系統(tǒng)安全漏洞與惡意代碼介紹

1、系統(tǒng)安全漏洞與惡意代碼介紹課程內(nèi)容2安全漏洞、惡意代碼與攻防知識(shí)體知識(shí)域安全漏洞惡意代碼的產(chǎn)生與發(fā)展惡意代碼的實(shí)現(xiàn)技術(shù)惡意代碼的防御技術(shù)惡意代碼安全漏洞的發(fā)現(xiàn)與修復(fù)安全漏洞的產(chǎn)生與發(fā)展知識(shí)子域知識(shí)域：安全漏洞知識(shí)子域：安全漏洞的產(chǎn)生與發(fā)展了解安全漏洞的含義了解安全漏洞產(chǎn)生的原因了解國(guó)內(nèi)外常見安全漏洞分類了解安全漏洞的發(fā)展趨勢(shì)知識(shí)子域：安全漏洞的發(fā)現(xiàn)與修復(fù)了解安全漏洞的靜態(tài)與動(dòng)態(tài)挖掘方法的基本原理了解補(bǔ)丁分類及修復(fù)時(shí)應(yīng)注意的問題3漏洞的概念漏洞概念的提出漏洞（Vulnerability）又叫脆弱性，這一概念早在1947年馮諾依曼建立計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)理論時(shí)就有涉及，他認(rèn)為計(jì)算機(jī)的發(fā)展和自然生命有相似

2、性，一個(gè)計(jì)算機(jī)系統(tǒng)也有天生的類似基因的缺陷，也可能在使用和發(fā)展過程中產(chǎn)生意想不到的問題。學(xué)者們對(duì)漏洞的定義從訪問控制角度定義（學(xué)者 Denning 做出的定義）從風(fēng)險(xiǎn)管理角度的定義（學(xué)者Longstaff的定義）使用狀態(tài)空間描述的方法給出的定義（ 學(xué)者Bishop的定義）4標(biāo)準(zhǔn)機(jī)構(gòu)的定義1999年，ISO/IEC15408（GB/T18336）定義：漏洞是存在于評(píng)估對(duì)象（TOE）中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)；2006年，美國(guó)NIST信息安全關(guān)鍵術(shù)語(yǔ)詞匯表定義：漏洞是指存在于信息系統(tǒng)、系統(tǒng)安全過程、內(nèi)部控制或?qū)崿F(xiàn)中的，可被威脅源攻擊或觸發(fā)的弱點(diǎn)；2006年，ISO/IEC

3、SC 27SD6：IT安全術(shù)語(yǔ)詞匯表定義：漏洞是一個(gè)或多個(gè)威脅可以利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)；是違反某些環(huán)境中安全功能要求的TOE中的弱點(diǎn)；是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計(jì)及實(shí)施中的缺陷、弱點(diǎn)或特性。 5漏洞的理解信息安全漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等過程中，有意或無(wú)意產(chǎn)生的缺陷，這些缺陷一旦被惡意主體所利用，就會(huì)造成對(duì)信息產(chǎn)品或系統(tǒng)的安全損害，從而影響構(gòu)建于信息產(chǎn)品或系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息產(chǎn)品或系統(tǒng)及信息的安全屬性。錯(cuò)誤、缺陷、弱點(diǎn)和故障并不等于漏洞。6漏洞產(chǎn)生的原因技術(shù)原因軟件系統(tǒng)復(fù)雜性提高，質(zhì)量難于控制，安全性降低公用模塊的

4、使用引發(fā)了安全問題經(jīng)濟(jì)原因“檸檬市場(chǎng)”效應(yīng)環(huán)境原因從傳統(tǒng)的封閉、靜態(tài)和可控變?yōu)殚_放、動(dòng)態(tài)和難控攻易守難安全缺陷安全性缺陷是信息系統(tǒng)或產(chǎn)品自身“與生俱來(lái)”的特征，是其的固有成分7漏洞的分類分類的目的從各個(gè)方面來(lái)描述漏洞，如從漏洞的成因、利用漏洞的技術(shù)、漏洞的作用范圍等；用一個(gè)分類屬性來(lái)表達(dá)漏洞的一個(gè)本質(zhì)特征，而為漏洞的每個(gè)屬性賦值的過程，就是給漏洞在該維屬性上分類的過程；分類原則：可接受性、易于理解性、完備性、確定性、互斥性、可重復(fù)性、可用性；8NVD漏洞分類代碼注入（Code Injection）緩沖錯(cuò)誤（Buffer Errors）跨站腳本（Cross-Site Scripting（XSS）

5、權(quán)限許可和訪問控制（Permissions，Privileges，and Access Control）配置（Configuration）路徑遍歷（Path Traversal）數(shù)字錯(cuò)誤（Numeric Error）SQL注入（SQL Injection）輸入驗(yàn)證（Input validation）授權(quán)問題（Authentication Issues跨站請(qǐng)求偽造（Cross-Site Request Forgery（CSRF）資源管理錯(cuò)誤（Resource Management Errors）信任管理（Credentials Management）加密問題（Cryptographic Issu

6、es）信息泄露（Information Leak/Disclosure）競(jìng)爭(zhēng)條件（Race Condition）后置鏈接（Link Following）格式化字符串（Format String Vulnerability）操作系統(tǒng)OS命令注入（OS Command Injections）設(shè)計(jì)錯(cuò)誤（Design Error）資料不足（Insufficient Information）。中國(guó)的漏洞發(fā)布公布 cnnvdCve是世界著名的漏洞發(fā)布公布 平臺(tái) 。烏云 是中國(guó)最近較火的涔涔發(fā)布公布平臺(tái) 。9漏洞的危害漏洞是信息安全的核心漏洞無(wú)處不在攻擊者對(duì)漏洞的利用研究不斷進(jìn)步漏洞的利用速度也越來(lái)越快10

7、為什么需要研究安全漏洞漏洞客觀存在現(xiàn)實(shí)緊迫性漏洞是一種戰(zhàn)略資源數(shù)量、種類、分布對(duì)網(wǎng)絡(luò)安全影響非常重要地下經(jīng)濟(jì)的源點(diǎn) 11知識(shí)域：安全漏洞知識(shí)子域：安全漏洞的發(fā)現(xiàn)與修復(fù)了解安全漏洞的靜態(tài)與動(dòng)態(tài)挖掘方法的基本原理了解補(bǔ)丁分類及修復(fù)時(shí)應(yīng)注意的問題12漏洞的發(fā)現(xiàn)從人工發(fā)現(xiàn)階段發(fā)展到了依靠自動(dòng)分析工具輔助的半自動(dòng)化階段漏洞發(fā)現(xiàn)方法靜態(tài)漏洞檢測(cè)動(dòng)態(tài)漏洞檢測(cè)13靜態(tài)漏洞檢測(cè)不運(yùn)行代碼而直接對(duì)代碼進(jìn)行漏洞挖掘的方法適用對(duì)象完整的或不完整的源代碼二進(jìn)制代碼中間代碼片段方法原理流分析符號(hào)執(zhí)行模型檢測(cè)14流分析控制流分析代碼中控制流走向的信息，獲得控制流圖(CFG)，即代碼的控制結(jié)構(gòu)信息?？刂屏鲌D是對(duì)代碼執(zhí)行時(shí)可能

8、經(jīng)過的所有路徑的圖形化表示，通過對(duì)代碼中的分支、循環(huán)等關(guān)系的分析來(lái)獲得代碼的結(jié)構(gòu)關(guān)系。數(shù)據(jù)流數(shù)據(jù)流分析是要得出程序中數(shù)據(jù)流動(dòng)的信息，也就是程序中變量的相關(guān)信息，比如，可到達(dá)的變量定義，可用的表達(dá)式，別名信息，變量的使用及取值情況等15符號(hào)執(zhí)行符號(hào)執(zhí)行的目標(biāo)是把程序轉(zhuǎn)化成一組約束，同時(shí)檢查程序模擬執(zhí)行過程中的狀態(tài)是否出錯(cuò)。這組約束中既包含程序中的路徑條件，也包含要求程序滿足的正確性條件或者程序員給出的斷言。符號(hào)執(zhí)行的方法也是在程序的CFG上使用WorkList算法進(jìn)行遍歷。16模型檢測(cè)模型檢測(cè)是給定被測(cè)系統(tǒng)的模型和目標(biāo)屬性的描述之后，可自動(dòng)地對(duì)被測(cè)系統(tǒng)的狀態(tài)空間進(jìn)行窮盡搜索，以檢測(cè)目標(biāo)屬性是否被

9、滿足。度量指標(biāo)：可靠性被檢測(cè)為真的任何屬性，都確實(shí)為真，即無(wú)誤報(bào)；完備性所有確實(shí)為真的屬性，必然可被檢測(cè)出為真，即無(wú)漏報(bào)。17動(dòng)態(tài)漏洞檢測(cè)在代碼運(yùn)行的狀態(tài)下，通過監(jiān)測(cè)代碼的運(yùn)行狀態(tài)或根據(jù)測(cè)試用例結(jié)果來(lái)挖掘漏洞的方法特點(diǎn)與靜態(tài)分析方法相比，動(dòng)態(tài)分析方法的最大優(yōu)勢(shì)在于其分析結(jié)果的精確，即誤報(bào)率較低方法模糊測(cè)試滲透測(cè)試軟件監(jiān)測(cè)18模糊測(cè)試在程序外部提供非預(yù)期輸入，并監(jiān)控程序?qū)斎氲姆磻?yīng)，從而發(fā)現(xiàn)程序內(nèi)部故障，廣泛應(yīng)用于軟件安全測(cè)試發(fā)展階段：第一代主要用于健壯性和可靠性測(cè)試。第二代主要用于發(fā)現(xiàn)系統(tǒng)的漏洞。第三代智能模糊測(cè)試側(cè)重于更合理的測(cè)試數(shù)據(jù)集的構(gòu)造。19動(dòng)態(tài)污染傳播在程序運(yùn)行時(shí)，標(biāo)記某些信息，例如

10、變量、存儲(chǔ)單位、寄存器的值等，從而跟蹤攻擊路徑，獲取漏洞信息步驟標(biāo)識(shí)污點(diǎn)源，如不可信文件、不可信網(wǎng)絡(luò)、各種輸入分析污染源的傳播根據(jù)觸發(fā)機(jī)制，對(duì)具有污染標(biāo)識(shí)的數(shù)據(jù)、內(nèi)存等進(jìn)行檢查，從而發(fā)現(xiàn)可能的安全問題20滲透測(cè)試滲透測(cè)試的概念滲透測(cè)試是通過模擬攻擊方法，來(lái)評(píng)估對(duì)象（系統(tǒng)或產(chǎn)品）安全的一種方法。滲透測(cè)試的優(yōu)勢(shì)測(cè)試是基于軟件運(yùn)行的最后環(huán)境，因此，除了可以發(fā)現(xiàn)軟件本身的安全問題外，更重要的是還可以發(fā)現(xiàn)一些關(guān)于環(huán)境和配置的安全問題。21滲透測(cè)試的方法及步驟授權(quán)與鑒別安全分析非法操作分析管理架構(gòu)安全分析規(guī)則有效性分析性能隱患分析核心安全功能強(qiáng)度分析隱通道分析22安全漏洞的修復(fù)安裝補(bǔ)丁是漏洞消減的技術(shù)手段

11、之一。數(shù)據(jù)顯示，及時(shí)安裝有效補(bǔ)丁可避免約95%的信息安全損失補(bǔ)丁修復(fù)中存在的兩難問題：打什么樣的補(bǔ)?。垦a(bǔ)丁質(zhì)量問題如何打補(bǔ)??？操作方式問題什么時(shí)間打補(bǔ)?。啃迯?fù)時(shí)機(jī)問題23補(bǔ)丁分類從文件類型以源代碼形式存在以二進(jìn)制形式存在從內(nèi)存角度文件補(bǔ)?。ɡ溲a(bǔ)丁）內(nèi)存補(bǔ)?。嵫a(bǔ)?。?4補(bǔ)丁安裝時(shí)應(yīng)注意的問題補(bǔ)丁安裝部署之前需要經(jīng)過必要的測(cè)試需要從可靠來(lái)源不斷獲取最新補(bǔ)丁信息安裝補(bǔ)丁時(shí)需要做好備份和相應(yīng)的應(yīng)急措施25安全漏洞的修復(fù)標(biāo)準(zhǔn)化的安全配置2002年，美國(guó)率先在軍隊(duì)推行標(biāo)準(zhǔn)化的安全配置與核查（IAVA）根據(jù)漏洞分析和風(fēng)險(xiǎn)評(píng)估的安全加固傳統(tǒng)的安全加固手段越來(lái)越難以應(yīng)付日益復(fù)雜的攻擊行為，漏洞信息的及時(shí)披露和

12、分發(fā)越來(lái)越重要。 加固核查與問責(zé)通過安全審計(jì)核實(shí)漏洞消除情況和效果。 26知識(shí)域：惡意代碼知識(shí)子域：惡意代碼的產(chǎn)生與發(fā)展了解惡意代碼的發(fā)展歷史及趨勢(shì)了解惡意代碼的類型理解惡意代碼的傳播方式27什么是惡意代碼沒有有效作用、干擾或破壞計(jì)算機(jī)系統(tǒng)/網(wǎng)絡(luò)功能的程序或代碼（一組指令）指令類型二進(jìn)制代碼腳本語(yǔ)言宏語(yǔ)言表現(xiàn)形式病毒、蠕蟲、后門程序、木馬、流氓軟件、邏輯炸彈等28惡意代碼的危害29網(wǎng)絡(luò)擁塞蠕蟲傳播或爆發(fā)占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓系統(tǒng)控制形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來(lái)發(fā)動(dòng)任何攻擊信息泄露監(jiān)視用戶操作，竊取個(gè)人隱私破壞系統(tǒng)及數(shù)據(jù)它已經(jīng)成為網(wǎng)絡(luò)犯罪的主要工具，也是國(guó)家、組織之間網(wǎng)絡(luò)戰(zhàn)的主要武

13、器惡意代碼發(fā)展孕育和誕生1949：馮諾依曼在復(fù)雜自動(dòng)機(jī)組織論提出概念1960：生命游戲（約翰康維 ） 磁芯大戰(zhàn)（貝爾實(shí)驗(yàn)室三名程序員 ）1977年科幻小說P-1的青春使得惡意程序有了計(jì)算機(jī)病毒的名稱1983：真正的惡意代碼在實(shí)驗(yàn)室產(chǎn)生30惡意代碼發(fā)展1986年第一個(gè)PC病毒：Brain virus1988年Morris Internet worm6000多臺(tái)1990年第一個(gè)多態(tài)病毒1991年virus construction set-病毒生產(chǎn)機(jī)1991年 DIR2病毒1994年Good Times(joys)1995年首次發(fā)現(xiàn)macro virus31羅伯特.莫里斯惡意代碼發(fā)展1996年ne

14、tcat的UNIX版發(fā)布（nc）1998年第一個(gè)Java virus(StrangeBrew)1998年netcat的Windows版發(fā)布（nc）1998年back orifice(BO)/CIH1999年melissa/worm(macrovirus by email)1999年back orifice(BO) for WIN2k1999年DOS/DDOS-Denial of Service TFT/ trin001999年knark內(nèi)核級(jí)rootkit(linux)32惡意代碼發(fā)展2000年love Bug(VBScript)2001年Code Red worm(overflow for

15、IIS)2001年Nimda-worm(IIS/ web browser/outlook/file share etc.)2002年SQL slammer(sqlserver)2003年MSBlaster/ Nachi2003年中文上網(wǎng)2004年MyDoom/ Sasser2006年熊貓燒香33惡意代碼發(fā)展2010年Stuxnet(工業(yè)蠕蟲)2012年火焰病毒34各種蠕蟲、木馬悄悄的潛伏在計(jì)算機(jī)中，竊取信息惡意代碼的發(fā)展趨勢(shì)從傳播速度上來(lái)看，惡意代碼爆發(fā)和傳播速度越來(lái)越快從攻擊意圖來(lái)看，惡意代碼的開發(fā)者越來(lái)越專業(yè)化，其意圖也從游戲、炫耀專向?yàn)閻阂饽怖麖墓δ苌蟻?lái)看，惡意代碼的分工越來(lái)越細(xì)從實(shí)現(xiàn)技

16、術(shù)來(lái)看，惡意代碼實(shí)現(xiàn)的關(guān)鍵技術(shù)不斷變化從傳播范圍來(lái)看，惡意代碼呈現(xiàn)多平臺(tái)傳播的特征35惡意代碼分類36照惡意代碼運(yùn)行平臺(tái)按照惡意代碼傳播方式按照惡意代碼的工作機(jī)制按照惡意代碼危害分類蠕蟲病毒后門木馬有害工具流氓軟件風(fēng)險(xiǎn)程序其他惡意代碼分類37不傳染的依附型惡意代碼流氓軟件、邏輯炸彈、惡意腳本不傳染的獨(dú)立型惡意代碼木馬、rootkit、風(fēng)險(xiǎn)程序傳染的依附型惡意代碼傳統(tǒng)的病毒（CIH等）傳染的獨(dú)立型惡意代碼蠕蟲病毒可以不依附于所謂的數(shù)組而獨(dú)立存在。蠕蟲一定經(jīng)過網(wǎng)絡(luò)傳播。傳染的獨(dú)立型惡意代碼是信息系統(tǒng)目前最大的威脅！惡意代碼的傳播方式38移動(dòng)存儲(chǔ)文件傳播軟件捆綁網(wǎng)絡(luò)傳播網(wǎng)頁(yè)電子郵件即時(shí)通訊共享主動(dòng)放

17、置AutoRunOPEN=Autorun.exeICON=icon.ico惡意代碼傳播方式-移動(dòng)存儲(chǔ)39自動(dòng)播放功能Windows默認(rèn)自動(dòng)執(zhí)行autorun.inf指定的文件設(shè)置組策略編輯器惡意代碼傳播方式-軟件捆綁強(qiáng)制安裝在安裝其他軟件時(shí)被強(qiáng)制安裝上默認(rèn)安裝在安裝其他軟件是被默認(rèn)安裝上40惡意代碼傳播方式-網(wǎng)頁(yè)41將木馬偽裝為頁(yè)面元素利用腳本運(yùn)行的漏洞偽裝為缺失的組件通過腳本運(yùn)行調(diào)用某些com組件在渲染頁(yè)面內(nèi)容的過程中利用格式溢出釋放或下載木馬惡意代碼傳播方式-郵件42社會(huì)工程學(xué)欺騙性標(biāo)題吸引人的標(biāo)題I love you病毒庫(kù)娃等利用系統(tǒng)及郵件客戶端漏洞尼姆達(dá)（畸形郵件MIME頭漏洞）惡意代

18、碼傳播方式-通訊與數(shù)據(jù)傳播即時(shí)通訊偽裝即時(shí)通訊中的用戶向其聯(lián)系人發(fā)送消息。使用欺騙性或誘惑性的字眼P2P下載偽造有效資源進(jìn)行傳播43惡意代碼傳播方式-共享共享44管理共享C盤、D盤Windows安裝目錄用戶共享用戶設(shè)置的共享典型病毒LovegateSpybotSdbot惡意代碼傳播方式-主動(dòng)放置獲得上傳文件權(quán)限，上傳木馬程序Web方式計(jì)劃任務(wù)注冊(cè)表攻擊者被攻擊者45惡意代碼傳播方式-漏洞利用各種系統(tǒng)漏洞緩沖區(qū)溢出：沖擊波、振蕩波利用服務(wù)漏洞IIS的unicode解碼漏洞：紅色代碼46知識(shí)域：惡意代碼知識(shí)子域：惡意代碼的實(shí)現(xiàn)技術(shù)理解惡意代碼修改配置文件、修改注冊(cè)表、設(shè)置系統(tǒng)服務(wù)等加載方式理解惡意

19、代碼進(jìn)程、網(wǎng)絡(luò)及系統(tǒng)隱藏技術(shù)理解惡意代碼進(jìn)程保護(hù)和檢測(cè)對(duì)抗自我保護(hù)技術(shù)47惡意代碼加載方式隨系統(tǒng)啟動(dòng)而加載開始菜單中的啟動(dòng)項(xiàng)啟動(dòng)配置文件注冊(cè)表啟動(dòng)項(xiàng)系統(tǒng)服務(wù)組策略隨文件執(zhí)行加載感染/文件捆綁瀏覽器插件修改文件關(guān)聯(lián)其他48隨系統(tǒng)啟動(dòng)加載方式-啟動(dòng)配置開始菜單啟動(dòng)項(xiàng)啟動(dòng)配置文件Autorun.batWin.iniSystem.ini已經(jīng)很少有病毒采用過于明顯用戶登錄后才能啟動(dòng)49隨系統(tǒng)啟動(dòng)加載方式-注冊(cè)表注冊(cè)表啟動(dòng)項(xiàng)：HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsloadHKEY_LOCAL_MACHINESoft

20、wareMicrosoftWindows NTCurrentVersionWinlogonUserinitHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce50優(yōu)勢(shì)隱蔽性強(qiáng)方式多樣加載位置Load鍵值Userinit鍵值RunRunServicesOnceRunServicesRunOnce隨系統(tǒng)啟動(dòng)加載方式-服務(wù)51優(yōu)勢(shì)隱蔽性強(qiáng)無(wú)需用戶登錄權(quán)限較高加載方式

21、單獨(dú)服務(wù)替換系統(tǒng)服務(wù)程序隨系統(tǒng)啟動(dòng)加載方式-組策略優(yōu)勢(shì)類似啟動(dòng)項(xiàng)，但隱蔽性更高不足需要用戶登錄52隨文件執(zhí)行加載方式-感染/文件合并傳統(tǒng)病毒宏病毒程序合并53隨文件執(zhí)行加載方式-瀏覽器插件優(yōu)勢(shì)隱蔽性強(qiáng)清理困難54隨文件執(zhí)行加載方式-修改文件關(guān)聯(lián)55原理正常情況下文本文件（.txt）關(guān)聯(lián)到記事本notepad.exe打開病毒修改文本文件（.txt）關(guān)聯(lián)到病毒文件打開優(yōu)勢(shì)隱蔽性強(qiáng)，可關(guān)聯(lián)任意類型文件，甚至可以關(guān)聯(lián)目錄操作惡意代碼隱藏技術(shù)進(jìn)程隱藏進(jìn)程迷惑DLL注入網(wǎng)絡(luò)隱藏端口復(fù)用無(wú)端口反向端口系統(tǒng)隱藏隱藏、系統(tǒng)文件流文件隱藏Hook技術(shù)56惡意代碼進(jìn)程隱藏技術(shù)-進(jìn)程迷惑隨機(jī)進(jìn)程名每次啟動(dòng)生成不一樣的

22、進(jìn)程名，退出后無(wú)法查找系統(tǒng)進(jìn)程類命名Windows.exeSystem1.exeKernel.exe相似進(jìn)程名同名不同路徑的進(jìn)程 c:windowssystem32iexplore.exe(trojan) c:Program FilesInternet Exploreriexplore.exe(right)名稱相近的程序 svchost.exe(right) svch0st.exe(trojan)57惡意代碼進(jìn)程隱藏技術(shù)-DLL注入動(dòng)態(tài)鏈接庫(kù)文件 （DLL）概念什么是DLL注入DLL注入技術(shù)是惡意代碼將DLL文件放進(jìn)某個(gè)進(jìn)程的地址空間里，讓它成為那個(gè)進(jìn)程的一部分DLL注入的優(yōu)勢(shì)無(wú)進(jìn)程隱蔽性強(qiáng)清

23、除難度大58惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-端口復(fù)用/無(wú)端口端口復(fù)用技術(shù)重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下用，具有很強(qiáng)的欺騙性無(wú)端口使用無(wú)端口的協(xié)議59icmphttp服務(wù)器客戶機(jī)80應(yīng)用服務(wù)惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-反彈端口端口反向連接技術(shù)，系指惡意代碼攻擊的服務(wù)端（被控制端）主動(dòng)連接客戶端（控制端）。60連接請(qǐng)求80連接請(qǐng)求攻擊者受害者受害者攻擊者惡意代碼隱藏技術(shù)-系統(tǒng)隱藏默認(rèn)情況下，windows不顯示隱藏文件和系統(tǒng)文件，惡意代碼將自身屬性設(shè)置為隱藏和系統(tǒng)文件以實(shí)現(xiàn)隱藏61惡意

24、代碼系統(tǒng)隱藏技術(shù)-流文件62ADS(Alternate Data Streams)交換數(shù)據(jù)流NTFS 文件系統(tǒng)下，每個(gè)文件都可以有多個(gè)數(shù)據(jù)流一個(gè)文件以流的形式附加到另一個(gè)文件（載體）中，流文件對(duì)explorer.exe等文件管理軟件不可見，病毒可以利用此方式進(jìn)行隱藏62惡意代碼系統(tǒng)隱藏技術(shù)-hook技術(shù)Hook（系統(tǒng)鉤子）鉤子機(jī)制允許應(yīng)用程序截獲處理window消息或特定事件。在目標(biāo)窗口處理消息前處理它63設(shè)置系統(tǒng)鉤子，勾取對(duì)文件及目錄操作獲得文件列表存放內(nèi)存地址獲取文件列表結(jié)果將病毒文件自身從列表結(jié)構(gòu)中刪除惡意代碼自我保護(hù)進(jìn)程保護(hù)進(jìn)程守護(hù)超級(jí)權(quán)限檢測(cè)對(duì)抗反動(dòng)態(tài)調(diào)試反靜態(tài)調(diào)試64惡意代碼進(jìn)程保

25、護(hù)-進(jìn)程守護(hù)主程序被停止，重新啟動(dòng)主程序重新啟動(dòng)主進(jìn)程65惡意代碼主程序?qū)崿F(xiàn)惡意代碼主功能守護(hù)程序監(jiān)視并保護(hù)主進(jìn)程正常運(yùn)行阻止主程序的退出重啟主程序從備份中還原主程序從網(wǎng)絡(luò)中重新下載主程序從備份中還原惡意代碼進(jìn)程保護(hù)-超級(jí)權(quán)限什么是超級(jí)權(quán)限技術(shù)惡意代碼通過將自身注冊(cè)成為設(shè)備驅(qū)動(dòng)，從而獲得較高權(quán)限，阻止反病毒軟件對(duì)它的查殺并干擾反惡意代碼軟件的正常運(yùn)行超級(jí)權(quán)限技術(shù)特點(diǎn)非常高的權(quán)限安全模式下可工作無(wú)法直接查殺66惡意代碼檢測(cè)對(duì)抗技術(shù)-反跟蹤為什么需要反跟蹤反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測(cè)與清除惡意代碼的難度。常用的反跟蹤技術(shù)有兩類反動(dòng)態(tài)跟蹤技術(shù)反靜態(tài)分析技術(shù)。 67惡意代碼反

26、調(diào)試技術(shù)-反動(dòng)態(tài)調(diào)試通過禁止跟蹤中斷、封鎖鍵盤輸入和屏幕顯示等方法，防止調(diào)試工具分析惡意代碼主要包括：禁止跟蹤中斷封鎖鍵盤輸入和屏幕顯示檢查運(yùn)行環(huán)境，破壞調(diào)試工具運(yùn)行68惡意代碼反調(diào)試技術(shù)-反靜態(tài)調(diào)試通過加殼、加密、變形以及代碼混淆等技術(shù)，加大惡意代碼自身的復(fù)雜性，增加調(diào)試分析的難度主要方法加殼：對(duì)惡意代碼的可執(zhí)行二進(jìn)制程序進(jìn)行壓縮，使其執(zhí)行流程發(fā)生變化加密：隨著加密密鑰的變化，惡意代碼會(huì)產(chǎn)生不同的表現(xiàn)形式，進(jìn)一步提高了其抗靜態(tài)分析的能力代碼混淆：通過插入偽指令、混淆程序數(shù)據(jù)和控制流等方法，防止靜態(tài)分析和檢測(cè)69知識(shí)域：惡意代碼知識(shí)子域：惡意代碼的防御技術(shù)理解惡意代碼預(yù)防方法：減少漏洞、減輕威

27、脅等理解惡意代碼特征碼掃描、行為檢測(cè)等檢測(cè)方法理解惡意代碼靜態(tài)與動(dòng)態(tài)分析方法理解不同類型惡意代碼的清除方法70惡意代碼的預(yù)防技術(shù)增強(qiáng)安全策略與意識(shí)減少漏洞補(bǔ)丁管理主機(jī)加固減輕威脅防病毒軟件間諜軟件檢測(cè)和刪除工具入侵檢測(cè)/入侵防御系統(tǒng)防火墻路由器、應(yīng)用安全設(shè)置等71惡意代碼檢測(cè)技術(shù)特征碼掃描校驗(yàn)和行為監(jiān)測(cè)72特征碼掃描工作機(jī)制：特征匹配病毒庫(kù)（惡意代碼特征庫(kù)）掃描（特征匹配過程）優(yōu)勢(shì)準(zhǔn)確(誤報(bào)率低)易于管理不足效率問題（特征庫(kù)不斷龐大、依賴廠商）滯后（先有病毒后有特征庫(kù)，需要更新特征庫(kù)）73應(yīng)用最廣泛的惡意代碼檢測(cè)技術(shù)惡意代碼檢測(cè)技術(shù)-沙箱技術(shù)74工作機(jī)制將惡意代碼放入虛擬機(jī)中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實(shí)際操作系統(tǒng)優(yōu)勢(shì)優(yōu)點(diǎn)能較好的解決變形代碼的檢測(cè)惡意代碼檢測(cè)技術(shù)-行為檢測(cè)工作機(jī)制：基于統(tǒng)計(jì)數(shù)據(jù)惡意代碼行為有哪些行為符合度優(yōu)勢(shì)能檢測(cè)到未知病毒不足誤報(bào)率高難點(diǎn)：病毒不可判定原則75惡意代碼分析技術(shù)靜態(tài)分析需