6-恶意代码分析与防护.pptVIP

恶意代码分析与防护;恶意代码的基本概念;主要内容; 恶意代码的发展史; 恶意代码的发展史;恶意代码的主要特征;恶意代码的主要特征(续);恶意代码的定义 ;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;计算机病毒的命名;6.2 计算机恶意代码的主要类型;6.2 计算机恶意代码的主要类型; (2)特洛伊木马 特洛伊木马从表面上看没有什么，但是实际上却隐含着恶意意图。一类木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一类木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的。 特洛伊木马可以分为以下三个模式： ●通常潜伏在正常的程序应用中，附带执行独立的恶意操作; ●通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作; ●完全覆盖正常的程序应用，执行恶意操作 。 ;完整的木马程序一般由两个部份组成： 一个是服务器程序 一个是控制器程序 “中了木马”就是指计算机被安装了木马的服务器程序，而拥有控制器程序的人就可以通过网络远程控制该计算机。 监听端口 替代系统功能 ; (3)蠕虫 是一种可以自我复制的完全独立的程序，它可以通过信息系统或计算机网络进行自身传播。蠕虫的自我复制不象其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以及快的速度传输（在几秒中内从地球的一端传送到另一端）。其中比较典型的有Blaster和SQL Slammer。 SQL Slammer (2003年1月) 该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击，全球超过50万台服务器被攻击。 ; (4)间谍软件 “间谍软件”其实是一个灰色区域，所以并没有一个明确的定义。然而，正如同名字所暗示的一样，它通常被泛泛的定义为从计算机上搜集信息，并在未得到该计算机用户许可（即用户不知情的情况下）时便将信息传递到第三方的软件，包括监视击键，搜集机密信息（密码、信用卡号、PIN码等），获取电子邮件地址，跟踪浏览习惯等。间谍软件还有一个副产品，在其影响下这些行为不可避免的影响网络性能，减慢系统速度，进而影响整个商业进程。 通常这些信息会被传给广告商或其他相关人员。; (5)移动代码 移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。 通常用于编写移动代码的工具包括Java applets、ActiveX、JavaScript和VBScript。 移动代码另外两个比较常见的名称是“网页木马”或“网页恶意代码”。;随着恶意代码的不断进化，实际中的许多恶意代码同时具有多种特征，这样可以具有更大的威胁性。最典型的是蠕虫病毒，它是蠕虫和病毒的混合体，同时具有蠕虫和病毒的特征。;6.3 计算机恶意代码分析;恶意代码攻击机制 ;恶意代码攻击机制 ;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;6.4 常见恶意代码感染迹象与处理;计算机病毒的防治措施;计算机病毒的防治措施;以防为主、与治结合、互为补充! 防御 在病毒尚未入侵或刚刚入侵还未发作时，就进行拦截阻击或立即报警。 免疫 使正常对象具有免疫力，不再受病毒感染。 检测 采用各种检测方法将病毒识别出来。 清除 清除受害系统中的病毒，恢复系统的原始无毒状态。;计算机病毒的预防技术;6.6 计算机恶意代码攻防应用实例;6.7 恶意代码的防范;1. 基于特征的扫描技术;2. 校验和;校验和两个缺点;3. 沙箱技术;4. 安全操作系统对恶意代码的防范;基于网