330 likes | 439 Views
恶意代码检测与防范技术 —— 作战篇. 田苏梅 S310060134. 作战篇. 恶 意代码的分析. 1. 恶意代码的防御. 2. 恶意代码的清除方法. 3. 作战篇. 1. 恶 意代码的分析. 恶意代码的防御. 2. 恶意代码的清除方法. 3. 恶意代码分析方法. 静态分析方法. 基于代码特征的分析方法. 常用于对执行程序类型的恶意代码进行分析
E N D
恶意代码检测与防范技术——作战篇 田苏梅 S310060134
作战篇 恶意代码的分析 1 恶意代码的防御 2 恶意代码的清除方法 3
作战篇 1 恶意代码的分析 恶意代码的防御 2 恶意代码的清除方法 3
基于代码特征的分析方法 • 常用于对执行程序类型的恶意代码进行分析 • c语言编写的程序中存在一条语句CreateMuetex(NULL,NULL,“MYTEST”);那么在生成的PE文件中会存在一个静态数据“MYTEST”,通过分析PE结构可以从静态数据节中提取静态数据。 • 用C语言编写的恶意代码中使用下面的语句URLDownloadToFile(0,"http://www.microsoft.com/a.exe","c:\\a.exe",0,0)从网站下载可执行程序到C盘根目录,这个动作很有可能是进行恶意代码升级
基于代码语义的分析方法 • 基于代码语义的分析过程,首先使用反汇编工具对恶意代码执行体进行反汇编,然后通过理解恶意代码的反汇编程序了解恶意代码的功能。从理论上讲通过这种方法可以得到恶意代码所有功能特征。 • 但是,目前基于语义的恶意代码分析方法主要还是依靠人工来完成,人工分析的过程需要花费分析人员的大量时间,对分析人员本身的要求也很高。
外部观察法 • 恶意代码作为一段程序在运行过程中通常会对系统造成一定的影响,有些恶意代码为了保证自己的自启动功能和进程隐藏的功能,通常会修改系统注册表和系统文件,或者会修改系统配置。 • 通过网络进行传播、繁殖和拒绝服务攻击等破坏活动 • 通过网络进行诈骗等犯罪活动 • 通过网络将搜集到的机密信息传递给恶意代码的控制者 • 在本地开启一些端口、服务等后门等待恶意代码控制者对受害主机的控制访问
跟踪调试法 • 在实际分析过程中,跟踪调试可以有两种方法。 • 单步跟踪恶意代码执行过程,监视恶意代码的每一个执行步骤,在分析过程中也可以在适当的时候执行恶意代码的一个片断,这种分析方法可以全面监视恶意代码的执行过程,但是分析过程相当耗时。 • 利用系统hook技术监视恶意代码执行过程中的系统调用和API使用状态来分析恶意代码的功能,这种方法经常用于恶意代码检测。
作战篇 恶意代码的分析 恶意代码的防御 恶意代码的清除方法 3 2 1 2
恶意代码的防御技术 基于主机 技术对比 基于良性 蠕虫 基于网络 防御 技术
基于主机的恶意代码防御技术 清除 恶意代码 删除文件 恶意代码 特征库 恶意代码 检测 计算机程 序或数据 • 误用检测技术,也称基于特征字的恶意代码检测
基于特征字的恶意代码检测 • 优点 • 实现简单 • 检测速度快 • 误报率低 • 缺点 • 对压缩、加密、变形的恶意代码不能很好的处理 • 需要不断更新查毒引擎和特征库,不能检测未知恶意代码
基于主机的恶意代码防御技术 • 完整性技术 • 校验和技术 • Windows的代码签名验证技术 • 权限控制技术 • 沙箱技术 • 安全操作系统
恶意代码的防御技术 基于网络 技术对比 基于良性 蠕虫 基于主机 防御 技术
基于网络的恶意代码检测技术 • 异常检测 • 可发现网络内主机可能感染恶意代码以及感染恶意代码的程序,然后采取控制措施,如限制计算机发送数据包计算机断网。 • 优点: • 能很快发现网络流量的异常,并采取措施,避免网络瘫痪和恶意代码的大规模传播。 • 能检测出已知恶意代码产生的异常流量,也能检测出未知的新出现的恶意代码。 • 缺点: • 不能检测出计算机究竟感染了哪一种恶意代码。不利于采取有针对性的防范措施。 • 误报率相对比较高。
基于网络的恶意代码检测技术 • 误用检测 • 基于网络的恶意代码检测中使用的特征串与基于主机检测使用的特征串不同,一个特征码规则可以有多个特征串,特征码规则指定了每个特征串的相对偏移和间隔位置。 • 优点: • 能够检测出计算机感染恶意代码的具体类型。 • 检测结果比较准确。 • 缺点: • 一般不能检测出未知恶意代码。 • 检测范围和准确性依赖于特征库的完备程度,并需要不断更新特征库规则。
恶意代码的防御技术 基于良性 蠕虫 技术对比 基于网络 基于主机 防御 技术
基于良性蠕虫的恶意代码防御技术 • 良性蠕虫可以采取先利用漏洞或其它途径进入目标主机,然后对恶意代码进行查杀、修补漏洞等措施,最后进行自动扩散并退出目标主机。 • “冲击波杀手”蠕虫编写者的本意是想用它自动清除“冲击波”蠕虫,但结果“冲击波杀手”蠕虫对网络的破坏程度甚至比“冲击波”蠕虫本身还要严重。
恶意代码的防御技术 技术对比 基于良性 蠕虫 基于网络 基于主机 防御 技术
2 作战篇 恶意代码的分析 恶意代码的防御 恶意代码的清除方法 2 1 3
恶意代码的清除方法 • 独立的木马或蠕虫,直接删除执行文件 • 文件型恶意代码,一般反恶意代码软件需要掌握感染过程的逆过程,将添加的恶意代码清除,并恢复文件头的正常设置。 • 覆盖型恶意代码,由于原宿主代码部分丢失,程序功能不能恢复。