沈鑫剡编著(网络安全)教材配套幻灯片第13章

《沈鑫剡编著(网络安全)教材配套幻灯片第13章》由会员分享，可在线阅读，更多相关《沈鑫剡编著(网络安全)教材配套幻灯片第13章（34页珍藏版）》请在金锄头文库上搜索。

1、网络安全,第十三章,第13章 病毒防御技术,本章主要内容 病毒作用过程； 基于主机防御技术； 基于网络防御技术。,13.1 病毒作用过程,本讲主要内容 病毒存在形式； 病毒植入方式； 病毒隐藏和运行； 病毒感染和传播； 病毒破坏过程； 病毒作用过程实例。,一、病毒存在形式,病毒可以是一段寄生在其他程序和文件中的恶意代码，也可以是一个完整的程序。 寄生病毒 脚本病毒 宏病毒 PE病毒 非寄生病毒,二、病毒植入方式,对于寄生病毒，病毒植入是指将包含病毒的宿主程序或宿主文件传输到主机系统中的过程。对于非寄生病毒，病毒植入是指将独立、完整的病毒程序传输到主机系统中的过程。 移动媒体 访问网页 下载实用

2、程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延,三、病毒隐藏和运行,1病毒首次运行过程 （1）U盘AutoRun病毒 修改U盘的AutoRun.inf文件，将病毒程序作为双击U盘后执行的程序。如果已经启动Windows 的自动播放功能，当用户打开该U盘时，首先执行病毒程序。 （2）宏病毒 用Office软件打开包含宏病毒的Office文档时，才能执行包含在Office文档中的宏病毒。 （3）脚本病毒 当浏览器浏览包含脚本病毒的网页时，浏览器执行包含在网页中的脚本病毒。,三、病毒隐藏和运行,1病毒首次运行过程 （4）PE病毒 人工执行，或者由其他进程调用包含PE病毒的PE格式文件

3、时，才能执行包含在PE格式文件中的PE病毒。 （5）蠕虫病毒 蠕虫病毒能够自动地将自身植入网络中的其他主机系统，并运行。,三、病毒隐藏和运行,2病毒激发机制 嵌入BIOS和引导区； 病毒程序作为自启动项； 修改名字。,四、病毒感染和传播,病毒每一次运行过程，或是完成感染和传播过程。 一般情况下，PE病毒感染PE格式文件，宏病毒感染Office文档，脚本病毒感染HTML文档。蠕虫病毒自动完成传播过程。,五、病毒破坏过程,设置后门； 监控用户操作过程； 破坏硬盘信息； 破坏BIOS； 发起拒绝服务攻击； 蠕虫蔓延。,六、病毒作用过程实例,（1）木马病毒结构及功能 木马病毒采用客户/服务器结构，由客

4、户端和服务器端代码组成，激活服务器端代码后，黑客通过启动客户端代码，和服务器端建立连接，并通过客户端对服务器端系统进行操作。,六、病毒作用过程实例,（2）木马病毒传播及首次激活过程 常见的传播木马病毒的途径有以下几种，嵌入用脚本语言编写的木马病毒的HTML文档；以嵌入木马病毒的可执行文件为附件的电子邮件；通过类似缓冲区溢出等漏洞上传并运行木马病毒。,六、病毒作用过程实例,（3）木马病毒激活机制 木马病毒首次激活需要完成下述功能： 将木马服务器端代码作为独立的可执行文件存放在攻击目标的文件系统中； 修改注册表，将存放木马服务器端代码的路径加入到注册表的自启动项列表中，系统启动过程中，自动激活木马

5、服务器端代码。或者将注册表HKEY_CLASSES_ROOT主键下“txtfileshellopencommand”的键值由“C:WINDOWSNOTEPAD.EXE %1”改为存放木马服务器端代码的路径，只要用户通过双击打开扩展名为txt的文件，首先激活木马服务器端代码。,六、病毒作用过程实例,（4）实施非法访问 建立服务器端与客户端之间的TCP连接后，黑客可以通过客户端对服务器端资源实施非法访问。,六、病毒作用过程实例,（1）缓冲区溢出漏洞 由于函数B使用缓冲区时没有检测缓冲区边界这一步，当函数B的输入数据超过规定长度时，函数B的缓冲区发生溢出，超过规定长度部分的数据将继续占用其他存储空间

6、，覆盖用于保留函数A的返回地址的存储单元。 黑客终端发送给该功能块的数据中包含某段恶意代码，而且，用于覆盖函数A返回地址的数据恰恰是该段恶意代码的入口地址。,六、病毒作用过程实例,（2）扫描Web服务器 确定目标主机是否是Web服务器的方法是尝试建立与目标主机之间目的端口号为80的TCP连接，如果成功建立该TCP连接，表明目标主机是Web服务器。,六、病毒作用过程实例,（3）获取Web服务器信息 向目标主机发送一个错误的HTTP请求消息，目标主机回送的HTTP响应消息中会给出有关目标主机Web服务器的一些信息。 HTTP/1.1 400 Bad Request Server:Microsoft

7、-IIS/4.0 Date:Sat,03 Apr 1999 08:42:40 GMT Content-Type:text/html Content-Length:87 Error The parameter is incorrect. ,六、病毒作用过程实例,（4）通过缓冲区溢出植入并运行引导程序 一旦确定Web服务器存在缓冲区溢出漏洞，精心设计一个HTTP请求消息，Web服务器将该请求消息读入缓冲区时，导致缓冲区溢出，并运行嵌入在HTTP请求消息中的引导程序。引导程序建立与黑客终端之间的TCP连接（反向TCP连接），从黑客终端下载完整的蠕虫病毒并激活。,13.2 基于主机防御技术,本讲主要内

8、容 基于特征的扫描技术； 基于线索的扫描技术； 基于完整性检测的扫描技术； 基于行为的检测技术； 基于模拟运行环境的检测技术。,一、基于特征的扫描技术,通过分析已经发现的病毒，提取出每一种病毒有别于正常代码或文本的病毒特征，并因此建立病毒特征库。然后根据病毒特征库在扫描的文件中进行匹配操作。,一、基于特征的扫描技术,基于特征的扫描技术主要存在以下问题： 由于通过特征匹配来检测病毒，因此无法检测出变形、加密和未知病毒； 必须及时更新病毒特征库； 由于病毒总是在造成危害后才被发现，因此，它是一种事后补救措施。,二、基于线索的扫描技术,基于线索扫描技术通常不是精确匹配特定二进制位流模式或文本模式，而

9、是通过分析可执行文件入口处代码的功能来确定该文件是否感染病毒。,三、基于完整性检测的扫描技术,对系统中的所有文件计算出对应的报文摘要C，将C存储在某个列表文件中，扫描软件定期地重新计算系统中文件对应的C，并将计算结果和列表中存储的结果进行比较，如果相等，表明文件没有发生改变，如果不相等，表明文件自计算出列表中存储的C以后已经发生改变。 为了防止一些精致的病毒能够在感染文件的同时，修改文件的原始报文摘要在计算出某个文件对应的原始报文摘要后，用扫描软件自带的密钥K对报文摘要进行加密运算，然后将密文存储在原始检测码列表中。,三、基于完整性检测的扫描技术,存在问题 基于完整性检测的扫描技术只能检测出文

10、件是否发生改变，并不能确定文件是否被病毒感染； 必须在正常修改文件后，重新计算该文件对应的原始检测码，并将其存储在原始检测码列表中，否则，在定期检测过程中扫描软件会对该文件示警； 对于系统中需要经常改变的文件，每一次文件改变后，都需要通过用户干预，生成与改变后的文件一致的原始检测码，这种干预可能会使用户感到不便； 对于文件在计算初始检测码前已经感染病毒的情况，这种检测技术是无效的。,四、基于行为的检测技术,当某个用户进程发出修改注册表中自启动项列表，格式化文件系统，删除某个系统文件的操作请求时，可以认为该用户进程正在实施病毒代码要求完成的操作。 如果请求中要求的资源访问操作违背为发出请求的用户

11、规定的访问权限，表明该用户进程可能包含病毒代码。,四、基于行为的检测技术,存在以下缺陷，一是由于在执行过程中检测病毒，检测到病毒时有可能已经执行部分病毒代码，已经执行的这部分病毒代码有可能已经对系统造成危害。二是由于很难区分正常和非正常的资源访问操作，无法为用户精确配置资源访问权限，常常发生漏报和误报病毒的情况。,五、基于模拟运行环境的检测技术,当基于线索的检测技术怀疑某个可执行文件或文本文件感染病毒时，为了确定该可执行文件或文本文件是否包含病毒，在模拟运行环境中运行该可执行文件或文本文件，并对每一条指令的执行结果进行分析。如果发生某种病毒的操作特征时，确定该可执行文件或文本文件感染病毒。如果

12、直到整个代码仿真执行完成，都没有发生和操作特征库匹配的操作，或违背资源访问原则的资源访问操作，断定该文件没有感染病毒。,13.3 基于网络防御技术,本讲主要内容 防火墙； 网络入侵检测系统； 防毒墙； 数字免疫系统。,一、防火墙,可以通过配置有效的访问控制策略隔断病毒的网络传播途径和木马客户端与服务器端的通信过程。如防火墙配置的访问控制策略只允许内网终端发起访问外网Web服务器的过程。,一、防火墙,这种情况下，木马服务器端只能发起建立与木马客户端之间目的端口号为80的TCP连接，而且木马服务器端发送给木马客户端的数据必须封装成HTTP请求消息格式，且符合HTTP请求消息要求的语法和语义规范，同

13、样，木马客户端发送给木马服务器端的数据必须封装成HTTP响应消息格式，且符合HTTP响应消息要求的语法和语义规范。,一、防火墙,一是由WAF对所有进入Web服务器的信息流进行检测，如果发现与对Web服务器实施攻击相关的信息流，WAF将丢弃这些信息流，以此避免黑客将脚本病毒嵌入Web服务器中网页的情况发生。二是由WAF对Web服务器传输给用户终端的文本文件进行检测，一旦发现嵌入脚本病毒的文本文件，立即丢弃该文本文件。,二、网络入侵检测系统,网络入侵检测系统通过检测流经关键网段的信息流，发现可能存在的蠕虫病毒传播过程，并予以制止。 假定每秒允许建立500个与指定Web服务器之间的TCP连接，如果某

14、个单位时间内接收到超过500的请求建立与指定Web服务器之间的TCP连接的请求报文，表明检测到SYN泛洪攻击，探测器丢弃第501个及以后的请求建立与指定Web服务器之间的TCP连接的请求报文。,三、防毒墙,防毒墙是一种用于防御病毒的网关，能够对流经该网关的HTTP消息、FTP消息、SMTP消息、POP3消息进行深度检测，发现包含在消息中的各种类型的病毒，阻止病毒植入内部网络终端。 防毒墙检测病毒时，通常采用基于特征的扫描技术和基于线索的扫描技术，携带病毒特征库，允许在线更新病毒特征库。,四、数字免疫系统,客户机通过自身的病毒检测软件发现可疑文件，将可疑文件发送给管理机，管理机将可疑文件加密后传输给病毒分析。病毒分析机在模拟运行环境中逐条仿真可疑文件代码，并监控每一条指令的执行结果，分析病毒的感染和破坏机理，形成检测该病毒的行为特征和代码特征，以及基于多种特定扫描技术的检测规则，将这些信息加密处理后发送给各个子网的管理机，管理机解密后，传输给子网内的所有客户机，客户机病毒检测软件根据这些信息及时更新病毒特征库，添加对应的检测规则。,