CISP0207安全漏洞与恶意代码_v3.0.ppt

* * * * * * * 恶意代码分析技术 静态分析 需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制 动态分析 在虚拟运行环境中，使用测试及监控软件，检测恶意代码行为，分析其执行流程及处理数据的状态，从而判断恶意代码的性质，并掌握其行为特点。 * 静态分析-常规分析 * 静态分析-代码分析 * 样本文件格式：PE文件，脚本文件等。 PE信息分析(是否加壳、加壳类型等) API调用 附加数据分析（字符串、资源） 静态分析的特点 优点 不需要运行恶意代码，不会影响运行环境的安全 可以分析恶意代码的所有执行路径 不足 随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低 * 恶意代码动态分析-程序功能 中国安天实验室 * API使用 文件读写 新增？ 删除？ 改动？ 注册表读写 新增？ 删除？ 改动？ 内核调用 恶意代码动态分析-行为分析 行为分析 本地行为 网络行为 传播方式 运行位置 感染方式 其它结果等 中国安天实验室 * 为恶意代码查杀防御提供支撑！ 动态分析的特点 优点 针对性强 具有较高的准确性 不足 由于分析过程中覆盖的执行路径有限，分析的完整性难以保证 * 恶意代码清除技术-感染引导区 清除方式：修复/重建引导区 从备份修复引导区 重建主引导区（FDISK /MBR） * 恶意代码清除技术-感染文件 附着型：逆向还原（从正常文件中删除恶意代码） 替换型：备份还原（正常文件替换感染文件） * 正常代码 恶意代码 正常代码 恶意代码 正常代码 恶意代码 附着型恶意代码清除 恶意代码清除-独立文件 独立可执行程序（.exe等） 终止进程、删除 独立依附型（.dll .sys） 内存退出、删除 * 恶意代码清除-嵌入式 更新软件或系统 重置系统 * 基于互联网技术的防御 恶意代码监测与预警体系 蜜罐、蜜网 恶意代码云查杀 分布式计算 * 基于互联网的恶意代码防御 恶意代码具有相当的复杂性和行为不确定性，基于恶意代码的防范需要多种技术综合应用，包括: 恶意代码监测与预警 恶意代码传播抑制 恶意代码处置（清除、阻断） * 恶意代码监测及预警-HoneyPot 什么是Honeypot（蜜罐）技术 Honeypot的作用 网络上的“捕鼠器”，用于研究网络黑客攻击 广泛被用于捕获蠕虫病毒或木马程序样本 Honeypot与honeynet * 基于互联网的恶意代码防御-云查杀 可疑软件行为检测 云端自动分析处理 快速分发解决措施 * 总结 恶意代码基本知识 恶意代码传播方式 恶意代码加载、隐藏、自我保护技术 恶意代码防御及查杀技术 * 谢谢，请提问题！ * * * * * * * * 恶意代码传播方式-通讯与数据传播 即时通讯 伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼 P2P下载 伪造有效资源进行传播 * 恶意代码传播方式-共享 共享 * 管理共享 C盘、D盘…… Windows安装目录 用户共享 用户设置的共享 典型病毒 Lovegate Spybot Sdbot …… 恶意代码传播方式-主动放置 利用系统提供的上传渠道(FTP、论坛等) 攻击者已经获得系统控制权 攻击者是系统开发者 …… * 攻击者 被攻击系统 恶意代码传播方式-软件漏洞 利用各种系统漏洞 缓冲区溢出：冲击波、振荡波 利用服务漏洞 IIS的unicode解码漏洞：红色代码 …… * 知识域：安全漏洞与恶意代码 知识子域：恶意代码的实现技术 理解恶意代码修改配置文件、修改注册表、设置系统服务等加载方式 理解恶意代码进程、网络及系统隐藏技术 理解恶意代码进程保护和检测对抗自我保护技术 * 恶意代码加载方式 随系统启动而加载 开始菜单中的启动项 启动配置文件 注册表启动项 系统服务 组策略 …… 随文件执行加载 感染/文件捆绑 浏览器插件 修改文件关联 其他 * 随系统启动加载方式-启动配置 开始菜单启动项 启动配置文件 Autorun.bat Win.ini System.ini 已经很少有病毒采用 过于明显 用户登录后才能启动 * 随系统启动加载方式-注册表 注册表启动项： HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\SOFTWARE\Microsoft\Wind