恶意代码析.ppt

恶意代码分析与深层防护安全模型 §1 恶意软件 一、 什么是恶意软件 “恶意软件” 指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 （1）远程访问特洛伊 （2）Rootkit 2、蠕虫 3、病毒 二 、恶意软件的特征 1、目标环境 （1）设备。 （2）操作系统。 （3）应用程序。 2、携带者对象 （1）可执行文件。 （2）脚本。 （3）宏。 （4）启动扇区。 3、传输机制 （1）可移动媒体。 （2）网络共享。 （3）网络扫描。 （4）对等 (P2P) 网络。 （5）电子邮件。 （6）远程利用。 4、负载 一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为“负载”的操作，负载可以采用许多形式。常见负载类型包括： （1）后门。 （2）数据损坏或删除。 （3）信息窃取。 （4）拒绝服务 (DoS) 5、触发机制 触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容： （1）手动执行。 （2）社会工程。 （3）半自动执行。 （4）自动执行。 （5）定时炸弹。 （6）条件。 6、防护机制 许多恶意软件示例使用某种类型的防护机制，来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例： （1）装甲。