《3-3恶意代码分析教学提纲》由会员分享,可在线阅读,更多相关《3-3恶意代码分析教学提纲(66页珍藏版)》请在金锄头文库上搜索。
1、恶意代码分析与深层防护安全模型,虽然许多组织已经开发了防病毒软件,但恶意软件(病毒、蠕虫和特洛伊木马)仍在继续感染着世界各地的计算机系统。这表明,在每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。,1 恶意软件,一、 什么是恶意软件 “恶意软件” 指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 (1)远程访问特洛伊 (2)Rootkit 2、蠕虫 3、病毒,二 、恶意软件的特征 1、目标环境 (1)设备。 (2)操作系统。 (3)应用程序。 2、携带者对象 (1)可执行文件。 (2)脚本。 (3)宏。 (4)启动扇区。,4、负载 一旦恶意软件通过传输到达
2、了宿主计算机,它通常会执行一个称为“负载”的操作,负载可以采用许多形式。常见负载类型包括: (1)后门。 (2)数据损坏或删除。 (3)信息窃取。 (4)拒绝服务 (DoS),5、触发机制 触发机制是恶意软件的一个特征,恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容: (1)手动执行。 (2)社会工程。 (3)半自动执行。 (4)自动执行。 (5)定时炸弹。 (6)条件。,6、防护机制 许多恶意软件示例使用某种类型的防护机制,来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例: (1)装甲。 (2)窃取 (3)加密。 (4)寡态。 (5)多态。,三、防病毒软件
3、原理 防病毒软件专门用于防护系统,使其免受来自任何形式的恶意软件(而不仅仅是病毒)的侵害。防病毒软件可以使用许多技术来检测恶意软件。其技术工作原理包括:,1、签名扫描 搜索目标来查找表示恶意软件的模式。这些模式通常存储在被称为“签名文件”的文件中,签名文件由软件供应商定期更新,以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。 主要问题:防病毒软件必须已更新为应对恶意软件。,2、启发式扫描 此技术通过查找通用的恶意软件特征,来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是,它并不依赖于签名文件来识别和应对恶意软件。,启发式扫描的问题: (1)错误警报。 (2)慢速扫描。 (3)新
4、特征可能被遗漏。 3、行为阻止 着重于恶意软件攻击的行为,而不是代码本身。,2 恶意软件分析,对恶意软件进行分析,了解其工作方式可以确保系统已被清理干净并减少再次感染和攻击的可能性。 一、 检查活动进程和服务 二、 检查启动文件夹 恶意软件可以尝试通过修改系统的启动文件夹来自行启动。检查每个启动文件夹中的条目,以确保在系统启动过程中没有恶意软件尝试启动。,三、检查计划的应用程序 恶意软件还可能(但很少见)尝试使用 Windows 计划程序服务启动未授权的应用程序。 四、分析本地注册表 备份和恢复注册表。成功备份注册表后,在以下区域中检查任何异常的文件引用。(参见书上示例),五、 检查恶意软件和
5、损坏的文件 1、对比 大多数恶意软件将修改计算机硬盘上的一个或多个文件,而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统,则可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。 2、搜索 可以使用 Windows 搜索工具,对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索,以确定哪些文件已被更改。,3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的系统文件名,但将该文件置于其他文件夹中,以免被 Windows 文件保护服务检测到。例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%System32 文件夹
6、中并在该文件夹中受到保护。直接在 %WINDIR% 文件夹中创建同名文件的恶意软件示例已被看到,因此必须检查完整路径和文件名。,恶意软件攻击用于放置和修改文件的某些常见目标区域包括: %Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。,六、检查用户和组 某些恶意软件攻击将尝试评估系统上现有用户的特权,或在拥有管理员特权的组中添加新新帐户。检查以下异常设置: 旧用户帐户和组。 不适合的用户名。 包含无效用户成员身份的组。 无效的用户权限。 最近提升的任何用户或组帐户的特权。 确认所有管理器组成员均有效。,七、检查共享文件夹 恶意软件的另
7、一个常见症状是使用共享文件夹传播感染。使用计算机管理 MMC 管理单元,或通过命令行使用 NetShare 命令检查受感染系统上的共享文件夹的状态。 八、 检查打开的网络端口 许多恶意软件一个常使用的技术是打开主机上的网络端口,使用这些端口获取该主机的访问。 Netstat -an 九、 使用网络协议分析器 网络协议分析器工具可用于创建受感染主机传入和传出的数据的网络流量日志。,十、 检查和导出系统事件日志 可以使用 Windows 系统事件日志识别各种异常行为。使用事件查看器管理控制台将每种类型的事件日志文件(应用程序、安全和系统)保存到可移动媒体,以便进一步分析。默认情况下,这些文件存储在
8、 C:WinntSystem32Config 目录中,并分别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而,当系统处于活动状态时,这些文件将被锁定,因此应使用事件查看器管理工具导出。,3 深层恶意代码防护,许多组织在安装了防病毒软件后仍然感染了病毒。与网络安全设计一样,设计防病毒解决方案时采用深层防护方法,了解防护模型的每个层以及对应于每个层的特定威胁,以便在实施自己的防病毒措施时使用此信息,确保在设计时采用的安全措施将得到可能的维护。,一、恶意软件的威胁方法 恶意软件可以通过许多方法来损害目标,下面是最容易受到恶意软件攻击的区域: 外部网络 来宾
9、客户端 可执行文件 文档 电子邮件 可移动媒体,二、深层防护安全模型 在发现并记录了组织所面临的风险后,下一步就是检查和组织将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护,它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。图所示为深层防护安全模型定义的各层。,(1)数据层 攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。 (2)应用程序层 攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。,(3)主机层
10、该层上的风险源自利用主机或服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。例如:缓冲区溢出。 Service Pack 和修复程序通常是针对此层。 (4)内部网络层 内部网络所面临的风险主要与通过网络传输的敏感数据有关。,(5)外围网络层 与外围网络层(也称为 DMZ)关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。 (6)物理安全层 物理层上的风险源自可以物理访问物理资产的攻击者。,(7)策略、过程和意识层 围绕安全模型所有层的是为满足和支持每个级别
11、的要求所制定的策略和过程。提高组织中对所有相关方的安全意识很重要,许多情况下,忽视风险可以导致安全违反。因此,培训也应该是任何安全模型的不可缺少的部分。,根据实际需要,可将深层防护安全模型细化。 细化的深层病毒防护视图:,可以将数据层、应用程序层和主机层防护策略组合,作为客户端和服务器防护策略。虽然这些防护共享许多公共策略,但是实施客户端和服务器防护方面还是有一定的差异的。因此,应将客户端和服务器防护策略分开考虑和实施。 内部网络层和外围层也可以组合到一个公共网络防护策略中,因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的,具体取决于组织基础结构中的设备位置和技术。,三、客户端防
12、护 假定恶意软件已经通过前面的所有防护层,当其到达主机时,防护系统必须集中于保护主机系统及其数据,并停止感染的传播。 1、减小攻击面 应用程序层上的第一道防护是减小计算机的攻击面。应在计算机上删除或禁用所有不需要的应用程序或服务,最大限度地减少攻击者可以利用系统的方法数。,2、应用安全更新 可能连接到组织网络的客户端计算机数量很大,而且种类很多,仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。,3、启用基于主机的防火墙 基于主机的防火墙或个人防火墙是应该启用的重要客户端防护层。Windows XP 包括名为“I
13、nternet 连接防火墙”(ICF) 的简单个人防火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址,以确保每个通信都是允许的通信。强烈建议启用ICF。,4、安装防病毒软件 许多公司推出防病毒应用程序,其中的大多数在提供此保护方面都是很有效的,但是它们都要求经常更新以应对新的恶意软件。,5、测试漏洞扫描程序 在配置系统之后,应该定期检查它以确保没有留下安全漏洞。许多扫描软件来查找恶意软件和黑客可能试图利用的漏洞,其中的多数工具更新自己的扫描例程以保护系统免受最新漏洞的攻击。,6、使用最少特权策略 在客户端防护中不应忽视的是在正常操作下分配
14、给用户的特权。Microsoft 建议采用这样的策略:提供最少可能的特权,以便使得受到因利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户,这样的策略尤其重要。,7、限制未授权的应用程序 如果应用程序为网络提供一种服务,如 Microsoft Instant Messenger 或 Web 服务,则在理论上它可能成为恶意软件攻击的目标。,四、 客户端应用程序的防护 这里提供恶意软件可能作为攻击目标的特定客户端应用程序的配置准则。,1、电子邮件客户端 如果恶意软件设法通过了网络和电子邮件服务器级别上的病毒防护,则可以进行一些配置以便为电子邮件客户端提供额外保护。 通常,用户打开
15、电子邮件的附件是恶意软件在客户端上传播是主要方式之一。因此,可电子邮件客户端必须配置额外的步骤,用户将必须执行这些步骤才能打开附件。,例如,在 Microsoft Outlook 和 Outlook Express 中可以: 使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。 启用一项设置以便用户只能以纯文本格式查看电子邮件。 阻止程序在未经特定用户确认的情况下发送电子邮件。 阻止不安全的电子邮件附件。,2、桌面应用程序 随着桌面办公应用程序的日益强大,它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。应该
16、尽可能采取措施,以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。,3、即时消息应用程序 虽然文本消息不会构成直接的恶意软件威胁,但是大多数即时消息(Instant Messenger)客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输就提供了进入组织网络的直接路由,因而有可能受到恶意软件的攻击。 网络防火墙只需筛选用于此通信的端口,即可阻止这些文件传输。,如果文件传输而无法应用防火墙阻止这些端口,则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。应该将即时消息应用程序配置为:一收到文件,就自动将传输的文件传递到防病毒应用程序进行扫描。例如,可以将 MSN Messenger 配置为自动扫描传输的文件。,4、Web 浏览器 从 Internet 下载或执行代码之前,希望确保知道它
