《恶意代码及防护技术(II)讲解ppt课件》由会员分享,可在线阅读,更多相关《恶意代码及防护技术(II)讲解ppt课件(30页珍藏版)》请在金锄头文库上搜索。
1、第12讲 恶意代码与防护技术-II,杨 明 紫金学院计算机系,网络信息安全,2020/10/25,内容,特洛伊木马 蠕虫,恶意代码的概念,定义 指以危害信息安全等不良意图为目的程序或代码 潜伏在受害计算机系统中实施破坏或窃取信息 分类,特洛伊木马,“特洛伊木马” (trojan horse)简称“木马”,名字来源于古希腊传说,荷马史诗中木马计的故事。 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件。 它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。,
2、特洛依木马举例,Back Orifice Cult of the Dead Cow在1998年8月发布, 公开源码软件,是功能强大的远程控制器木马。 boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。 共享。创建共享资源 HTTP服务。启动或停止HTTP服务。 击键记录。将BO服务器上用户的击键记录在一个文本文件中,同时记录执行输入的窗口名。(可以获得用户口令),特洛依木马举例,视频输入、播放。捕捉服务器屏幕到一个位图文件中。 网络连接。列出和断开BO服务器上接入和接出
3、的连接,可以发起新连接。 查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息,包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。 端口重定向。 注册表 锁住或重启计算机。 传输文件,木马的特征,木马的工作原理,木马的组成结构 客户端:即控制端,安装在攻击者机器上的部分。 服务端:即被控制端,通过各种手段植入目标机器的部分。 而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统。,木马的工作原理,
4、木马植入技术,木马植入技术 主动植入与被动植入两类 主动植入技术主要包括 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马 被动植入主要包括 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播,木马的欺骗技术,木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。 木马欺骗技术 伪装成其它类型的文件,可执行文件需要伪装其它文件。如伪装成图片文件。 合并程序欺骗。 插入其它文件内部。 伪装成应用程序扩展组件。 把木马程序和其它常用程序利用WinRar捆绑在一起,将其制作成自释放文件。 在Word文档中加入木
5、马文件。,木马隐藏技术,主机隐藏 主要指在主机系统上表现为正常的进程。 主要有文件隐藏、进程隐藏等。 文件隐藏主要有两种方式 采用欺骗的方式伪装成其它文件 伪装成系统文件 进程隐藏 动态链接库注入技术,将“木马”程序做成一个DLL文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序。 Hooking API技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。,激活木马,触发条件 注册表:HKLMSoftwareMicrosoftWindowsCurrentVersionRun或RunServices win.ini autoexec.bat
6、和config.sys 捆绑文件 启动菜单 运行木马 木马被激活后,进入内存,开启事先定义好的端口,准备与控制端建立连接。,远程控制,建立连接 服务端开启端口 控制端对信息反馈获得IP的网段进行扫描 发现开放特定端口的主机 控制端同该主机建立连接 通过建立的连接,控制端对服务端进行远程控制 窃取密码 文件操作 修改注册表 系统操作,木马防范,查 检查系统进程 检查注册表、ini文件和服务 检查开放端口 监视网络通讯 堵 堵住控制通路 杀掉可疑进程 杀 手工删除 软件杀毒,如何避免木马的入侵,不要执行任何来历不明的软件 不要相信你的邮箱不会收到垃圾和带毒的邮件 不要随便留下你的个人资料 不要随便
7、下载软件 最好使用第三方邮件程序 不要轻易打开广告邮件中附件或点击其中的链接 尽量少用共享文件夹 运行反木马实时监控程序 检测软件chkrootkit,莫里斯蠕虫,莫里斯蠕虫大肆传播 1988年11月2日美国康奈尔大学一年级研究生罗伯特.莫里斯(R.morris)制作了一个蠕虫病毒,并将其投入美国Internet计算机网络,许多联网机被迫停机,直接损失达9600万美元。 莫里斯也因此受到法律制裁。,判处3年缓刑、1万美元罚款、400小时的公益劳动,蠕虫的定义,蠕虫是能够在网络上自动传播的恶意代码,它利用广泛使用的网络服务中存在的安全漏洞,自我复制,广泛传播。 如CodeRed 、CodeRed
8、、Lion、Adore、Nimda、Slammer、W32.Nachi.Worm 、 Blaster 比如2003年的Slammer蠕虫,利用了微软SQL server的一个缓冲区溢出漏洞,在15分钟内感染了75000台主机。 人为检测和响应根本无法应对。,蠕虫的定义,定义 一类特殊的恶意代码,可以在计算机系统或网络中繁殖,由于不依附于其他程序,这种繁殖使它们看上去是在内存、磁盘或网络中移动。 特征 不用计算机使用者干预即可运行的攻击程序或代码; 它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点。,蠕虫的特征,蠕虫的基本攻击机制,信息收集 按照一定的策略搜索网络
9、中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。 攻击渗透 通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。 现场处理 通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。,网络蠕虫传播模型,为什么蠕虫事件层出不穷?,系统及软件总是有不可避免的、未知的安全漏洞; 我们只能防止蠕虫的再次发生,而无法彻底杜绝新蠕虫的出现; 蠕虫传播的速度往往超过了检测和恢复的速度。当通过人工的方法检测到蠕虫并采取防御措施,往往已经为时过晚。,影响蠕
10、虫传播的因素,有多少潜在的“脆弱”目标可以被利用; 潜在的存在漏洞的主机被发现的速度; 蠕虫对目标的感染(拷贝自身) 速度有多快。 决定蠕虫传播速度的主要因素是对存在漏洞的主机的被发现速度,也就是一个单位时间内能够找到多少可以感染的主机系统。,蠕虫扫描策略,蠕虫扫描策略,蠕虫扫描策略,顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地址进行传播,根据本地优先原则,网络地址段顺序递增。,蠕虫扫描策略,从DNS服务器获取IP地址来建立目标地址库。 优点: 获得的IP地址块针对性强和可用性高。 关键问题: 如何从DNS服务器得到网络主机地址,以及DNS服务器是否存在足够的网络主机地址。,蠕虫扫描策略,基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表,搜寻感染目标。,论文作业,撰写一篇有关计算机网络安全的论文(20%) 可针对一具体技术进行选题和撰写,具体内容可自选,例如选择内容可包括 访问控制技术、数据加密技术、网络防御技术、网络攻击技术、网络安全新技术等 要求撰写的作业具备论文的所有要素 题目、作者、摘要、正文(引言、技术介绍、比较分析、发展趋势、结论等)、参考文献。 需参考相关技术文献,杜绝照搬照抄,要有技术论述、比较、分析和一些独立的观点,内容要有一定的先进性和前沿性。,
