9恶意代码检测与防范课件.pptVIP

恶意代码检测与防范 主要内容 常见的恶意代码 恶意代码机理 恶意代码检测 恶意代码清除与预防 常见的恶意代码 恶意代码主要是指以危害信息的安全等不良意图为目的的程序，它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马 恶意代码主要危害 攻击系统，造成系统瘫痪或操作异常 危害数据文件的安全存储和使用 泄露文件、配置或隐秘信息 肆意占用资源，影响系统或网络性能 恶意代码的基本特征 都是人为编制的程序 对系统具有破坏性或威胁性 往往具有传染性、潜伏性、非授权执行性 根据种类不同还具有寄生性、欺骗性、针对性等 恶意代码的发展趋势 网络成为计算机病毒传播的主要载体 网络蠕虫成为最主要和破坏力最大的病毒类型 与黑客技术相结合，出现带有明显病毒特征的木马或木马特征的病毒 出现手机病毒、信息家电病毒 病毒制造传播目的由以表现破坏为主转向以获利为主，木马病毒成为当前主流病毒 计算机病毒 计算机病毒是一类具有寄生性、传染性、破坏性的程序代码，寄生性和传染性是病毒区别于其他恶意代码的本质特征 计算机病毒代码不能独立存在，必须插入到其他序或文件中，并随着其他文件的运行而被激活，然后驻留在内存以便进一步感染或者破坏 可分为引导型、文件型、混合型病毒 如CIH病毒，宏病毒等 计算机病毒传染传播 病毒的两种存在状态 静态：仅存在于文件中 激活：驻留内存，可以感染其他文件或磁盘 仅感染本机的文件 随感染文件的传播而传播 传播方式 软盘、移动硬盘、U盘、光盘等，特别是盗版光盘 文件共享、电子邮件、网页浏览、文件下载 蠕虫 不依附其他程序，而是一段独立的程序 通过网络把自身的拷贝传播给其它计算机 可以修改删除其他程序，也可能通过反复自我复制占尽网络或系统资源，造成拒绝服务 具备病毒复制和入侵攻击双重特点 利用漏洞自主传播 如： 红色代码、冲击波等 蠕虫 蠕虫程序的传播过程 （1）扫描：蠕虫的扫描功能模块负责探测存在漏洞的主机，以便得到一个可传染的对象。 （2）攻击：攻击模块自动攻击找到的可传染对象，取得该主机的权限，获得一个shell。 （3）复制：复制模块通过两主机的交互将蠕虫程序复制到目标主机并启动。 可见，传播模块实现的是自动入侵的功能。蠕虫的传播技术是蠕虫技术的首要技术。 木马 木马是一种程序，它能提供一些有用的或者令人感兴趣的功能，但是还具有用户不知道的其它功能。 木马不具有传染性，不能自我复制，通常不被当成病毒 典型木马如冰河、灰鸽子、Bo2K等 木马 特洛伊木马的分类 远程访问型 密码发送型 键盘记录型 破坏型 FTP型 DoS攻击型 代理型 木马程序构成 1、木马服务程序：也称服务器端，是指被控制电脑内被种植且被运行的木马程序，接受控制指令，执行监控功能 2、木马配置程序：设置木马的参数，如端口号、木马文件名称、启动方式等 3、木马控制程序：也称控制端，是指进行操控和监视的电脑内运行的程序，用以连接到服务程序，发出控制指令，并接收服务程序传送来的数据。 有时配置程序和控制程序集成在一起，统称控制端程序。 木马的基本原理 配置木马：设置木马参数，实现伪装和信息反馈 传播木马：如通过帮定程序将木马帮定到某个合法或有用软件，通过诱骗等方式传播到用户系统 运行木马：用户运行捆绑木马的软件而安装木马，将木马文件复制到系统，并设置触发条件，以后可自动运行 信息反馈：木马收集系统信息发送给控制端攻击者 建立连接：控制程序扫描运行了木马的主机（开放特定端口），添加到主机列表，并在特定端口建立连接 实施监控：实现远程控制，如同本地操作 木马的传播方式 （1）以邮件附件的形式传播： （2）将木马程序捆绑在软件安装程序上，通过网络下载传播。 （3）通过聊天工具如QQ等传送文件传播 （4）通过蠕虫程序植入。 （5）通过交互脚本或网页植入 （6）通过系统漏洞直接种植 （7）通过各种介质交换文件传播 木马的自加载运行技术 和应用程序捆绑 修改Windows系统注册表例如：下面注册表中的某些键值 HLM\Software\Microsoft\Windows\CurrentVersion\Run HLM\Software\Microsoft\Windows\CurrentVersion\RunService HLM\software\microsoft\windows\currentversion\runonce HCU\software\microsoft\windows\currentversion\run 修改文件关联如冰河木马修改文本文件关联HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值Notepad.exe 1%改为Sysexplr.exe 1% 恶意代码防治 恶意代码防范