《信息安全工程学-夏鲁宁》第07讲 恶意代码与系统攻击.pptxVIP

信息安全工程学 第07讲 恶意代码与系统攻击 内容提要 计算机病毒与恶意代码 网络攻击概念及典型技术 网络攻击案例 内容提要 计算机病毒与恶意代码 网络攻击概念及典型技术 网络攻击案例 1 计算机病毒与恶意代码 病毒与恶意代码的概念 恶意代码发展简史 恶意代码用到的技术 1.1 病毒与恶意代码的概念 什么是病毒？ 由一个核酸分子（DNA或RNA）与蛋白质（Protein）构成或仅由蛋白质构成（如朊病毒）。病毒没有实现新陈代谢所必需的基本系统，所以病毒自身不能复制； 但当它接触到宿主细胞时，便脱去蛋白质外套，核酸（基因）侵入宿主细胞内，借助后者的复制系统，按照病毒基因的指令复制新的病毒。 ——百度百科 什么是计算机病毒？ 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者代码。 ——《中华人民共和国计算机信息系统安全保护条例》 1.1 病毒与恶意代码的概念 计算机病毒最初的特征 通过文件共享传播（光盘、U盘、软盘） 自我复制 不是独立存在，而是以其它程序为宿主（病毒代码插入到其它文件中） 计算机病毒逐步发展出了更多花样 不用人干预，自动传播；独立存在，不用寄宿；不传播，只隐藏…… 由于历史原因，“计算机病毒”这个术语更多强调最初的特征 恶意代码（Malware） 破坏计算机运行，收集敏感信息或非正当获取计算机访问权限的计算机软件。以独立的可执行程序、脚本、动态文本等形式存在，计算机病毒、蠕虫、特洛伊木马、敲诈软件、减低软件、广告软件、恐吓软件等都属于恶意代码。 ——维基百科 恶意代码的分类 恶意代码 特点 计算机病毒 通过文件共享传播，寄宿在其它文件，运行时复制 蠕虫 通过网络传播，独立文件，自动复制 特洛伊木马 通过任何方式传播，独立文件，不复制，在计算机中开后门 垃圾邮件 通过邮件传播，恶意附件/恶意链接/虚假内容/非法内容/广告内容 钓鱼网站 高度仿真的虚假网站，诱骗用户上当 恶意代码的命名 一种杀毒软件常用的计算病毒命名规则 前缀 + 病毒家族名 + 后缀 病毒家族名：分析病毒时根据病毒特征起的名字 相同家族名的病毒通常具有相同或相似的特征，如族名为“ huigezi ”的病毒都具有盗取口令、隐藏自身、远程控制等特征 前缀：包含病毒的类型等相关信息 后缀：用来标识病毒变种，通常用 a-z 这 26 个字母来顺序表示 示例：worm.mimail.b worm 表明该病毒是一个蠕虫病毒； mimail 是病毒家族名，也是中文命名（小邮差）的依据； “ b ”就是病毒变种名，它表明该病毒是“小邮差”病毒家族中的第 2 个变种 常见前缀 前缀 简介 boot 引导区病毒，通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进行传播的病毒 dos doscom dos 病毒，只通过 dos 操作系统进行传播的病毒，如doscom.virus.dir2.2048 win32 win32文件型病毒，文件型病毒是指将自身代码插入到 windows 可执行文件内来进行传播并伺机进行破坏的病毒 worm i-worm 蠕虫病毒，如 worm.sasser （震荡波） Trojan 特洛伊木马， 通常假扮成有用的程序诱骗用户主动激活 Backdoor 后门程序，与Trojan基本相同 macro 宏病毒，使用宏语言编写，在一些数据处理系统中运行（主要是微软office）。宏病毒可以进一步划分，如macro.word、macro.excel script、vbs、js 脚本病毒，使用脚本语言编写，嵌入在网页当中，调用系统程序、修改注册表对用户计算机进行破坏，或调用特殊指令下载并运行病毒、木马文件 1.2恶意代码发展简史 计算机系统的实现是安全性、开放性以及制造成本的一种折衷 由于折衷带来系统的脆弱性，从而使恶意代码有了生存空间 计算机系统是一种生态系统 系统的复杂性决定了善意意识和恶意意识的并存 水至清则无鱼 计算机病毒是在计算机发展到一定阶段后出现的 1946年的计算机，操作人员都是可信的 计算机病毒起源的5种传说 科学幻想说 1977年，Thomas.J.Ryan，《The Adolesence of P-1（P-1的青春期）》 英雄主义起源说 1984年，Steven Levy，《Hackers》 ATT公司游戏说 贝尔实验室的程序员为了娱乐，编制吃掉对方程序的程序 软件制造商保护说 软件制造商为了保护自己的软件不受非法复制 美国软件俱乐部说 美国计算机软件俱乐部是由计算机技术爱好者组成的一个团体，它们通过计算机网络分享彼此的设计心得。它们共享程序，但是要邮寄使用费，为了惩戒不遵守规则者，它们在程序中加入病毒。 计算机病毒在我国的起源 1989年4月，西南铝厂 首先