《网络安全技术及应 用第 五章》由会员分享,可在线阅读,更多相关《网络安全技术及应 用第 五章(72页珍藏版)》请在金锄头文库上搜索。
1、2019/6/21,1,第五章 计算机病毒及恶意代码,本章学习重点掌握内容: 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络,2019/6/21,2,第五章 计算机病毒及恶意代码,5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件,2019/6/21,3,5.1计算机病毒概述,5.1.1 计算机病毒的定义 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,2019/6/
2、21,4,5.1计算机病毒概述,5.1.2计算机病毒历史 1977年,美国著名的贝尔实验室中设计磁芯大战(Core War)的游戏,第一步将计算机病毒感染性的概念体现出来 第一个具备完整特征的计算机病毒出现于1987年,病毒C-BRAIN,由一对巴基斯坦兄弟:Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。,2019/6/21,5,5.1.2计算机病毒历史,DOS病毒,破坏表现:唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等 。 基于Windows运
3、行环境的病毒,随着微软Office软件的普及,出现了宏病毒,各种脚本病毒也日益增多著名病毒如 CIH病毒等。 网络时代病毒已经突破了传统病毒的技术,融合许多网络攻击技术,如蠕虫技术、木马技术、流氓软件、网络钓鱼等,。,2019/6/21,6,5.1计算机病毒概述,5.1.3 计算机病毒特征 破坏性 计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏 隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。 潜伏性 长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。 传染性 指病毒具有把自身复制到其它程序中的特性,2019/6/21,7,5.1.
4、3 计算机病毒特征,网络病毒又增加很多新的特点 主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多,容易编写,并且很容易被修改,生成很多病毒变种 融合多种网络技术,并被黑客所使用,2019/6/21,8,5.2 传统的计算机病毒,5.2.1 计算机病毒的基本机制 分为三大模块:传染机制、破坏机制、触发机制。 计算机病毒的传染机制 指计算机病毒由一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。 触发机制 计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。 3、破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统
5、或信息产生严重破坏。,2019/6/21,9,5.2 传统的计算机病毒,5.2.2 病毒分析 Windows环境下,主要病毒有文件型病毒、引导性病毒和宏病毒等 文件型病毒 文件型病毒主要感染可执行文件,Windows环境下主要为.EXE文件,为PE格式文件 PE是 Win32环境自身所带的执行体文件格式。,2019/6/21,10,5.2.2 病毒分析,PE文件结构如图5-1所示,2019/6/21,11,5.2.2 病毒分析,当运行一个PE可执行文件时 当PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则跳转到 PE header。 P
6、E装载器检查 PE header 的有效性。如果有效,就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中的节信息,并采用文件映射方法将这些节映射到内存,同时附上节表里指定的节属性。 PE文件映射入内存后,PE装载器将处理PE文件中类似 import table(引入表)逻辑部分。,2019/6/21,12,5.2.2 病毒分析,感染PE文件,必须满足两个基本条件: 是能够在宿主程序中被调用,获得运行权限;主要采用重定位的方法,改PE文件在系统运行PE文件时,病毒代码可以获取控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码。方法有: 可以修
7、改文件头中代码开始执行位置(AddressOfEntryPoint) 在PE文件中添加一个新节 病毒进行各种操作时需调用API函数 ,有两种解决方案。 在感染PE文件的时候,可以搜索宿主的引入函数节的相关地址。 解析导出函数节,尤其是Kernel32.DLL,2019/6/21,13,5.2.2 病毒分析,宏病毒 就是使用宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件中 感染过程 改写Word宏 改写文档自动执行宏,如AutoOpen、FileSave FilePrint等等,2019/6/21,14,5.2.2 病毒分析,转换成文档模板
8、的宏 当宏病毒获得运行权限之后,把所关联的宿主文档转换成模板格式,然后把所有宏病毒复制到该模板之中 感染其它Word文档 当其它的Word文件打开时,由于自动调用该模板因而会自动运行宏病毒,2019/6/21,15,5.2.2 病毒分析,宏病毒具有如下特点 传播快 Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。 制作、变种方便 Word使用宏语言WordBasic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变,立即就生产出了一种新的宏病毒. 破坏性大,2019/6/21,16,5.2 传统的计算机
9、病毒,5.2.3 传统计算机病毒防御 文件型病毒一般采用以下一些方法 安装最新版本、有实时监控文件系统功能的防病毒软件。 及时更新病毒引擎,最好每周更新一次,并在有病毒突发事件时立即更新。 经常使用防毒软件对系统进行病毒检查。 对关键文件,如系统文件、重要数据等,在无毒环境下备份。 在不影响系统正常工作的情况下对系统文件设置最低的访问权限。,2019/6/21,17,5.2.3 传统计算机病毒防御,宏病毒的预防与清除 找到一个无毒的Normal.dot 文件的备份,将位于“MSOffice Template ”文件夹下的通用模板Normal.dot文件替换掉; 对于已染病毒的文件,先打开一个无
10、毒Word文件,按照以下菜单打开对话框:工具-宏-安全性,设置安全性为高,2019/6/21,18,5.3 脚本病毒,5.3.1 脚本病毒概述 脚本病毒依赖一种特殊的脚本语言(如:VBScript、JavaScript等)起作用,同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令,脚本病毒可以在多个产品环境中进行。 脚本病毒具有如下特征 编写简单。由于脚本的简单性,使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。 病毒源码容易被获取、变种多。其源代码可读性非常强,2019/6/21,19,5.3.1 脚本病毒概述,感染力强。采用脚本高级语言可以实现多种复杂操作,感染其它文件
11、或直接自动运行。 破坏力强。 脚本病毒可以寄生于HTML或邮件通过网络传播,其传播速度非常快。脚本病毒不但能够攻击被感染的主机,获取敏感信息,删除关键文件;更可以攻击网络或者服务器,造成拒绝服务攻击,产生严重破坏。 传播范围广。这类病毒通过HTML文档,Email附件或其它方式,可以在很短时间内传遍世界各地。 采用多种欺骗手段。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,,2019/6/21,20,5.3 脚本病毒,5.3.2 脚本病毒原理 脚本病毒的传播分析 脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其它同类程序中间: 脚本病毒通过网络
12、传播的几种方式 通过电子邮件传播 通过局域网共享传播 感染HTML、ASP、JSP、PHP等网页通过浏览器传播 通过U盘自动运行传播 其它的传播方式,2019/6/21,21,5.3.2 脚本病毒原理,脚本病毒的获得控制权的方法分析 修改注册表项 修改自动加载项 通过映射文件执行方式 欺骗用户,让用户自己执行 desktop.ini和folder.htt互相配合 如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发folder.htt中的病毒代码。 直接复制和调用可执行文件,2019/6/21,22,5.3 脚本病毒,5.3.3 脚本病毒防御 脚本病毒要求被感染系统具有如下支持能力:
13、VBScript代码是通过Windows Script Host来解释执行的,wscript.exe就是该功能的相关支持程序。 绝大部分VBS脚本病毒运行的时候需要对象FileSystemObject的支持。 通过网页传播的病毒需要ActiveX的支持 通过Email传播的病毒需要邮件软件的自动发送功能支持。,2019/6/21,23,5.3.3 脚本病毒防御,因此可以采用以下方法防御脚本病毒 可以通过打开“我的计算机”,依次点击查看文件夹选项文件类型在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。 在IE设置中
14、将ActiveX插件和控件以及Java相关的组件全部禁止,可以避免一些恶意代码的攻击。方法是:打开IE,点击“工具”“Internet选项”“安全”“自定义级别”,在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。 禁用文件系统对象FileSystemObject, 用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。 禁止邮件软件的自动收发邮件功能 Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。 选择一款好的防病毒软件并做好及时升级。,2019/6/21,24,5.4网络蠕
15、虫,5.4.1 网络蠕虫概述 网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术,不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点。,2019/6/21,25,5.4.1 网络蠕虫概述,网络蠕虫具有以下特征 主动攻击。从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本,整个流程全由蠕虫自身主动完成。 利用软件漏洞。蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。 造成网络拥塞。在传播的过程中,蠕虫需要判断其它计算机是否存活;判断特定应用服务是否存在;判断漏洞是
16、否存在等等,这将产生大量的网络数据流量。同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量,当大量的机器感染蠕虫时,就会产生巨大的网络流量,导致整个网络瘫痪。 消耗系统资源。蠕虫入侵到计算机系统之后,一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源;另一方面,许多蠕虫会恶意耗费系统的资源。,2019/6/21,26,5.4.1 网络蠕虫概述,留下安全隐患。大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等),并在系统中留下后门。 行踪隐蔽。蠕虫的传播过程中,不需要用户的辅助工作,其传播的过程中用户基本上不可察觉。 反复性。即使清除了蠕虫留下的任何痕迹,如果没有修补计算机系统漏洞,网络中的计算机还是会被重新感染。 破坏性:越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越来越大,见表5-3。,2019/6/21,27,蠕虫造成的损失对照表,2019/6/21,28,5.4网络蠕虫,5.4.2 网络蠕虫工作机制 网络蠕虫的工作机制分为3个阶段:信息收集、攻击渗透、现场处理 信息收集。按照一定的策略搜索网络中存活的主机
