网络安全技术及应用(第五章)-精品·公开课件.ppt

第五章 计算机病毒及恶意代码 本章学习重点掌握内容： 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络 第五章 计算机病毒及恶意代码 5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件 5.1计算机病毒概述 5.1.1 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 5.1计算机病毒概述 5.1.2计算机病毒历史 1977年，美国著名的贝尔实验室中设计磁芯大战（Core War）的游戏，第一步将计算机病毒感染性的概念体现出来 第一个具备完整特征的计算机病毒出现于1987年，病毒C-BRAIN,由一对巴基斯坦兄弟：Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。 5.1.2计算机病毒历史 DOS病毒,破坏表现：唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等 。 基于Windows运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚本病毒也日益增多著名病毒如 CIH病毒等。 网络时代病毒已经突破了传统病毒的技术，融合许多网络攻击技术，如蠕虫技术、木马技术、流氓软件、网络钓鱼等，。 5.1计算机病毒概述 5.1.3 计算机病毒特征 破坏性 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏 隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 潜伏性 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 传染性 指病毒具有把自身复制到其它程序中的特性 5.1.3 计算机病毒特征 网络病毒又增加很多新的特点 主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多，容易编写，并且很容易被修改，生成很多病毒变种 融合多种网络技术，并被黑客所使用 5.2 传统的计算机病毒 5.2.1 计算机病毒的基本机制 分为三大模块：传染机制、破坏机制、触发机制。 计算机病毒的传染机制 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。 触发机制 计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。 3、破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。 5.2 传统的计算机病毒 5.2.2 病毒分析 Windows环境下，主要病毒有文件型病毒、引导性病毒和宏病毒等 文件型病毒 文件型病毒主要感染可执行文件，Windows环境下主要为.EXE文件，为PE格式文件 PE是 Win32环境自身所带的执行体文件格式。 5.2.2 病毒分析 PE文件结构如图5-1所示 5.2.2 病毒分析 当运行一个PE可执行文件时 当PE文件被执行，PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到，则跳转到 PE header。 PE装载器检查 PE header 的有效性。如果有效，就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中的节信息，并采用文件映射方法将这些节映射到内存，同时附上节表里指定的节属性。 PE文件映射入内存后，PE装载器将处理PE文件中类似 import table（引入表）逻辑部分。 5.2.2 病毒分析 感染PE文件，必须满足两个基本条件： 是能够在宿主程序中被调用，获得运行权限；主要采用重定位的方法，改PE文件在系统运行PE文件时，病毒代码可以获取控制权，在执行完感染或破坏代码后，再将控制权转移给正常的程序代码。方法有： 可以修改文件头中代码开始执行位置（AddressOfEntryPoint） 在PE文件中添加一个新节 病毒进行各种操作时需调用API函数 ，有两种解决方案。 在感染PE文件的时候，可以搜索宿主的引入函数节的相关地址。 解析导出函数节，尤其是Kernel32.DLL 5.2.2 病毒分析 宏病毒 就是使用宏语言编写的程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中 感染过程 改写Word宏 改写文档自动执行宏，如AutoOpen、FileSave FilePrint等等 5.2.2 病毒分析 转换成文档模板的宏 当宏病毒获得运行权限之后，把所关联的宿主文档转换成模板格