《信息安全理论与技术》课件7_恶意代码检测与防范.ppt
《《信息安全理论与技术》课件7_恶意代码检测与防范.ppt》由会员分享,可在线阅读,更多相关《《信息安全理论与技术》课件7_恶意代码检测与防范.ppt(61页珍藏版)》请在文库网上搜索。
1、信息安全理论与技术711恶意代码检测与防范恶意代码检测与防范恶意代码检测与防范恶意代码检测与防范信息安全理论与技术7提纲提纲提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马4总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7恶意代码的概念恶意代码的概念恶意代码的概念恶意代码的概念 代码是指计算机程序代码,可以被执行完代码是指计算机程序代码,可以被执行完成特定功能。成特定功能。恶意代码(恶意代码(Malicious CodesMalicious Codes)指的是黑客)指的是黑客们编写的扰乱社会和他人,起着破坏作用们编写的扰乱社会和他人,起着破坏作用的
2、计算机程序。的计算机程序。病毒病毒 木马木马 蠕虫蠕虫 间谍软件间谍软件 信息安全理论与技术7恶意代码的主要功能恶意代码的主要功能恶意代码的主要功能恶意代码的主要功能收集你的相关信息收集你的相关信息诱骗访问恶意网站诱骗访问恶意网站删除敏感信息删除敏感信息监视键盘监视键盘窃取文件窃取文件开启后门(肉鸡)开启后门(肉鸡)作为网络传播的起点作为网络传播的起点隐藏在主机上的所有活动隐藏在主机上的所有活动 信息安全理论与技术7恶意代码的危害恶意代码的危害恶意代码的危害恶意代码的危害攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪
3、或操作异常;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。信息安全理论与技术7恶意代码的分类恶意代码的分类恶意代码的分类恶意代码的分类分类标准分类标准
4、需要宿主需要宿主无需宿主无需宿主不能自我复制不能自我复制不感染的依附性不感染的依附性恶意代码恶意代码不感染的独立性不感染的独立性恶意代码恶意代码能够自我复制能够自我复制可感染的依附性可感染的依附性恶意代码恶意代码可感染的独立性可感染的独立性恶意代码恶意代码特定的应用程序、工具程序或系统程序信息安全理论与技术7恶意代码的分类实例恶意代码的分类实例恶意代码的分类实例恶意代码的分类实例类别类别实例实例不感染的依附性不感染的依附性恶意代码恶意代码特洛伊木马(特洛伊木马(Trojan horseTrojan horse)逻辑炸弹(逻辑炸弹(Logic bombLogic bomb)后门(后门(Backd
5、oorBackdoor)或陷门()或陷门(TrapdoorTrapdoor)不感染的独立性不感染的独立性恶意代码恶意代码点滴器(点滴器(DropperDropper)繁殖器(繁殖器(GeneratorGenerator)恶作剧(恶作剧(HoaxHoax)可感染的依附性可感染的依附性恶意代码恶意代码病毒(病毒(VirusVirus)可感染的独立性可感染的独立性恶意代码恶意代码蠕虫(蠕虫(WormWorm)信息安全理论与技术7恶意代码的生命周期恶意代码的生命周期恶意代码的生命周期恶意代码的生命周期 每个恶意代码都拥有一个生命周期,从生每个恶意代码都拥有一个生命周期,从生成开始到完全消亡结束。恶意代
6、码的生命成开始到完全消亡结束。恶意代码的生命周期主要包括:程序设计周期主要包括:程序设计-传播传播-感染感染-触发触发-运行等环节。运行等环节。*信息安全理论与技术71 1、恶意代码的传播机制、恶意代码的传播机制、恶意代码的传播机制、恶意代码的传播机制 互联网互联网 局域网局域网 移动存储设备移动存储设备 无线设备和点对点通信系统无线设备和点对点通信系统2 2、恶意代码的感染机制、恶意代码的感染机制 感染执行文件感染执行文件 感染引导区感染引导区 感染结构化文档感染结构化文档信息安全理论与技术7 3 3、恶意代码的触发机制、恶意代码的触发机制(1 1).日期触日期触发发:(2 2).时间时间触
7、触发发:(3 3).键盘键盘触触发发:(4 4).感染触感染触发发:(5 5).启启动动触触发发:(6 6).访问访问磁磁盘盘次数触次数触发发:(7 7).调调用中断功能触用中断功能触发发:(8 8).CPU.CPU型号型号/主板型号触主板型号触发发:1010信息安全理论与技术7提纲提纲提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7冲击波病毒冲击波病毒冲击波病毒冲击波病毒暴发能暴发能2003年夏年夏全球损失几百亿美元全球损失几百亿美元信息安全理论与技术7 计算机病毒计算机病毒 计计算机病毒能算
8、机病毒能算机病毒能算机病毒能够寻够寻找宿主找宿主找宿主找宿主对对象,并且依附于宿象,并且依附于宿象,并且依附于宿象,并且依附于宿主,是一主,是一主,是一主,是一类类具有具有具有具有传传染、染、染、染、隐隐蔽、破坏等能力的蔽、破坏等能力的蔽、破坏等能力的蔽、破坏等能力的恶恶意代意代意代意代码码,本本本本质质特征:特征:特征:特征:传传染性染性染性染性和和和和依附性依附性依附性依附性 分类分类 按按按按传传播媒介分播媒介分播媒介分播媒介分类类 单单机病毒和网机病毒和网机病毒和网机病毒和网络络病毒病毒病毒病毒 按按按按传传播方式分播方式分播方式分播方式分类类 引引引引导导型病毒、文件型病毒和混合型病
9、毒型病毒、文件型病毒和混合型病毒型病毒、文件型病毒和混合型病毒型病毒、文件型病毒和混合型病毒 信息安全理论与技术7计算机病毒的特征计算机病毒的特征计算机病毒的特征计算机病毒的特征病毒主要特征病毒主要特征解释解释传染性传染性病毒具有把自身复制到其它程序中的特性。病毒具有把自身复制到其它程序中的特性。隐蔽性隐蔽性通过隐蔽技术使宿主程序的大小没有改变,以至通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。于很难被发现。破坏性破坏性计算机所有资源包括硬件资源和软件资源,软件计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏所能接触的地方均可能受到计算机病毒的破坏潜
10、伏性潜伏性长期隐藏在系统中,只有在满足特定条件时,才长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。启动其破坏模块。其它其它取得系统控制权和不可预见等特征。取得系统控制权和不可预见等特征。信息安全理论与技术7计算机病毒的基本机制计算机病毒的基本机制计算机病毒的基本机制计算机病毒的基本机制 传传染机制染机制染机制染机制 指指指指计计算机病毒由一个宿主算机病毒由一个宿主算机病毒由一个宿主算机病毒由一个宿主传传播到另一个宿主程序,由一个播到另一个宿主程序,由一个播到另一个宿主程序,由一个播到另一个宿主程序,由一个系系系系统进统进入另一个系入另一个系入另一个系入另一个系统统的的的的过过程。程
11、。程。程。v计算机病毒的基本机制计算机病毒的基本机制传染机制传染机制、触发机制触发机制、破坏机制破坏机制 触发机制触发机制计算机病毒在传染和发作之前,要判断某些特定条件是否计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。满足,这个条件就是计算机病毒的触发条件。破坏机制破坏机制 良性病毒表现为占用内存或硬盘资源。良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。恶性病毒则会对目标主机系统或信息产生严重破坏。信息安全理论与技术7病毒传播的两种方式病毒传播的两种方式病毒传播的两种方式病毒传播的两种方式 被动传播被动传播 用用用用
12、户户在在在在进进行复制磁行复制磁行复制磁行复制磁盘盘或文件或文件或文件或文件时时,把病毒由一个,把病毒由一个,把病毒由一个,把病毒由一个载载体复制到另一个体复制到另一个体复制到另一个体复制到另一个载载体上,或者通体上,或者通体上,或者通体上,或者通过过网网网网络络把一把一把一把一个病毒程序从一方个病毒程序从一方个病毒程序从一方个病毒程序从一方传递传递到另一方。到另一方。到另一方。到另一方。v主动传播主动传播计算机病毒以计算机系统的运行及病毒程序处于计算机病毒以计算机系统的运行及病毒程序处于激活状态为先决条件,在病毒处于激活状态下,激活状态为先决条件,在病毒处于激活状态下,只要传播条件满足,病毒
13、程序能主动把病毒自身只要传播条件满足,病毒程序能主动把病毒自身传播给另一个载体或另一个系统。传播给另一个载体或另一个系统。信息安全理论与技术7传染源传染源:病毒制造传染媒介传染媒介:计算机网络、可移动的存储介质病毒激活病毒激活:设置触发条件,条件成熟开始作用病毒表现病毒表现:凡是软件技术能够触发到的地方传染传染:病毒复制一个自身副本到传染对象中去病毒工作过程病毒工作过程存储介质存储介质:硬盘、程序、系统。信息安全理论与技术718引导型病毒引导型病毒引导型病毒引导型病毒引导记录引导记录引导记录引导记录 主引导记录(主引导记录(MBRMBR)55AA主引导程序(446字节)分区1(16 字节)主分
14、区表(64字节)分区2(16 字节)分区3(16 字节)分区4(16 字节)结束标记(2字节)引导代码及出错信息A信息安全理论与技术719引导型病毒引导型病毒引导型病毒引导型病毒感染与执行过程感染与执行过程感染与执行过程感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。信息安全理论与技术72024/3/31恶意代码技术分析及应急响应20利用移动介质的自启动功能传播利用移动介质的自启动功能传播利用移动介质的自启动功能传播利用移动介质的自启动功能传播 autorun.inf autorun.inf iconicon OpenOpen RECYCLERRECYCL
15、ER目录目录 隐藏扩展名隐藏扩展名 伪装成系统图标伪装成系统图标信息安全理论与技术721正常正常程序程序正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头程序头程序头
16、程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头DOSDOS下的下的下的下的EXEEXE文件感染文件感染文件感染文件感染信息安全理论与技术7宏病毒宏病毒宏病毒宏病毒 宏病
17、毒宏病毒 使用使用使用使用宏宏宏宏语语言言言言编编写的程序,可以在一些数据写的程序,可以在一些数据写的程序,可以在一些数据写的程序,可以在一些数据处处理理理理系系系系统统中运行,存在于字中运行,存在于字中运行,存在于字中运行,存在于字处处理文档、数据表格、理文档、数据表格、理文档、数据表格、理文档、数据表格、数据数据数据数据库库、演示文档等数据文件、演示文档等数据文件、演示文档等数据文件、演示文档等数据文件中。中。中。中。信息安全理论与技术7宏病毒的特点宏病毒的特点宏病毒的特点宏病毒的特点 宏病毒具有如下特点宏病毒具有如下特点 传传播快播快播快播快 WordWord文档是交流最广的文件文档是交
18、流最广的文件文档是交流最广的文件文档是交流最广的文件类类型。人型。人型。人型。人们们大多大多大多大多对对外外外外来的文档文件基本是直接来的文档文件基本是直接来的文档文件基本是直接来的文档文件基本是直接浏览浏览使用,使用,使用,使用,这给这给WordWord宏宏宏宏病毒病毒病毒病毒传传播播播播带带来很多便利。来很多便利。来很多便利。来很多便利。制作、制作、制作、制作、变变种方便种方便种方便种方便 WordWord使用宏使用宏使用宏使用宏语语言言言言WordBasicWordBasic来来来来编编写宏指令。用写宏指令。用写宏指令。用写宏指令。用户户很方便就可以看到很方便就可以看到很方便就可以看到很
19、方便就可以看到这这种宏病毒的全部面目种宏病毒的全部面目种宏病毒的全部面目种宏病毒的全部面目。把把把把宏病毒稍微加以改宏病毒稍微加以改宏病毒稍微加以改宏病毒稍微加以改变变,立即就生,立即就生,立即就生,立即就生产产出了一种新的出了一种新的出了一种新的出了一种新的宏病毒宏病毒宏病毒宏病毒.破坏性大破坏性大破坏性大破坏性大信息安全理论与技术7提纲提纲提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马4总结总结5信息安全理论与技术7熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点病毒名称 熊猫烧香 又称 尼姆亚、武汉男生、worm.whBoy.wor
20、m.whBoy.、worm.nimaya.worm.nimaya.病毒类型 蠕虫病毒危险级别 影响系统 Win 9X/ME/NT/2000/XP/2003Win 9X/ME/NT/2000/XP/20032006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。信息安全理论与技术7熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点湖北省公安厅2007年2月12日宣布,根据统一部署,湖
21、北省网监在多个省市公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,岁,武汉新洲区人)。病毒制造者被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。信息安全理论与技术7蠕虫蠕虫蠕虫蠕虫 概念概念 一一一一类类特殊的特殊的特殊的特殊的恶恶意代意代意代意代码码,可以在,可以在,可以在,可以在计计算机系算机系算机系算机系统统或网或网或网或网络络中繁殖,由于不依附于其他程序,中繁殖,由于不依附于其他程序,中繁殖,由于不依附于其他程序,中繁殖,由于不依附于其他程序,这这种繁殖使它种繁殖使它种繁殖使它种繁殖使它们们看上去是在内存、磁看上去是在内存、磁看上去是在内存
22、、磁看上去是在内存、磁盘盘或网或网或网或网络络中移中移中移中移动动。特征特征 不用不用不用不用计计算机使用者干算机使用者干算机使用者干算机使用者干预预即可运行的攻即可运行的攻即可运行的攻即可运行的攻击击程序或代程序或代程序或代程序或代码码;它会它会它会它会扫扫描和攻描和攻描和攻描和攻击击网网网网络络上存在系上存在系上存在系上存在系统统漏洞的漏洞的漏洞的漏洞的节节点主机,点主机,点主机,点主机,通通通通过过网网网网络络从一个从一个从一个从一个节节点点点点传传播到另外一个播到另外一个播到另外一个播到另外一个节节点。点。点。点。信息安全理论与技术7蠕虫的特征蠕虫的特征蠕虫的特征蠕虫的特征蠕虫主要特征
23、蠕虫主要特征解释解释主动攻击主动攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本是全自动。成功后复制副本是全自动。造成网络拥塞造成网络拥塞1.传播的过程中,蠕虫需要判断感染条件的存在。传播的过程中,蠕虫需要判断感染条件的存在。2.同时出于攻击网络的需要,蠕虫也可以产生大同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量。量恶意流量。消耗系统资源消耗系统资源搜索目标主机、漏洞、感染其它主机需要消耗资搜索目标主机、漏洞、感染其它主机需要消耗资源;许多蠕虫本身就会恶意耗费系统的资源。源;许多蠕虫本身就会恶意耗费系统的资源。反复性反复性即使清除了蠕
24、虫,如果没有修补计算机系统漏洞,即使清除了蠕虫,如果没有修补计算机系统漏洞,网络中的计算机还是会被重新感染。网络中的计算机还是会被重新感染。破坏性破坏性现在蠕虫开始包含其它种类恶意代码,破坏被攻现在蠕虫开始包含其它种类恶意代码,破坏被攻击的计算机系统,而且造成的损失越来越大。击的计算机系统,而且造成的损失越来越大。信息安全理论与技术7蠕虫工作机制蠕虫工作机制蠕虫工作机制蠕虫工作机制2929信息收集信息收集攻击渗透攻击渗透现场处理现场处理 按照一定的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析。程进行漏洞的分析。如
25、果目标主机上有如果目标主机上有可以利用的漏洞则可以利用的漏洞则确定为一个可以攻确定为一个可以攻击的主机,否则放击的主机,否则放弃攻击。弃攻击。信息安全理论与技术7蠕虫工作机制蠕虫工作机制蠕虫工作机制蠕虫工作机制信息收集信息收集攻击渗透攻击渗透现场处理现场处理通过收集的漏洞通过收集的漏洞信息尝试攻击,一信息尝试攻击,一旦攻击成功,则获旦攻击成功,则获得控制该主机的权得控制该主机的权限,将蠕虫代码渗限,将蠕虫代码渗透到被攻击主机。透到被攻击主机。按照一定的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析。程进行漏洞的分析
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全理论与技术 信息 安全 理论 技术 课件 恶意代码 检测 防范