章恶意代码检测与防范技术.ppt

第十一章 恶意代码检测与防范技术 2 学时 课间播放QQ密码攻击过程演示 本章内容 常见恶意代码 恶意代码的机理 恶意代码分析与检测 恶意代码清除与防范 11.1 常见恶意代码 恶意代码是指以危害信息的安全等不良意图为目的的程序。 恶意代码的危害 攻击系统 危害数据文件的安全存储和使用 泄露文件、配置和隐私信息 肆意占用资源 攻击应用程序 常见的恶意代码 计算机病毒 蠕虫 特洛伊木马 后门程序 恶作剧程序 浏览器劫持软件、间谍软件等 计算机病毒 计算机病毒是一种特殊的计算机程序，能够寻找宿主对象，并且依附于宿主，是一类具有传染、隐蔽、破坏等能力的恶意代码。 1994年2月18日，我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 此定义具有法律性、权威性。 计算机病毒的特点 传染性:计算机病毒也会通过各种媒体从已被 感染的计算机扩散到未被感染的计算机。 隐蔽性:计算机病毒隐蔽性是指计算机病毒不 经过程序代码分析或计算机病毒代码扫描，病 毒程序与正常程序是不容易区别开来的。 潜伏性（依附性）:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测，是检查不来的，因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。 表现性 :病毒的表现性是指当病毒触发条件满足时，病毒在被计算机病毒感染的计算机上开始发作，表现出一定的症状和破坏性。 传染性和依附性是计算机病毒区别且他恶意代码的本质特征 计算机病毒的分类 攻击对象 计算机系统病毒 计算机网络病毒 操作系统 Windows Linux unix 感染对象 引导型 文件型 CIH 病毒 CIH病毒，又名切尔诺贝利，是一种可怕的电脑病毒。它属于Microsoft Office的macro病毒类。它会感染你的电脑里面的*.exe (执行档)，由Win95/98至所有的应用软件。感染速度十分之快，所以也十分可怕。它是台湾大学生陈英豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写CIH名的电脑病毒（即切核病毒）。 CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。 蠕虫 蠕虫是一种可以通过网络（永久性网络连接 或拨号网络）进行自身复制的病毒程序。 蠕虫是一个独立运行的程序，自身不改变其他程序，但可携带一个具有改变其他程序功能的病毒。 一旦在系统中激活，蠕虫可以表现得像计算机病毒。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬盘或文件系统中繁殖，而典型的蠕虫程序则不同，只会在内存中维持一个活动副本，甚至根本不向硬盘中写入任何信息。 蠕虫的复制步骤 搜索系统或网络，确认下一步要感染的目标 建立与其他系统或远程主机的连接 将自身复制到其他系统或远程主机，并尽可能激活它们 划时代的“红色代码” 2001.7 红色代码 “红色代码”病毒是一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。 “红色代码”病毒是通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。 “红色代码”病毒采用了一种叫做“缓存区溢出”的黑客技术，利用网络上使用微软IIS系统的服务器来进行病毒传播。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。 “红色代码II”病毒体内还包含一个木马程序，这意味着计算机黑客可以对受到入侵的计算机实施全程遥控，并使得“红色代码II”拥有前身无法比拟的可扩充性，只要病毒作者愿意，随时可更换此程序来达到不同的目的。 特洛伊木马 特洛伊木马是指一个有用的，或者表面上有用的程序或命令过程，但其中包含了一段隐藏的、激活时将执行某种有害功能的代码，可以控制用户计算机系统的程序，并可能造成用户的系统被破坏甚至瘫痪。 特洛伊木马程序可以用来非直接地完成一些非授权用户不能直接完成的功能。 木马不是病毒，不复制。 灰鸽子木马 原理 鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。 上机实验 11.