第7章恶意代码与防治.ppt

恶意代码的隐蔽技术 隐藏通常包括本地隐藏和通信隐藏 其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等 网络隐藏主要包括通信内容隐藏和传输通道隐藏。 1. 本地隐藏 本地隐蔽是指为了防止本地系统管理人员觉察而采取的隐蔽手段。本地系统管理人员通常使用“查看进程列表”，“查看目录”，“查看内核模块”，“查看系统网络连接状态”等管理命令来检测系统是否被植入了恶意代码。 （1）文件隐蔽。最简单的方法是定制文件名，使恶意代码的文件更名为系统的合法程序文件名，或者将恶意代码文件附加到合法程序文件中。（2）进程隐蔽。恶意代码通过附着或替换系统进程，使恶意代码以合法服务的身份运行，这样可以很好地隐蔽恶意代码。可以通过修改进程列表程序，修改命令行参数使恶意代码进程的信息无法查询。也可以借助RootKit 技术实现进程隐蔽。 （3）网络连接隐蔽。恶意代码可以借用现有服务的端口来实现网络连接隐蔽，如使用80（HTTP）端口，将自己的数据包设置特殊标识，通过标识识别连接信息，未标识的WWW 服务网络包仍转交给原服务程序处理。使用隐蔽通道技术进行通信时可以隐蔽恶意代码自身的网络连接。 （4）编译器隐蔽。使用该方法可以实施原始分发攻击，恶意代码的植入者是编译器开发人员。 （5）RootKit 隐蔽。Windows操作系统中的Rootkit分为两类：用户模式下的Rootkit 和内核模式下的Rootkit。 2. 网络隐蔽 使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保护通信内容，但无法隐蔽通信状态，因此传输信道的隐蔽也具有重要的意义。对传输信道的隐蔽主要采用隐蔽通道技术。美国国防部可信操作系统评测标准对隐蔽通道进行了如下定义： 隐蔽通道是允许进程违反系统安全策略传输信息的通道。隐蔽通道分为两种类型：存储隐蔽通道和时间隐蔽通道。存储隐蔽通道是一个进程能够直接或间接访问某存储空间，而该存储空间又能够被另一个进程所访问，这两个进程之间所形成的通道称之为存储隐蔽通道。时间隐蔽通道是一个进程对系统性能产生的影响可以被另外一个进程观察到并且可以利用一个时间基准进行测量，这样形成的信息传递通道称为时间隐蔽通道。 网络蠕虫 随着网络系统应用及复杂性的增加，网络蠕虫成为网络系统安全的重要威胁。 在网络环境下，多样化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、潜伏性变强、覆盖面更广，网络蠕虫成为恶意代码研究中重中之重。 网络蠕虫的定义 网络蠕虫是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无需计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。 蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 蠕虫的结构 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。网络蠕虫功能结构如图 主体功能模块 主体功能模块由四个模块构成： ①信息搜集模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构，边界路由信息等等，这些信息可以单独使用或被其他个体共享； ②扫描探测模块。完成对特定主机的脆弱性检测，决定采用何种的攻击渗透方式； ③攻击渗透模块。该模块利用②获得的安全漏洞，建立传播途径，该模块在攻击方法上是开放的、可扩充的； ④自我推进模块。该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。例如“Nimda”会生成多种文件格式和名称的蠕虫副本；“W32.Nachi.Worm”利用系统程序（例如TFTP）来完成推进模块的功能等等。 2. 辅助功能模块 辅助功能模块是对除主体功能模块外的其他模块的归纳或预测，主要由五个功能模块构成： ①实体隐藏模块。包括对蠕虫各个实体组成部分的隐藏、变形、加密以及进程的隐藏，主要提高蠕虫的生存能力； ②宿主破坏模块。该模块用于摧毁或破坏被感染主机，破坏网络正常运行，在被感染主机上留下后门等； ③信息通信模块。该模块能使蠕虫间、蠕虫同黑客之间能进行交流，这是未来蠕虫发展的重点；利用通信模块，蠕虫间可以共享某些信息，使蠕虫的编写者更好地控制蠕虫行为； ④远程控制模块。控制模块的功能是调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令； ⑤自动升级模块