网络信息对抗第六章恶意代码与其分析.ppt

网络信息对抗 主讲人：张 瑜 Email:bullzhangyu@ QQ:344248003 网络信息对抗 第六章：恶意代码及其分析 提纲 恶意代码基础知识 恶意代码分析技术 课题实践：恶意代码静态分析 作业：分析一个自制恶意代码样本 恶意代码(Malware) 恶意代码定义 Malware is a set of instructions that run on your computer and make your system do something that an attacker wants it to do. 使计算机按照攻击者的意图运行以达到恶意目的的指令集合。 指令集合: 二进制执行文件, 脚本语言代码, 宏代码, 寄生在文件、启动扇区的指令流 恶意代码目的: 技术炫耀/恶作剧, 远程控制, 窃取私密信息, 盗用资源, 拒绝服务/破坏, … 恶意代码类型 计算机病毒, 蠕虫, 恶意移动代码, 后门, 特洛伊木马, 僵尸程序, Rootkit等… 计算机病毒是最早出现的恶意代码，媒体/工业界的概念混淆，经常以计算机病毒(Computer Virus)等价于恶意代码 恶意代码的类型 恶意代码的命名规则与分类体系 恶意代码命名规则 [恶意代码类型.]恶意代码家族名称[.变种号] 恶意代码分类的混淆 反病毒工业界并没有形成规范的定义，概念混淆 各种恶意代码形态趋于融合 各种形态恶意代码在关键环节上具有其明确的定义特性 传播、控制、隐藏、攻击 针对明确定义特性对恶意代码进行分类研究 僵尸程序、Rootkit、网页木马… 恶意代码的发展史 1949年: Von Neumann提出计算机程序自我复制概念 1960年: 康维编写出“生命游戏”, 1961年ATT实验室程序员编写出“Darwin”游戏，通过复制自身来摆脱对方控制 1970s早期: 第一例病毒Creeper在APANET上传播 1983年: Fred Cohen给出计算机病毒定义 1983年: 最著名的Backdoor, Thompson Ken (October 1983). Reflections on Trusting Trust (PDF). 1983 Turing Award Lecture, ACM. 1986年: 第一例PC病毒Brain 1988年: 第一例蠕虫Morris Worm 1990年: SunOS rootkit 1995年: Concept宏病毒 1998年: CIH病毒－首例破坏计算机硬件的病毒 1998年: 最著名的后门软件－Back Orifice 恶意代码的发展史 1999-2000年：邮件病毒/蠕虫, Melissa, ILOVEYOU 2001年(蠕虫年)：Code Red I/II, Nimda 2002年：反向连接木马Setiri, … 2003年-2004年：蠕虫大爆发 2003: Slammer/Blaster/Nachi/Sobig/… 2004: Mydoom/Witty/Sasser/Santy/… 2007-2008年：Storm worm 基于Overnet构建了Stromnet, 一个专属的P2P网络 恶意代码发展史上著名的案例 国内著名的恶意代码实例与事件 1986年，中国公安部成立计算机病毒研究小组 1989年，国内首例病毒攻击事件，Kill发布 90年代，反病毒业界逐步形成 冠群金辰、瑞星、江民、金山 90年代末新世纪初，本土化恶意代码流行 1998-CIH病毒 1999-冰河 2003-灰鸽子 2004-证券大盗 2007-2008：熊猫烧香，机器狗、磁碟机… 计算机病毒 定义 计算机病毒是一种能够自我复制的代码，通过将自身嵌入其他程序进行感染，而感染过程通常需要人工干预才能完成 特性 感染性：最本质的特性 潜伏性 可触发性 破坏性 衍生性 计算机病毒的感染机制 感染可执行文件 前缀感染 后缀感染 插入感染 感染引导扇区 感染数据文件－宏指令 计算机病毒的感染机制 计算机病毒的传播机制 计算机病毒VS. 蠕虫 病毒: 借助人类帮助从一台计算机传至另一台计算机 蠕虫: 主动跨越网络传播 传播方式 移动存储: 软盘?U盘 电子邮件及其下载: 邮件病毒 文件共享: SMB共享服务、NFS、P2P 网络蠕虫 网络蠕虫定义特性 主动传播性 网络蠕虫传播机制 主动攻击网络服务漏洞 通过网络共享目录 通过邮件传播 网络蠕虫VS.计算机病毒 网络蠕虫的组成 蠕虫的“弹头” 渗透攻击模块 传播引擎 FTP/TFTP/HTTP/SMB/直接传送/单包 目标选择算法+扫描引擎 扫描策略 有效负荷(攻击负荷) Payload: 传播自身, 开放后门, DDoS攻击... “红色代码”蠕虫 2001年7