第九章+系统安全-恶意代码.pptx

第九章 系统安全-恶意代码;;一、恶意代码类型;一、恶意代码 类型 ;恶意程序的术语;名称;;;;间谍软件;间谍软件的传播方式;发展趋势;间谍软件检测工具;间谍软件检测工具;Rootkit Rootkit作为一个名词最早出现于二十世纪90年代初。Rootkit是攻击者用来隐藏自己的踪迹和维持远程管理员访问权限的工具，而不是用来获得系统管理员访问权限的工具。一个典型Rootkit通常包括： 以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，例如inetd或者login，为攻击者提供后门。 隐藏攻击者的目录和进程的程序，例如ps、netstat、rshd和ls等。 日志清理工具. ;Rootkit技术 ;Rootkit技术 ;二、反病毒技术;（5）磁盘上的文件或程序丢失。 （6）磁盘读/写文件明显变慢，访问的时间加长。 （7）系统引导变慢或出现问题，有的出现“写保护错”提示。 （8）系统经常死机或出现异常的重启动现象。 （9）原来运行的程序突然不能运行，总是出现出错提示。 （10）连接的打印机不能正常启动。 观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和 清除做好准备。 ;2．检测的主要依据 （1）检查磁盘主引导扇区 （2）检查FAT表 （3）检查中断向量 （4）检查可执行文件 （5）检查内存空间 （6）检查特