入因特網(wǎng)導(dǎo)致病毒被引入網(wǎng)頁中的惡意代碼傳入病毒的防范注意病毒傳入途徑24反病毒技術(shù)特征掃描的方法根據(jù)提取的病毒特征，查找計算機中是否有文件存在相同的感染特征。內(nèi)存掃描程序盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。完整性檢查器

記錄計算機在未感染狀態(tài)可執(zhí)行文件和引導(dǎo)記錄的信息指紋，將這一信息存放在硬盤的數(shù)據(jù)庫中，并根據(jù)需要進(jìn)行匹配測試，判斷文件是否被病毒感染。反病毒技術(shù)特征掃描的方法25反病毒技術(shù)行為監(jiān)視器

行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監(jiān)視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續(xù)。CPU仿真器或虛擬機一個可執(zhí)行文件中的指令先由仿真器來解釋，而不是直接由底層的處理器解釋。使用虛擬機技術(shù)，是目前較為前沿的一種反病毒技術(shù)。以程序在執(zhí)行過程是否具有感染行為作為依據(jù)來判斷該程序是否是病毒，查毒準(zhǔn)確率幾乎可達(dá)100％。反病毒技術(shù)行為監(jiān)視器26防病毒軟件防病毒軟件瑞星、360安全衛(wèi)士、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山防病毒網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)保護(hù)郵件器的防病毒網(wǎng)關(guān)防病毒軟件防病毒軟件27反病毒產(chǎn)品發(fā)展180s末－90s初，病毒數(shù)量激增，硬件防病毒卡出現(xiàn)290s中殺防集成化，90s末出現(xiàn)實時防毒的反病毒軟件32000年前后，出現(xiàn)集中控制分布處理的網(wǎng)絡(luò)殺毒軟件42003年左右，出現(xiàn)具備防毒功能的硬件網(wǎng)關(guān)設(shè)備52008年以后，出現(xiàn)基于云計算的云殺毒服務(wù)反病毒產(chǎn)品發(fā)展180s末－90s初，病毒數(shù)量激增，硬件防病毒28小結(jié)惡意代碼的概念定義和分類計算機病毒定義與特征結(jié)構(gòu)與工作原理反病毒技術(shù)病毒的檢測反病毒軟件小結(jié)惡意代碼的概念29第11講惡意代碼及防護(hù)技術(shù)楊明紫金學(xué)院計算機系網(wǎng)絡(luò)信息安全11/12/2022第11講惡意代碼及防護(hù)技術(shù)楊明網(wǎng)絡(luò)信息安全11/10/230內(nèi)容惡意代碼的概念計算機病毒反病毒技術(shù)內(nèi)容惡意代碼的概念31網(wǎng)絡(luò)攻擊技術(shù)演變趨勢圖網(wǎng)絡(luò)攻擊技術(shù)演變趨勢圖32惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計算機系統(tǒng)中實施破壞或竊取信息分類依附性傳播方式自我復(fù)制惡意代碼的概念定義依附性傳播方式自我復(fù)制33惡意代碼的主要功能收集你的相關(guān)信息誘騙訪問惡意網(wǎng)站刪除敏感信息監(jiān)視鍵盤竊取文件開啟后門（肉雞）作為網(wǎng)絡(luò)傳播的起點隱藏在主機上的所有活動

惡意代碼的主要功能收集你的相關(guān)信息誘騙訪問惡意網(wǎng)站刪除敏感信34常見的惡意代碼種類惡意代碼類型主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊擴散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念11/12/2022常見的惡意代碼種類主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊35惡意代碼的危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常；危害數(shù)據(jù)文件的安全存儲和使用；泄露文件、配置或隱私信息；肆意占用資源，影響系統(tǒng)或網(wǎng)絡(luò)的性能；攻擊應(yīng)用程序，如影響郵件的收發(fā)。惡意代碼的危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常；36惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/12/2022惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史11/10/202237計算機病毒定義計算機病毒能夠?qū)ふ宜拗鲗ο?，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產(chǎn)生的根源炫耀、玩笑、惡作劇或是報復(fù)各種矛盾激化、經(jīng)濟(jì)利益驅(qū)使計算機系統(tǒng)的復(fù)雜性和脆弱性網(wǎng)絡(luò)戰(zhàn)“震網(wǎng)”病毒計算機病毒定義38計算機病毒的特征主要特征宿主性：依附在另一個程序上隱蔽性：長期隱藏，條件觸發(fā)傳染性：自我復(fù)制，感染其他程序破壞性：執(zhí)行惡意的破壞或惡作劇、消耗資源變異性：逃避反病毒程序的檢查計算機病毒的特征主要特征39計算機病毒的發(fā)展簡史1998CIH病毒1998年盜版光盤破壞硬盤數(shù)據(jù)2000愛蟲病毒2000年電子郵件傳播自身并破壞數(shù)據(jù)文件2002SQL蠕蟲王2003年利用SQLserver2000遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞通過網(wǎng)絡(luò)傳播公用互聯(lián)網(wǎng)絡(luò)癱瘓20042004年利用windows的LSASS中存在一個緩沖區(qū)溢出漏洞進(jìn)行傳播傳播自身，癱瘓網(wǎng)絡(luò)，破壞計算機系統(tǒng)震蕩波20062006年利用所有成熟的網(wǎng)頁掛馬、U盤ARP欺騙、網(wǎng)絡(luò)共享傳播自身，破壞用戶數(shù)據(jù)，組建僵尸網(wǎng)絡(luò)熊貓燒香20082008年利用flash漏洞等第三方應(yīng)用程序漏洞掛馬傳播傳播自身，攻擊安全軟件，組建僵尸網(wǎng)絡(luò)，盜取賬號牟利木馬群計算機病毒的發(fā)展簡史1998CIH病毒1998年2000愛蟲40宏病毒特點利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執(zhí)行程序宏病毒感染文檔，而不是可執(zhí)行代碼宏病毒是平臺無關(guān)的宏病毒容易傳染電子郵件不同類型的宏自動執(zhí)行：normal.dot，啟動自動宏：打開/關(guān)閉文檔、創(chuàng)建、退出宏命令宏病毒特點41宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒宏病毒的基本機制11/12/2022宏病毒有毒文件.docNormal.dot激活autoope42病毒的傳播途徑病毒的傳播途徑43計算機病毒的工作原理計算機病毒的結(jié)構(gòu)引導(dǎo)模塊設(shè)法獲得被執(zhí)行的機會，獲取系統(tǒng)的控制權(quán)以引導(dǎo)其他模塊進(jìn)行工作。傳染模塊完成計算機病毒的繁殖和傳播觸發(fā)模塊是毒破壞行動是否執(zhí)行的決定者破壞模塊具體負(fù)責(zé)破壞活動的執(zhí)行計算機病毒的工作原理計算機病毒的結(jié)構(gòu)44病毒的基本工作機制被感染程序執(zhí)行病毒的基本工作機制被感染程序執(zhí)行45計算機病毒的引導(dǎo)機制基本方法主動型（也稱為隱蔽型或技術(shù)型）被動型（也稱為公開型或欺騙型）計算機病毒的引導(dǎo)過程駐留內(nèi)存：病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。有的病毒不駐留內(nèi)存。竊取系統(tǒng)控制權(quán)：病毒駐留內(nèi)存后，必須取代或擴充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)。隱蔽等待觸發(fā)：此后病毒隱蔽自己，等待時機，在條件成熟時，再進(jìn)行傳染和破壞。計算機病毒的引導(dǎo)機制基本方法46計算機病毒的寄生對象計算機病毒的寄生對象磁盤的引導(dǎo)扇區(qū)和特定文件（EXE、COM等可執(zhí)行程序DLL、DOC、HTML等經(jīng)常使用的文件中計算機病毒的寄生對象計算機病毒的寄生對象47常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導(dǎo)扇區(qū)或者文件中的原有內(nèi)容。鏈接法病毒程序?qū)⒆陨聿迦氲皆袃?nèi)容的首部、尾部或者中間，和原有內(nèi)容鏈接為一個整體。常用的寄生方式替代法48病毒的活動過程潛伏階段病毒是空閑的觸發(fā)階段病毒被某個事件激活包括日期、某個程序運行、中斷調(diào)用、啟動次數(shù)等繁殖階段復(fù)制病毒、傳染其他程序執(zhí)行階段執(zhí)行某種有害或無害的功能盜竊、破壞數(shù)據(jù)信息、破壞硬件設(shè)備、耗費系統(tǒng)資源、產(chǎn)生視覺/聽覺效果等病毒的活動過程潛伏階段49計算機病毒的過去與現(xiàn)在自我復(fù)制和傳播，破壞電腦功能和數(shù)據(jù)，甚至破壞硬件，影響電腦正常使用病毒技術(shù)本身沒有突破，和以前的病毒沒有本質(zhì)區(qū)別技術(shù)目的從炫技、惡作劇、仇視破壞到貪婪依托互聯(lián)網(wǎng)，集團(tuán)化運作，以經(jīng)濟(jì)利益作為唯一目標(biāo)通過磁盤、光盤、電子郵件、網(wǎng)絡(luò)共享等方式傳播危害的表象：一個電腦病毒感染數(shù)千萬臺電腦，橫行全球，破壞用戶系統(tǒng)(CIH、梅麗莎、沖擊波、尼姆達(dá)等等)生產(chǎn)、傳播、破壞的流程完全互聯(lián)網(wǎng)化，組成分工明確、日趨成熟的病毒產(chǎn)業(yè)鏈；各種基礎(chǔ)互聯(lián)網(wǎng)應(yīng)用都成為病毒入侵通道，其中“網(wǎng)頁掛馬”最常見，占總量90%以上。傳播途徑計算機病毒的過去與現(xiàn)在自我復(fù)制和傳播，破壞電腦功能和數(shù)據(jù)病毒50計算機病毒的防護(hù)病毒的預(yù)防病毒的檢測病毒的清除計算機病毒的防護(hù)病毒的預(yù)防51病毒的防范病毒的防范預(yù)防為主、治療為輔防范措施安裝真正有效的防殺計算機病毒軟件不要隨便直接運行或直接打開電子函件中夾帶的附件文件安裝網(wǎng)絡(luò)服務(wù)器時應(yīng)保證沒有計算機病毒存在一定要用硬盤啟動網(wǎng)絡(luò)服務(wù)器病毒的防范病毒的防范52病毒的防范注意病毒傳入途徑終端漏洞導(dǎo)致病毒傳播郵件接收導(dǎo)致病毒傳播外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播內(nèi)部用戶繞過邊界防護(hù)措施，直接接入因特網(wǎng)導(dǎo)致病毒被引入網(wǎng)頁中的惡意代碼傳入病毒的防范注意病毒傳入途徑53反病毒技術(shù)特征掃描的方法根據(jù)提取的病毒特征，查找計算機中是否有文件存在相同的感染特征。內(nèi)存掃描程序盡管病毒可以毫無覺察的