1 / 51

恶意代码检测与防范

恶意代码检测与防范. 原理篇. 姓名:隋 婧 学号: S310060077 导师:王慧强. 计算机病毒. 恶意代码概述. 1. 2. 3. 4. 5. 蠕虫. 总结. 特洛伊木马. 提纲. 计算机病毒. 恶意代码概述. 1. 2. 3. 4. 5. 蠕虫. 总结. 特洛伊木马. 提纲. 什么是恶意代码?. 恶意代码( Malicious Code ): 主要是指以危害信息安全等不良意图为目的的 程序 ,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。 — 来源 : 冯登国,赵险峰 《 信息安全概论 》.

rigel-cervantes
Download Presentation

恶意代码检测与防范

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 恶意代码检测与防范 原理篇 姓名:隋 婧 学号:S310060077 导师:王慧强

  2. 计算机病毒 恶意代码概述 1 2 3 4 5 蠕虫 总结 特洛伊木马 提纲

  3. 计算机病毒 恶意代码概述 1 2 3 4 5 蠕虫 总结 特洛伊木马 提纲

  4. 什么是恶意代码? • 恶意代码(Malicious Code):主要是指以危害信息安全等不良意图为目的的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。 —来源: 冯登国,赵险峰《信息安全概论》 • 恶意代码是指没有作用却会带来危险的代码。 • —来源: • 恶意代码是经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码. • —来源:

  5. 常见的恶意代码种类

  6. 恶意代码的发展历史

  7. 恶意代码的特征 • 恶意代码的特性 • 一类程序,由人编制,而非在计算环境或系统中自生的; • 对系统具有破坏性或威胁性,这是它们与普通程序最大的区别; • 按照种类,不同恶意代码具有潜伏性、传染性、依附性等性质。

  8. 恶意代码的主要功能 • 隐藏在主机上的所有活动 • 删除敏感信息 • 监视键盘 • 收集你的相关信息 • 诱骗访问恶意网站 窃取文件 开启后门(肉鸡) • 作为网络传播的起点

  9. 恶意代码的危害 • 恶意代码的危害 • 攻击系统,造成系统瘫痪或操作异常; • 危害数据文件的安全存储和使用; • 泄露文件、配置或隐私信息; • 肆意占用资源,影响系统或网络的性能; • 攻击应用程序,如影响邮件的收发。

  10. 计算机病毒 恶意代码概述 1 2 3 4 5 蠕虫 总结 特洛伊木马 提纲 10

  11. 计算机病毒 • 计算机病毒 • 计算机病毒能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶意代码, • 本质特征:传染性和依附性 • 分类 • 按传播媒介分类 单机病毒和网络病毒 • 按传播方式分类 引导型病毒、文件型病毒和混合型病毒 • ……

  12. 计算机病毒的特征

  13. 计算机病毒的基本机制 • 计算机病毒的传染机制 • 指计算机病毒由一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。 • 计算机病毒的基本机制 • 三大模块:传染机制、破坏机制、触发机制 • 触发机制 • 计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。 • 破坏机制 • 良性病毒表现为占用内存或硬盘资源。 • 恶性病毒则会对目标主机系统或信息产生严重破坏。

  14. 病毒传播的两种方式 • 被动传播 • 用户在进行复制磁盘或文件时,把病毒由一个载体复制到另一个载体上,或者通过网络把一个病毒程序从一方传递到另一方。 • 主动传播 • 计算机病毒以计算机系统的运行及病毒程序处于激活状态为先决条件,在病毒处于激活状态下,只要传播条件满足,病毒程序能主动把病毒自身传播给另一个载体或另一个系统。

  15. 宏病毒 • 宏病毒 • 使用宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件中。 • 感染过程 • 改写 • Word宏 • 转换成文档 • 模板的宏 • 感染其它 • Word文档 • 当宏病毒获得运行权限之后,把所关联的宿主文档转换成模板格式,然后把所有宏病毒复制到该模板之中 。 • 改写文档自动执行宏,如 • AutoOpen • FileSave • FilePrint等等 。 • 当其它的Word文件打开时,由于自动调用该模板因而会自动运行宏病毒 。 15

  16. 写入 激活病毒 激活autoopen宏 有毒文件.doc 无毒文件.doc Normal.dot Normal.dot 启动 宏病毒

  17. 宏病毒的特点 • 宏病毒具有如下特点 • 传播快 • Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。 • 制作、变种方便 • Word使用宏语言WordBasic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。 • 把宏病毒稍微加以改变,立即就生产出了一种新的宏病毒. • 破坏性大

  18. 计算机病毒 恶意代码概述 1 2 3 4 5 蠕虫 总结 特洛伊木马 提纲

  19. 蠕虫 • 概念 • 一类特殊的恶意代码,可以在计算机系统或网络中繁殖,由于不依附于其他程序,这种繁殖使它们看上去是在内存、磁盘或网络中移动。 • 它可以 • 不用计算机使用者干预即可运行的攻击程序或代码。 • 它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点

  20. 蠕虫的特征

  21. 蠕虫工作机制 信息收集 攻击渗透 现场处理 • 按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。

  22. 蠕虫工作机制 信息收集 攻击渗透 现场处理 • 按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。 • 通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。

  23. 蠕虫工作机制 信息收集 攻击渗透 现场处理 • 攻击成功后,要对被攻击的主机进行一些处理,将攻击代码隐藏,为了能使被攻击主机运行蠕虫代码,还要通过注册表将蠕虫程序设为自启动状态;可以完成它想完成的任何动作,如恶意占用CPU资源等。 • 按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。 • 通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。

  24. 蠕虫扫描策略 随机选取某一段IP地址,然后对这一地址段上的主机扫描。 缺点: 1.由于不知道哪些主机已经感染蠕虫,很多扫描是无用的。 2. 这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散,网络上存在大量的蠕虫时,蠕虫造成的网络流量就变得非常巨大。

  25. 蠕虫扫描策略 • 选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。 • 特点: • 1.选择性随机扫描算法简单,容易实现。 • 2.若与本地优先原则结合则能达到更好的传播效果。 • 红色代码和“Slammer”的传播采用了选择性随机扫描策略。

  26. 蠕虫扫描策略 • 顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地址进行传播,根据本地优先原则,网络地址段顺序递增。

  27. 蠕虫扫描策略 从DNS服务器获取IP地址来建立目标地址库。 优点: 获得的IP地址块针对性强和可用性高。 关键问题: 如何从DNS服务器得到网络主机地址,以及DNS服务器是否存在足够的网络主机地址。

  28. 蠕虫扫描策略 基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表,搜寻感染目标。

  29. 网络蠕虫传播模型 慢速发展阶段 快速发展阶段 缓慢消失阶段 漏洞被蠕虫设计者发现,并利用漏洞设计蠕虫发布于互联网,大部分用户还没有通过服务器下载补丁,网络蠕虫只是感染了少量的网络中的主机。 如果每个感染蠕虫的可以扫描并感染的主机数为W,N为感染的次数,那么感染主机数扩展速度为WN,感染蠕虫的机器成指数幂急剧增长。 • 随着网络蠕虫的 • 爆发和流行,人们通过分析蠕虫的传播机制,采取一定措施及时更新补丁包,并采取措删除本机存在的蠕虫,感染蠕虫数量开始缓慢减少。

  30. 计算机病毒 恶意代码概述 1 2 3 4 5 蠕虫 总结 特洛伊木马 提纲 30

  31. 特洛伊木马 • 概念 • 木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码和记录键盘等的特殊功能的后门程序。 • 木马的组成结构 • 客户端:安装在攻击者机器上的部分。 • 服务器端:通过各种手段植入目标机器的部分。

  32. 木马的特征

  33. 木马的自动恢复性 • 木马-“聪明基因” • 植入系统后,生成以下三个文件: C:\windows\MBBManager.exe C:\windows\Explore32.exe C:\windows\system\editor.exe • 用的都是HTML文件图标 • 关联: • MBBManager.exe在启动时加载 • Explore32.exe关联HLP文件( Windows帮助文件) • Editor.exe关联TXT文件 • 机理 • 当MBBManager.exe被发现删除,只要打开HLP文件或文本文件,Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。

  34. 木马与病毒、蠕虫和远程控制软件的区别

  35. 木马的欺骗技术 • 木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。 • 木马欺骗技术主要有 : • 伪装成其它类型的文件,可执行文件需要伪装其它文件。如伪装成图片文件。 • 合并程序欺骗。 • 插入其它文件内部。 • 伪装成应用程序扩展组件。 • 把木马程序和其它常用程序利用WinRar捆绑在一起,将其制作成自释放文件。 • 在Word文档中加入木马文件。

  36. 木马程序入侵并且控制计算机的过程 • 启动和隐藏 • 木马 • 向目标主机 • 植入木马 • 植入者达到 • 其攻击的目的 • 植入者远程控制 • 被植入木马的主机

  37. 木马植入技术 • 植入技术,木马植入技术可以大概分为主动植入与被动植入两类。 • 主动植入:就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机,这个行为过程完全由攻击者主动掌握。 • 被动植入:是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统。

  38. 木马植入技术 • 主动植入技术主要包括 : • 利用系统自身漏洞植入 • 利用第三方软件漏洞植入 • 利用即时通信软件发送伪装的木马文件植入 • 利用电子邮件发送植入木马 • 被动植入主要包括: • 软件下载 • 利用共享文件 • 利用Autorun文件传播 • 网页浏览传播

  39. 木马的自动加载技术 • 针对Windows系统,木马的自动加载主要有以下方法:

  40. 修改文件关联 • 正常情况下文件的打开方式为文件,一旦中了文件关联木马,则文件打开方式就会被修改为用木马程序打开。 • 例如: 冰河木马通过修改注册表 [HKEY_CLASSES_ROOT\textfile\shell\open\command]下的键值 C:/windows/notepad.exe %1 C: /windows/system/Sysexplr.exe %1 • 一旦双击一个txt文件原本应用notepad打开该文件的,现在却变成启动木马程序了。 • 这仅仅是txt文件的关联,如htm、exe、zip、com都是木马的目标。 40

  41. 替换系统自动运行的文件 • win.ini文件 • 作用:控制Windows用户窗口环境的概貌,如窗口边界宽度、系统字体等。 • 通过设置Win.ini文件[windows]中以下字段则系统下次启动时,可启动木马.exe • load=木马.exe load=运行文件,文件会在后台运行(最小化) • run=木马.exerun=运行文件,则文件是在默认状态下被运行的 • system.ini文件 • winstart.bat文件 • wininit.ini文件

  42. 替换系统自动运行的文件 • win.ini文件 • system.ini文件 • 作用:包含Windows初始配置信息的重要文件 • 通过在System.ini文件中设置[boot]Shell=Explorer.exe木马.exe,则以后系统启动时启动木马.exe。 • [386Enh]字段内的“driver=路径程序名”及[mic]、[drivers]、[drivers32]字段,也被有些木马改写后用于启动。 • winstart.bat文件 • wininit.ini文件

  43. 替换系统自动运行的文件 • win.ini文件 • system.ini文件 • winstart.bat文件 • 作用:因为安装某些新的应用软件后 (如某些声卡的驱动程序等),由于程序共享冲突的原因一些系统设置不能被立即更改, 再次启动系统时就可通过在Windows目录下生成一个该名称的批处理,以可靠地自动完成余下的任务; • 在c:\windows\winstart.bat下加载木马.exe,木马.exe每次都会随系统启动而重新启动。 • wininit.ini文件

  44. 替换系统自动运行的文件 • win.ini文件 • system.ini文件 • winstart.bat文件 • wininit.ini文件 • 作用:Windows的安装程序常常调用wininit.ini程序来实现安装程序后的删除工作 • 有的木马利用此机制,在wininit.ini文件指令启动自己。则木马.exe在系统下次启动或重启时会隐蔽地启动。

  45. 木马隐藏技术 • 木马隐藏技术 主要分为两类:主机隐藏和通信隐藏。 • 主机隐藏 • 主要指在主机系统上表现为正常的进程。 • 主要有文件隐藏、进程隐藏等。 • 文件隐藏主要有两种方式 • 采用欺骗的方式伪装成其它文件 • 伪装成系统文件 • 进程隐藏 • 动态链接库注入技术,将“木马”程序做成一个DLL文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序。 • Hooking API技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。 45

  46. 通信隐藏技术1-端口复用 • 通信隐藏 • 主要包括通信端口隐藏、内容隐藏 • 主要采用的技术: • 复用正常服务端口 应用程序 系统 数据包 数据包归属判断模块 端口复用模块

  47. 通信隐藏技术2-反弹端口 • 通信隐藏 • 主要包括通信端口隐藏、内容隐藏 • 主要采用的技术: • 利用“反弹端口”技术 • 针对防火墙所采用的技术

  48. 通信隐藏技术3-ICMP反弹技术 • 通信隐藏 • 主要包括通信端口隐藏、内容隐藏 • 主要采用的技术: • 采用ICMP协议进行通信 • 如通过发送接收ICMP_ECHO和ICMP_ECHOREPLY报文的使用ICMP协议的 Ping程序。ICMP木马的出现正是得到了Ping程序的启发。ICMP报文由系统内核或进程直接处理而不是通过端口。 发送ICMP_ECHO请求 发送ICMP_ECHOREPLY 回执,内含控制信息 客户端 (控制端) 服务端 (被控制端)

  49. 计算机病毒 恶意代码概述 1 2 3 4 5 蠕虫 总结 特洛伊木马 提纲

  50. 总结 • 大多恶意代码都要经历的阶段 保存线 触发线 存活线 编 制 代 码 传 播 感 染 触 发 蛰 伏 潜伏 …… …… 至其他系统 至其他目标

More Related