第十一章恶意代码检测与防范技术2 学时课间播放密码攻击过程演示本章内容p常见恶意代码p恶意代码的机理p恶意代码分析与检测p恶意代码去除与防范11.1常见恶意代码恶恶意意代代码码是是指指以以危危害害信信息息的的平平安安等等不不良良意意图为目的的程序图为目的的程序恶意代码的危害恶意代码的危害攻击系统攻击系统危害数据文件的平安存储和使用危害数据文件的平安存储和使用泄露文件、配置和隐私信息泄露文件、配置和隐私信息肆意占用资源肆意占用资源攻击应用程序攻击应用程序pp常见的恶意代码常见的恶意代码常见的恶意代码常见的恶意代码p计算机病毒p蠕虫p特洛伊木马p后门程序p恶作剧程序p浏览器劫持软件、间谍软件等1.计算机病毒p计算机病毒是一种特殊的计算机程序,能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶意代码n1994年2月18日,我国正式公布实施?中华人民共和国计算机信息系统平安保护条例?的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码n此定义具有法律性、权威性p计算机病毒的特点pp传染性传染性: :计算机病毒也会通过各种媒体从已被 感染的计算机扩散到未被感染的计算机。
pp隐蔽性隐蔽性: :计算机病毒隐蔽性是指计算机病毒不 经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的 潜伏性依附性:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测,是检查不来的,因此,病毒可以在磁盘、光盘或其他介质上静静的呆上几天,甚至是几年 表现性 :病毒的表现性是指当病毒触发条件满足时,病毒在被计算机病毒感染的计算机上开始发作,表现出一定的病症和破坏性传染性和依附性是计算机病毒区别且他恶意代码的本质特征病毒病毒未授权的内部访问未授权的内部访问系统入侵系统入侵偷窥私人信息偷窥私人信息电信欺骗电信欺骗金融欺骗金融欺骗破坏破坏被动搭线窃听被动搭线窃听主动搭线窃听主动搭线窃听笔记本电脑盗窃笔记本电脑盗窃内部人员对网络的滥用内部人员对网络的滥用736857391020304050607080021731614131391 据1998年CSI/FBI计算机犯罪和平安调查报告中对攻击的分类调查显示,计算机病毒占所有攻击类型的首位.p计算机病毒的分类计算机病毒的分类p攻击对象p计算机系统病毒p计算机网络病毒p操作系统pWindows pLinux unixp感染对象p引导型p文件型1.CIH 病毒CIHCIH病病毒毒,又又名名 切切尔尔诺诺贝贝利利 ,是是一一种种可可怕怕的的电电脑脑病病毒毒。
它它属属于于Microsoft Microsoft OfficeOffice的的macromacro病病毒毒类类它它会会感感染染你你的的电电脑脑里里面面的的*.exe *.exe ( (执执行行档档) ),由由Win95/98Win95/98至至所所有有的的应应用用软软件件感感染染速速度度十十分分之之快快,所所以以也也十十分分可可怕怕它它是是台台湾湾大大学学生生陈陈英英豪豪编编制制的的,九九八八年年五五月月间间,陈陈盈盈豪豪还还在在大大同同工工学学院院就就读时,完成以他的英文名字缩写读时,完成以他的英文名字缩写CIHCIH名的电脑病毒即切核病毒名的电脑病毒即切核病毒 CIHCIH病毒是继病毒是继DOSDOS病毒、病毒、WindowsWindows病毒、宏病毒后的第四类新型病毒病毒、宏病毒后的第四类新型病毒 2.蠕虫蠕虫是一种可以通过网络永久性网络连接蠕虫是一种可以通过网络永久性网络连接或拨号网络进行自身复制的病毒程序或拨号网络进行自身复制的病毒程序蠕虫是一个独立运行的程序,自身不改变其他程序,但可携带一个具有改变其他程序功能的病毒蠕虫是一个独立运行的程序,自身不改变其他程序,但可携带一个具有改变其他程序功能的病毒。
一一旦旦在在系系统统中中激激活活,蠕蠕虫虫可可以以表表现现得得像像计计算算机机病病毒毒可可以以向向系系统统注注入入特特洛洛伊伊木木马马程程序序,或或者者进进行行任任何何次次数数的的破破坏坏或或消消灭灭行行动动普普通通计计算算机机病病毒毒需需要要在在计计算机的硬盘或文件系统中繁殖,而典型的蠕虫程序那么不同,只会在内存中维持一个活动副本,甚至根本不向硬盘中写入任何信息算机的硬盘或文件系统中繁殖,而典型的蠕虫程序那么不同,只会在内存中维持一个活动副本,甚至根本不向硬盘中写入任何信息p蠕虫的复制步骤搜索系统或网络,确认下一步要感染的目标建立与其他系统或远程主机的连接将自身复制到其他系统或远程主机,并尽可能激活它们划时代的划时代的“红色代码红色代码2001.7 2001.7 红色代码红色代码“红红色色代代码码病病毒毒是是一一种种新新型型网网络络病病毒毒,其其传传播播所所使使用用的的技技术术可可以以充充分分表表达达网网络络时时代代网网络络平平安安与与病病毒毒的的巧巧妙妙结结合合,将将网网络络蠕蠕虫虫、计计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。
红红色色代代码码病病毒毒是是通通过过微微软软公公司司IISIIS系系统统漏漏洞洞进进行行感感染染,它它使使IISIIS效效劳劳程程序序处处理理请请求求数数据据包包时时溢溢出出,导导致致把把此此“数数据据包包当当作作代代码码运行,病毒驻留后再次通过此漏洞感染其它效劳器运行,病毒驻留后再次通过此漏洞感染其它效劳器 p“红色代码病毒采用了一种叫做“缓存区溢出的黑客技术,利用网络上使用微软IIS系统的效劳器来进行病毒传播这个蠕虫病毒使用效劳器的端口80进行传播,而这个端口正是Web效劳器与浏览器进行信息交流的渠道p“红色代码II病毒体内还包含一个木马程序,这意味着计算机黑客可以对受到入侵的计算机实施全程遥控,并使得“红色代码II拥有前身无法比较的可扩充性,只要病毒作者愿意,随时可更换此程序来到达不同的目的 3.特洛伊木马p特洛伊木马是指一个有用的,或者外表上有用的程序或命令过程,但其中包含了一段隐藏的、激活时将执行某种有害功能的代码,可以控制用户计算机系统的程序,并可能造成用户的系统被破坏甚至瘫痪p特洛伊木马程序可以用来非直接地完成一些非授权用户不能直接完成的功能p木马不是病毒,不复制p原理p鸽子远程监控软件分两局部:客户端和效劳端。
黑客操纵着客户端,利用客户端配置生成出一个效劳端程序效劳端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个效劳端俗称种木马 p 上机实验灰鸽子木马11.2恶意代码的机理p传播机制p文件流动p网页脚本和插件p电子邮件p数字内容播放p网络攻击p自我传播p感染机制p感染引导系统内存内存病病毒毒 感染感染其它磁盘其它磁盘原始引导扇区信息原始引导扇区信息引导扇区病毒感染过程引导扇区病毒感染过程p感染文件覆盖型文件病毒覆盖型文件病毒 依附型文件病毒依附型文件病毒 伴随型病毒伴随型病毒 . EXE病毒病毒.EXE文件型病毒工作方式文件型病毒工作方式.EXE.COMp感染结构化文档p所谓宏,就是软件设计者为了在使用软件工作时,防止一再的重复相同的动作而设计出来的一种工具它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的工作p所谓宏病毒,就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏pn宏病毒的分类 宏病毒根据传染的宿主的不同可以分为:传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。
由于目前国内Word系统应用较多,所以大家谈论的宏病毒一般是指Word宏病毒nWord宏病毒的特点n 1以数据文件方式传播,隐蔽性好,传播速度快,难于杀除n 2制作宏病毒以及在原型病毒上变种非常方便n 3破坏可能性极大nnWord宏病毒的表现n Word宏病毒在发作时,会使Word运行出现怪现象,如自动建文件、开窗口、内存总是不够、关闭WORD不对已修改文件提出未存盘警告、存盘文件丧失等,有的使打印机无法正常打印Word宏病毒在传染时,会使原有文件属性和类型发生改变,或Word自动对磁盘进行操作等当内存中有Word宏病毒时,原Word文档无法另存为其他格式的文件,只能以模板形式进行存储 p感染网络效劳或客户端p假冒文件p11.3恶意代码分析与检测1.1.1.1.比较法比较法比较法比较法 比较法是用原始备份与被检测的引导扇区或被检测的比较法是用原始备份与被检测的引导扇区或被检测的比较法是用原始备份与被检测的引导扇区或被检测的比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较比较时可以靠打印的代码清单文件进行比较比较时可以靠打印的代码清单文件进行比较比较时可以靠打印的代码清单文件进行比较。
比较时可以靠打印的代码清单 比方比方比方比方DEBUGDEBUGDEBUGDEBUG的的的的D D D D命令输出格式进行比较,或用程序来进行比较命令输出格式进行比较,或用程序来进行比较命令输出格式进行比较,或用程序来进行比较命令输出格式进行比较,或用程序来进行比较如如如如DOSDOSDOSDOS的的的的DISKCOMPDISKCOMPDISKCOMPDISKCOMP、COM PCOM PCOM PCOM P或或或或PCTOOLSPCTOOLSPCTOOLSPCTOOLS等其它软件这等其它软件这等其它软件这等其它软件这种比较法不需要专用的查病毒程序,只要用常规种比较法不需要专用的查病毒程序,只要用常规种比较法不需要专用的查病毒程序,只要用常规种比较法不需要专用的查病毒程序,只要用常规DOSDOSDOSDOS软件软件软件软件和和和和PCTOO LSPCTOO LSPCTOO LSPCTOO LS等工具软件就可以进行而且用这种比较法还等工具软件就可以进行而且用这种比较法还等工具软件就可以进行而且用这种比较法还等工具软件就可以进行而且用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计算机病可以发现那些尚不能被现有的查病毒程序发现的计算机病可以发现那些尚不能被现有的查病毒程序发现的计算机病可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。
因为病毒传播得很快,新病毒层出不穷,还没有做出毒因为病毒传播得很快,新病毒层出不穷,还没有做出毒因为病毒传播得很快,新病毒层出不穷,还没有做出毒因为病毒传播得很快,新病毒层出不穷,还没有做出通用的能查出一切病毒,发现新病毒就只有靠比较法和分通用的能查出一切病毒,发现新病毒就只有靠比较法和分通用的能查出一切病毒,发现新病毒就只有靠比较法和分通用的能查出一切病毒,发现新病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作析法,有时必须结合这两者来一同工作析法,有时必须结合这两者来一同工作析法,有时必须结合这两者来一同工作2. 特征代码扫描法 病毒的特征代码是病毒程序编制者用来识别自己编写程序唯一的代码串可利用病毒的特征代码检测病毒程序和防止病毒程序传染 特征代码扫描法所用的软件由两局部组成:一局部是病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一局部是利用该代码库进行扫描的扫描程序翻开被检测文件,搜索检查文件中是否含有病毒数据库中的病毒特征代码如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒3.校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现病毒又可发现未知病毒在SCAN工具的后期版本中除了病毒特征代码法之外,还纳入校。