《章节恶意代码检测与防范技术课件》由会员分享,可在线阅读,更多相关《章节恶意代码检测与防范技术课件(33页珍藏版)》请在金锄头文库上搜索。
1、第十一章 恶意代码检测与防范技术,2 学时,课间播放 QQ密码攻击过程演示,本章内容,常见恶意代码 恶意代码的机理 恶意代码分析与检测 恶意代码清除与防范,11.1 常见恶意代码,恶意代码是指以危害信息的安全等不良意图为目的的程序。 恶意代码的危害 攻击系统 危害数据文件的安全存储和使用 泄露文件、配置和隐私信息 肆意占用资源 攻击应用程序,常见的恶意代码 计算机病毒 蠕虫 特洛伊木马 后门程序 恶作剧程序 浏览器劫持软件、间谍软件等,计算机病毒,计算机病毒是一种特殊的计算机程序,能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶意代码。,1994年2月18日,我国正式颁布
2、实施中华人民共和国计算机信息系统安全保护条例的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 此定义具有法律性、权威性。,计算机病毒的特点 传染性:计算机病毒也会通过各种媒体从已被 感染的计算机扩散到未被感染的计算机。 隐蔽性:计算机病毒隐蔽性是指计算机病毒不 经过程序代码分析或计算机病毒代码扫描,病 毒程序与正常程序是不容易区别开来的。,潜伏性(依附性):计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测,是检查不来的,因
3、此,病毒可以在磁盘、光盘或其他介质上静静的呆上几天,甚至是几年。 表现性 :病毒的表现性是指当病毒触发条件满足时,病毒在被计算机病毒感染的计算机上开始发作,表现出一定的症状和破坏性。 传染性和依附性是计算机病毒区别且他恶意代码的本质特征,据1998年CSI/FBI计算机犯罪和安全调查报告中对攻击的分类调查显示, 计算机病毒占所有攻击类型的首位.,计算机病毒的分类 攻击对象 计算机系统病毒 计算机网络病毒 操作系统 Windows Linux unix 感染对象 引导型 文件型,CIH 病毒,CIH病毒,又名“切尔诺贝利“,是一种可怕的电脑病毒。它属于Microsoft Office的macro
4、病毒类。它会感染你的电脑里面的*.exe (执行档),由Win95/98至所有的应用软件。感染速度十分之快,所以也十分可怕。它是台湾大学生陈英豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH“名的电脑病毒(即切核病毒)。 CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。,蠕虫,蠕虫是一种可以通过网络(永久性网络连接 或拨号网络)进行自身复制的病毒程序。 蠕虫是一个独立运行的程序,自身不改变其他程序,但可携带一个具有改变其他程序功能的病毒。 一旦在系统中激活,蠕虫可以表现得像计算机病毒。可以向系统注入特洛伊木马程序,或者进行任何次数的破坏
5、或毁灭行动。普通计算机病毒需要在计算机的硬盘或文件系统中繁殖,而典型的蠕虫程序则不同,只会在内存中维持一个活动副本,甚至根本不向硬盘中写入任何信息。,蠕虫的复制步骤 搜索系统或网络,确认下一步要感染的目标 建立与其他系统或远程主机的连接 将自身复制到其他系统或远程主机,并尽可能激活它们,划时代的“红色代码” 2001.7 红色代码 “红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。 “红色代码”病毒是通过微软公司IIS系统漏洞进行感染,它使IIS服务程序处
6、理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器。,“红色代码”病毒采用了一种叫做“缓存区溢出”的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。 “红色代码II”病毒体内还包含一个木马程序,这意味着计算机黑客可以对受到入侵的计算机实施全程遥控,并使得“红色代码II”拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。,特洛伊木马,特洛伊木马是指一个有用的,或者表面上有用的程序或命令过程,但其中包含了一段隐藏的、激活
7、时将执行某种有害功能的代码,可以控制用户计算机系统的程序,并可能造成用户的系统被破坏甚至瘫痪。 特洛伊木马程序可以用来非直接地完成一些非授权用户不能直接完成的功能。 木马不是病毒,不复制。,原理 鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。 上机实验,灰鸽子木马,11.2 恶意代码的机理,传播机制 文件流动 网页脚本和插件 电子邮件 数字内容播放 网络攻击 自我传播,感染机制 感染引导系统,感染文件,文件型病毒工作方式,.EXE,.COM,感染结
8、构化文档 所谓宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的工作。 所谓宏病毒,就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。,宏病毒的分类 宏病毒根据传染的宿主的不同可以分为:传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统应用较多,所以大家谈论的宏病毒一般是指Word宏病毒。,Word宏病毒的特点 (1)以数据文件方式传播,隐蔽性好,传播速 度快,难于杀除 (2)制作
9、宏病毒以及在原型病毒上变种非常方便 (3)破坏可能性极大,Word宏病毒的表现 Word宏病毒在发作时,会使Word运行出现怪现象,如自动建文件、开窗口、内存总是不够、关闭WORD不对已修改文件提出未存盘警告、存盘文件丢失等,有的使打印机无法正常打印。Word宏病毒在传染时,会使原有文件属性和类型发生改变,或Word自动对磁盘进行操作等。当内存中有Word宏病毒时,原Word文档无法另存为其他格式的文件,只能以模板形式进行存储。,感染网络服务或客户端 假冒文件,11.3 恶意代码分析与检测,1.比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单 (比
10、如DEBUG的D命令输出格式)进行比较,或用程序来进行比较(如DOS的DISKCOMP、COM P或PCTOOLS等其它软件)。这种比较法不需要专用的查病毒程序,只要用常规DOS软件和PCTOO LS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。因为病毒传播得很快,新病毒层出不穷,还没有做出通用的能查出一切病毒,发现新病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作。,2. 特征代码扫描法 病毒的特征代码是病毒程序编制者用来识别自己编写程序唯一的代码串。可利用病毒的特征代码检测病毒程序和防止病毒程序传染。 特征代码扫描法所用的软件由两部分
11、组成:一部分是病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序。打开被检测文件,搜索检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒。,3.校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提
12、高其检测能力。,4.分析法 一般使用分析法的人不是普通用户,而是反病毒技术人员。使用分析法的目的在于:确认被观察的磁盘引导区和程序中是否含有病毒;如果有病毒,确认病毒的类型和种类,判定其是否是一种新病毒; 如果是新病毒,搞清楚病毒体的大致结构,提取特征代码或特征字,用于增添到病毒代码库供病毒扫描和识别程序用;详细分析病毒代码,为制定相应的反病毒措施制定方案。,11.4 恶意代码清除与防范,清除计算机病毒完全是建立在正确检测出病毒的基础之上的。没有正确的判断,就没有正确的行动。 清除计算机病毒主要包括的工作:清除计算机病毒主要包括的工作,恶意代码预防措施 恶意代码检测、定时、在线检测 在线监控程序行为 保护重要文件 隔离可疑文件 备份和恢复重要数据 制定安全防范措施 在线更新恶意代码特征,11.5 小结,
