《网络安全设计》04-安全威胁⑶感染攻击概要1.pptx

网络安全设计 安全威胁⑶感染攻击 Content 什么是感染攻击？ 病毒攻击原理 木马攻击原理 蠕虫攻击原理 恶意代码原理 ling@ 1 《网络安全设计》 安全威胁⑶感染攻击 什么是感染攻击？ Infection Attack 通过特殊设计的软件，对攻击对象的软件系统实施感染，达到继续传播给更多对象、实现特定的攻击目标的目的 感染攻击具备以下一个到多个特征： 传播性（自我复制并转移给其他未感染对象） 自发性（自动判别对象状况、自动实施传播或攻击） 隐蔽性（难以发现） 顽固性（难以根除） 危害性（引起DoS或泄密等多种严重后果） ling@ 《网络安全设计》 安全威胁⑶感染攻击 2 感染攻击种类 三种虚拟“生物” 病毒（Virus） 蠕虫（Worm） 木马（Trojan Horse） 恶意代码——虚拟世界的“生物多样性” 后门程序（backdoor） 广告软件（adware） 浏览器劫持（browser hijacker） 行为记录（trackware） 恶意共享软件（malicious shareware） ling@ 《网络安全设计》 安全威胁⑶感染攻击 3 Virus ling@ 《网络安全设计》 安全威胁⑶感染攻击 4 病毒 什么是病毒？ Virus 病毒（计算机病毒）是一种特殊的程序，寄生于宿主程序上，并可自我复制，感染其他程序 ling@ 《网络安全设计》 安全威胁⑶感染攻击 5 宿主 程序 病毒 代码 程序 程序 程序 病毒 代码 病毒 代码 病毒 代码 程序 复制并感染 病毒的性质 寄生于宿主程序，不独立存在 具有自我复制能力 自动寻找未感染程序，实现病毒传播 可携带各种攻击代码 ling@ 《网络安全设计》 安全威胁⑶感染攻击 6 病毒传播三要素 ling@ 《网络安全设计》 安全威胁⑶感染攻击 7 传染源 原始病毒体 已感染病毒的软件 传播途径 存储器 内存运行 网络传输 易感人群 操作系统 应用程序 宏代码 消灭传染源，切断传播途径，保护易感人群 病毒的危害性 感染性 自我复制和感染——实现传播自身 攻击性 病毒体中可“夹带”各种攻击代码 窃取信息 破坏系统 定时爆发 ling@ 《网络安全设计》 安全威胁⑶感染攻击 8 病毒踪迹 特征编码 病毒代码的编码组合、含有的字符串等 特定类型 感染指定的文件类型（.com/.exe等） 特别行为（非共性） 文件长度变长 文件校验或签名错误 额外的存储器读写或文件读写操作 程序和系统运行效率降低 ling@ 《网络安全设计》 安全威胁⑶感染攻击 9 病毒的反制措施 病毒抵抗安全检测的方法 抗特征码串比对 加入随机数据；部分代码压缩或加密 抗文件长度检查 嵌入宿主“空腔”内；原程序代码压缩 抗宿主文件校验 模拟或伪造校验 抗异常文件搜索 制作“同伴”文件 抗应用程序排查 驻留在操作系统或固件中 抗异常行为判别 实行“有节制”的感染 ling@ 《网络安全设计》 安全威胁⑶感染攻击 10 病毒分类⑴ 按病毒活跃程度分： 在野病毒——活跃（有效）的病毒 实验室病毒——在“可控”环境下的病毒 归档病毒——已知且已被防范的病毒 ling@ 《网络安全设计》 安全威胁⑶感染攻击 11 有效的病毒都是在野病毒 但在野病毒可能是未知的 病毒分类⑵ 按病毒感染对象分： 引导扇区病毒 可执行文件病毒 DOS病毒 Windows病毒 虚拟机文件病毒 宏病毒 脚本病毒 Java病毒 Flash病毒 复合型病毒 ling@ 《网络安全设计》 安全威胁⑶感染攻击 12 病毒分类⑶ 按病毒设计技术分： 同伴病毒 空腔病毒 隧道病毒 直接行动病毒（非常驻病毒） 内存病毒 隐秘型病毒 潜伏型病毒 多态病毒 ling@ 《网络安全设计》 安全威胁⑶感染攻击 13 病毒激活方式 启动计算机（或插入存储介质）时 引导扇区病毒、内存病毒 操作系统文件病毒 运行可执行文件时 大部分可执行文件病毒 浏览或自动预览时 虚拟机脚本型病毒 定时或符合特定条件时 隐秘型、潜伏型病毒 ling@ 《网络安全设计》 安全威胁⑶感染攻击 14 病毒关键技术 ling@ 《网络安全设计》 安全威胁⑶感染攻击 15 病毒技术原理⑴寄生 ling@ 《网络安全设计》 安全威胁⑶感染攻击 16 宿主程序启动 运行病毒代码 宿主程序 常规运行 宿主程序退出 病毒技术原理⑵攻击 ling@ 《网络安全设计》 安全威胁⑶感染攻击 17 病毒代码启动 病毒感染进程 满足条件？ 实施攻击 病毒进程退出 （返回宿主程序） Y N 病毒代码（病毒体） 病毒技术原理⑶感染 ling@ 《网络安全设计》 安全威胁⑶感染攻击 18 病毒感染开始 打开指定路径 搜索指定类型文件 未感染？ 复制到宿主文件 感染更多？