惡意代碼及防護(hù)技術(shù)(I)

第11講惡意代碼及防護(hù)技術(shù)楊明紫金學(xué)院計算機(jī)系網(wǎng)絡(luò)信息安全2/5/2023內(nèi)容惡意代碼的概念計算機(jī)病毒反病毒技術(shù)網(wǎng)絡(luò)攻擊技術(shù)演變趨勢圖惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計算機(jī)系統(tǒng)中實施破壞或竊取信息分類依附性傳播方式自我復(fù)制惡意代碼的主要功能收集你的相關(guān)信息誘騙訪問惡意網(wǎng)站刪除敏感信息監(jiān)視鍵盤竊取文件開啟后門（肉雞）作為網(wǎng)絡(luò)傳播的起點隱藏在主機(jī)上的所有活動

常見的惡意代碼種類惡意代碼類型主要特點計算機(jī)病毒潛伏傳染破壞蠕蟲掃描攻擊擴(kuò)散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念2/5/2023惡意代碼的危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常；危害數(shù)據(jù)文件的安全存儲和使用；泄露文件、配置或隱私信息；肆意占用資源，影響系統(tǒng)或網(wǎng)絡(luò)的性能；攻擊應(yīng)用程序，如影響郵件的收發(fā)。惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史2/5/2023計算機(jī)病毒定義計算機(jī)病毒能夠?qū)ふ宜拗鲗ο?，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產(chǎn)生的根源炫耀、玩笑、惡作劇或是報復(fù)各種矛盾激化、經(jīng)濟(jì)利益驅(qū)使計算機(jī)系統(tǒng)的復(fù)雜性和脆弱性網(wǎng)絡(luò)戰(zhàn)“震網(wǎng)”病毒計算機(jī)病毒的特征主要特征宿主性：依附在另一個程序上隱蔽性：長期隱藏，條件觸發(fā)傳染性：自我復(fù)制，感染其他程序破壞性：執(zhí)行惡意的破壞或惡作劇、消耗資源變異性：逃避反病毒程序的檢查計算機(jī)病毒的發(fā)展簡史1998CIH病毒1998年盜版光盤破壞硬盤數(shù)據(jù)2000愛蟲病毒2000年電子郵件傳播自身并破壞數(shù)據(jù)文件2002SQL蠕蟲王2003年利用SQLserver2000遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞通過網(wǎng)絡(luò)傳播公用互聯(lián)網(wǎng)絡(luò)癱瘓20042004年利用windows的LSASS中存在一個緩沖區(qū)溢出漏洞進(jìn)行傳播傳播自身，癱瘓網(wǎng)絡(luò)，破壞計算機(jī)系統(tǒng)震蕩波20062006年利用所有成熟的網(wǎng)頁掛馬、U盤ARP欺騙、網(wǎng)絡(luò)共享傳播自身，破壞用戶數(shù)據(jù)，組建僵尸網(wǎng)絡(luò)熊貓燒香20082008年利用flash漏洞等第三方應(yīng)用程序漏洞掛馬傳播傳播自身，攻擊安全軟件，組建僵尸網(wǎng)絡(luò)，盜取賬號牟利木馬群宏病毒特點利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執(zhí)行程序宏病毒感染文檔，而不是可執(zhí)行代碼宏病毒是平臺無關(guān)的宏病毒容易傳染電子郵件不同類型的宏自動執(zhí)行：normal.dot，啟動自動宏：打開/關(guān)閉文檔、創(chuàng)建、退出宏命令宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒宏病毒的基本機(jī)制2/5/2023病毒的傳播途徑計算機(jī)病毒的工作原理計算機(jī)病毒的結(jié)構(gòu)引導(dǎo)模塊設(shè)法獲得被執(zhí)行的機(jī)會，獲取系統(tǒng)的控制權(quán)以引導(dǎo)其他模塊進(jìn)行工作。傳染模塊完成計算機(jī)病毒的繁殖和傳播觸發(fā)模塊是毒破壞行動是否執(zhí)行的決定者破壞模塊具體負(fù)責(zé)破壞活動的執(zhí)行病毒的基本工作機(jī)制被感染程序執(zhí)行計算機(jī)病毒的引導(dǎo)機(jī)制基本方法主動型（也稱為隱蔽型或技術(shù)型）被動型（也稱為公開型或欺騙型）計算機(jī)病毒的引導(dǎo)過程駐留內(nèi)存：病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。有的病毒不駐留內(nèi)存。竊取系統(tǒng)控制權(quán)：病毒駐留內(nèi)存后，必須取代或擴(kuò)充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)。隱蔽等待觸發(fā)：此后病毒隱蔽自己，等待時機(jī)，在條件成熟時，再進(jìn)行傳染和破壞。計算機(jī)病毒的寄生對象計算機(jī)病毒的寄生對象磁盤的引導(dǎo)扇區(qū)和特定文件（EXE、COM等可執(zhí)行程序DLL、DOC、HTML等經(jīng)常使用的文件中常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導(dǎo)扇區(qū)或者文件中的原有內(nèi)容。鏈接法病毒程序?qū)⒆陨聿迦氲皆袃?nèi)容的首部、尾部或者中間，和原有內(nèi)容鏈接為一個整體。病毒的活動過程潛伏階段病毒是空閑的觸發(fā)階段病毒被某個事件激活包括日期、某個程序運(yùn)行、中斷調(diào)用、啟動次數(shù)等繁殖階段復(fù)制病毒、傳染其他程序執(zhí)行階段執(zhí)行某種有害或無害的功能盜竊、破壞數(shù)據(jù)信息、破壞硬件設(shè)備、耗費系統(tǒng)資源、產(chǎn)生視覺/聽覺效果等計算機(jī)病毒的過去與現(xiàn)在自我復(fù)制和傳播，破壞電腦功能和數(shù)據(jù)，甚至破壞硬件，影響電腦正常使用病毒技術(shù)本身沒有突破，和以前的病毒沒有本質(zhì)區(qū)別技術(shù)目的從炫技、惡作劇、仇視破壞到貪婪依托互聯(lián)網(wǎng)，集團(tuán)化運(yùn)作，以經(jīng)濟(jì)利益作為唯一目標(biāo)通過磁盤、光盤、電子郵件、網(wǎng)絡(luò)共享等方式傳播危害的表象：一個電腦病毒感染數(shù)千萬臺電腦，橫行全球，破壞用戶系統(tǒng)(CIH、梅麗莎、沖擊波、尼姆達(dá)等等)生產(chǎn)、傳播、破壞的流程完全互聯(lián)網(wǎng)化，組成分工明確、日趨成熟的病毒產(chǎn)業(yè)鏈；各種基礎(chǔ)互聯(lián)網(wǎng)應(yīng)用都成為病毒入侵通道，其中“網(wǎng)頁掛馬”最常見，占總量90%以上。傳播途徑計算機(jī)病毒的防護(hù)病毒的預(yù)防病毒的檢測病毒的清除病毒的防范病毒的防范預(yù)防為主、治療為輔防范措施安裝真正有效的防殺計算機(jī)病毒軟件不要隨便直接運(yùn)行或直接打開電子函件中夾帶的附件文件安裝網(wǎng)絡(luò)服務(wù)器時應(yīng)保證沒有計算機(jī)病毒存在一定要用硬盤啟動網(wǎng)絡(luò)服務(wù)器病毒的防范注意病毒傳入途徑終端漏洞導(dǎo)致病毒傳播郵件接收導(dǎo)致病毒傳播外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播內(nèi)部用戶繞過邊界防護(hù)措施，直接接入因特網(wǎng)導(dǎo)致病毒被引入網(wǎng)頁中的惡意代碼傳入反病毒技術(shù)特征掃描的方法根據(jù)提取的病毒特征，查找計算機(jī)中是否有文件存在相同的感染特征。內(nèi)存掃描程序盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。完整性檢查器

記錄計算機(jī)在未感染狀態(tài)可執(zhí)行文件和引導(dǎo)記錄的信息指紋，將這一信息存放在硬盤的數(shù)據(jù)庫中，并根據(jù)需要進(jìn)行匹配測試，判斷文件是否被病毒感染。反病毒技術(shù)行為監(jiān)視器

行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監(jiān)視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續(xù)。CPU仿真器或虛擬機(jī)一個可執(zhí)行文件中的指令先由仿真器來解釋，而不是直接由底層的處理器解釋。使用虛擬機(jī)技術(shù)，是目前較為前沿的一種反病毒技術(shù)。以程序在執(zhí)行過程是否具有感染行為作為依據(jù)來判斷該程序是否是病毒，查毒準(zhǔn)確率幾乎可達(dá)100％。防病毒軟件防病毒軟件瑞星、360安全衛(wèi)士、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山防病毒網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)保護(hù)郵件器的防病毒網(wǎng)關(guān)反病毒產(chǎn)品發(fā)展180s末－90s初，病毒數(shù)量激增，硬件防病毒卡出現(xiàn)290s中殺防集成化