恶意代码检测与防护.ppt

* * * * * * * * * * * * * * * * * * * * * * 11.3.2 漏洞与后门攻击 后门攻击 后门：即软件作者、硬件的开发者在组件的制作过程中留下的、可以绕过相应的安全访问机制，来修改并改变相应组件行为的程序。 后门常用来进行软硬件的更新及维护 * 11.3.2 漏洞与后门攻击 后门例子1：Windows Update 黑屏是因为微软在升级包中对用户信息进行了信息收集和处理 * 11.3.2 漏洞与后门攻击 后门例子2：海湾战争中的打印机 病毒通过电脑打印机侵入到伊拉克军事指挥中心的主机 * 11.3.2 漏洞与后门攻击 后门例子3：Sony的BMG Rootkit事件 后门例子4：上海鲁班公司员工编写恶意代码函数 * 11.3.3 恶意代码攻击 恶意代码是一种可以中断、破坏计算机及网络的程序或代码 恶意代码可分为病毒、特洛伊“木马”、蠕虫、逻辑炸弹、恶作剧程序和流氓软件等 恶意代码技术 渗透技术：保证恶意代码能够植入到目标主机中 渗透方式：感染可执行程序、分区表和数据文件，通过移动介质，通过人、社会工程方式、借助系统和软件漏洞，通过电子邮件、Web网页、P2P文件共享、即时通信工具和ARP欺骗方式等 * 11.3.3 恶意代码攻击 恶意代码技术 自启动技术：保证恶意代码在受害主机下一次启动后也被激活 自启动方法：通过服务启动、通过添加注册表启动项启动、通过文件关联启动、通过修改系统配置文件启动、作为其他程序插件启动、通过文件捆绑方式启动等 自我保护技术：使常用的检测工具无法检测到恶意代码的存在，或者即使检测到也无法对代码进行分析和清除 自我保护技术分类：反静态技术、反动态跟踪以及动态端口技术 * 11.3.3 恶意代码攻击 恶意代码技术 反制：恶意代码首先对反恶意代码软件系统进行攻击，使反恶意代码软件无法正常运行或使其特征库无法更新，达到免杀 隐蔽通信：远程控制最关键的问题是隐蔽通信 隐蔽通信的实现方式：直接适用套接字进行通讯控制、建立一条隐蔽的通信信道、ICMP隧道、使用第三方交互服务进行通讯以及网络代理“木马”欺骗方式 攻击技术：一切试图跨越系统安全边界、危害受害主机的可用性、可靠性、数据完整性，消耗受害主机的系统资源以及利用受害主机危害他人的所有行为 表现形式：拒绝服务攻击、信息窃取、数据破坏、修改系统配置 * 11.4.1 计算机病毒与蠕虫检测 比较法：原始备份与被检测的引导扇区或被检测的文件进行比较 加总比对法 搜索法：扫描检测对象中是否有特定字符串 分析法：由防、杀计算机病毒技术人员使用 有没有？是哪种？结构是什么？怎么防杀？ 人工智能陷阱技术和宏病毒陷阱技术 软件仿真扫描法：用来对付多态变形计算机病毒 11.4 恶意代码检测与防护 * 11.4.1 计算机病毒与蠕虫检测 先知扫描法 将专业人员用来判断程序是否存在计算机病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术伪执行新的计算机病毒，超前分析出新计算机病毒代码，对付以后的计算机病毒 蜜罐检测技术 故意设计一个有缺陷的系统，吸引攻击者、收集攻击信息以及辅助进行深度分析 11.4 恶意代码检测与防护 * 11.4.2 计算机“木马”检测 木马 一种基于远程控制的黑客工具，以寻找后门、窃取密码和重要文件为主，还可以对计算机进行监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性 木马的传播方式 Email 软件下载 会话软件 11.4 恶意代码检测与防护 * 11.4.2 计算机“木马”检测 木马的检测方法 查看开放端口 查看和恢复win.ini和system.ini系统配置文件，查看和恢复win.ini和system.ini文件是否被修改 查看启动程序并删除可以的启动程序 查看系统进程并停止可疑的系统进程 查看和还原注册表 使用杀毒软件和“木马”查杀工具检测和清除“木马” 11.4 恶意代码检测与防护 * 11.4.2 计算机“木马”检测 恶意代码防护 抵御恶意代码的传播和感染，主要是切断传播和感染的途径或破坏它们实施的条件 基于单机的防护：防恶意代码软件工具 基于网络的防护：网关检测网络通信流量、邮件服务 简单实用的“木马”预防方法和措施：P262 11.4 恶意代码检测与防护 本章小结 网络攻击的一般步骤及其关系 协议脆弱性分析与利用 漏洞与后门攻击以及恶意代码攻击 * * * * * * * * * * * * * * * * * * * * 彭 飞 eepengf@ * 内容提要 基本概念 网络攻击的基本步骤 网络攻击的主要技术 恶意代码检测与防护 * 11.1 基本概念 * 11.1.1 网络攻击的概念 狭义：网络攻击是指任何试图破坏网络安全的行为和方法 广义：多种计算机技术