第14章病毒与数英据安全.pptVIP

第14章 病毒与数据安全 14.1 恶意代码 14.2 计算机病毒的概念 14.3 病毒的起源 14.4 病毒的危害 14.5 病毒的传播方式 14.6 病毒的特点 14.7 病毒的分类 14.1 恶 意 代 码 图14-1给出了所有软件威胁的分类情况，也就是恶意代码的分类情况。这些威胁可以分成两类：需要宿主的程序和可以独立运行的程序。前者实际上是程序片段，它们不能脱离某些特定的应用程序、应用工具或系统程序而独立存在；后者是完整的程序，操作系统可以调度和运行它们。 也可以把这些软件威胁按照能不能够自我复制来进行分类。不能够自我复制的可能是程序片段，当调用宿主程序完成特定功能时，就会激活它们。可以自我复制的程序可能是程序片段(病毒)，也可能是一个独立的程序(蠕虫、细菌)。当执行它们时，将会复制出一个或多个自身的副本。以后这些副本可以在同一个系统中或其它系统中被激活。 值得注意的是，随着恶意代码编写技术的提升，各种代码之间都在取长补短，所以有些恶意代码可能包含其它的恶意代码。例如逻辑炸弹或特洛伊木马可能是病毒或者蠕虫的一部分。 1．后门(Backdoor/ Trapdoor, 陷阱门) 后门是进入程序的一个秘密入口。知道这个后门的人就可以通过它绕过访问控制的一般安全检查，而直接获得访问权限。很多年来，程序员为了调试和测试程序一直合法地使用后门。当这些后门被用来获得非授权访问时，后门就变成了一种安全威胁。 2. 逻辑炸弹(Logic Bomb) 合法程序中的代码，当符合某种条件的时候就会“爆炸”。用来触发逻辑炸弹的条件可以是某些文件的出现或缺失、某个日期或星期几、某一特定用户运行该应用程序等。 3. 特洛伊木马(Trojan Horse) 特洛伊木马程序是一个有用的(或表面看起来很有用的)程序或命令过程，其中包含了秘密代码。当调用的时候，这些秘密代码将执行一些不必要的或有害的操作。 当未授权用户无法直接完成某些操作的时候，就可以通过特洛伊木马程序来间接完成。比如在一个多用户操作系统中，如果想访问其它用户的文件，那么用户就可以创建一个特洛伊木马程序。当执行它的时候，将改变用户文件的访问权限，这样，任何用户都能读取它。 接着攻击者为了诱使用户运行该程序，就会把它放在公共目录里，并给它取一个听起来好像是一个很有用的程序的名字。当另一个用户运行该程序后，攻击者就能够访问该用户的文件信息了。很难被检测到的一种特洛伊木马程序就是编译器。通过修改正常的编译器，就可以在编译某些程序的时候插入附加代码，比如系统登录程序。该代码在登录程序中留下后门，这样攻击者就可以使用特殊的口令登录到系统中。 4. 病毒(Virus) 病毒是能够通过修改其它程序而“感染”它们的一种程序。修改以后的程序里面包含了病毒程序的一个副本，这样它们就能够继续感染其它程序。 5．蠕虫(Worm) 网络蠕虫通过网络连接从一个系统向另一个系统传播。一旦在一个系统中激活，网络蠕虫就能够像计算机病毒或细菌一样活动。它也能植入特洛伊木马程序或执行一些破坏性动作。 在复制自身的时候，网络蠕虫会使用一些网络工具。这包括： ● 电子邮件功能：蠕虫会把自身的副本邮寄到其它系统 中去。 ● 远程执行能力：蠕虫能够运行其它系统中的副本。 ● 远程登录能力：蠕虫能够像用户一样登录到远程系统中，然后使用系统命令从一个系统向另一个系统复制自身。 这样，蠕虫程序的一个新的副本就在远程系统中运行了。 网络蠕虫和计算机病毒有很多相似之处，包括休眠期、传播期、触发期和执行期等。 下面我们通过一个蠕虫的例子来对蠕虫做以更深入的了解。 Ramen是一个利用RedHat现有远程漏洞自动传播的蠕虫。此蠕虫由多个攻击性缺陷(Exploit)和自动执行脚本组成，专门针对存在rpc.statd远程溢出、wu-ftpd、lpd格式化字符串漏洞的RedHat 6.2和RedHat 7.0系统进行入侵。 此蠕虫中包含以下文件： asp：一个RedHat7下面的xinetd配置文件，监听端口27374。