- 1、本文档共24页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
9恶意代码检测与防返亩
恶意代码检测与防范;主要内容;恶意代码主要是指以危害信息的安全等不良意图为目的的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马
恶意代码主要危害
攻击系统,造成系统瘫痪或操作异常
危害数据文件的安全存储和使用
泄露文件、配置或隐秘信息
肆意占用资源,影响系统或网络性能;都是人为编制的程序
对系统具有破坏性或威胁性
往往具有传染性、潜伏性、非授权执行性
根据种类不同还具有寄生性、欺骗性、针对性等;网络成为计算机病毒传播的主要载体
网络蠕虫成为最主要和破坏力最大的病毒类型
与黑客技术相结合,出现带有明显病毒特征的木马或木马特征的病毒
出现手机病毒、信息家电病毒
病毒制造传播目的由以表现破坏为主转向以获利为主,木马病毒成为当前主流病毒;计算机病毒是一类具有寄生性、传染性、破坏性的程序代码,寄生性和传染性是病毒区别于其他恶意代码的本质特征
计算机病毒代码不能独立存在,必须插入到其他序或文件中,并随着其他文件的运行而被激活,然后驻留在内存以便进一步感染或者破坏
可分为引导型、文件型、混合型病毒
如CIH病毒,宏病毒等;病毒的两种存在状态
静态:仅存在于文件中
激活:驻留内存,可以感染其他文件或磁盘
仅感染本机的文件
随感染文件的传播而传播
传播方式
软盘、移动硬盘、U盘、光盘等,特别是盗版光盘
文件共享、电子邮件、网页浏览、文件下载;不依附其他程序,而是一段独立的程序
通过网络把自身的拷贝传播给其它计算机
可以修改删除其他程序,也可能通过反复自我复制占尽网络或系统资源,造成拒绝服务
具备病毒复制和入侵攻击双重特点
利用漏洞自主传播
如:
红色代码、冲击波等;蠕虫程序的传播过程
(1)扫描:蠕虫的扫描功能模块负责探测存在漏洞的主机,以便得到一个可传染的对象。
(2)攻击:攻击模块自动攻击找到的可传染对象,取得该主机的权限,获得一个shell。
(3)复制:复制模块通过两主机的交互将蠕虫程序复制到目标主机并启动。
可见,传播模块实现的是自动入侵的功能。蠕虫的传播???术是蠕虫技术的首要技术。;木马是一种程序,它能提供一些有用的或者令人感兴趣的功能,但是还具有用户不知道的其它功能。
木马不具有传染性,不能自我复制,通常不被当成病毒
典型木马如冰河、灰鸽子、Bo2K等;特洛伊木马的分类
远程访问型
密码发送型
键盘记录型
破坏型
FTP型
DoS攻击型
代理型;1、木马服务程序:也称服务器端,是指被控制电脑内被种植且被运行的木马程序,接受控制指令,执行监控功能
2、木马配置程序:设置木马的参数,如端口号、木马文件名称、启动方式等
3、木马控制程序:也称控制端,是指进行操控和监视的电脑内运行的程序,用以连接到服务程序,发出控制指令,并接收服务程序传送来的数据。
有时配置程序和控制程序集成在一起,统称控制端程序。;配置木马:设置木马参数,实现伪装和信息反馈
传播木马:如通过帮定程序将木马帮定到某个合法或有用软件,通过诱骗等方式传播到用户系统
运行木马:用户运行捆绑木马的软件而安装木马,将木马文件复制到系统,并设置触发条件,以后可自动运行
信息反馈:木马收集系统信息发送给控制端攻击者
建立连接:控制程序扫描运行了木马的主机(开放特定端口),添加到主机列表,并在特定端口建立连接
实施监控:实现远程控制,如同本地操作;(1)以邮件附件的形式传播:
(2)将木马程序捆绑在软件安装程序上,通过网络下载传播。
(3)通过聊天工具如QQ等传送文件传播
(4)通过蠕虫程序植入。
(5)通过交互脚本或网页植入
(6)通过系统漏洞直接种植
(7)通过各种介质交换文件传播;和应用程序捆绑
修改Windows系统注册表例如:下面注册表中的某些键值
HLM\Software\Microsoft\Windows\CurrentVersion\Run
HLM\Software\Microsoft\Windows\CurrentVersion\RunService
HLM\software\microsoft\windows\currentversion\runonce
HCU\software\microsoft\windows\currentversion\run
修改文件关联如冰河木马修改文本文件关联HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值Notepad.exe 1%改为Sysexplr.exe 1%;恶意代码防范,是指通过建立合理的病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,从计算机中清除病毒代码,恢复受影响的计算机系统和数据。
防范体系
管理体系
技术体系
防治策略
主动预防为主、被动处理为辅
预防、检测、清除相结合;
文档评论(0)