第五讲 恶意软件.ppt

第五讲 恶意软件;Malicious Software;Malware Terminology;;;;多重威胁的恶意软件;Viruses;;病毒特性 (1);病毒特性 (2);攻击CMOS,攻击硬件: CMOS中保存系统重要数据,如系统时钟\磁盘类型\内存容量.CIH病毒就是同多改写某些计算机主板上的BIOS芯片,破坏计算机硬件及损坏硬盘. 攻击系统数据区: 硬盘主引导扇区,Boot扇区,FAT区,文件目录 攻击文件:删除 更名 替换内容 丢失簇 文件加密 系统文件(.sys .ini 注册文件) 可执行文件 (.com .exe .bat ) 文档文件 攻击内存:病毒额外占用\消耗内存资源 改变内存总量 禁止分配和蚕食内存 间谍活动,窃取机密信息: (蠕虫 特洛伊木马 陷门) 获取相关信息后,发送到指定目的地 微软 在Microsoft network 中加入了一种特洛伊木马,能生成完整的硬件和软件清单. 破坏网络系统: 非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽,拒绝服务攻击 ;Virus Structure; 挂接性病毒，注入到其他程序中，只要这些程序一运行，病毒就被激活。 例如：病毒将拷贝添加到可执行文件的第一条指令前，所有病毒指令将被最先执行，执行完后，控制权才交回程序第一条指令。 包裹性病毒,在初始程序之前和之后都由病毒来控制运行. 整合并替换性病毒,病毒用自身替换整合入目标代码.必须清楚知道初始程序的结构. ) ;挂接性病毒;包裹性病毒;整合并替换性病毒;Virus Structure （病毒结构的通用描述）;Compression Virus;Virus Classification;引导型病毒 （boot sector） 文件型 （file infector）寄生在可执行文件上 混合型病毒—兼顾引导型和文件型两种,不但感染破坏硬盘的引导区,而且感染和破坏文件 CIH病毒 文档类病毒(document virus； macro virus):文字文件\数据库\幻灯片\电子数据表等文档包含数据部分(字符和数字)和命令部分(公式\标准操作\链接等,是高级语言的一部分,包括宏\变量\过程\文件访问\系统调用;按病毒的隐藏方式;Macro Virus;E-Mail Viruses;Virus Countermeasures;Anti-Virus Evolution;Generic Decryption（通用解密）;Digital Immune System;Behavior-Blocking Software;Worms;Morris Worm;时间 –1988年 肇事者 –Robert T. Morris , 美国康奈尔大学学生，其父是美国国家安全局安全专家 机理 – -利用 sendmail, finger 等服务的漏洞，消耗 CPU资源，拒绝服务影响 –Internet上大约 6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失 CERT/CC的诞生 –DARPA成立 CERT（Computer Emergency Response Team），以应付类似“蠕虫（Morris Worm）” 事件 ;莫里斯蠕虫工作机理：利用了UNIX系统的漏洞和配置上的失误。;传染 用其中的一种方法向目标机器发送引导程序装载器(99行C代码程序),该程序在目标机器编译运行,从原宿主机器获取蠕虫程序的剩余部分. 蠕虫的自我保护功能: 在获取过程中,建立安全保护措施以保证活动的机密性.蠕虫为宿主提供一次性口令,传递过程中,如果目标没有该口令,宿主就断绝与目标间的联系. 隐藏 如果在获取蠕虫剩余部分过程中出现传输差错,装载器清零复位并清除已传输部分. 蠕虫获取全部代码后,装载入内存并加密,然后从硬盘上删除原始拷贝.并周期性的变换自己的名字和进程标识符. ;红色代码(1);红色代码(2);红色代码(3);The speed of propagation and the total number of hosts infected depend on : the mode of propagation, the vulnerability or vulnerabilities exploited, and the degree of similarity to preceding attacks;Recent Worm Attacks;Worm Technology;Worm Countermeasures;Proactive Worm Containment;Network Based Worm Defense;Bots（僵尸机）;Rootki