第06章惡意代碼

第6章惡意代碼惡意代碼造成的經(jīng)濟(jì)損失Windows7蘋果手機(jī)惡意代碼在安全方面的威脅1991海灣戰(zhàn)爭美國使伊拉克從第三方買入的打印機(jī)中植入可遠(yuǎn)程控制的惡意代碼，使其整個計(jì)算機(jī)網(wǎng)絡(luò)管理的雷達(dá)預(yù)警系統(tǒng)全面癱瘓。惡意代碼機(jī)理研究未來惡意代碼的趨勢中國首屆網(wǎng)絡(luò)安全宣傳周

2014-11-24-30日北京360展臺--綿羊墻

綿羊墻（TheWallofSheep）是在西方舉行的各種黑客大會或安全大會上經(jīng)常出現(xiàn)的趣味活動，源自于黑客大會的鼻祖Defcon。2002年第十界Defcon大會的期間，一群參會的黑客偶然坐到一起，他們想掃描網(wǎng)絡(luò)找出那些使用不安全的口令，用戶密碼上網(wǎng)和收發(fā)電子郵件的人，當(dāng)他們破獲這些人的信息后，會找一些餐廳用的紙盤子把這些人的用戶名及其部分密碼寫在上面，并將這些紙盤子貼在墻上，還在墻上寫了個大大的“Sheep”。黑客們這樣做是想教育人們：“你很可能隨時都被監(jiān)視”。Cookie第6章惡意代碼6.1惡意代碼的概念及關(guān)鍵技術(shù)重點(diǎn)6.2計(jì)算機(jī)病毒6.3木馬6.4蠕蟲6.5其他常見惡意代碼國家互聯(lián)網(wǎng)應(yīng)急中心關(guān)于近期我國部分網(wǎng)站遭受頁面劫持情況的提示2015年4月26日以來，我國部分網(wǎng)站頁面被劫持，經(jīng)查是由于境外服務(wù)器對我國境內(nèi)部分遞歸域名服務(wù)器投毒所致。被污染域名為，投毒后遞歸域名服務(wù)器上該域名被指向或4或5。此事件發(fā)生后，運(yùn)營商積極采取措施，對被投毒域名指向進(jìn)行刷新或修改，及時控制了事件的進(jìn)一步擴(kuò)散。至4月30日12時，仍有少數(shù)遞歸域名服務(wù)器處于被污染狀態(tài)。CNCERT提醒遞歸域名服務(wù)器所有者，采取有效措施，及時刷新被污染域名，避免給用戶帶來不便。關(guān)于監(jiān)控設(shè)備存在高危漏洞可被入侵控制并對外發(fā)動網(wǎng)絡(luò)攻擊的情況通報

2月27日，監(jiān)控設(shè)備存在高危漏洞可被入侵控制并對外發(fā)動網(wǎng)絡(luò)攻擊的安全隱患問題引起社會廣泛關(guān)注。因涉事監(jiān)控設(shè)備在國內(nèi)，特別是政府機(jī)關(guān)和公共行業(yè)的應(yīng)用較廣泛，存在風(fēng)險較為嚴(yán)重。

自2013年起，“?？低暋碑a(chǎn)品陸續(xù)被曝光存在多個嚴(yán)重漏洞。截至2015年3月，國家信息安全漏洞共享平臺（以下簡稱“CNVD”）共向“海康威視”的400郵箱通報了4起高危漏洞事件，主要危害是可獲取后臺管理權(quán)限或可取得系統(tǒng)服務(wù)器遠(yuǎn)程控制權(quán)限。

最新漏洞[2015-5-15]關(guān)于虛擬機(jī)管理組件QEMU存在VENOM（毒液）高危漏洞的情況公告[2015-04-21]關(guān)于微軟IIS服務(wù)器存在遠(yuǎn)程代碼執(zhí)行漏洞威脅的情況通報[2015-04-17]Microsoft發(fā)布2015年4月安全更新[2015-04-17]Microsoft發(fā)布2015年4月安全更新6.1惡意代碼的概念及關(guān)鍵技術(shù)6.1.1惡意代碼的概念6.1.2惡意代碼生存技術(shù)6.1.3惡意代碼隱藏技術(shù)6.1.1惡意代碼的概念Grimes惡意代碼概念：經(jīng)過存儲介質(zhì)和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播，從一臺計(jì)算機(jī)系統(tǒng)到另一臺計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)而破壞計(jì)算機(jī)系統(tǒng)的安全性和完整性的程序或代碼。惡意代碼定義最顯著的兩個特點(diǎn)：非授權(quán)破壞常見的惡意代碼（3+4）表6-1p134-6.1.1惡意代碼的概念惡意代碼分類：依賴于宿主程序：病毒、邏輯炸彈后門獨(dú)立于宿主程序：蠕蟲和僵尸不進(jìn)行復(fù)制：邏輯炸彈后門僵尸程序進(jìn)行復(fù)制：病毒和蠕蟲-6.1.1惡意代碼的概念惡意代碼發(fā)展體現(xiàn)的3個特征：惡意代碼日趨復(fù)雜和完善惡意代碼編制方法和發(fā)布速度更快從病毒->電子郵件蠕蟲—>利用系統(tǒng)漏洞主動攻擊的惡意代碼6.1.2惡意代碼生存技術(shù)（4種）1）反跟蹤技術(shù)2）加密技術(shù)：3）模糊變換技術(shù)4）自動生產(chǎn)技術(shù)6.1.2惡意代碼生存技術(shù)（4種）1）反跟蹤技術(shù)反動態(tài)跟蹤：禁止跟蹤中斷、封鎖鍵盤輸入和屏幕顯示、檢測（調(diào)試器）跟蹤法、其他反跟蹤技術(shù)。反靜態(tài)跟蹤：對惡意程序代碼分塊加密執(zhí)行，偽指令法2）加密技術(shù)：與反跟蹤技術(shù)配合使用，使分析者無法正常調(diào)用和閱讀惡意代碼，從而無法抽取惡意代碼的特征串，也無法知道其工作機(jī)理。3）模糊變換技術(shù)指令替換技術(shù)JMPCALL指令壓縮技術(shù)指令擴(kuò)展技術(shù)偽指令技術(shù)重編譯技術(shù)4）自動生產(chǎn)技術(shù)計(jì)算機(jī)病毒生產(chǎn)器使得對計(jì)算機(jī)病毒一無所知的普通用戶，也能組合出功能各異的計(jì)算機(jī)病毒。6.1.3惡意代碼隱藏技術(shù)本地隱藏文件隱藏惡意代碼文件名改為系統(tǒng)合法程序名；操作系統(tǒng)命令；扇區(qū)標(biāo)記為壞塊隱藏進(jìn)程隱藏附著或替換系統(tǒng)進(jìn)程。網(wǎng)絡(luò)連接隱藏熟知的網(wǎng)絡(luò)端口來隱藏網(wǎng)絡(luò)連接HTTP80端口編譯器隱藏植入者編譯器開發(fā)人員Rootkit隱藏：用戶模式和內(nèi)核模式網(wǎng)絡(luò)隱藏

防火墻和入侵檢測層的安全機(jī)制：內(nèi)容加密可隱藏通信內(nèi)容，不能隱藏通信狀態(tài)，因此對傳輸信道的隱藏主要采用隱蔽通道技術(shù)。隱蔽通道技術(shù)分2類存儲隱蔽通道時間隱蔽通道

隱蔽通道分兩類存儲隱蔽通道：一個進(jìn)程可以直接或間接訪問某存儲空間，而該存儲空間有可以被另一個進(jìn)程訪問，兩個進(jìn)程間形成的通道成為存儲隱蔽空間。時間隱蔽通道：一個進(jìn)程對系統(tǒng)性能產(chǎn)生的影響可以被另一個進(jìn)程觀察到并且可以利用一個時間基準(zhǔn)進(jìn)行測量，這樣形成的信息通道成為時間隱蔽通道。舉例：發(fā)送進(jìn)程和接收進(jìn)程共享一個客體，網(wǎng)絡(luò)數(shù)據(jù)包。對數(shù)據(jù)內(nèi)容的修改對應(yīng)于存儲隱蔽通道；對數(shù)據(jù)包順序進(jìn)行編號或者改變數(shù)據(jù)包的發(fā)送時間對應(yīng)于時間隱蔽通道。6.2計(jì)算機(jī)病毒6.2.1計(jì)算機(jī)病毒概述6.2.2計(jì)算機(jī)病毒防治技術(shù)6.2.1計(jì)算機(jī)病毒概述1）病毒的概念和特征2）病毒的種類3）病毒的傳播-病毒的概念和特征概念：計(jì)算機(jī)病毒是一種人為編制的、能夠?qū)τ?jì)算機(jī)正常程序或數(shù)據(jù)文件造成破壞，并且能夠自我復(fù)制的一組指令程序代碼。特征：破壞性傳染性隱蔽性潛伏性多態(tài)性檢測困難不能通過掃描特征字符串發(fā)現(xiàn)不可預(yù)見性2）病毒的種類按破壞程度強(qiáng)弱分：良性惡性按傳染方式分：文件型病毒引導(dǎo)型病毒按連接方式分：源碼型病毒、嵌入型、操作系統(tǒng)型外殼性3）病毒的傳播網(wǎng)絡(luò)可移動存儲設(shè)備通信系統(tǒng)6.2.2計(jì)算機(jī)病毒防治技術(shù)（4）病毒預(yù)防技術(shù)病毒免疫技術(shù)病毒檢測技術(shù)?反病毒軟件6.2.2計(jì)算機(jī)病毒防治技術(shù)（4）病毒預(yù)防技術(shù)病毒的傳播途徑及預(yù)防措施不可移動的計(jì)算機(jī)硬件設(shè)備，包括ROM芯片、專用ASIC芯片和硬盤：新購置可移動的存儲設(shè)備。

計(jì)算機(jī)網(wǎng)絡(luò)點(diǎn)對點(diǎn)通信系統(tǒng)

無線通信網(wǎng)病毒的寄生場所及預(yù)防措施引導(dǎo)扇區(qū)計(jì)算機(jī)文件內(nèi)存空間文件分配表中斷向量病毒的寄生場所及預(yù)防措施引導(dǎo)扇區(qū)計(jì)算機(jī)文件執(zhí)行文件.com.exe；宏命令文件內(nèi)存空間文件分配表FAT

中斷向量病毒程序一般采用中斷方式執(zhí)行，先修改中斷向量，使系統(tǒng)在適當(dāng)?shù)臅r間轉(zhuǎn)向執(zhí)行病毒程序，在病毒程序完成傳染或破壞目的后，在轉(zhuǎn)回原來的中斷處理。匯編語言6.2.2-病毒免疫技術(shù)針對某一種病毒進(jìn)行的免疫方法為首保護(hù)對象加上特定病毒的感染標(biāo)記（免疫標(biāo)記）缺點(diǎn)：對不舍又感染標(biāo)記不能達(dá)到免疫目的；對病毒的變種不再使用感染標(biāo)記或新病毒；病毒種類太多；只能組織傳染，不能組織破壞。針對自我完整性檢查的免疫方法為可執(zhí)行程序增加一個免疫外殼，在免疫外殼記在有關(guān)用于恢復(fù)自身的信息。免疫外殼先執(zhí)行，檢查程序大小，校驗(yàn)和。。。，沒有異常，再執(zhí)行該程序。6.2.2-病毒檢測技術(shù)特征判定技術(shù)靜態(tài)

根據(jù)病毒程序特征(如感染標(biāo)記，特征程序段內(nèi)容等）對病毒進(jìn)行分類，而后在程序運(yùn)行過程凡有類似特征點(diǎn)出現(xiàn)，則認(rèn)定為病毒比較法可能感染對象vs原始備份掃描法

每種病毒代碼含有的特定字符或字符串特征掃描器：病毒特征碼庫掃描引擎。校驗(yàn)和法

分析法未知新病毒，對使用者的要求高行為判定技術(shù)：動態(tài)

占用INT13H

：引導(dǎo)型病毒攻擊引導(dǎo)扇區(qū)后，一般占用Int13H

向.com和.exe做寫入動作病毒和宿主程序的切換6.2.2-反病毒軟件反病毒軟件發(fā)展經(jīng)歷4代：簡單掃描病毒特征匹配符啟發(fā)式掃描自行發(fā)現(xiàn)規(guī)律，解密；完整的檢查，校驗(yàn)和存儲自駐留型受染文件中病毒的行為而非特征鑒別病毒全面預(yù)防措施一組含有許多和反病毒技術(shù)聯(lián)系的包，包括掃描軟件和主動設(shè)置陷阱，訪問控制，限制病毒入侵能力6.3木馬6.3.1木馬概述6.3.2木馬的工作原理6.3.3木馬防治技術(shù)6.3.1木馬概述引入：特洛伊木馬vs計(jì)算機(jī)領(lǐng)域木馬：有隱藏性，與遠(yuǎn)程計(jì)算機(jī)連接遠(yuǎn)程機(jī)通過網(wǎng)絡(luò)控制本地機(jī)的惡意程序木馬與傳統(tǒng)病毒的不同不像感染文件；一般以尋找后門、竊取密碼和重要文件為主；對計(jì)算機(jī)進(jìn)行監(jiān)視、控制、查看、修改資料有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。木馬的危害以網(wǎng)絡(luò)為依托傳播，偷取用戶隱私后門程序黑客從這個后門進(jìn)入系統(tǒng)，隨心所欲計(jì)算機(jī)……查看發(fā)布DDoS攻擊6.3.2木馬的工作原理木馬的工作模式客戶機(jī)/服務(wù)器：控制端/入侵計(jì)算機(jī)中綁定將木馬服務(wù)器綁定在某個合法軟件上，誘使用戶使用該合法軟件木馬的攻擊步驟(6)配置木馬：木馬偽裝信息反饋傳播木馬：用戶打開郵件，運(yùn)行綁定木馬的程序，木馬偽裝方法（6）運(yùn)行木馬：安裝觸發(fā)條件信息收集，反饋建立連接遠(yuǎn)程控制木馬常用技術(shù)進(jìn)程注入技術(shù)三線程技術(shù)端口復(fù)用技術(shù)超級管理技術(shù)廣外女生金山毒霸天網(wǎng)防火墻端口反向連接技術(shù)國外Boint國內(nèi)灰鴿子6.3.3木馬防治技術(shù)木馬預(yù)防不隨意打開不隨意下載及時修補(bǔ)。。木馬檢測與清除查看開放端口名令netstate工具fport查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看啟動刪除可以啟動程序查看系統(tǒng)進(jìn)程并停止可疑進(jìn)程查看和還原注冊表。使用殺毒軟件和木馬查殺工具6.4蠕蟲6.4.1蠕蟲概述6.4.2蠕蟲的傳播過程6.4.3蠕蟲的分析和防范6.4.1蠕蟲概述蠕蟲

一種結(jié)合黑客技術(shù)和計(jì)算機(jī)病毒技術(shù)，利用系統(tǒng)漏洞和應(yīng)用軟件漏洞，通過復(fù)制自身畸形傳播的、完全獨(dú)立的程序代碼

1988莫里斯蠕蟲1998HaPpy99蠕蟲蠕蟲和病