《信息安全理論與技術(shù)》課件第7章 惡意代碼及防范技術(shù)

第七章惡意代碼及防范技術(shù)第七章惡意代碼及防范技術(shù)7.1惡意代碼的概念7.2惡意代碼的生存原理7.3惡意代碼的分析與檢測(cè)技術(shù)7.4惡意代碼的清除與預(yù)防技術(shù)7.1惡意代碼的概念7.1.1常見名詞舉例7.1.2惡意代碼的危害7.1.3惡意代碼的命名規(guī)則7.1.1惡意代碼常見名詞舉例計(jì)算機(jī)病毒：是一種計(jì)算機(jī)程序代碼，它遞歸地復(fù)制自己或其演化體。病毒感染宿主文件或者某個(gè)系統(tǒng)區(qū)域，或者僅僅是修改這些對(duì)象的引用，來獲得控制權(quán)并不斷地繁殖來產(chǎn)生新的病毒體蠕蟲病毒：主要在網(wǎng)絡(luò)上進(jìn)行復(fù)制邏輯炸彈：通常是合法的應(yīng)用程序，在編程時(shí)寫入一些“惡意功能”7.1.1惡意代碼常見名詞舉例特洛伊木馬：隱藏在一個(gè)合法的軀殼下的惡意代碼漏洞利用：漏洞利用代碼（exploitcode）針對(duì)某一特定漏洞或一組漏洞下載器：通過破壞殺毒軟件，然后再?gòu)闹付ǖ牡刂废螺d大量其他病毒、木馬進(jìn)入用戶電腦玩笑程序7.1.2惡意代碼的危害破壞數(shù)據(jù)占用磁盤存儲(chǔ)空間搶占系統(tǒng)資源影響計(jì)算機(jī)運(yùn)行速度7.1.3惡意代碼的命名規(guī)則<病毒前綴>.<病毒名>.<病毒后綴>。病毒前綴是指一個(gè)病毒的種類病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的7.2惡意代碼的生存原理7.2.1惡意代碼的生命周期7.2.2惡意代碼的傳播機(jī)制7.2.3惡意代碼的感染機(jī)制7.2.4惡意代碼的觸發(fā)機(jī)制7.2.1惡意代碼的生命周期設(shè)計(jì)期：用編程語(yǔ)言制造一個(gè)惡意代碼傳播期：通過不同的途徑散布和侵入受害系統(tǒng)中感染期：找到自己依附或隱藏的宿主，并實(shí)施依附或隱藏觸發(fā)期：滿足觸發(fā)條件時(shí)，惡意代碼進(jìn)入運(yùn)行期運(yùn)行期：惡意代碼的惡意目的得以展現(xiàn)消亡期：惡意代碼被檢測(cè)出來，并應(yīng)用相應(yīng)的手段進(jìn)行處理7.2.2惡意代碼的傳播機(jī)制惡意代碼傳播主要是通過復(fù)制文件、傳送文件、運(yùn)行程序等方式進(jìn)行。主要傳播機(jī)制：互聯(lián)網(wǎng)局域網(wǎng)移動(dòng)存儲(chǔ)設(shè)備無線設(shè)備和點(diǎn)對(duì)點(diǎn)通信系統(tǒng)7.2.3惡意代碼的感染機(jī)制感染執(zhí)行文件主要感染.exe和.dll等可執(zhí)行文件和動(dòng)態(tài)連接庫(kù)文件根據(jù)惡意代碼感染文件的方式不同，可以分為外殼型惡意代碼、嵌入型惡意代碼、源代碼型惡意代碼、覆蓋型惡意代碼和填充型惡意代碼等感染引導(dǎo)區(qū)如果惡意代碼感染了引導(dǎo)區(qū)，開機(jī)后，它被讀入內(nèi)存時(shí)，殺毒軟件還沒有讀入內(nèi)存，惡意代碼就獲得了系統(tǒng)控制權(quán)，改寫操作系統(tǒng)文件，隱藏自己7.2.3惡意代碼的感染機(jī)制感染結(jié)構(gòu)化文檔宏病毒是一種寄存在文檔或模板的宏中的惡意代碼。一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上7.2.4惡意代碼的觸發(fā)機(jī)制惡意代碼在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作日期觸發(fā)時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動(dòng)觸發(fā)7.2.4惡意代碼的觸發(fā)機(jī)制訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā)被惡意代碼使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一個(gè)條件，而是使用由多個(gè)條件組合起來的觸發(fā)條件7.3惡意代碼的分析與檢測(cè)技術(shù)7.3.1惡意代碼的分析方法7.3.2惡意代碼的檢測(cè)方法7.3.1惡意代碼的分析方法靜態(tài)分析法:在不執(zhí)行惡意代碼的情況下進(jìn)行分析?？梢苑譃樵创a分析、反匯編分析、二進(jìn)制統(tǒng)計(jì)分析三種情況動(dòng)態(tài)分析法:通過檢測(cè)惡意代碼執(zhí)行的過程，分析執(zhí)行過程中的操作進(jìn)行分析7.3.1惡意代碼的分析方法在實(shí)際應(yīng)用中，一般將惡意代碼分析方法分成三類：基于代碼特征的分析方法基于代碼語(yǔ)義的分析方法基于代碼行為的分析方法。7.3.1惡意代碼的分析方法基于代碼特征的分析方法首先，獲取一個(gè)病毒程序的長(zhǎng)度，根據(jù)長(zhǎng)度可以將文件分為幾份然后，每份中選取通常為16或32個(gè)字節(jié)長(zhǎng)的特征串最后，將選取出來的幾段特征碼及它們的偏移量存入病毒庫(kù)，標(biāo)示出病毒的名稱7.3.1惡意代碼的分析方法基于代碼語(yǔ)義的分析方法通過各種渠道收集到最新的未知惡意代碼樣本時(shí)，進(jìn)行文件格式分析對(duì)樣本文件的屬性進(jìn)行查看分析對(duì)樣本的行為進(jìn)行分析，分析它的本地感染行為，以及網(wǎng)絡(luò)傳播行為通過靜態(tài)反匯編工具（IDA等）對(duì)的惡意代碼程序的PE文件進(jìn)行反匯編通過動(dòng)態(tài)調(diào)試對(duì)惡意代碼加載調(diào)試，進(jìn)一步分析代碼的操作7.3.1惡意代碼的分析方法基于代碼行為的分析方法?；诖a行為的分析方法是基于以下理論展開的：軟件行為=API+參數(shù)六大類常見軟件惡意行為：修改注冊(cè)表啟動(dòng)項(xiàng)修改關(guān)鍵文件控制進(jìn)程訪問網(wǎng)絡(luò)資源修改系統(tǒng)服務(wù)控制窗口7.3.2惡意代碼的檢測(cè)方法基于特征碼的檢測(cè)法啟發(fā)式檢測(cè)法基于行為的檢測(cè)法完整性驗(yàn)證法基于特征函數(shù)的檢測(cè)方法7.4惡意代碼的清除與預(yù)防技術(shù)7.4.1惡意代碼的清除技術(shù)7.4.2惡意代碼的預(yù)防技術(shù)7.4.1惡意代碼的清除技術(shù)選擇適當(dāng)?shù)姆怄i策略鑒別和隔離被感染主機(jī)阻塞發(fā)送出的訪問關(guān)閉郵件服務(wù)器斷開局域網(wǎng)與因特