第6章 恶意代码的.ppt

第六章 恶意代码 基本内容 1.概述 2.恶意代码技术 3.计算机病毒的原理与防治措施 1986年，报道了攻击 Microsoft MS-DOS 个人计算机的第一批病毒。 先后出现了感染启动扇区的引导区病毒、感染可执行文件的文件型病毒。 1988年出现了第一个Internet蠕虫Morris Worm，导致Internet的通信速度大大地降低。 1990年，网上出现了病毒交流布告栏，还出版了第一本关于病毒编写的书籍。 病毒变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。 2.1 什么是恶意软件 故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马 。 特洛伊木马 ：该程序看上去有用或无害，但包含了旨在利用或损坏运行该程序的系统的隐藏代码； 蠕虫：蠕虫是能够自行传播的恶意代码，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。 病毒：病毒将其自身附加到宿主程序，在计算机之间进行传播。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，条件满足时执行恶意破坏任务。 2.2 恶意软件的特征 攻击目标 ：恶意软件一般具有相对固定的攻击目标，可以是特定设备、特定系统或者特定软件。 设备 某些恶意软件将一种设备类型作为专门的攻击目标 操作系统 恶意软件可能需要特殊的操作系统才会有效 应用程序 恶意软件可能需要在目标计算机上安装特定的应用程序，才能传递负载或进行复制 2.2 恶意软件的特征 携带者对象：如果恶意软件是病毒，它需要感染携带者才能进行传播。携带者的数量和类型随恶意软件的不同而不同 。 可执行文件：这是通过将其自身附加到宿主程序进行复制的“典型”病毒类型的目标对象 脚本：将脚本用作携带者目标文件的攻击 宏：这些携带者是支持特定应用程序（例如，字处理器、电子表格或数据库应用程序）的宏脚本语言的文件 启动扇区：计算机磁盘（硬盘和可启动的可移动媒体）上的特定区域。 此外，有的病毒能同时将文件和启动扇区作为感染目标和携带者。 2.2 恶意软件的特征 传输机制：攻击可以使用一个或多个不同方法在计算机系统之间传播和复制。 可移动媒体：计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。 网络共享：一旦为计算机提供了通过网络彼此直接连接的机制，就会为恶意软件编写者提供另一个传输机制，而此机制所具有的潜力可能会超出可移动媒体的能力，从而可以传播恶意代码。 电子邮件：电子邮件已成为许多恶意软件攻击的传输机制。 远程利用：恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制 2.2 恶意软件的特征 破坏机制 :一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为“负载”的操作，负载可以采用许多形式 . 后门：这种类型的负载允许对计算机进行未经授权的访问 数据损坏或删除：一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用 信息窃取：一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载，它通过提供一种将信息传回恶意软件作恶者的机制窃取信息 拒绝服务 (DoS)：可以传递的一种最简单的负载类型是拒绝服务攻击 分布式拒绝服务 (DDoS)：DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标 2.2 恶意软件的特征 触发机制:触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递 手动执行:这种类型的触发机制是指由受害者直接执行恶意软件 半自动执行:这种类型的触发机制最初由受害者启动，之后则自动执行 自动执行:这种类型的触发机制根本无须手动执行 定时炸弹:这种类型的触发机制在一段时间之后执行操作 触发条件:这种类型的触发机制使用某个预先确定的条件作为触发器来传递其负载 2.2 恶意软件的特征 防护机制：许多恶意软件使用某种类型的防护机制，来降低被发现和删除的可能性 。 装甲：这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术 窃取：恶意软件使用此类技术，通过截获信息请求并返回错误数据来隐藏其自身 加密：使用此防护机制的恶意软件加密其自身或负载（有时甚至加密其他系统数据） 寡态:此特征的恶意软件使用加密防护机制进行自身防护，并且可以将加密例程更改为只能使用固定的次数（通常数目很小）。 多态:这种类型的恶意软件使用加密防护机制更改其自身，以免被检测出来。 2.3 什么不是恶意软件 玩笑软件 玩笑应用程序旨在生成一个微笑，或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶