恶意代码原理、技术与防范全套教学课件.pptx

第一章恶意代码概述1-恶意代码概述.pptx2-引导型恶意代码.pptx3-计算机病毒.pptx4-特洛伊木马.pptx5-蠕虫.pptx6-RootKit.pptx7-智能手机恶意代码.pptx8-特征码定位与免杀.pptx9-加密技术与加壳技术.pptx10-代码混淆技术.pptx11-反动态分析技术.pptx12-恶意代码防范技术.pptx全套可编辑PPT课件

引言恶意代码是攻击者故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。本章主要介绍恶意代码的发展过程、定义、基本模型、分类、命名规则以及发展趋势等相关内容。

恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势

1.1基本概念4本质：传播性、破坏性、未授权。恶意代码恶意代码是指在未经授权情况下，以破坏软硬件设备、窃取用户信息、扰乱用户正常使用为目的而编制的软件或代码片段。--维基百科定义

1.1基本概念5代码类型定义特点计算机病毒编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，能自我复制的一组计算机指令或程序代码。潜伏、传染和破坏蠕虫指通过计算机网络自我复制，消耗系统资源和网络资源的程序。扫描、攻击和扩散特洛伊木马指一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序。欺骗、隐蔽和信息窃取逻辑炸弹指一段嵌入计算机系统程序的，通过特殊的数据或时间作为条件触发，试图完成一定破坏功能的程序。潜伏和破坏分类

1.1基本概念代码类型定义特点RootKit攻击者用来隐藏自已踪迹和保留root访问权限的工具。潜伏、提权和破坏流氓软件未经授权驻留在系统内部，用正常途径难于卸载，以发送广告等方式影响用户使用的程序。驻留、隐蔽和破坏网络钓鱼通过发送大量声称主业自于权威机构的欺骗性信息来引诱用户给出敏感信息的方法。欺骗、信息窃取勒索软件通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。加密、信息窃取、恐吓6分类

1.1基本概念技术融合是恶意代码的发展趋势。为了实现攻击目标，恶意代码会融合不同种类恶意代码的技术，使得各种类之间的界限越来越模糊。恶意代码有无划分类别的必要？

1.1基本概念8恶意代码的攻击模型攻击模型

恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势

1.2发展历程10产生阶段（1983年～1989年）：磁芯大战1983.11，FredCohen编写首个复制自身的破坏性程序，命名为计算机病毒；1986，Virus/Boot.Brain,首个PC病毒，1988.11，Morris蠕虫

11产生阶段的主要特征：1.攻击的目标单一，传染磁盘引导扇区或可执行文件；2.通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对特定目标进行传染；3.传染目标以后有明显特征；4.不具有自我保护的措施，容易被分析和解剖。1.2发展历程

12初级发展阶段（1989年～1995年）：1989年，“Ghostball”病毒，同时感染com文件和引导区；1990，“1260”病毒,首个多态病毒，1992，“Onehalf”病毒，多态、加密、位置随机；1993,病毒构造集“VirusConstructionSet”1.2发展历程

1.2发展历程13初级发展阶段的主要特征：1.目标趋于混合型，可同时传染磁盘引导扇区和可执行文件；2.以更为隐蔽的方法驻留内存和传染目标；3.开始采取加密和变形等自我保护措施，增加分析和查杀的难度；4.感染目标后没有明显的特征。

1.2发展历程MS-DOS病毒发作表象

1.2发展历程15互联网爆发阶段（1996年～2010年）：1995年，首个宏病毒；1998年，BO木马；1998年，CIH病毒2000年，爱虫病毒2003-2006，冲击波、震荡波等蠕虫….

1.2发展历程16互联网爆发阶段的主要特征：1.类型多样化，不再局限于可执行文件；2.技术更深入，从应用到内核甚至是硬件层；3.木马成为恶意代码主要类型；

1.2发展历程APT成为网络安全事件的主导2010年，Stuxnet2012年，Flame2015年，BlackEnergy2016年，Miria2017年，Wannacry等17专业综合阶段（2010年至今）：

1.2发展历程1.政府等大玩家开始介入，出现攻守不对等性；2.目标更加明确，传播不再以扩散为主，而是定向传播；3.利用的0day漏洞进行传播和植入的种类更多；4.样本更难于捕获，保护能力更强，代码更难于分析；18专业综