第六章恶意代码分析与防范讲课文档.pptVIP

计算机病毒的命名DoS：会针对某台主机或者服务器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人第30页，共43页。计算机病毒的生命周期4、发作阶段1、潜伏阶段2、传染阶段3、触发阶段第31页，共43页。第六章恶意代码分析与防范文档ppt第1页，共43页。一个每天都要遇到的操作1可移动存储设备的使用演示U盘的使用过程第2页，共43页。一个每天都要遇到的操作2一个通过QQ的病毒用来扩散恶意代码，以创建一个IRC僵尸网络（感染了60,000台主机）。请访问：第3页，共43页。一个每天都要遇到的操作3如果您的电脑配有摄像头，在您使用完摄像头之后，您会：（）拔掉摄像头，或者将摄像头扭转方向 （546人，44.1%）无所谓 （693人，55.9%）第4页，共43页。一个每天都要遇到的操作4还有什么？下载软件的来源：Office文档、图片、视频：设置密码：第5页，共43页。恶意代码的基本概念恶意代码，又称MaliciousCode，或MalCode,MalWare。其是设计目的是用来实现某些恶意功能的代码或程序。发展及特征长期存在的根源第6页，共43页。计算机病毒概念≠臭虫（bug)≠生物学中的病毒真的完全不等于吗?它是计算机上的野生动物第7页，共43页。什么是计算机病毒Virus,拉丁文:毒药就是一段特殊的小程序,由于具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等)，所以人们就用生物学上的病毒来称呼它。美国计算机安全专家是这样定义计算机病毒的：”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中，从而感染它们”。第8页，共43页。病毒的广义和狭义定义狭义:我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下：“计算机病毒是指编制、或者在计算机程序中插入的，破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序片段代码。”广义:能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。第9页，共43页。恶意代码第10页，共43页。网络恶意代码的分类计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。其通过不断搜索和侵入具有漏洞的主机来自动传播。利用系统漏洞（病毒不需要漏洞）如红色代码、SQL蠕虫王、冲击波、震荡波、极速波…特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。如冰河、网络神偷、灰鸽子……第11页，共43页。网络恶意代码的分类（续）后门：使得攻击者可以对系统进行非授权访问的一类程序。如Bits、WinEggDrop、Tini…RootKit：通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。如RootKit、Hkdef、ByShell…拒绝服务程序，黑客工具，广告软件，间谍软件……流氓软件……第12页，共43页。几个容易混淆的分类计算机病毒VS网络蠕虫木马VS后门第13页，共43页。后门VS特洛伊木马如果一个程序仅仅提供远程访问，那么它只是一个后门。如果攻击者将这些后门伪装成某些其他良性程序，那么那就变成真正的特洛伊木马。木马是披着羊皮的狼！！它对用户个人隐私造成极大威胁。第14页，共43页。病毒程序与正常程序的比较病毒程序其它正常可执行程序一般比较小一般比较大并非完整的程序，必须依附在其它程序上是完整的程序，独立的存在于磁盘上没有文件名有自己的文件名和扩展名，如COM、EXE有感染性，能将自身复制到其它程序上不能自我复制在用户完全不知道的情况下执行根据用户的命令执行在一定条件下有破坏作用无破坏作用第15页，共43页。病毒起源探究1949年，冯·诺伊曼文章《复杂自动装置的理论及组织的行为》中提出一种会自我繁殖的程序的可能，但没引起注意?1960年，美国的约翰·康维在编写生命游戏程序时，首先实现了程序自我复制技术。1977，科幻小说《p-1的青春》贝尔实验