第09章 恶意代码 网络攻防原理和 与实践课件.pptVIP

网络攻防原理与实践 高等教育出版社 高等教育出版社 第9章 恶意代码 高等教育出版社 本章要点 2. 计算机病毒 1. 恶意代码概述 3. 特洛伊木马 4. 蠕虫 恶意代码的发展史 1981-1982年，第一次报道的计算机病毒 1986年，第一个PC病毒：Brain Virus 1988年11月, Morris蠕虫病毒泛滥 1990年，第一个多态的计算机病毒出现 1992年，病毒构造集发布 1995年，首次发现宏病毒 1998年CIH病毒造成数十万台计算机受到破坏 2007年1月，熊猫烧香病毒爆发 2008年3月，磁碟机病毒迅速传播 2010年2月，极虎病毒爆发 恶意代码的分类 不感染的依附性恶意代码 特洛伊木马（Trojan horse） 逻辑炸弹（Logic bomb） 后门（Backdoor）或陷门（Trapdoor） 不感染的独立性恶意代码 点滴器（Dropper） 繁殖器（Generator） 可感染的依附性恶意代码 病毒（Virus） 可感染的独立性恶意代码 蠕虫（Worm） 细菌（Germ） 计算机病毒 计算机病毒的概念： 美国计算机研究专家F·Cohen博士最早提出了“计算机病毒”的概念：计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。其特性在很多方面与生物病毒有着极其相似的地方。 计算机病毒的结构： 潜伏机制模块 传染机制模块 表现机制模块 计算机病毒的防范 养成良好的安全习惯 安装防火墙和专业的杀毒软件进行全面监控 经常升级操作系统的安全补丁 迅速隔离受感染的计算机 及时备份计算机中有价值的信息 特洛伊木马 特洛伊木马概述： 特洛伊木马也称为木马，指那些表面上是有用的或必需的、实际目的却是完成一些不为人知的功能，危害计算机安全并导致严重破坏的计算机程序，具有隐蔽性和非授权性的特点。 木马的结构和原理： 木马程序包括控制端和服务端两部分：控制端程序用于攻击者远程控制木马；服务器端程序即木马程序。 攻击者把木马的服务器端程序植入受害电脑里面，进而通过启动木马攻击受控的计算机系统。 木马受控主机分布情况 木马隐藏技术 启动隐藏 进程隐藏 文件/目录隐藏 内核模块隐藏 原始分发隐藏 通信隐藏等 木马攻击手段 修改启动项 在win.ini文件中加载 在svstem.ini文件中加载 修改注册表 修改文件打开关联 欺骗法 组装法 改名法 典型的木马类型 破坏型 密码发送型 远程访问型 键盘记录型 DoS攻击木马 FTP木马 反弹端口型 代理木马 程序杀手木马 木马的防范技术 打造坚实的系统防护 用户管理策略 文件共享策略 堵住漏洞 堵住黑客的入口 关闭不必要的服务 使用安全工具软件保护系统安全 用户安全意识策略 纵深防御保护系统安全 高等教育出版社