第7章 恶意代码攻击和防御.pptVIP

第7章 恶意代码攻击和防御 1 概述 什么是恶意代码？ 恶意代码是指独立的程序或者嵌入到其它程序中的代码，它在不被用户察觉的情况下启动，达到破坏电脑安全性和完整性的目的。 恶意代码的分类 木马、rootkit、病毒、蠕虫和网页恶意代码 恶意代码传播方式 1. 利用操作系统漏洞或者软件漏洞； 2. 通过浏览器； 3. 利用用户的信任关系； 2木马技术 2.1 木马的发展 第一代木马：利用目标的安全意识不强来运行，在启动、通信和隐藏方面都没有特别的东西，功能上只是简单的实现了密码的获取、发送，或者是进行一些恶意的行为，比如实现机器的重启、删除文件等。 第二代木马：以文件关联的方式启动，通过电子邮件传播。实现了木马发展质的跨越。以前的木马就是一个简单的程序，毫无隐蔽性可言，而这恰恰是木马最重要的一点。第二代木马通过文件关联方式启动，隐蔽性比较强，大大提高了木马的存活率。 第三代木马：通过修改注册表或者修改系统文件启动，使用ICMP、UDP等协议，利用隐蔽通道技术进行通信，隐蔽性更强。 第四代木马：采用线程注入的方式实现进程的隐藏，通信上使用反弹端口技术和代理技术来突破主机防火墙限制。目前很多木马都属于这一类。 第五代木马：这一代木马的特点是与系统内核紧密结合，结合了rootkit技术。通过修改系统内核的相关信息来实现文件、进程和通信的隐藏。普通的安全工具根本就查看不到这种木马，