网络安全06---恶意代码.pptVIP

网络安全 恶意代码 主要内容 恶意代码的概念及关键技术 计算机病毒 木马 蠕虫 恶意代码的概念 恶意代码的定义 经过存储介质和计算机网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权而破坏计算机系统安全性和完整性的程序或代码。 最显著的两个特点是：非授权性和破坏性 常见恶意代码 恶意代码分类 依赖于宿主程序的和独立于宿主程序的 前者本质上来说是不能独立于应用程序或系统程序的程序段，例如病毒、逻辑炸弹和后门。后者是可以被操作系统调度和执行的自包含程序，例如蠕虫和僵尸(Zombie)程序。 不进行复制的和进行复制的 恶意代码的特征 恶意代码日趋复杂和完善。 恶意代码编制方法和发布速度更快。 利用系统和网络漏洞及脆弱性进行传播和感染的恶意代码急剧增加，开创了恶意代码发展的新时期。 恶意代码的发展趋势 传播方式不再以存储介质为主要的传播载体，网络成为计算机病毒传播的主要载体。 传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的恶意代码类型。 传统病毒与木马技术相结合，出现带有明显病毒特征的木马或者带木马特征的病毒。 恶意代码的生存技术 反跟踪技术 加密技术 模糊变换技术 自动生产技术 恶意代码隐藏技术 本地隐藏 文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等 网络隐藏 通信内容隐藏和传输通道隐藏 计算机病毒 计算机病毒的概念 计算机病毒是一种特殊的“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制品并将其插入其它的程序中，执行恶意的操作 《中华人民共和国计算机信息系统安全保护条例》第28条明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 随着Internet技术的发展，计算机病毒的含义也在逐步发生着变化。与计算机病毒特征和危害有类似之处的“特洛伊木马”和“蠕虫”，从广义角度而言也可归为计算机病毒之列 计算机病毒的发展过程 - 1 磁芯大战 20世纪60年代初，美国贝尔实验室三个年轻的程序员编写的一个游戏，游戏中的一方通过复制自身来摆脱对方的控制，这就是所谓“计算机病毒第一个雏形”。 巴基斯坦智囊 20世纪80年代后期，巴基斯坦两个以编软件为生的兄弟,为了打击那些盗版软件的使用者而设计，该病毒只传染软盘引导区。这就是最早在世界上流行的第一个真正的病毒。 20世纪90年代以前病毒的弱点 被感染的文件大小明显增加 病毒代码主体没有加密。 访问文件的日期得到更新。 很容易被debug工具跟踪 计算机病毒的发展过程 - 2 能对自身进行简单加密的病毒 1741病毒：用DIR列目录表的时候，这个病毒就会掩盖被感染文件后增加的字节数，使人看起来文件的大小没有什么变化 DIR2病毒：1992年出现，整个程序大小只有263个字节 宏病毒 美丽莎,台湾一号等 病毒生产机 1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件” 计算机病毒的发展过程 - 3 Internet的广泛应用，激发了病毒的活力 CIH恶性病毒 1998年2月，由台湾省学生陈盈豪编写，并定于每年的4月26日发作破坏。破坏主板BIOS 通过网络（软件下载）传播 全球有超过6000万台的机器被感染 第一个能够破坏计算机硬件的病毒 全球直接经济损失超过10亿美元 “美丽莎”病毒 1999年2月，席卷了整个欧美大陆 世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥 在16小时内席卷全球互联网 至少造成10亿美元的损失！ 通过email传播 传播规模（50的n次方，n为传播的次数） 计算机病毒的发展过程 - 4 “爱虫”网络蠕虫病毒 2000年5月出现，vbs脚本病毒微软、Intel等在内的大型企业网络系统瘫痪 全球经济损失达几十亿美元 特点 通过电子邮件传播，向地址本中所有用户发带毒邮件 通过聊天通道IRC、VBS、网页传播 能删除计算机内的部分文件 制造大量新的电子邮件，使用户文件泄密、网络负荷剧增。 一年后出现的爱虫变种VBS／LoveLetter．CM它还会在Windows目录下驻留一个染有CIH病毒的文件，并将其激活。 计算机病毒的发展过程 - 5 更多的网络蠕虫 红色代码，蓝色代码、求职者病毒、尼姆达（Nimda）、FUN_LOVE，新欢乐时光等等 红色代码 被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国，11%在韩国，5%在中国 特点 通过微软公司IIS系统漏洞进行感染，病毒驻留后再次通过此漏洞感染其它服务器 只存在于内存，传染时借助服务器的网络连接攻击其它的服务器，直接从一台电脑内存传到另一台电脑内