网络攻防原理与技术 第3版 教案 -第6讲 恶意代码.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第六讲恶意代码

目的要求：了解恶意代码中的计算机病毒、蠕虫、木马的基本概念；掌握恶意代码的传播与运行、隐藏技术；了解恶意代码检测及防御技术。

重点难点：恶意代码的传播与运行技术；恶意代码的隐藏技术。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、恶意代码概述

(一)基本概念

恶意代码（MaliciousCode），又称为恶意软件（MaliciousSoftware,Malware），是指在不为人知的情况下侵入用户的计算机系统，破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。恶意代码与正常代码相比具有非授权性和破坏性等特点，这也是判断恶意代码的主要依据。

近年来，不同类别的恶意代码之间的界限逐渐模糊，采用的技术和方法也呈多样化、集成化。对恶意代码的命名或分类也不再以技术形态，而是基于代码的功能，如病毒（Virus）、木马程序（TrojanHorse）、蠕虫（Worm）、后门程序（Backdoor）、逻辑炸弹（LogicBomb）、RootKit、间谍软件（Spyware）、勒索软件或勒索病毒（Ransomware）、挖矿木马（MiningTrojan）、恶意脚本代码（MaliciousScript）、Webshell等。

计算机杀毒软件中的“毒”也不再是只针对传统的计算机病毒，而是指各类恶意代码。

(二)计算机病毒

计算机病毒的定义最早由美国计算机研究专家科恩博士给出。按照他的定义，计算机病毒是一种计算机程序，它通过修改其他程序把自己的一个拷贝或演化的拷贝插入其他程序中实施感染。该定义突出了病毒的传染特性，即病毒可以自我繁殖。同时，定义也提到了病毒的演化特性，即病毒在感染的过程中可以改变自身的一些特征。科恩所提到的病毒演化特性在之后出现的很多病毒身上都有体现，病毒往往通过自我演化来增强隐匿性，躲避反病毒软件的查杀。

我国在1994年2月18日正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，《条例》的第二十八条中明确指出“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。这个病毒的定义在我国具有法律性和权威性。

2022年发布的国家标准《信息安全技术术语》（GB/T25069-2022）中对“病毒”的定义是：一种程序，即通过修改其他程序，使其他程序包含一个自身可能已发生变化的原程序副本，从而完成传播自身程序，当调用受传染的程序，该程序即被执行。

计算机病毒典型特性：传染性、潜伏性、可触发性、寄生性、非授权执行性、破坏性。

典型计算机病毒的基本功能模块：引导模块、搜索模块、感染模块、表现模块、标识模块。

(三)计算机蠕虫

2022年发布的国家标准《信息安全技术术语》（GB/T25069-2022）对计算机蠕虫的定义是：一种通过数据处理系统或计算机网络传播自身的独立程序，经常被设计用来占满可用资源，如存储空间或处理时间。

国家互联网应急响应中心（CNCERT)在每月发布的《CNCERT互联网安全威胁报告》中，将蠕虫定义为：能自我复制和广泛传播，以占用系统和网络资源为主要目的的恶意代码，按照传播途径，蠕虫可进一步分为：邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。

网络安全公司360将蠕虫定义为：通过网络将自身复制到网络中其他计算机上的恶意程序，有别于普通病毒，蠕虫病毒通常并不感染计算机上的其他程序，而是窃取其他计算机上的机密信息。

上述三种定义对于蠕虫的传播途径和功能的描述存在差异，但一般认为计算机蠕虫是一种可以独立运行，并通过网络传播的恶性代码。它具有传统计算机病毒的一些特性，如传播性、隐蔽性、破坏性等，但蠕虫也具有自己的特点，如漏洞依赖性等，需要通过网络系统漏洞进行传播，另外蠕虫也不需要宿主文件，有的蠕虫甚至只存在于内存中。也就是说，大多数情况下，蠕虫是指CNCERT定义中的“漏洞利用蠕虫”。

蠕虫的基本功能模块包括：

1）搜索模块。自动运行，寻找下一个满足感染条件（存在漏洞）的目标计算机。当搜索模块向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。搜索模块通常会利用网络扫描技术探测主机存活情况、服务开启情况、软件版本等。

2）攻击模块。按漏洞攻击步骤自动攻击搜索模块找到的对象，取得该主机的权限（一般为管理员权限），在被感染的机器上建立传输通道（通常获取一个远程Shell）。攻击模块通常利用系统或服务中存在的安全漏洞，如缓冲区溢出漏洞，远程注入代码并执行，并在必要的时候进行权限提升。