网络安全技术及应用 教学课件 作者 刘京菊 ch8 恶意代码防范.pptVIP

第8章 恶意代码防范;8.1 恶意代码概述;8.1.1 恶意代码基本概念;8.1.2 恶意代码的表现;8.1.3 恶意代码的特征与分类;2．恶意代码的分类 普通病毒 木马 网络蠕虫 移动代码 复合型病毒;8.1.4 恶意代码的关键技术;1．生存技术 （1）反跟踪技术 2）反静态跟踪技术 对程序代码分块加密执行； 伪指令法。 （2）加密技术 从加密内容划分，加密手段分为信息加密、数据加密和程序代码加密三种。;1．生存技术 （3）模糊变换技术 利用模糊变换技术，恶意代码程序每次感染一个对象时，恶意代码体均不相同。目前模糊变换技术主要包括： 指令替换法； 指令压缩法； 指令扩展法； 伪指令技术； 重编译技术。;2．攻击技术 （1）进程注入技术 当前操作系统中都提供有系统服务和网络服务，它们都在系统启动的时候自动加载。 进程注入技术就是以上述服务程序的可执行代码作为载体，将恶意代码程序自身嵌入到其中，实现自身隐藏和启动的目的。;2．攻击技术 （2）三线程技术 Windows系统引入了线程的概念，一个进程可以同时拥有多个并发线程。所谓三线程技术就是指一个恶意代码进程同时开启三个线程，其中一个是主线程，负责具体的恶意功能，另外两个线程分别是监视线程和守护线程。监视线程负责检查恶意代码的状态。守护线程注入其他可执行文件内，与恶意代码进程同步。;2．攻击技术 （3）端口复用技术 端口复用技术是指重复利用系统已打开的服务端口传送数据，从而可以躲避防火墙对端口的过滤。端口复用一般情况下不影响原有服务的正常工作，因此具有很强的隐蔽性。 （4）对抗检测技术 主要手段有：终止反恶意代码软件的运行、绕过反恶意代码软件的检测等。;2．攻击技术 （5）端口反向连接技术 端口反向连接技术利用防火墙对从内部发起的网络数据包疏于管理的特性从被控制端主动发起向控制端的连接。 （6）缓冲区溢出攻击技术 缓冲区溢出攻击是获取远程目标主机管理权限的主要手段，是恶意代码进行主动传播的主要途径。;3．隐藏技术 （1）本地隐藏技术 本地隐藏是指为了防止本地系统管理人员???觉而采取的隐蔽手段。本地隐藏的技术手段可以分为三类： 将恶意代码隐藏于合法程序中 修改或替换某些系统管理命令或其依赖的系统调用 分析管理命令的执行机制和弱点，然后利用发现的弱点避过管理命令的检查;3．隐藏技术 （2）通信隐藏技术 使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保护通信内容，但无法隐蔽通信状态，因此传输信道的隐蔽同样具有重要的意义。对传输信道的隐蔽主要采用隐蔽通道技术。常见的网络通信隐蔽技术有http tunnel和icmp tunnel等。;8.1.5 恶意代码的发展趋势;8.2 恶意代码检测技术;8.2.1 特征代码法; 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。 优点：方法简单，能发现未知病毒、被查文件的细微变化也能发现。 缺点：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。;校验和法查病毒; 利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。这些能够作为监测病毒的行为特征如下： 占有INT 13H 改DOS系统为数据区的内存总量 对COM、EXE文件做写入动作 病毒程序与宿主程序的切换 优点：可发现未知病毒、可相当准确地预报未知的多数病毒。 缺点：可能误报警、不能识别病毒名称、实现时有一定难度。; 软件模拟法是一种软件分析器，用软件方法来模拟和分析程序的运行。 软件模拟法可用于检测多态性病毒。;8.3 恶意代码防范策略;8.3.1 防止恶意代码感染;3．设置安全策略，限制脚本程序的运行 对于常用的Microsoft Internet Explorer（IE）浏览器，可以进行以下安全设置。;4．启用防火墙，过滤不必要服务和系统信息 计算机系统暴露到互联网上的信息越多，就越容易受到攻击。因此通过防火墙过滤不必要的服务和系统信息可以降低系统遭受恶意代码攻击的风险。 5．养成良好的上网习惯 良好的上网习惯主要包括： 不随意打开来历不明的电子邮件； 不随意下载来历不明的软件； 不随意浏览来历不明的网站。;8.3.2 防止恶意代码扩散;2．防止恶意代码通过移动存储介质扩散 U盘等移动存储介质是恶意代码传播又一重要途径，甚至可