4恶意代码的攻击原理与监测技术演示教学.pptxVIP

主讲人：樊亦胜恶意代码的攻击原理与监测技术内容恶意代码的定义（一）恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。（百度百科）恶意代码是嵌入到网页的脚本，一般使用Javascript编写，受影响的也是微软视窗系统的Internet Explorer浏览器。它们在未经浏览者同意的情况下自动打开广告，开启新页面，严重影响浏览者的正常访问。除此之外，它们还通过系统调用修改浏览器的默认主页，修改注册表，添加系统启动程序，设置监视进程等。（WIKIPEDIA）恶意代码的定义（二）恶意代码（Unwanted Code）是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。恶意代码的分类计算机病毒（Virus）木马程序（Trojan / Backdoor Program）网络蠕虫（Network Worm）黑客程序（Hack Program）垃圾邮件（Spam）恶意网页（Malicious HTML）密码窃取程序（Password Stealer）间谍程序（Spyware）手机病毒一些具有代表性的恶意代码1998年，CIH病毒1999年，梅丽莎(Melissa)2000年，爱虫病毒(Iloveyou)2001年，红色代码(CodeRed)2003年，冲击波(Blaster)2004年，震荡波(Sasser)2006年，熊猫烧香(Nimaya)2007年，网游大盗、机器狗2008年，扫荡波（Worm.SaodangBo.a.94208）2009年，木马下载器、Conficker等变种2010年，极虎病毒2011年，鬼影病毒2013年，QVOD变种2012年的情况2012年1月-12月，瑞星“云安全”系统共截获新增病毒样本1,181万余个。2012年全年截获挂马网站516万个（以网页个数统计），比2011年同期增加了48.7%。2012 年，360 安全中心共截获新增恶意程序样本13.7 亿个（以MD5 计算），较2011 年增加29.7%。2012年，360 安全软件拦截恶意程序攻击415.8 亿次，较2011 年增加了76.1%。2012年-2013年主要的恶意代码Apache服务器mod_rewrite漏洞，超过半数服务器受到影响APT（Advanced Persistent Threat）攻击者利用flash中的可执行代码漏洞植入恶意代码获取网民和企业信息QVOD变种利用网页视频种入后门程序恶意代码是如何工作的计算机病毒模块引导模块引导模块的功能是借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。 病毒如何引导通过修改程序入口，寄生于程序文件修改磁盘引导扇区，结果启动分区入口修改注册表或启动程序组利用系统服务利用系统和应用程序扩展接口、hook函数Brower Helper Objects（BHOs）IFSHook传染模块传染模块的功能将病毒迅速传染，尽可能扩大染毒范围。病毒的传染模块由两部分组成：条件判断部分和程序主体部分，前者负责判断传染条件是否成立，后者负责将病毒程序与宿主程序链接，完成传染病毒的工作。 传染途径U盘等存储介质网络电子邮件系统漏洞破坏模块病毒编制者的意图，就是攻击破坏计算机系统，所以破坏模块是病毒程序的核心部分。网络蠕虫利用操作系统或应用程序的漏洞，或者缺省配置的不安全性。产生特定的后门服务，或添加后门帐号。漏洞侵入后可执行任何文件。系统缺省安装存在这些漏洞，并且大多数的系统管理员并不主动打补丁。主动往网络中发送数据（感染下一个机器或数据外泄）。蠕虫的工作方式扫描由蠕虫的搜索模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得的了一个可攻击的对象攻击找到攻击对象，取得对主机的权限，获得一个shell，得到了这个shell后就可以获得控制权。复制繁殖模块通过原主机和新主机之间的交互，将蠕虫程序复制到新主机并启动蠕虫传播方式利用Windows 操作系统漏洞传播RPC漏洞(Blaster)利用应用程序漏洞传播 FTP服务程序(Ramen)、IIS 服务器漏洞(Nimda)、SQL Server数据库(Slammer)利用浏览器传播通过修改web 服务器的内容，把一小段JavaScript 代码附加到HTML或者ASP文件上， IE自动执行代码(Nimda, Code Red)利用Email传播通过MAPI获得感染机器的通讯录中邮件地址列表，通过Windows 的邮件客户端把蠕虫代码作为邮件附件发送给其他主机, 而未打补丁的IE会自动执行邮件中的附件