11-恶意代码及防护技术(I)精读.ppt

第11讲 恶意代码及防护技术 杨 明 紫金学院计算机系 内容 恶意代码的概念 计算机病毒 反病毒技术 网络攻击技术演变趋势图 恶意代码的概念 定义 指以危害信息安全等不良意图为目的程序或代码 潜伏在受害计算机系统中实施破坏或窃取信息 分类 恶意代码的主要功能 常见的恶意代码种类 恶意代码的危害 攻击系统，造成系统瘫痪或操作异常； 危害数据文件的安全存储和使用； 泄露文件、配置或隐私信息； 肆意占用资源，影响系统或网络的性能； 攻击应用程序，如影响邮件的收发。 恶意代码的发展历史 计算机病毒 定义 计算机病毒能够寻找宿主对象，并且依附于宿主，是一类具有传染、隐蔽、破坏等能力的恶意代码。 产生的根源 炫耀、玩笑、恶作剧或是报复 各种矛盾激化、经济利益驱使 计算机系统的复杂性和脆弱性 网络战 “震网”病毒 计算机病毒的特征 主要特征 宿主性：依附在另一个程序上 隐蔽性：长期隐藏，条件触发 传染性：自我复制，感染其他程序 破坏性：执行恶意的破坏或恶作剧、消耗资源 变异性：逃避反病毒程序的检查 宏病毒 特点 利用word中的“宏”繁殖传染 宏是嵌入到字处理文档中的一段可执行程序 宏病毒感染文档，而不是可执行代码 宏病毒是平台无关的 宏病毒容易传染 电子邮件 不同类型的宏 自动执行：normal.dot，启动 自动宏：打开/关闭文档、创建、退出 宏命令 宏病毒 病毒的传播途径 计算机病毒的工作原理 计算机病毒的结构 引导模块 设法获得被执行的机会，获取系统的控制权以引导其他模块进行工作。 传染模块 完成计算机病毒的繁殖和传播 触发模块 是毒破坏行动是否执行的决定者 破坏模块 具体负责破坏活动的执行 病毒的基本工作机制 计算机病毒的引导机制 基本方法 主动型（也称为隐蔽型或技术型） 被动型（也称为公开型或欺骗型） 计算机病毒的引导过程 驻留内存： 病毒若要发挥其破坏作用，一般要驻留内存。有的病毒不驻留内存。 窃取系统控制权：病毒驻留内存后，必须取代或扩充系统的原有功能，并窃取系统的控制权。 隐蔽等待触发：此后病毒隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。 计算机病毒的寄生对象 计算机病毒的寄生对象 磁盘的引导扇区和特定文件（EXE、COM等可执行程序 DLL、DOC、HTML等经常使用的文件中 常用的寄生方式 替代法 病毒程序用自己的部分或全部代码指令直接替换掉磁盘引导扇区或者文件中的原有内容。 链接法 病毒程序将自身插入到原有内容的首部、尾部或者中间，和原有内容链接为一个整体。 病毒的活动过程 潜伏阶段 病毒是空闲的 触发阶段 病毒被某个事件激活 包括日期、某个程序运行、中断调用、启动次数等 繁殖阶段 复制病毒、传染其他程序 执行阶段 执行某种有害或无害的功能 盗窃、破坏数据信息、破坏硬件设备、耗费系统资源、产生视觉/听觉效果等 计算机病毒的防护 病毒的预防 病毒的检测 病毒的清除 病毒的防范 病毒的防范 预防为主、治疗为辅 防范措施 安装真正有效的防杀计算机病毒软件 不要随便直接运行或直接打开电子函件中夹带的附件文件 安装网络服务器时应保证没有计算机病毒存在 一定要用硬盘启动网络服务器 病毒的防范 注意病毒传入途径 终端漏洞导致病毒传播 邮件接收导致病毒传播 外部带有病毒的介质直接接入网络导致病毒传播 内部用户绕过边界防护措施，直接接入因特网导致病毒被引入 网页中的恶意代码传入 反病毒技术 特征扫描的方法 根据提取的病毒特征，查找计算机中是否有文件存在相同的感染特征。 内存扫描程序 尽管病毒可以毫无觉察的把自己隐藏在程序和文件中，但病毒不能在内存中隐藏自己。 内存扫描程序可以直接搜索内存，查找病毒代码。 完整性检查器 记录计算机在未感染状态可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中，并根据需要进行匹配测试，判断文件是否被病毒感染。 反病毒技术 行为监视器 行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。 如果行为监视程序检测到这类活动，它就会通知用户，并且让用户决定这一类活动是否继续。 CPU仿真器或虚拟机 一个可执行文件中的指令先由仿真器来解释，而不是直接由底层的处理器解释。 使用虚拟机技术，是目前较为前沿的一种反病毒技术。 以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒，查毒准确率几乎可达100％。 防病毒软件 防病毒软件 瑞星、 360安全卫士 、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山 防病毒网关 保护网络入口的防病毒网关 保护邮件器的防病毒网关 小结 恶意代码的概念 定义和分类 计算机病毒 定义与特征 结构与工作原理 反病毒技术 病毒的检测 反病毒软件 * * 网络信息安全 * 依附性