新计算机网络安全教程 教学课件 978 7 302 26962 5 第08章.ppt

* 计算机网络安全教程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 重点内容： 获取远程控制权类恶意软件 维持远程控制权类恶意软件 完成远程控制权类恶意软件 恶意软件运行症状 恶意软件防范基本措施 第8章 恶意软件概念及防范 一、恶意软件分类 将入侵目标系统并达到特定目的的完整过程分解为三个阶段： 1、获取对目标系统的远程控制权。 2、维持对目标系统的远程控制权。 3、通过网络远程控制的方式，在目标系统上完成特定业务逻辑。 目标系统：可以是目标主机系统，也可以是目标网络设备。 根据不同恶意软件所完成的功能在完整的入侵过程中所处阶段的不同 ，将恶意软件分为三种类型。 1、分类依据 一、恶意软件分类 获取目标系统远程控制权类恶意软件的基本特征，是在未授权的条件下，能够利用各种手段获取对目标系统的远程控制权，即具有完整入侵过程中第一阶段的功能。典型的获取目标系统远程控制权类恶意软件有以下几种。 ●Exploit(漏洞利用程序)。Exploit利用操作系统或应用程序中存在的缺陷（Bug，又称漏洞），可达到以非授权的方式远程控制目标系统或提升本地用户权限的目的。 ●Trojan Horse（特洛伊木马），简称为Trojan（木马）。是伪装成合法程序以欺骗用户执行的一类恶意软件。 目前最严重的木马传播方式，是网页木马。对大多数缺乏基本防范措施的上网用户而言，出于猎奇等心理，在上网浏览过程中，极容易被一些标题“诱人”的网站连接吸引，比如花边新闻、暴力、色情等内容的链接。 2、获取远程控制权类 一、恶意软件分类 ●Worm（蠕虫）。蠕虫是具有自我繁殖能力，无需用户干预便可自动在网络环境中传播的一类恶意软件。Worm利用目标系统的Weak Password（弱口令）或目标系统中存在的程序缺陷获得对目标系统的远程控制权，并搜集目标系统内的相关信息，从而将Worm自身传染至与目标系统有网络联系的其他系统。 ●Bot（僵尸程序）。Bot与Worm的共同点在于有自主“意识”，能自动完成某些动作。若某Worm的Payload部分包含一个Backdoor，则称该Worm为Bot，可以这样理解，可远程控制的Worm即为Bot。 ●Virus（病毒）。病毒依附于宿主文件，在宿主文件被执行的条件下跟随宿主文件四处传播并完成特定业务功能的一类恶意软件。Virus的结构与Worm相似，除包含用于传播自身的Virus Header（病毒头部）外，还包含用于完成特定业务逻辑的Payload部分。 2、获取远程控制权类 一、恶意软件分类 获取对目标系统的远程控制权后，通过在目标系统中运行此类恶意软件，以维持对目标系统的持久远程控制。此类恶意软件用于完整入侵过程中的第二阶段。 ●Backdoor（后门）。后门是一类运行在目标系统中，用以在未经授权的条件下，提供对目标系统远程控制服务的恶意软件。 需要注意的是，Backdoor与第一类恶意软件不同，Backdoor的作用是通过其运行以提供对目标系统未经授权的远程控制的服务，而第一类恶意软件需要利用各种手段来达到此目的，即Backdoor是以第一类恶意软件为前提的，Backdoor必须在目标系统上执行后才能提供远程控制的服务，因此必须先使用第一类恶意软件以获得在目标系统上执行程序的权限。 3、维持远程控制权类 一、恶意软件分类 ●Rootkit（隐蔽程序）。 Rootkit的概念起源于UNIX/Linux类操作系统，在这类操作系统中，root代表管理员的用户名，rootkit最初是指UNIX/Linux系统中一组用于获取并维持root权限的工具集。 当前Rootkit概念是指用于帮助入侵者在获取目标主机管理员权限后，尽可能长久地维持这种管理员权限的工具。 获取管理员权限的过程不由Rootkit来完成，即Rootkit的使用是基于已经获得了管理员权限的假设。 辨析： Backdoor仅提供一条非授权访问、控制目标系统的“通道”，但并不对保护这条通道，因而容易被目标系统上的管理员或网络安全设备察觉或检测到。 Rootkit的作用是要尽可能长久地维持对目标系统的远程控制，其基本任务就是要隐藏Backdoor所提供的通道，尽可能使得目标系统上的管理员或安全设备不能察觉、检测到该通道的存在。 3、维持远程控制权类 一、恶意软件分类 ●Spyware（间谍软件）。这是典型的第三类恶意软件，用于从目标系统中收集各种情报、信息，如商业、军事