第九章+系统安全-恶意代码讲解.pptxVIP

第九章 系统安全-恶意代码 1 一、恶意代码类型 二、反病毒技术 三、僵尸网络 四、恶意代码的关键技术 五、恶意代码的防范 2 一、恶意代码类型 1.1恶意代码概述 中国互联网协会反恶意软件协调工作组认为术语恶意软件用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。 病毒概念的泛化： 早期病毒：具有对宿主感染能力的恶意代码 现在：一切具有主观危害和极可能客观破坏效果的恶意代码统称病毒，而恶意代码则是对病毒的学术表达。 恶意代码通常在人们没有察觉的情况下把代码寄宿到另一段程序中，从而达到破坏被感染计算机的数据、运行具有入侵性或破坏性的程序、破坏被感染系统数据的安全性和完整性的目的。 3 一、恶意代码 类型 感染类 必须依赖实际应用程序、工具程序或者系统程序才可以运行的程序碎片。 PE和其它格式的感染式文件 功能是有些限制。 病毒程序不可能很大 独立程序 正常编译的可执行程序 加壳的可执行程序 脚本文件 4 恶意程序的术语 名称 描述 病毒 当执行时向可执行代码传播自身副本的恶意代码；传播成功时，可执行程序被感染。当被感染代码执行时，病毒也执行。 蠕虫 可独立执行的程序，并可以向网络中其他主机传播自身副本。 逻辑炸弹 入侵者植入软件的程序。逻辑炸弹潜藏到触发条件满足为止；则该程序激发一个未授权的动作。 木马 貌似有用的计算机程序，但也包含能够规避安全机制的潜藏恶意功能，有时利用系统的合法授权引发木马程序。 后门、陷门（backdoor/trapdoor) 能够绕过安全检查的任意机制,允许对未授权的功能访问。 可移动代码（mobile code) 能够不变的植入各种不同平台，执行时有身份语义的软件（如，脚本、宏或者其他可移动代码） 5 名称 描述 利用（Exploits） 针对某一漏洞或一组漏洞的代码。 下载者（downloader) 可以在遭受攻击的机器上安装其他条款的程序。通常，下载者是通过电子邮件传递的 自动启动程序（auto-rooter) 用于远程入侵到未被感染的机器中的恶意攻击工具 病毒生成工具包 一组用于自动生成新病毒的工具 垃圾邮件程序 用于发送大量不必要的电子邮件 泛流 占用大量网络资源对网络计算机系统进行攻击从而实现DOS攻击 键盘日志 捕获被感染系统中的用户按键 rootkit 当攻击者进入计算机系统并获得低层通路后，使用的工具 僵尸（Zombie，bot) 活跃在被感染的机器上并向其他机器发射攻击的程序。 间谍软件（spyware) 从一种计算机上收集信息并发送到其他系统的软件 6 逻辑炸弹:计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。 是嵌入到某些合法程序中的代码段，当遇到某些特定条件时爆发。 引爆条件有多样：某些特定文件存在与否、日期、星期、某特定用户运行应用程序等。 逻辑炸弹爆炸，将修改或删除文件中的数据甚至整个文件，引起系统停机或其他危害。 7 可移动代码 能够不变的植入各种不同平台，执行时有身份语义的软件（如，脚本、宏或者其他可移动代码） 从远程系统传送到本地系统，且在没有用户明确指令的情况下在本地系统执行。 常采用与病毒、蠕虫、木马类似的机制传向用户工作站。 也可利用漏洞来执行自身的动作，例如未授权数据的接收或超级用户权限。 载体有java applets, activeX、javaScript和VBScript。使用可移动代码在本地系统进行恶意操作最常见的方式有跨站脚本攻击、互动和动态网站、E-mail附件以及从不可信地址下载不可信软件。 8 多威胁恶意代码 有多种操作方式、多种传播及感染方式等。如多组分病毒、复合型攻击等。 复合型攻击的一个例子是NIMDA攻击，经常误认为是一种蠕虫。NIMDA使用四种分发方式： E-mail：有漏洞主机的用户打开一个受感染的E-mail附件；NIMDA搜寻主机上的E-mail地址并向这些地址发送副本。 窗口共享：Nimda寻找不安全的窗口文件共享，然后使用NETBIOS作为传输机制来感染该主机上的文件，以期用户运行受感染文件引发该主机上的Nimda。 Web服务器：Nimda扫描Web服务器，寻找Microsoft IIS中的已知漏洞，如果发现一个有漏洞的服务器，Nimda传送副本到服务器，感染服务器及其文件。 Web用户：有漏洞的Web用户访问被Nimda感染的Web服务器，则用户工作站也会被感染。 9 间谍软件 他们以主动收集用户个人信息、相关机密文件或隐私数据为主，搜集到的数据会主动传送到指定服务器。 间谍软件发展之初，多被一些在线广告商以及Kazaa等音乐交换网站使用，这些公司将