计算机恶意代码-病毒分析.docVIP

补充章 计算机恶意代码 本章内容：计算机恶意代码概念；计算机病毒；计算机蠕虫病毒；特洛伊木马；流氓软件；恶意代码传播途径；恶意代码的防范措施。 1. 计算机恶意代码概述 本节内容：什么是计算机恶意代码；恶意代码攻击机制；关键技术（生存、攻击、隐蔽）。 1.1 恶意代码简史 从1988年1月Morris蠕虫迄今20多年历史。其发展过程详见下图。 1.2 恶意代码定义 定义：经过存储媒体和网络的传播，从一台计算机系统到另一台计算机系统，未经授权破坏计算机系统完整性的程序或代码。 包括：计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代码(Malicious Scripts)和恶意ActiveX 控件等。 特点：非授权性和破坏性。 恶意代码 类型 定 义 特 点 计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 潜伏、传染和破坏 计算机蠕虫 指通过计算机网络自我复制，消耗系统资源和网络资源的程序。 扫描、攻击和扩散 特洛伊木马 指一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序。 欺骗、隐蔽和信息窃取 逻辑炸弹 指一段嵌入计算机系统程序的，通过特殊的数据或时间作为条件触发，试图完成一定破坏功能的程序。 潜伏和破坏 病菌 指不依赖于系统软件，能够自我复制和传播，以消耗系统资源为目的的程序。 传染和拒绝服务 用户级RootKit 指通过替代或者修改被系统管理员或普通用户执行的程序进入系统，从而实现隐藏和创建后门的程序。 隐蔽，潜伏 核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序。 隐蔽，潜伏 1.3 作用过程 作用过程：分为6个部分 ①侵入系统：是实现其恶意目的的必要条件。入侵的途径有：网络下载的程序本身可含恶意代码；接收感染恶意代码的电子邮件；从光盘或软盘上安装软件；黑客或攻击者故意将恶意代码植入系统等。 ②维持或提升现有特权：其传播与破坏必须盗用用户或进程的合法权限才能完成。 ③隐蔽策略：不让系统发现其侵入，可能改名、删除源文件或修改系统的安全策略来隐藏自己。 ④潜伏：侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。 ⑤破坏：其本质是破坏性，目的是造成信息丢失、泄密，破坏系统完整性等。 ⑥重复①至⑤：对新的目标实施攻击。 2. 计算机病毒 本节内容：什么是计算机病毒；计算机病毒的基本特征；常见的计算机病毒分类；引导区病毒；文件型病毒；宏病毒；脚本病毒；病毒命名规则。 2.1 什么是计算机病毒 计算机病毒是一种人造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不独立存在，隐蔽在其他可执行程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度；重则使机器处于瘫痪，给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 2.2 计算机病毒的基本特征 可执行性：它是可执行的程序 。 可传染性：通过各种渠道从已被感染的计算机传播到未被感染的文件、扇区或计算机。 破坏性：降低计算机系统的工作效率，占用系统资源，具体情况取决于入侵系统的病毒程序种类。 潜伏性：编写得精巧，进入系统后一般不马上发作，可在几周、几月内甚至几年内隐藏在合法文件中，潜伏性愈好，在系统中存在时间就愈长，传染范围就愈大。 隐蔽性：编程技巧很高，短小精悍。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。 针对性：一般都是针对特定的操作系统，还有针对特定的应用程序的。 可触发性：因某事件或数值出现，诱使病毒实施感染或进行攻击的特性。 2.3 常见的计算机病毒分类 按破坏性分 按传染方式分 按连接方式分 2.3.1 按传染方式分 引导区型病毒：隐藏在磁盘引导区内。 文件型病毒：关联到文件内。 混合型病毒：混合型病毒具有引导区型病毒和文件型病毒两者的特点。 宏病毒：寄生在Office文档上，影响对文档的各种操作。 是用VBA语言编写的病毒程序的宏代码。 蠕虫病毒：网络传播的病毒。 2.3.2 按连接方式分 源码型病毒：攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。 入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。 操作系统型病毒：用其自身一部分加入或替代操作系统的部分功