信息安全 第10章恶意代码分析.ppt

主要内容 病毒 蠕虫 恶意移动代码 RootKit 特洛伊木马 后门 恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）是一种程序，它把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据安全性和完整性的目的。 10.1 病毒 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义: “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒的特征 特点： 不能作为独立的可执行程序运行 自我复制 通过执行宿主程序来激活病毒 跨平台 ...... 10.1.1 感染 1．感染可执行文件 例如：在Windows系统中，后缀名为.EXE、COM、SYS、.DLL、.OCX、.CPL、.SCR等都可能被感染 2．感染引导区 利用MBR和PBS内容的可执行特性，将自身附着在某一个引导区中，在启动时能执行病毒代码 3．感染文档文件 支持内嵌代码的文档格式会被感染，例如Word文档支持的宏。 4．其他目标 例如感染脚本的病毒。 10.1.2 传播机制 1．移动存储 2．电子邮件及下载 3．共享目录 10.1.3 防御病毒 1．反病毒软件（又称杀毒软件） 常见的反病毒软件 金山毒霸 卡巴斯基反病毒软件 瑞星杀毒软件 诺顿杀毒软件 江民杀毒软件 ...... 安装环境 用户工作站、文件服务器、邮件服务器 应用程序服务器 边界防火墙 手持设备 反病毒软件原理： 首先搜集病毒样本并且采集其特征码收录到数据库中。当反病毒软件扫描文件时，将当前文件和病毒特征相比较，检测是否有文件片段和特征相吻合 2. 强化配置 最小特权原则：规定对数据和程序的访问，对用户进行限制，使他们只能访问自己的任务明确需要的文件。 最小化服务数量：只开放那些需要的服务。 3．良好的习惯 对于用户来说，培养成良好的习惯也可以大大降低被病毒感染的风险。 10.2 蠕虫 蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干涉就能传播。 10.2.1 蠕虫的组成和传播 蠕虫的构成 1．探测装置 获得目标计算机的访问权 2．传播引擎 传输自身的其他部分到目标机 3．目标选择算法 寻找新的攻击目标 4．扫描引擎 对潜在的目标慢慢传送一个或者多个数据包，以此权衡蠕虫的弹头是否可以在这台计算机上工作 5．有效载荷 蠕虫进入目标机后所做的事情。 Nimda案例 2001年9月18日，Nimda蠕虫开始在Internet上迅速蔓延。它尽可能多的感染Windows系统。 名字由来： 单词“admin”倒过来拼写。 10.2.3 防御蠕虫 安装反病毒软件 及时配置补丁 阻断任意的输出连接 建立事故响应机制 10.3 恶意移动代码 移动代码就是一种小型程序，它可以从远程系统下载并以最小限度调用或者以不需要用户介入的形式在本地执行。 攻击者利用了移动代码的这个特点，将一些恶意的行为加入到这些代码中 10.3.1 浏览器脚本 当访问一个混合有浏览器脚本的网页时，浏览器会自动下载此移动代码并在机器上运行 可能的攻击形式： 拒绝服务攻击 浏览器劫持 窃取Cookie值 跨网站脚本攻击 10.3.2其它恶意移动代码 1．ActiveX ActiveX控件是一类特殊的COM对象，可供其他用户下载并在网页中使用 2．Java Applets 用Java编写的可嵌入网页中的程序 3．电子邮件中的移动代码 大部分的电子邮件客户软件都包括了某种形式的Web浏览器功能 10.4 后门 后门是一个允许攻击者绕过系统中常规安全控制机制的程序，它按照攻击者自己的意愿提供通道。 10.4.1 不同类型的后门 本地权限的提升 单个命令的远程执行 远程命令行访问 远程控制GUI 10.4.2 安装后门 可能用到的方法： 通过缓冲区溢出的漏洞 典型的系统错误配置 利用自动化的程序安装后门 欺骗受害者自己安装 ...... 10.4.3 自动启动后门 攻击者通常会让计算机定期的自动重新启动后门 设置Windows后门启动 设置Unix后门启动 10.4.4 GUI后门 能够像坐在受害计算机前面一样，操作系统控制台本身。 客户端:安装在攻击者电脑上 服务器端:安装在被控者的电脑上 10.5 特洛伊木马 表面上看是正常的程序，但是实际上却隐含着恶意意图。 分成三个模式: 潜伏在正常的程序应用中，附带执行独立的恶意操作。 潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作。 完全覆盖正常的程序应用，执行恶意操作。 10.5.1 修改名字 一种最简单的特洛伊木马是通过在Windows计算机中的程序名