9恶意代码检测与防返亩.ppt

恶意代码检测与防范;主要内容;恶意代码主要是指以危害信息的安全等不良意图为目的的程序，它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马 恶意代码主要危害 攻击系统，造成系统瘫痪或操作异常 危害数据文件的安全存储和使用 泄露文件、配置或隐秘信息 肆意占用资源，影响系统或网络性能;都是人为编制的程序 对系统具有破坏性或威胁性 往往具有传染性、潜伏性、非授权执行性 根据种类不同还具有寄生性、欺骗性、针对性等;网络成为计算机病毒传播的主要载体 网络蠕虫成为最主要和破坏力最大的病毒类型 与黑客技术相结合，出现带有明显病毒特征的木马或木马特征的病毒 出现手机病毒、信息家电病毒 病毒制造传播目的由以表现破坏为主转向以获利为主，木马病毒成为当前主流病毒;计算机病毒是一类具有寄生性、传染性、破坏性的程序代码，寄生性和传染性是病毒区别于其他恶意代码的本质特征 计算机病毒代码不能独立存在，必须插入到其他序或文件中，并随着其他文件的运行而被激活，然后驻留在内存以便进一步感染或者破坏 可分为引导型、文件型、混合型病毒 如CIH病毒，宏病毒等;病毒的两种存在状态 静态：仅存在于文件中 激活：驻留内存，可以感染其他文件或磁盘 仅感染本机的文件 随感染文件的传播而传播 传播方式 软盘、移动硬盘、U盘、光盘等，特别是盗版光盘 文件共享、电子邮件、网页浏览、文件下载;不依附其他程序，而是一段独立的程序 通过网络把自身的拷贝传播给其它计算机 可以修改删除其他程序，也可能通过反复自我复制占尽网络或系统资源，造成拒绝服务 具备病毒复制和入侵攻击双重特点 利用漏洞自主传播 如： 红色代码、冲击波等;蠕虫程序的传播过程 （1）扫描：蠕虫的扫描功能模块负责探测存在漏洞的主机，以便得到一个可传染的对象。 （2）攻击：攻击模块自动攻击找到的可传染对象，取得该主机的权限，获得一个shell。 （3）复制：复制模块通过两主机的交互将蠕虫程序复制到目标主机并启动。 可见，传播模块实现的是自动入侵的功能。蠕虫的传播???术是蠕虫技术的首要技术。;木马是一种程序，它能提供一些有用的或者令人感兴趣的功能，但是还具有用户不知道的其它功能。 木马不具有传染性，不能自我复制，通常不被当成病毒 典型木马如冰河、灰鸽子、Bo2K等;特洛伊木马的分类 远程访问型 密码发送型 键盘记录型 破坏型 FTP型 DoS攻击型 代理型;1、木马服务程序：也称服务器端，是指被控制电脑内被种植且被运行的木马程序，接受控制指令，执行监控功能 2、木马配置程序：设置木马的参数，如端口号、木马文件名称、启动方式等 3、木马控制程序：也称控制端，是指进行操控和监视的电脑内运行的程序，用以连接到服务程序，发出控制指令，并接收服务程序传送来的数据。 有时配置程序和控制程序集成在一起，统称控制端程序。;配置木马：设置木马参数，实现伪装和信息反馈 传播木马：如通过帮定程序将木马帮定到某个合法或有用软件，通过诱骗等方式传播到用户系统 运行木马：用户运行捆绑木马的软件而安装木马，将木马文件复制到系统，并设置触发条件，以后可自动运行 信息反馈：木马收集系统信息发送给控制端攻击者 建立连接：控制程序扫描运行了木马的主机（开放特定端口），添加到主机列表，并在特定端口建立连接 实施监控：实现远程控制，如同本地操作;（1）以邮件附件的形式传播： （2）将木马程序捆绑在软件安装程序上，通过网络下载传播。 （3）通过聊天工具如QQ等传送文件传播 （4）通过蠕虫程序植入。 （5）通过交互脚本或网页植入 （6）通过系统漏洞直接种植 （7）通过各种介质交换文件传播;和应用程序捆绑 修改Windows系统注册表例如：下面注册表中的某些键值 HLM\Software\Microsoft\Windows\CurrentVersion\Run HLM\Software\Microsoft\Windows\CurrentVersion\RunService HLM\software\microsoft\windows\currentversion\runonce HCU\software\microsoft\windows\currentversion\run 修改文件关联如冰河木马修改文本文件关联HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值Notepad.exe 1%改为Sysexplr.exe 1%;恶意代码防范，是指通过建立合理的病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，从计算机中清除病毒代码，恢复受影响的计算机系统和数据。 防范体系 管理体系 技术体系 防治策略 主动预防为主、被动处理为辅 预防、检测、清除相结合;