11-恶意代码及防护技术(I)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第11讲恶意代码及防护技术杨明紫金学院计算机系网络信息安全2020/2/14内容恶意代码的概念计算机病毒反病毒技术网络攻击技术演变趋势图恶意代码的概念定义指以危害信息安全等不良意图为目的程序或代码潜伏在受害计算机系统中实施破坏或窃取信息分类依附性传播方式自我复制恶意代码的主要功能收集你的相关信息诱骗访问恶意网站删除敏感信息监视键盘窃取文件开启后门(肉鸡)作为网络传播的起点隐藏在主机上的所有活动2020/2/14常见的恶意代码种类6恶意代码类型主要特点计算机病毒潜伏传染破坏蠕虫扫描攻击扩散特洛伊木马欺骗隐藏信息窃取逻辑炸弹潜伏破坏恶意代码的概念恶意代码的危害攻击系统,造成系统瘫痪或操作异常;危害数据文件的安全存储和使用;泄露文件、配置或隐私信息;肆意占用资源,影响系统或网络的性能;攻击应用程序,如影响邮件的收发。2020/2/14恶意代码的发展历史恶意代码的发展历史计算机病毒定义计算机病毒能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶意代码。产生的根源炫耀、玩笑、恶作剧或是报复各种矛盾激化、经济利益驱使计算机系统的复杂性和脆弱性网络战“震网”病毒计算机病毒的特征主要特征宿主性:依附在另一个程序上隐蔽性:长期隐藏,条件触发传染性:自我复制,感染其他程序破坏性:执行恶意的破坏或恶作剧、消耗资源变异性:逃避反病毒程序的检查计算机病毒的发展简史1998CIH病毒1998年盗版光盘破坏硬盘数据2000爱虫病毒2000年电子邮件传播自身并破坏数据文件2002SQL蠕虫王2003年利用SQLserver2000远程堆栈缓冲区溢出漏洞通过网络传播公用互联网络瘫痪20042004年利用windows的LSASS中存在一个缓冲区溢出漏洞进行传播传播自身,瘫痪网络,破坏计算机系统震荡波20062006年利用所有成熟的网页挂马、U盘ARP欺骗、网络共享传播自身,破坏用户数据,组建僵尸网络熊猫烧香20082008年利用flash漏洞等第三方应用程序漏洞挂马传播传播自身,攻击安全软件,组建僵尸网络,盗取账号牟利木马群宏病毒特点利用word中的“宏”繁殖传染宏是嵌入到字处理文档中的一段可执行程序宏病毒感染文档,而不是可执行代码宏病毒是平台无关的宏病毒容易传染电子邮件不同类型的宏自动执行:normal.dot,启动自动宏:打开/关闭文档、创建、退出宏命令2020/2/14宏病毒有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒宏病毒的基本机制病毒的传播途径计算机病毒的工作原理计算机病毒的结构引导模块设法获得被执行的机会,获取系统的控制权以引导其他模块进行工作。传染模块完成计算机病毒的繁殖和传播触发模块是毒破坏行动是否执行的决定者破坏模块具体负责破坏活动的执行病毒的基本工作机制JMP病毒程序感染标记宿主程序主病毒程序将控制转移给宿主程序寻找未感染程序病毒复制感染其他破坏动作被感染程序执行计算机病毒的引导机制基本方法主动型(也称为隐蔽型或技术型)被动型(也称为公开型或欺骗型)计算机病毒的引导过程驻留内存:病毒若要发挥其破坏作用,一般要驻留内存。有的病毒不驻留内存。窃取系统控制权:病毒驻留内存后,必须取代或扩充系统的原有功能,并窃取系统的控制权。隐蔽等待触发:此后病毒隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。计算机病毒的寄生对象计算机病毒的寄生对象磁盘的引导扇区和特定文件(EXE、COM等可执行程序DLL、DOC、HTML等经常使用的文件中常用的寄生方式替代法病毒程序用自己的部分或全部代码指令直接替换掉磁盘引导扇区或者文件中的原有内容。链接法病毒程序将自身插入到原有内容的首部、尾部或者中间,和原有内容链接为一个整体。病毒的活动过程潜伏阶段病毒是空闲的触发阶段病毒被某个事件激活包括日期、某个程序运行、中断调用、启动次数等繁殖阶段复制病毒、传染其他程序执行阶段执行某种有害或无害的功能盗窃、破坏数据信息、破坏硬件设备、耗费系统资源、产生视觉/听觉效果等计算机病毒的过去与现在自我复制和传播,破坏电脑功能和数据,甚至破坏硬件,影响电脑正常使用病毒技术本身没有突破,和以前的病毒没有本质区别技术目的从炫技、恶作剧、仇视破坏到贪婪依托互联网,集团化运作,以经济利益作为唯一目标通过磁盘、光盘、电子邮件、网络共享等方式传播危害的表象:一个电脑病毒感染数千万台电脑,横行全球,破坏用户系统(CIH、梅丽莎、冲击波、尼姆达等等)生产、传播、破坏的流程完全互联网化,组成分工明确、日趋成熟的病毒产业链;各种基础互联网应用都成为病毒入侵通道,其中“网页挂马”最常见,占总量90%以上。传播途径计算机病毒的防护病毒的预防病毒的检测病毒的清除病毒的防范病毒的防范预防为主、治疗为辅防范措施安装真正有效的防杀计算机病毒软件不要随便直接运行或直接打开电子函件中夹带的附件文件安装网络服务器时应保证没有计算机病毒存在一定要用硬盘启动网络服务器病毒的防范注意病毒传入途径终端漏洞导致病毒传播邮件接收导致病毒传播外部带有病毒的介质直接接入网络导致病毒传播内部用户绕过边界防护措施,直接接入因特网导致病毒被引入网页中的恶意代码传入反病毒技术特征扫描的方法根据提取的病毒特征,查找计算机中是否有文件存在相同的感染特征。内存扫描程序尽管病毒可以毫无觉察的把自己隐藏在程序和文件中,但病毒不能在内存中隐藏自己。内存扫描程序可以直接搜索内存,查找病毒代码。完整性检查器记录计算机在未感染状态可执行文件和引导记录的信息指纹,将这一信息存放在硬盘的数据库中,并根据需要进行匹配测试,判断文件是否被病毒感染。反病毒技术行为监视器行为监视器又叫行为监视程序,它是内存驻留程序,这种程序静静地在后台工作,等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动,它就会通知用户,并且让用户决定这一类活动是否继续。CPU仿真器或虚拟机一个可执行文件中的指令先由仿真器来解释,而不是直接由底层的处理器解释。使用虚拟机技术,是目前较为前沿的一种反病毒技术。以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒,查毒准确率几乎可达100%。防病毒软件防病毒软件瑞星、360安全卫士、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山防病毒网关保护网络入口的防病毒网关保护邮件器的防病毒网关反病毒产品发展180s末-90s初,病毒数量激增,硬件防病毒卡出现290s中杀防集成化,90s末出现实时防毒的反病毒软件32000年前后,出现集中控制分布处理的网络杀毒软件42003年左右,出现具备防毒功能的硬件网关设备52008年以后,出现基于云计算的云杀毒服务小结恶意代码的概念定义和分类计算机病毒定义与特征结构与工作原理反病毒技术病毒的检测反病毒软件

1 / 29
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功