搜索
恶意代码防护中国信息安全产品测评中心CISP-17-恶意代码防护恶意代码防护2007年7月课程大纲一.防病毒课程大纲一.防病毒二.蠕虫防范三.木马防范四.恶意网页防范四.恶意网页防范五.恶意代码的分析五.恶意代码的分析课程目标课程目标了解病毒、蠕虫、木马、恶意网页的原理了解病毒、蠕虫、木马、恶意网页的原理掌握病毒、蠕虫、木马、恶意网页的防范了解恶意代码的分析方法前言前言恶意代码定义:恶意代码=有害程序恶意代码=有害程序(包括病毒、蠕虫、木马、垃圾邮件、间谍程序、拨号程序、玩笑等在内的所有可能危害计算机安全的程序)。主要分为病毒、蠕虫、木马、恶意网页四大类。一、防病毒目录目录一.防病毒一.防病毒二.蠕虫防范三.木马防范四.恶意网页防范四.恶意网页防范五.恶意代码的分析五.恶意代码的分析1病毒防范1病毒防范1病毒定义2病毒类型3病毒的分类病毒的分类4病毒技术和特点5防病毒产品5防病毒产品6病毒防范策略11病毒定义1.1病毒定义计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。码。蠕虫程序与木马程序不是真正意义的病毒11病毒发展演变趋势图1.1病毒发展演变趋势图12主要病毒类型1.2主要病毒类型一、引导型计算机病毒主要是感染磁盘的引导扇区,也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘(无论是软盘还是的磁盘的BOOT区。我们在使用被感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区。二、文件型计算机病毒一般只传染磁盘上的可执行文件(COM,EXE),在用户调用染毒的可执行文件时,计算机病毒首先被EXE),在用户调用染毒的可执行文件时,计算机病毒首先被运行,然后计算机病毒驻留内存伺机传染其他文件,其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。三、宏病毒(MacroVirus)传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件.四、电子函件计算机病毒就是以电子函件作为传播途径的计算机病毒病毒13病毒的分类1.3病毒的分类病毒命名方式:病毒命名方式:病毒前缀是指一个病毒的种类,用来区别病毒病毒前缀是指一个病毒的种类,用来区别病毒的种族分类的。如木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm虫病毒的前缀是Worm病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。别具体某个家族病毒的某个变种的。13病毒的分类1.3病毒的分类1、系统病毒1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。可以感染windows操作系统的*.exe和*.dll文件,并通过这些文染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是:Worm。通过网络或者系统漏洞进行传播,蠕虫病毒的前缀是:Worm。通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波,小邮差。(通常单列)性。比如冲击波,小邮差。(通常单列)3、木马/黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。(通常单列)13病毒的分类(cont)1.3病毒的分类(cont.)4、脚本病毒脚本病毒的前缀是:Script。用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)5、宏病毒5、宏病毒宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。如著名的美丽莎(Macro.Melissa)。(Macro.Melissa)。6、后门病毒后门病毒的前缀是:Backdoor。通过网络传播,给系统开后门,后门病毒的前缀是:Backdoor。通过网络传播,给系统开后门,给用户电脑带来安全隐患。如IRC后门Backdoor.IRCBot。7、病毒种植程序病毒运行时会从体内释放出一个或几个新的病毒到系统目录下,由释运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。13病毒的分类(cont)1.3病毒的分类(cont.)8.破坏性程序病毒8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。用好看的图标来诱惑用户点击,当点击这类病毒时,便会直接对计算机产生破坏。如格式化C盘(Harm.formatC.f)如格式化C盘(Harm.formatC.f)9.玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。用好看的图标玩笑病毒的前缀是:Joke。也称恶作剧病毒。用好看的图标来诱惑用户点击,但不对电脑进行破坏。如:女鬼(Joke.Girlghost)病毒。10.捆绑机病毒10.捆绑机病毒捆绑机病毒的前缀是:Binder。用特定的捆绑程序将病毒与应用程序如QQ、IE捆绑起来,当运行这些捆绑病毒时,会应用程序如QQ、IE捆绑起来,当运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒。如:捆绑QQ(Binder.QQPass.QQBin).14病毒技术和特点1.4病毒技术和特点1.密码破解技术应用此技术的病毒可对win2000以上的操作系应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量(有时会更大的)的字典库,可对“弱单词数量(有时会更大的)的字典库,可对“弱口令”进行破解,因此需要至少六位的数字字母混合的系统口令。混合的系统口令。例:爱情后门病毒例:爱情后门病毒14病毒技术和特点1.4病毒技术和特点2.端口监听技术(原多见于木马程序)2.端口监听技术(原多见于木马程序)Moodown.y病毒利用自身的SMTP发信引擎Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件,监听82端口,等待攻击者连接,可自动下载并执行新的病毒。接,可自动下载并执行新的病毒。振荡波病毒的最新变种监听1023端口(支持USER、PASS、PORT、RETR和QUIT命令),并持USER、PASS、PORT、RETR和QUIT命令),并实现一个tftp服务器,并进行攻击。14病毒技术和特点1.4病毒技术和特点3.多线程扫描技术3.多线程扫描技术现在常见病毒多采用此技术,此技术可加现在常见病毒多采用此技术,此技术可加速网络病毒的传播速度。如I-Worm.Sasser.e(振荡波.e)开辟128如I-Worm.Sasser.e(振荡波.e)开辟128个线程扫描网络,传播病毒。14病毒技术和特点1.4病毒技术和特点4.漏洞技术利用操作系统和软件系统(主要是微软的软件系统)漏洞进行攻击;即发送不正常的数据包,使获得的系统出现洞进行攻击;即发送不正常的数据包,使获得的系统出现错误,从而使病毒夺取对方电脑的控制权。例:冲击波利用rpc漏洞,震荡波利用LSASS漏洞1.5目前存在病毒的传播途径1.5目前存在病毒的传播途径1防病毒软件的结构1.5防病毒软件的结构防病毒软件的3个组成部分防病毒软件的3个组成部分扫描应用防病扫描引擎病毒软病毒定义库软件病毒定义库15防病毒网关1.5防病毒网关由于目前的防火墙并不能防止目前所有的由于目前的防火墙并不能防止目前所有的病毒进入内网,所以在某些情况下,需要在网络的数据出入口处和网络中重要设备前配置防病毒网关,以防止病毒进入内部网络。15防病毒网关防病毒网关按照功能上分有两种:1.5防病毒网关防病毒网关按照功能上分有两种:1.保护网络入口的防病毒网关1.保护网络入口的防病毒网关2.保护邮件器的防病毒网关防病毒网关按照部署形式分为:防病毒网关按照部署形式分为:1.透明网关1.透明网关2.代理网关15防病毒网关透明网关1.5防病毒网关透明网关透明网关路由器用户用户用户代理网关用户用户用户15邮件防病毒1.5邮件防病毒由于目前的病毒大部分均是通过邮件传播的,所以对于邮件服务器的保护是十分重要的的,所以对于邮件服务器的保护是十分重要的。1.对邮件服务器系统自身加固对邮件服务器系统自身加固2.邮件防病毒网关15客户端防病毒1.5客户端防病毒¾引导安全¾引导安全¾系统安装安全系统安装安全¾系统日常加固¾日常使用安全15集中监控中心1.5集中监控中心集中监控中心多级远程病毒软件终端智能详细集中管终端控风险分自动分分组配能探测升日志审管理控制分析分发配置升级审计集中监控中心功能图集中监控中心功能图16反病毒技术1.6反病毒技术第一代反病毒技术采取单纯的病毒特征诊断,但是对加密、变形第一代反病毒技术采取单纯的病毒特征诊断,但是对加密、变形的新一代病毒无能为力;第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒,但是误报率高,杀毒风险大;第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合;第四代反病毒技术基于病毒家族体系的命名规则,基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进解毒技术,能够较好地完成查解毒的任务。1.6病毒检测方法1比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。2加总比对法3搜索法.3搜索法.搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。4分析法1).确认被观察的磁盘引导扇区和程序中是否含有计算机病毒;1).确认被观察的磁盘引导扇区和程序中是否含有计算机病毒;2).确认计算机病毒的类型和种类,判定其是否是一种新的计算机病毒;3).搞清楚计算机病毒体的大致结构;4).详细分析计算机病毒代码。4).详细分析计算机病毒代码。5人工智能陷阱技术和宏病毒陷阱技术人工智能陷阱是一种监测计算机行为的常驻式扫描技术。6软件仿真扫描法6软件仿真扫描法该技术专门用来对付多态变形计算机病毒。7先知扫描法先知扫描技术是继软件仿真后的一大技术上突破。16反病毒技术发展趋势1.6反病毒技术发展趋势人工智能技术的应用提高清除病毒准确性以网络为核心的防病毒技术以网络为核心的防病毒技术多种技术的融合16新一代病毒预警技术1.6新一代病毒预警技术病毒预警技术一般是采用分布式的结构,进行病毒预警技术一般是采用分布式的结构,进行集中管理报警,分散控制。集中管理报警,分散控制。病毒预警的具体可采用“数据流分析”、“病毒诱捕”等技术。16新一代病毒预警技术1.6新一代病毒预警技术可调用接口模块显示报警界面信息上报模块口模块界面模块数据存储和数据分析模块病毒监视模块流量监视模块病毒预警机模块病毒版本统计模块模块模块机模块统计模块病毒预警分级模块图病毒预警分级模块图1.7病毒的预防措施1.7病毒的预防措施1、新购置的计算机硬软件系统的测试1、新购置的计算机硬软件系统的测试2、计算机系统的启动3、单台计算机系统的安全使用4、重要数据文件要有备份4、重要数据文件要有备份5、不要随便直接运行或直接打开电子函件中夹带的附件文件6、计算机网络的安全使用(1)安装网络服务器时应保证没有计算机病毒存在。(1)安装网络服务器时应保证没有计算机病毒存在。(2)在安装网络服务器时,应将文件系统划分成多个文件卷系统。(3)一定要用硬盘启动网络服务器。(4)为各个卷分配不同的用户权限。(5)在网络服务器上必须安装真正有效的防杀计算机病毒软件。(6)系统管理员的职责.(6)系统管理员的职责.1.7有防护的办公网络中病毒传播1.7