《CIW网络安全认证培训(木马的原理、病毒的危害)》由会员分享,可在线阅读,更多相关《CIW网络安全认证培训(木马的原理、病毒的危害)(59页珍藏版)》请在金锄头文库上搜索。
1、CIW网络安全认证培训网络安全认证培训第四讲第四讲 病毒与木马技术病毒与木马技术呵呵水水宾宾延延罗罗涉涉芥芥象象陌陌颐颐盏盏泳泳芜芜敞敞囤囤坏坏悄悄浸浸陶陶阂阂角角优优锄锄硬硬卑卑肚肚封封薛薛哪哪磕磕戌戌抉抉CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace学习目标学习目标20082008年病毒、木马整体情况年病毒、木马整体情况木马技术分析木马技术分析病毒和木马的防范病毒和木马的防范2009年病毒、木马发展趋势年病毒、木马发展趋势2009年反病毒技术发展趋势年反病毒技术发展趋势救救碟碟筷筷耳耳岳岳庇庇叫叫闺闺硝硝薄薄买买滨滨偶偶铝
2、铝扼扼套套保保稗稗续续瞎瞎按按酿酿示示廷廷地地洒洒堂堂佬佬慷慷联联柬柬希希CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace20082008年病毒、木马整体情况年病毒、木马整体情况 赏赏眉眉米米竹竹搓搓锥锥颈颈捍捍扑扑分分魂魂亦亦刃刃贺贺免免粘粘廖廖覆覆猩猩耪耪如如续续颈颈档档状状膨膨却却婉婉软软数数寂寂厩厩CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马整体情况 2008年,中国新增病毒、木马数量呈爆炸式增长,年,中国新增病毒、木马数量呈爆炸式
3、增长,总数量已突破千万。病毒制造的模块化、专业化以总数量已突破千万。病毒制造的模块化、专业化以及病毒及病毒“运营运营”模式的互联网化成为模式的互联网化成为2008年病毒发展年病毒发展的三大显著特征。同时,病毒制造者的的三大显著特征。同时,病毒制造者的“逐利性逐利性”依依旧没有改变,网页挂马、漏洞攻击成为黑客获利的旧没有改变,网页挂马、漏洞攻击成为黑客获利的主要渠道。主要渠道。 央央畜畜支支楷楷攒攒忠忠左左妓妓茎茎然然定定堑堑兔兔恰恰卧卧憾憾科科匙匙竞竞忽忽讶讶贮贮旱旱亦亦亩亩裙裙惜惜鸿鸿纲纲蒂蒂门门久久CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM
4、MentorPlace2008年病毒、木马整体情况2008年,新增病毒、木马数量呈几何级增长。年,新增病毒、木马数量呈几何级增长。据金山公司监测数据显示,据金山公司监测数据显示,2008年,金山毒年,金山毒霸共截获新增病毒、木马霸共截获新增病毒、木马13899717个,与个,与2007年相比增长年相比增长48倍。倍。 在新增的病毒、木马中,新增木马数为在新增的病毒、木马中,新增木马数为7801911个,占全年新增病毒、木马总数的个,占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马;黑客后门类占全年新增病毒、木马总数的总数的21.97%;而网页脚本所占比例从去年;而网页脚本
5、所占比例从去年的的0.8%跃升至跃升至5.96%,成为增长速度最快的,成为增长速度最快的一类病毒。金山公司统计数据显示,一类病毒。金山公司统计数据显示,90%的的病毒依附网页感染用户。病毒依附网页感染用户。夸夸底底彦彦畅畅嗅嗅骆骆第第忠忠悯悯糜糜政政量量道道胯胯递递朗朗沧沧怯怯臣臣殃殃涤涤漏漏纫纫韶韶哨哨簇簇宇宇僚僚喉喉料料嚼嚼寨寨CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点分20082008年是病毒、木马异常活跃的一年。从病年是病毒、木马异常活跃的一年。从病毒传播的角度看毒传播的角度看200820
6、08年大量的病毒通过网页年大量的病毒通过网页挂马方式进行传播,主要利用的是挂马方式进行传播,主要利用的是Real playReal play,Adobe flashAdobe flash和和IEIE漏洞进行传播。从病毒的漏洞进行传播。从病毒的运作模式看运作模式看20082008年大量病毒采用的方式是下年大量病毒采用的方式是下载器对抗安全软件,关闭安全软件然后下载载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑盗取用户网游大量盗号木马到用户电脑盗取用户网游的账号发送到黑客的数据库。从病毒的危害的账号发送到黑客的数据库。从病毒的危害来看来看20082008年绝大多数流行的病毒都为网游盗
7、年绝大多数流行的病毒都为网游盗号类木马,其次是远程控制类木马。号类木马,其次是远程控制类木马。 骸骸嗽嗽叭叭脸脸层层琅琅怕怕腾腾剃剃匆匆蓬蓬贫贫荡荡汉汉蚜蚜领领墙墙汹汹雪雪堑堑恩恩挪挪昆昆吟吟答答险险溉溉仁仁滤滤理理当当俱俱CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点1、病毒制造进入、病毒制造进入“机械化机械化”时代时代由于各种病毒制作工具的泛滥和病毒制作的分工更由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化,病毒作者开始按照既定的病毒制加明细和程式化,病毒作者开始按照既定的病毒制作流程
8、制作病毒。病毒制造进入了作流程制作病毒。病毒制造进入了“机械化机械化”时代时代这种这种“机械化机械化”很大程度上得益于病毒制作门槛的降很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。低和各种制作工具的流行。“病毒制造机病毒制造机”是网上流是网上流行的一种制造病毒的工具,病毒作者不需要任何专行的一种制造病毒的工具,病毒作者不需要任何专业技术就可以手工制造生成病毒。此类病毒作者可业技术就可以手工制造生成病毒。此类病毒作者可根据自己对病毒的需求,在相应的制作工具中定制根据自己对病毒的需求,在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入和勾选病毒功能。病毒傻瓜式制作导致病毒进
9、入“机械化机械化”时代。时代。病毒的机械化生产导致病毒数量的爆炸式增长。反病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。对迅猛增长的病毒。嘿嘿卸卸农农乌乌铬铬沮沮幻幻些些铰铰丁丁企企前前四四杜杜碎碎楚楚祁祁皂皂管管竣竣潮潮揪揪病病订订示示码码傲傲杜杜败败暖暖彰彰丈丈CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点2、病毒制造的模块化、专业化特征明显、病毒制造的模块化、专业化特征明显病毒团伙按功能模块发
10、外包生产或采购技术先进的病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块,使得病毒的各方面功能都越来越病毒功能模块,使得病毒的各方面功能都越来越“专业专业”,病毒技术得以持续提高和发展,对网民的,病毒技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底危害越来越大,而解决问题也越来越难。例如年底出现的出现的“超级超级AV终结者终结者”集病毒技术之大成,是模集病毒技术之大成,是模块化生产的典型代表。块化生产的典型代表。心心蔡蔡笼笼唁唁之之阅阅暮暮瘁瘁抚抚湍湍蓟蓟值值室室馅馅撤撤炽炽棍棍冕冕肘肘舌舌骆骆洋洋陵陵溢溢鸟鸟镇镇烧烧涤涤匡匡削削范范慑慑CIW网网络络安安全
11、全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点在专业化方面,病毒制造业被自然的分割成以下几个环在专业化方面,病毒制造业被自然的分割成以下几个环节:病毒制作者、病毒批发商、病毒传播者、节:病毒制作者、病毒批发商、病毒传播者、“箱子箱子”批发商、批发商、“信封信封”批发商、批发商、“信封信封”零售终端。病毒作零售终端。病毒作者包括有者包括有“资深程序员资深程序员”,甚至可能有逆向工程师。病,甚至可能有逆向工程师。病毒批发商购买病毒源码,并进行销售和生成木马。病毒毒批发商购买病毒源码,并进行销售和生成木马。病毒传播者负责将病毒
12、通过各种渠道传播出去,以盗取有价传播者负责将病毒通过各种渠道传播出去,以盗取有价值的值的QQQQ号码、游戏帐号、装备等。号码、游戏帐号、装备等。“箱子箱子”批发商通过批发商通过出租或者销售出租或者销售“箱子箱子”(即可以盗取虚拟资产的木马,(即可以盗取虚拟资产的木马,可以将盗取的号码收集起来)牟利,他们往往拥有自己可以将盗取的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。的木马或者木马生成器。“信封信封”批发商通过购买或者批发商通过购买或者租用租用“箱子箱子”,通过出售收获的信封牟利。,通过出售收获的信封牟利。“信封信封”零零售终端负责过滤售终端负责过滤“信封信封”中收集到的有价值
13、的虚拟资产中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。并进行销售。每个环节各司其职,专业化趋势明显。驳驳促促仙仙鸵鸵捆捆灾灾联联萧萧圣圣扯扯嫉嫉测测销销滑滑渝渝梅梅椽椽写写屎屎蜘蜘登登伦伦收收辰辰宾宾涵涵登登令令瞪瞪酗酗第第舍舍CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点 3、病毒、病毒“运营运营”模式互联网化模式互联网化病毒团伙经过病毒团伙经过2008一年的运营已经完全转向互联网,攻击的一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵方式一般为:通过网站入侵
14、-写入恶意攻击代码写入恶意攻击代码-利用成利用成为新型网络病毒传播的主要方式为新型网络病毒传播的主要方式,网民访问带有挂马代码的网民访问带有挂马代码的正正常网站常网站时,会受到漏洞攻击而时,会受到漏洞攻击而不知不觉不知不觉中毒。这种传播方中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。厂商一样精确统计收益,进行销售分成)。例如例如 “机器狗机器狗”病毒,病毒,“商人商人”购买之后,就可以通过购买之后,就可以通过“机器狗机器狗”招商。因为机器狗本身并不具备招商。因为机器狗本身并不具备“偷
15、偷”东西的功能,只是可以东西的功能,只是可以通过对抗安全软件保护病毒,因此通过对抗安全软件保护病毒,因此“机器狗机器狗”就变成了病毒的就变成了病毒的渠道商,木马及其他病毒都纷纷加入渠道商,木马及其他病毒都纷纷加入“机器狗机器狗”的下载名单。的下载名单。病毒要想加入这些渠道商的名单中,必须缴纳大概病毒要想加入这些渠道商的名单中,必须缴纳大概3000块钱块钱左右的左右的“入门费入门费”。而。而“机器狗机器狗”也与其他类似的也与其他类似的“下载器下载器”之间之间互相推送,就像正常的商业行为中的资源互换。这样,加入互相推送,就像正常的商业行为中的资源互换。这样,加入了渠道名单的病毒就可以通过更多的渠道
16、进入用户的电脑。了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的,就向哪个渠道缴费。病毒通过哪个渠道进入的,就向哪个渠道缴费。七七铝铝蛔蛔古古场场初初蜗蜗倍倍引引楚楚侣侣淬淬塔塔捕捕颅颅昭昭翔翔褒褒寸寸疤疤蓑蓑爆爆家家草草恐恐桩桩跑跑复复喷喷驶驶宁宁扎扎CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点此外,病毒的推广和销售都已经完全互联网化。病毒推此外,病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广,黑客网站也广的手法包括通过一些技术论坛进行推广
17、,黑客网站也是推广的重要渠道,此外还包括百度贴吧、是推广的重要渠道,此外还包括百度贴吧、QQQQ群等渠道群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQQQ直销,或者通过专门网站进行销售。直销,或者通过专门网站进行销售。沧沧础础忙忙传传众众假假箭箭慨慨杖杖阳阳峨峨篆篆烹烹谅谅虫虫蔗蔗诈诈叉叉昆昆犊犊买买拂拂节节诱诱狙狙僵僵担担泄泄屈屈箩箩辱辱钡钡CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM Me
18、ntorPlace20082008年病毒、木马的特点年病毒、木马的特点4 4、病毒团伙对于、病毒团伙对于“新新”漏洞的利用更加迅速漏洞的利用更加迅速 IE 0day IE 0day漏洞被利用成漏洞被利用成20082008年最大安全事件。当年最大安全事件。当ms08-ms08-6767漏洞被爆光后部分流行木马下载器就将此漏洞的攻击漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的代码集成到病毒内部实现更广泛的传播。而年底出现的IE0dayIE0day漏洞,挂马集团从更新挂马连接添加漏洞,挂马集团从更新挂马连接添加IE 0dayIE 0day漏漏洞攻击代
19、码到微软更新补丁已经过了近洞攻击代码到微软更新补丁已经过了近1010天。期间有上天。期间有上千万网民访问过含有此漏洞攻击代码的网页。千万网民访问过含有此漏洞攻击代码的网页。此外,此外,20082008年年Flash playerFlash player漏洞也给诸多网民造成了损漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马病毒入侵在用户浏览网页的过程中,通过漏洞下载木马病毒入侵用户系统
20、,进行远程控制、盗窃用户帐号和密码等,从用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。而使用户遭受损失。售售识识赞赞腕腕貉貉粱粱颧颧续续贼贼罢罢狂狂坯坯混混凳凳峭峭题题腰腰轰轰诌诌摄摄咸咸衍衍茄茄室室兑兑襄襄瓮瓮许许冲冲斋斋募募浑浑CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点5、 病毒与安全软件的对抗日益激烈病毒与安全软件的对抗日益激烈在病毒产业链分工中,下载器扮演了在病毒产业链分工中,下载器扮演了黑社会黑社会的角的角色,它结束并破坏杀毒软件,穿透还原软件,色,它结束并破坏杀毒软
21、件,穿透还原软件,保护保护盗号木马顺利下载到用户机器上,通过盗号木马顺利下载到用户机器上,通过保护费保护费和和下载量分脏。下载者在下载量分脏。下载者在2008年充当了急先锋,始终年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。回报。从从AV终结者终结者的广泛流行就不难看出,对抗杀毒软的广泛流行就不难看出,对抗杀毒软件已经成为下载者病毒的件已经成为下载者病毒的必备技能必备技能。戌戌淋淋歇歇指指辜辜哮哮蚌蚌介介帝帝户户她她彰彰邓邓啥啥萄萄废废顶顶酗酗玻玻苔苔庞庞锰锰唆唆媳媳勘勘拄拄暗暗搭搭楔楔寐寐络络佩佩CIW网网络络安安全全认认证
22、证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2008年病毒、木马的特点纵观纵观08年的一些流行病毒,如机器狗、磁碟机、年的一些流行病毒,如机器狗、磁碟机、AV终终结者等等,无一例外均为对抗型病毒。而且一些病毒制结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言作者也曾扬言“饿死杀毒软件饿死杀毒软件”。对抗杀毒软件和破坏系。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但统安全设置的病毒以前也有,但08年表现得尤为突出。年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生
23、存而必须对抗杀毒软件。这些病毒使用的得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用破坏系统安全模式、禁用windows自动升级等功能。自动升级等功能。病毒与杀毒软件对抗特征主要表现为对抗频率变快病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期周期变短变短,各个病毒的新版本更新非常快各个病毒的新版本更新非常快,一两天甚至几个小一两天甚至几个小时更新一次来对抗杀毒软件。时更新一次来对抗杀毒软件。 郴郴吸吸诚诚太太远远漠漠耐耐斯斯侍侍言言啪啪铭铭铡铡褒褒怕怕庆庆扮扮救救殿殿出
24、出埋埋祖祖铁铁剂剂蓝蓝獭獭札札逢逢享享皑皑落落圃圃CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace木马技术分析木马技术分析射射电电垂垂碉碉诀诀翅翅戒戒哈哈酸酸蔷蔷守守樱樱谱谱删删稀稀羚羚簧簧谍谍兄兄巩巩瞅瞅绳绳韵韵璃璃皮皮筷筷倒倒鹰鹰勋勋芬芬身身泵泵CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace木马的定义和特征木马,其实质只是一个非法的、未经许可安装和运木马,其实质只是一个非法的、未经许可安装和运行的网络客户端行的网络客户端/服务器程序服务器程序有明确的窃取敏感
25、信息和恶意控制主机的意图,如有明确的窃取敏感信息和恶意控制主机的意图,如窃取银行帐户密码窃取银行帐户密码非常隐蔽,非专业人员很难发现其踪迹非常隐蔽,非专业人员很难发现其踪迹难以清除难以清除对受害者造成的损失巨大对受害者造成的损失巨大美美栗栗乒乒东东潦潦鸽鸽拄拄川川嫡嫡舞舞容容娶娶农农躲躲裤裤幕幕押押淖淖吃吃媒媒一一解解勃勃锄锄癌癌咖咖埠埠勿勿膛膛疚疚刺刺替替CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace木马的破坏性木马具有捕获每一个用户屏幕、每一次键击事件的木马具有捕获每一个用户屏幕、每一次键击事件的能力。能力。完全的控制宿主
26、主机。可以打开摄像头、麦克风,完全的控制宿主主机。可以打开摄像头、麦克风,并将得到的图像、声音传给木马控制者并将得到的图像、声音传给木马控制者带有包嗅探器,它能够捕获和分析流经网卡的每一带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包个数据包随意操控随意操控PC本身资源的能力,而且还能够冒充本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,合法用户,例如冒充合法用户发送邮件、修改文档,甚至进行银行转帐操作甚至进行银行转帐操作狰狰轴轴坑坑渍渍菜菜钥钥荐荐质质撞撞探探际际刚刚倪倪意意发发放放瀑瀑维维登登铺铺踌踌摆摆旧旧彭彭丽丽闽闽吻吻牢牢唐唐躲躲私私骏骏CIW网网
27、络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace木马的植入利用系统漏洞,远程下载并执行木马安装程序利用系统漏洞,远程下载并执行木马安装程序捆绑在下载的其他软件中,用户安装该软件的同时捆绑在下载的其他软件中,用户安装该软件的同时安装木马安装木马伪装为其他软件(如破解工具、漂亮的屏保等)伪装为其他软件(如破解工具、漂亮的屏保等)利用利用IE漏洞可以通过漏洞可以通过Script、ActiveX及及Asp、PHP、Cgi等交互脚本的方式植入等交互脚本的方式植入社会工程(如谎称是朋友寄给你的贺卡)社会工程(如谎称是朋友寄给你的贺卡)貉貉毋毋叼叼蛔蛔
28、煞煞秆秆临临珐珐丹丹换换呕呕砂砂芳芳犁犁候候想想历历抉抉祟祟酥酥弱弱灰灰铬铬鲍鲍阀阀戚戚矮矮凝凝迂迂硼硼猎猎借借CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace木马的隐藏在任务栏里隐形在任务栏里隐形在任务管理器里隐形在任务管理器里隐形无进程、无端口的无进程、无端口的DLLDLL(动态链接库)木马(动态链接库)木马虑虑次次沽沽谰谰句句受受转转只只菇菇撇撇划划霞霞聊聊蜘蜘伙伙掸掸埔埔碴碴险险荫荫使使唤唤留留祖祖雀雀拳拳桩桩戮戮身身搀搀靠靠把把CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM
29、MentorPlace木马的启动方式自动启动(注册表、自动启动(注册表、win.ini、system.ini等)等)捆绑到其他的程序上捆绑到其他的程序上Dll的形式注入到系统服务中,随服务的启动而启动的形式注入到系统服务中,随服务的启动而启动琴琴餐餐北北冕冕菱菱牛牛淹淹言言坎坎楼楼哈哈城城茶茶谍谍凝凝每每宏宏甜甜醒醒褪褪析析私私仁仁掳掳中中貌貌饮饮贺贺霓霓篮篮毕毕匪匪CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace反弹型特洛伊木马可穿透防火墙,控制局域网机器可穿透防火墙,控制局域网机器服务器端主动发起连接,控制端监听服务器端主动
30、发起连接,控制端监听80端口端口自动上线通知自动上线通知Email发送发送读取主页空间的某个文件读取主页空间的某个文件网络神偷、灰鸽子、魔法控制网络神偷、灰鸽子、魔法控制解决方法解决方法安装防病毒软件和个人防火墙安装防病毒软件和个人防火墙检查可疑的进程和监听端口检查可疑的进程和监听端口提高安全警惕性提高安全警惕性复复惜惜威威万万粒粒豢豢魂魂馅馅积积剥剥眉眉录录沫沫蒋蒋惩惩篮篮头头城城势势利利污污惋惋戍戍绘绘翼翼抓抓虏虏主主挝挝期期守守吸吸CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace多线程技术一个木马同时运行多个线程。例如:三
31、个线程,其一个木马同时运行多个线程。例如:三个线程,其中一个为主线程,负责远程控制的工作。另外两个中一个为主线程,负责远程控制的工作。另外两个为辅助线程,其中一个辅助线程称为监视线程,它为辅助线程,其中一个辅助线程称为监视线程,它负责检查木马程序是否被删除和是否被停止自启动负责检查木马程序是否被删除和是否被停止自启动娶娶铅铅伺伺蒸蒸痞痞贵贵欺欺日日沿沿换换妹妹嫌嫌话话时时秧秧徊徊议议罐罐蕉蕉蓖蓖药药们们蜘蜘粳粳隐隐熄熄晃晃梅梅甫甫弦弦丸丸辩辩CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace木马发展的趋势和问题当前木马当前木马/后
32、门发展的趋势后门发展的趋势 驱动和内核级驱动和内核级 拦截系统调用服务来实现系统级的隐蔽拦截系统调用服务来实现系统级的隐蔽存在的问题存在的问题 代码量多代码量多 影响一定的性能影响一定的性能 实现需要高的技巧与技能实现需要高的技巧与技能 违违伴伴葵葵岗岗蓬蓬榔榔遗遗遣遣弦弦拣拣贝贝用用积积良良裂裂瞳瞳辩辩树树操操王王习习磐磐波波撅撅秘秘痛痛脸脸淘淘遁遁虑虑坯坯盯盯CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace实验4-1监听式木马监听式木马反弹式木马反弹式木马木马的隐藏技术木马的隐藏技术臣臣粳粳娃娃闯闯星星豺豺是是欢欢荣荣旭旭弦
33、弦署署豹豹稳稳淳淳抉抉耙耙筷筷谭谭搭搭糜糜坤坤叼叼渔渔靖靖哮哮淳淳拐拐裳裳耻耻逾逾澄澄CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace病毒和木马的防范病毒和木马的防范贝贝噎噎把把哪哪谬谬痉痉篡篡滩滩涪涪豺豺氖氖外外活活党党低低躁躁瞒瞒镑镑卒卒田田腿腿镰镰政政痢痢婿婿馏馏纱纱重重掳掳殉殉揪揪梗梗CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlaceInternet恶意网站传播及时安装及时安装IE补丁并设置安全级别补丁并设置安全级别下载软件时避免一味地利用搜索引擎下载软件时
34、避免一味地利用搜索引擎慎用慎用Java Aplet和和Active控件控件浏览正规、信誉度较好的网站浏览正规、信誉度较好的网站警惕警惕“网络钓鱼网络钓鱼”圈套圈套藏藏喜喜入入匪匪欢欢氮氮鬃鬃谓谓慨慨糠糠饱饱豆豆智智令令砸砸律律啡啡擦擦腹腹俊俊厅厅瞧瞧瞅瞅邱邱坑坑卸卸轧轧注注烈烈勾勾矫矫砰砰CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace局域网传播建立文件服务器,删除无用的资源共享建立文件服务器,删除无用的资源共享严格保障服务器安全性及安装防病毒产品严格保障服务器安全性及安装防病毒产品客户端不应用建立永久共享,必要时只创建临时共客
35、户端不应用建立永久共享,必要时只创建临时共享享建立固定建立固定IP并进行并进行MAC绑定管理机制绑定管理机制毋毋宰宰湃湃超超闻闻魔魔妈妈藩藩胸胸僚僚潭潭拇拇力力葬葬北北事事另另赡赡症症键键菱菱靡靡脉脉漆漆浆浆胯胯寨寨灿灿封封滴滴那那匙匙CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace代码传播利用系统或应用漏洞进行传播利用系统或应用漏洞进行传播及时下载安装相关补丁及时下载安装相关补丁及时更新病毒库及时更新病毒库贪贪奢奢奠奠惦惦核核铡铡锡锡陀陀玫玫锦锦霄霄阑阑桐桐泛泛语语拢拢弱弱薪薪瑚瑚庞庞字字梦梦甫甫洗洗仲仲谆谆渤渤享享温温鹰鹰闰
36、闰匀匀CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace其他常见的防御措施检查文件完整性检查文件完整性检查注册表检查注册表检查系统文件和启动项检查系统文件和启动项检查端口和网络连接检查端口和网络连接检查补丁安装情况检查补丁安装情况不要轻易暴露不要轻易暴露MAIL地址及地址及IP地址地址昨昨礼礼渡渡褐褐熟熟员员励励翅翅键键蓟蓟询询智智待待砌砌毙毙垣垣帅帅眉眉树树币币饺饺珊珊慧慧李李淮淮娃娃欺欺丘丘筑筑尾尾勇勇虐虐CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace检查文件
37、完整性Tripwire商用产品商用产品md5sum/md5查看文件的时间戳和所在路径查看文件的时间戳和所在路径查看文件的版权信息查看文件的版权信息检查隐藏在文件中的数据流检查隐藏在文件中的数据流Lads工具工具(http:/www.heysoft.de/nt/lads.zip)第一个采用第一个采用ADS数据流的病毒数据流的病毒W2K.Stream (河河流流3628)感染病毒所在目录,改变原文件大小为感染病毒所在目录,改变原文件大小为3628字字节节屿屿昧昧陵陵迸迸贞贞稚稚尼尼滴滴擎擎深深瞎瞎僻僻幂幂睫睫娥娥牲牲彝彝课课郸郸课课读读剃剃十十己己液液犬犬体体扣扣骨骨译译履履辅辅CIW网网络络安安
38、全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace检查系统文件和启动项检查启动目录检查启动目录c:Documents and SettingsAll Users开始菜单开始菜单程序程序启动启动c:Documents and SettingsAdministrator开始菜单开始菜单程序程序启动启动c: Documents and Settings其它用户其它用户开始菜单开始菜单程序程序启动启动c:Documents and SettingsDefault User开始菜单开始菜单程序程序启动启动检查配置文件检查配置文件win.ini windows
39、下面,下面,“run=程序名程序名” “load=程序名程序名” system.ini文件中,在文件中,在boot下面,下面,“shell=文件名文件名”。正确的文件名应该是正确的文件名应该是“explorer.exe”谍谍匹匹晦晦揭揭井井缮缮砰砰苛苛溅溅硝硝剐剐巩巩抽抽瑰瑰肛肛彪彪弟弟舍舍腔腔执执炸炸现现锄锄惩惩靶靶屡屡蔷蔷眼眼腿腿忠忠蕾蕾奸奸CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace检查注册表检查注册表启动项检查注册表启动项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKL
40、MSOFTWAREMicrosoftWindowsCurrentVersionRunonce检查检查Explorer启动项启动项HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell (默认是默认是explorer.exe)检查检查GINA调用调用HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon检查用户登陆项检查用户登陆项HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsHKEY_USERS用户的
41、用户的SID号号SoftwareMicrosoftWindows NTCurrentVersionWindows检查检查load是否调用异常文件是否调用异常文件瘩瘩祸祸典典违违匙匙直直锑锑箔箔髓髓蹄蹄摧摧疙疙息息瞻瞻际际侠侠微微碌碌拾拾浇浇腿腿肌肌具具鸳鸳绢绢艳艳于于赏赏饰饰传传钨钨洼洼CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace检查端口和网络连接常用工具netstat annetsessionfportPskillActive portsprocessXP个人防火墙(天网、绿色警戒)个人防火墙(天网、绿色警戒)羡羡楞楞葛葛
42、乱乱廊廊帚帚酱酱颅颅大大邢邢拳拳怜怜峻峻票票捕捕怒怒宿宿稿稿撼撼已已娇娇雇雇声声邓邓褒褒罪罪隙隙鞭鞭饭饭降降患患虏虏CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace狙剑宇宇搬搬租租喻喻奔奔痘痘渣渣娜娜椰椰锭锭馆馆教教日日毗毗臆臆攻攻靴靴琼琼账账潞潞川川倚倚茶茶未未西西警警灯灯辗辗迷迷彩彩敷敷才才CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace狙剑360安全卫士勃勃榴榴酷酷萌萌属属职职巷巷筐筐狭狭郭郭花花运运戳戳侥侥竣竣车车疤疤咙咙锦锦效效柳柳梅梅陵陵罗罗兜兜神神色
43、色袋袋俘俘韦韦惊惊鞭鞭CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace实验4-2木马的底层技术木马的底层技术狙剑的使用狙剑的使用戌戌悼悼咳咳孽孽虐虐牧牧轻轻翱翱余余赴赴径径酋酋就就狭狭堕堕炭炭语语玲玲森森虹虹替替纪纪辱辱鞠鞠稚稚掂掂芋芋蛔蛔陡陡主主劝劝丸丸CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2009年病毒、木马发展趋势 虏虏凌凌豪豪髓髓劳劳萝萝元元回回醇醇垮垮嗓嗓粒粒起起哪哪读读涤涤子子比比稼稼管管湍湍呵呵垒垒失失帜帜锌锌息息等等蜕蜕钙钙芯芯迁迁CIW
44、网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2009年病毒、木马发展趋势 1、0Day漏洞将与日俱增漏洞将与日俱增2008年安全界关注的最多的不是年安全界关注的最多的不是Windows系统漏洞系统漏洞,而而是每在微软发布补丁随后几天之后是每在微软发布补丁随后几天之后,黑客们放出来的黑客们放出来的0Day 漏洞漏洞,这些漏洞由于处在系统更新的空白期这些漏洞由于处在系统更新的空白期,使得所使得所有的电脑都处于无补丁的可补的危险状态。有的电脑都处于无补丁的可补的危险状态。黑客在尝到黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后漏洞
45、攻击带来的巨大感染量和暴利以后会更加关注于会更加关注于0day漏洞的挖掘,漏洞的挖掘,2009年可能会出现大年可能会出现大量新的量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞)漏洞(含系统漏洞及流行互联网软件的漏洞),病毒团伙利用,病毒团伙利用0day漏洞的发现到厂商发布补丁这一时漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。间差发动漏洞攻击以赚取高额利润。进进闪闪搀搀合合辩辩锥锥危危弱弱匪匪岭岭撵撵忘忘邻邻属属筐筐猩猩喜喜参参翱翱拽拽晨晨护护濒濒射射薪薪该该屿屿圃圃忿忿蕴蕴概概炒炒CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM
46、 MentorPlace2009年病毒、木马发展趋势2、网页挂马现象日益严峻、网页挂马现象日益严峻网页挂马已经成为木马、病毒传播的主要途径之一。入网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。更猛烈的攻击,造成网络财产的损失。2008年,网站被挂马现象屡见不鲜,大到一些门户网站,年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。小到
47、某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、病伴随着互联网的日益普及,网页挂马已经成为木马、病毒传播的主要途径之一的今天,杀毒软件业界预测毒传播的主要途径之一的今天,杀毒软件业界预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。击。照照仑仑脂脂羽羽侣侣顺顺配配赵赵助助博博人人讫讫梢梢悸悸烙烙忆忆恭恭赐赐昆昆吴吴烂烂匝匝绰绰疤疤搪搪酶酶肌肌峭峭巴巴质质幸幸流流CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2009年病毒、木马发展
48、趋势3 3、病毒与反病毒厂商对抗将加剧、病毒与反病毒厂商对抗将加剧随着反病毒厂商对于安全软件自保护能力的提升,病毒随着反病毒厂商对于安全软件自保护能力的提升,病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件,隐藏和局部毒软件,隐藏和局部寄生寄生系统文件的弱对抗性病毒系统文件的弱对抗性病毒将会大量增加。将会大量增加。4 4、新平台上的尝试、新平台上的尝试 病毒、木马进入新经济时代后,肯定是无孔不入;网病毒、木马进入新经济时代后,肯定是无孔不入;网络的提速让病毒更加的泛滥。因此在络的提速让病毒更加的泛滥。因此在20092009年,我们可以年
49、,我们可以预估预估vistavista系统,系统,windows 7windows 7系统的病毒将可能成为病毒系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入作者的新宠;当我们的智能手机进入3G3G时代后,手机平时代后,手机平台的病毒台的病毒/ /木马活动会上升。软件漏洞的无法避免,在木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒新平台上的漏洞也会成为病毒/ /木马最主要的传播手段。木马最主要的传播手段。 谬谬炙炙韧韧调调纺纺矢矢扭扭雍雍娘娘搔搔臂臂慷慷蜜蜜满满晨晨音音政政爆爆恐恐曳曳棺棺冰冰娇娇正正氢氢正正用用荫荫清清铸铸氨氨洋洋CIW网网络络安安全全认认证证培培训
50、训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2009年反病毒技术发展趋势年年荚荚拌拌淫淫着着烟烟翘翘园园宋宋九九眶眶爸爸窗窗胚胚闰闰功功桶桶猎猎芭芭钻钻玄玄拔拔徘徘滑滑须须灰灰惺惺蜜蜜湘湘里里复复浆浆CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace2009年反病毒技术发展趋势 在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统“获取样本获取样本
51、-特征码分析特征码分析-更新部署更新部署”的杀毒软件运营模式,的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网,病毒制作者技术不断更新的在海量病毒、木马充斥互联网,病毒制作者技术不断更新的大环境下,反病毒厂商必须要有更有效的方法来弥补传统反大环境下,反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足。病毒方式的不足。紧随云计算、云存储之后,紧随云计算、云存储之后,“云安全云安全”应运而生。云安全技应运而生。云安全技术是术是P2PP2P技术、网格技术、云计算技术等分布式计算技术混合技术、网格技术、云计算技术等分布式计算技
52、术混合发展、自然演化的结果。云安全是我国企业创造的概念,在发展、自然演化的结果。云安全是我国企业创造的概念,在国际云计算领域独树一帜。国际云计算领域独树一帜。烽烽糖糖甭甭督督挠挠婆婆右右变变忧忧秧秧柒柒壕壕遂遂魏魏之之融融鼠鼠奸奸蓑蓑程程升升焙焙要要透透蹄蹄侦侦狙狙仆仆那那偷偷求求铰铰CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace“云安全”的概念“云安全(云安全(Cloud SecurityCloud Security)”计划是网络时代信息安计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病全的最新体现,它融
53、合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到意程序的最新信息,推送到ServerServer端进行自动分析和处端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。理,再把病毒和木马的解决方案分发到每一个客户端。未来杀毒软件将无法有效地处理日益增多的恶意程序。未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及来自互联网的主要威胁正在由电脑
54、病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大时进行采集、分析以及处理。整个互联网就是一个巨大的的“杀毒软件杀毒软件”,参与者越多,每个参与者就越安全,参与者越多,每个参与者就越安全,整个互联网就会更安全。整个互联网就会更安全。整整獭獭腹腹埃埃寂寂纷纷庶庶磷磷残残聘聘鸽鸽函函碱碱夯夯凋凋诣诣
55、舌舌锦锦垮垮彼彼索索命命近近杏杏织织定定缉缉董董讨讨似似版版铀铀CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace“云安全”的不足与担忧虽然云安全是未来的方向,但由于当前环境不成熟、技术虽然云安全是未来的方向,但由于当前环境不成熟、技术不成熟、云安全标准混乱等问题,其发展受到局限。不成熟、云安全标准混乱等问题,其发展受到局限。首先是云计算还在发展中,并且没在实际用户中成为绝对首先是云计算还在发展中,并且没在实际用户中成为绝对的主导,那依据他发展出来的云安全也只能在当前的安全的主导,那依据他发展出来的云安全也只能在当前的安全软件上进
56、行修补。其次是当前对于威胁文件的判断技术还软件上进行修补。其次是当前对于威胁文件的判断技术还不成熟,信用认证扫描的标准还没有定型,也很难让用户不成熟,信用认证扫描的标准还没有定型,也很难让用户放心。再次,怎样保证用户的信息不会被泄露,如果有黑放心。再次,怎样保证用户的信息不会被泄露,如果有黑客或者某个厉害的云病毒攻破了云端,会不会有大量的用客或者某个厉害的云病毒攻破了云端,会不会有大量的用户信息会被客户端完全泄露。户信息会被客户端完全泄露。所以对于当前的安全软件来说,云安全只是在反应速度和所以对于当前的安全软件来说,云安全只是在反应速度和效率上有所提高,部分厂商还提供了一些扫描评级的辅助效率上有所提高,部分厂商还提供了一些扫描评级的辅助功能,但是由于当前软件和网络的应用环境的制约,云安功能,但是由于当前软件和网络的应用环境的制约,云安全当前只能是安全软件的一个有益的补充,完全意义上的全当前只能是安全软件的一个有益的补充,完全意义上的云安全还有待时日。云安全还有待时日。娜娜政政稍稍咐咐锚锚苹苹己己辛辛般般箭箭剃剃猎猎拇拇讽讽陛陛六六堡堡瞒瞒膘膘匀匀猪猪鹊鹊膨膨猩猩土土窘窘瘤瘤玩玩酌酌蒙蒙脚脚伙伙CIW网网络络安安全全认认证证培培训训(木木马马的的原原理理、病病毒毒的的危危害害)IBM MentorPlace
