计算机病毒防护讲解.ppt

3.1 木马定义 定义：当目标主机上的木马程序被执行后，目 标主机就成为了一个网络服务器，这时通过木 马程序的另一部分，就可以对目标主机进行监 视、控制。 本质上是一种基于远程控制的程序，具有很强 的隐蔽性和危害性。 59 木马的组成 控制端 ? 黑客的控制机器 被控端 ? 被植入木马的机器 60 木马的基本特征 1、隐蔽性是其首要的特征，主要体现： a、伪装成系统文件或服务 b、DLL注入、进程劫持、系统调用劫持 svchost.exe svch0st.exe svchost.exe scvhost.exe explorer.exe explore.exe 61 木马的基本特征（con.） 2、它具有自动运行性 3、具备自动恢复功能 4、能自动打开特别的端口 5、先发制人攻击杀毒软件 7、地下产业链已经形成 62 63 3.1 木马程序的生存方式 （1）直接伪装成合法程序； （2）包含在一个合法程序中，与合法程序绑定在 一起，在用户调用该合法程序时，木马程序也 被启动； （3）在一个合法程序中加入此非法程序执行代码， 该代码在用户调用合法程序时被执行。 64 3.2 五代木马技术发展 第一代木马是简单的具有口令窃取及发送 功能的木马程序。 （1）口令发送型木马 （2）键盘记录型木马 第二代木马在技术上有了很大的进步，是 最早的监视控制型木马。 65 第三代木马在数据传递技术上、木马程序隐藏 技术上又做了进一步的改进。 第四代木马在程序的隐身技术及植入方式上又 将进一步提高： 第五代木马与病毒紧密结合，利用操作系统漏 洞，直接实现感染传播的目的 66 Rootkit 恶意程序, 间谍软件, 广告软件提升反侦测能力 恶意系统程序是一种提供反侦测能力技术 ? 隐藏文件, 进程, 网络端口和连接, 系统设置, 系统服 务 ? 可以在恶意程序之中, 例如 Berbew, ? 也有独立软件, 例如 Hackder Defender 恶意系统程序历史 ? 首次出现在隐形病毒中, 例如 Brain ? 1994年第一个恶意系统程序出现在 SunOS,替换核 心系统工具(ls, ps 等)来隐藏恶意进程 67 Rootkit程序功能 隐匿系统资源 进程 系统服务 网络端口 文件 实现手段 用户模式系统调用劫持 核心模式系统调用劫持 核心模式数据篡改 核心模式中断处理程序劫持 注册表设置 用户帐号 68 2E 系统调用实例 应用程序 CreateFile(); ntdll.dll ZwCreateFile Kernel32.dll mov eax, 25h 7FFE0300h 用户模式 (Ring 3) 核心模式 CreateFileW 软件中断发送表 mov edx, 7FFE0300h call dword ptr [edx] retn 4 系统服务发送表 mov edx, esp sysenter (or int 2E) ret NtCreateFile (Ring 0) KiSystemService (maybe via KiFastCallEntry) (25h)NtCreateFile IoCreateFile IopCreateFile 69 用户模式系统调用劫持实例 用户模式文件查询 ZwQueryDirectoryFile Outlook.exe, Explorer.exe Winlogon.exe Ntdll.dll Rootkit user mode kernel mode Outlook.exe, Malware.exe, Winlogon.exe 弱点: 用户程序可直接呼叫核心系统调用 优点: 可感染普通用户帐号 70 71 核心模式系统调用劫持实例 核心模式文件查询 NtQueryDirectoryFile Attrib.exe, Explorer.exe user mode kernel mode Cmd.exe Ntdll.dll Explorer.exe, Attrib.exe, Malware.exe, Cmd.exe Rootkit Winlogon.exe 弱点: ? 需要运行管理员帐号才能感染系统 ? 较难开发及调试 优点: 难以侦测及清除 1.5 目前存在病毒的传播途径 27 1.5 防病毒软件的结构 防病毒软件的3个组成部分 扫描应用 扫描引擎 防 病