《第六章 恶意代码分析与防范》由会员分享,可在线阅读,更多相关《第六章 恶意代码分析与防范(47页珍藏版)》请在金锄头文库上搜索。
1、网络通信安全管理员认证恶意代码分析与防范Copyright 2010 Mazhao请先思考以下3个问题v什么是上网安全意识 ?v恶意代码如何进入我 们的计算机?v恶意代码以什么形式 存在于我们的计算机 中?一个每天都要遇到的操作1v可移动存储设备的使用v演示U盘的使用过程一个每天都要遇到的操作2 一个通过QQ的病毒用来扩散恶意代码,以创建一个 IRC僵尸网络(感染了60,000台主机)。请访问: WW一个每天都要遇到的操作3如果您的电脑配有摄像头,在您使用完摄像头 之后,您会:( ) 拔掉摄像头,或者将摄像头扭转方向 (546 人,44.1%) 无所谓(693人,55.9%) 一个每天都要遇到
2、的操作4v还有什么?v下载软件的来源: vOffice文档、图片、视频: v设置密码:恶意代码的基本概念v恶意代码,又称Malicious Code,或 MalCode,MalWare。 v其是设计目的是用来实现某些恶意功能的 代码或程序。 v发展及特征 v长期存在的根源计算机病毒概念v臭虫(bug) v生物学中的病毒v真的完全不等于吗? v它是计算机上的野生动物什么是计算机病毒vVirus,拉丁文:毒药 v就是一段特殊的小程序, 由于具有与生 物学病毒相类似的特征(潜伏性、传染 性、发作期等),所以人们就用生物学 上的病毒来称呼它。 v美国计算机安全专家是这样定义计 算机病毒 的:”病毒程序
3、通过修改其他程序的方法将自 己的精确拷贝或可能演化的形式放入其他程 序中,从而感染它们”。病毒的广义和狭义定义狭义:我国出台的中华人民共和国计算机安全 保护条例对病毒的定义如下:“计算机病毒 是指编制、或者在计算机程序中插入的,破 坏数据、影响计算机使用,并能自我复制的 一组计算机指令或者程序片段代码。” 广义:能够引起计算机故障,破坏计算机数 据的程序都统称为计算机病毒。恶意代码网络恶意代码的分类o 计算机病毒:一组能够进行自我传播、需要用户干预 来触发执行的破坏性程序或代码。 o 如CIH、爱虫、新欢乐时光、求职信、恶鹰、 roseo 网络蠕虫:一组能够进行自我传播、不需要用户干预 即可触
4、发执行的破坏性程序或代码。 o 其通过不断搜索和侵入具有漏洞的主机来自动传播 。 o 利用系统漏洞(病毒不需要漏洞) o 如红色代码、SQL蠕虫王、冲击波、震荡波、极速 波o 特洛伊木马:是指一类看起来具有正常功能,但实际 上隐藏着很多用户不希望功能的程序。通常由控制端 和被控制端两端组成。 o如冰河、网络神偷、灰鸽子网络恶意代码的分类(续)o后门:使得攻击者可以对系统进行非授权访 问的一类程序。 o 如Bits、WinEggDrop、TinioRootKit:通过修改现有的操作系统软件, 使攻击者获得访问权并隐藏在计算机中的程 序。 o 如RootKit、Hkdef、ByShello拒绝服务
5、程序,黑客工具,广告软件,间谍 软件o流氓软件几个容易混淆的分类v计算机病毒VS网络蠕虫v木马VS后门后门 VS 特洛伊木马v如果一个程序仅仅提供远程访问,那 么它只是一个后门。v如果攻击者将这些后门伪装成某些其 他良性程序,那么那就变成真正的特 洛伊木马。v木马是披着羊皮的狼!它对用户个 人隐私造成极大威胁。病毒程序与正常程序的比较病 毒 程 序其它正常可执行程序一般比较小一般比较大并非完整的程序,必须依附在其它程序上是完整的程序,独立的存在于磁盘上没有文件名有自己的文件名和扩展名,如COM、EXE有感染性,能将自身复制到其它程序上不能自我复制在用户完全不知道的情况下执行根据用户的命令执行在
6、一定条件下有破坏作用无破坏作用病毒起源探究v1949年,冯诺伊曼文章复杂自动装置的理论 及组织的行为中提出一种会自我繁殖的程序的 可能,但没引起注意 v 1960年,美国的约翰康维在编写“生命游戏“ 程序时,首先实现了程序自我复制技术。 v1977,科幻小说p-1的青春 v贝尔实验室,磁芯大战,达尔文游戏v 提示:一般认为,计算机病毒的发源地在美国。计算机病毒的发展vDOS阶段 v视窗阶段 v宏病毒阶段 (演示) v互连网阶段 v网络、蠕虫阶段 vJava、邮件炸弹、木马阶段计算机病毒的特性v传染性 v隐藏性 v潜伏性 v可触发性 v破坏性 v不可预见性 v非授权性计算机病毒的分类按存在的媒体
7、:网络型、文件型、引导型 按传染方式:驻留型、非驻留型 按破坏能力:良性(徐明莫言英)、恶性、 极恶性 按算法:伴随型、蠕虫型、寄生型、诡秘型 、变型 按入侵方式:源代码嵌入攻击、代码取代攻 击、系统修改型、外壳附加型 按传播媒介:单机、网络病毒的命名:实测比较各种防毒软件的查毒能力病毒的命名:实测比较各种防毒软件的查毒能力瑞星发现有拒绝服务的黑客工具瑞星查出有木马类黑客工具江民防火墙能对UDP协议 的访问把关,就有能力发 现黑客攻击的开始踩点瑞星对黑客开后门能有所觉察计算机病毒的命名DOS病毒命名(一日丧命散、含笑半步颠) 1.按病毒发作症状命名:小球 熊猫烧香 花 屏病毒 步行者病毒 武汉
8、男孩 2.按病毒发作的时间命名 :黑色星期五 ; 3.按病毒自身包含的标志命名 :CIH (不 是HIV) v按病毒发现地命名:如“黑色星期五”又 称Jurusalem(耶路撒冷)病毒 计算机病毒的命名v4.按病毒发现地命名 :Jurusalem(耶路撒 冷)病毒,Vienna(维也纳)病毒 v5.按病毒的字节长度命名: 以病毒传染文 件时文件的增加长度或病毒自身代码的长 度来命名,如1575、2153、1701、1704 、1514、4096 计算机病毒的命名v反病毒公司为了方便管理,会按照病毒的 特性,将病毒进行分类命名。虽然每个反 病毒公司的命名规则都不太一样,但大体 都是采用一个统一的
9、命名方法来命名的。 一般格式为: v. 计算机病毒的命名v病毒前缀是指一个病毒的种类,他是用来 区别病毒的种族分类的。不同的种类的病 毒,其前缀也是不同的。比如我们常见的 木马病毒的前缀 Trojan ,蠕虫病毒的前缀 是 Worm 等等还有其他的。 v病毒名是指一个病毒的家族特征,是用来 区别和标识病毒家族的,如以前著名的 CIH病毒的家族名都是统一的“ CIH ”, 振荡波蠕虫病毒的家族名是“ Sasser ” 。 计算机病毒的命名v病毒后缀是指一个病毒的变种特征,是用 来区别具体某个家族病毒的某个变种的。 一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波
10、蠕虫病毒 的变种B,因此一般称为 “振荡波B变种 ”或者“振荡波变种B”。如果该病毒变 种非常多(也表明该病毒生命力顽强), 可以采用数字与字母混合表示变种标识。 计算机病毒的命名v1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、 W32、W95等。这些病毒的一般公有的特性是可 以感染windows操作系统的 *.exe 和 *.dll 文件, 并通过这些文件进行传播。如CIH病毒。 v 2、蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的公有特 性是通过网络或者系统漏洞进行传播,很大部分 的蠕虫病毒都有向外发送带毒邮件,阻塞网络的 特性。比如冲击波(阻塞网络),小邮差(发带 毒
11、邮件) 等。计算机病毒的命名v3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀 名一般为 Hack 。 Trojan.QQ3344 , Hack.Nether.Client v4、脚本病毒:红色代码(Script.Redlof ,欢乐时光(VBS.Happytime)、十四日 (Js.Fortnight.c) 计算机病毒的命名v5、宏病毒:宏病毒的前缀是:Macro,第二前 缀是:Word、Word97、Excel、Excel97, Macro.Melissa v6、后门病毒后门病毒的前缀是:Backdoor v7、病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出 一
12、个或几个新的病毒到系统目录下,由释放出来 的新病毒产生破坏。 计算机病毒的命名v8破坏性程序病毒破坏性程序病毒的前缀是:Harm v9玩笑病毒玩笑病毒的前缀是:Joke。 v10捆绑机病毒捆绑机病毒的前缀是:Binder 计算机病毒的命名vDoS:会针对某台主机或者服务器进行 DoS攻击; vExploit:会自动通过溢出对方或者自己的 系统漏洞来传播自身,或者他本身就是一 个用于Hacking的溢出工具; vHackTool:黑客工具,也许本身并不破坏 你的机子,但是会被别人加以利用来用你 做替身去破坏别人计算机病毒的生命周期4、发作阶段1、潜伏阶段2、传染阶段3、触发阶段网络恶意代码的运行
13、周期寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身保存线触发线寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身寻找目标 本地文件(.exe,.scr,.doc,vbs) 可移动存储设备 电子邮件地址 远程计算机系统 寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身主动型程序自身实
14、现 病毒,蠕虫被动型-人为实现 物理接触植入 入侵之后手工植入 用户自己下载(姜太公钓鱼) 访问恶意网站 多用于木马,后门,Rootkit寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身主动触发 蠕虫 各种漏洞(如缓冲区溢出) 恶意网站 网页木马 被动触发 初次人为触发 双击执行,或命令行运行 打开可移动存储设备 打开本地磁盘 系统重启后的触发 各种启动项(如注册表,启动文件)寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身目标系统之中 长
15、期存活于 让自身静态存在形式 文件(Exe,Dll) 启动项(修改注册表、各种启动文件) 动态存在形式 进程(自创进程或插入到其他进程之中) 服务 端口(对外通信) 以上也是恶意代码检测的基础和依据所在; 而恶意代码本身也会对文件、启动项、进程、 端口、服务等进行隐藏-即RootKit。上网安全意识恶意代码篇寻找目标在目标之中 将自身保存恶意代码执行 目标系统中的 触发目标系统之中 长期存活于 让自身安装反病毒软件和防火墙 及时更新系统补丁、病毒库 不访问恶意网站 为系统设置系统密码 离开计算机时锁定计算机 不从不知名网站下载软件 拒绝各种诱惑(如色情) 移动存储设备的可写开关 及时更新系统补
16、丁、病毒库 对系统关键程序(如cmd.exe)作权限保护 不运行来历不明文件(包括数据文件) 养成安全的移动存储设备使用习惯 定期备份与还原系统 关注系统启动项和系统目录中的可执行文件 安装杀毒软件,更新病毒库 定期备份与还原系统 清除异常系统启动项与系统目录异常文件 关注异常进程、端口、服务、网络流量 保存线触发线存活线计算机病毒的运行机制v三组件:复制传染、隐藏、破坏 v运行阶段:复制传播+激活特洛伊木马v木马全称是“特洛伊木马(Trojan Horse)”,原指古希腊人把士兵藏在木马 内进入敌方城市从而占领敌方城市的故事 。在Internet上,木马指在可从网络上下 载(Download)的应用程序或游戏中,包含 了可以控制用户的计算机系统的程序,这 些
