《信息安全理論與技術(shù)》課件第7章 惡意代碼及防范技術(shù)

第七章惡意代碼及防范技術(shù)第七章惡意代碼及防范技術(shù)7.1惡意代碼的概念7.2惡意代碼的生存原理7.3惡意代碼的分析與檢測技術(shù)7.4惡意代碼的清除與預(yù)防技術(shù)7.1惡意代碼的概念7.1.1常見名詞舉例7.1.2惡意代碼的危害7.1.3惡意代碼的命名規(guī)則7.1.1惡意代碼常見名詞舉例計算機病毒：是一種計算機程序代碼，它遞歸地復(fù)制自己或其演化體。病毒感染宿主文件或者某個系統(tǒng)區(qū)域，或者僅僅是修改這些對象的引用，來獲得控制權(quán)并不斷地繁殖來產(chǎn)生新的病毒體蠕蟲病毒：主要在網(wǎng)絡(luò)上進行復(fù)制邏輯炸彈：通常是合法的應(yīng)用程序，在編程時寫入一些“惡意功能”7.1.1惡意代碼常見名詞舉例特洛伊木馬：隱藏在一個合法的軀殼下的惡意代碼漏洞利用：漏洞利用代碼（exploitcode）針對某一特定漏洞或一組漏洞下載器：通過破壞殺毒軟件，然后再從指定的地址下載大量其他病毒、木馬進入用戶電腦玩笑程序7.1.2惡意代碼的危害破壞數(shù)據(jù)占用磁盤存儲空間搶占系統(tǒng)資源影響計算機運行速度7.1.3惡意代碼的命名規(guī)則<病毒前綴>.<病毒名>.<病毒后綴>。病毒前綴是指一個病毒的種類病毒名是指一個病毒的家族特征，是用來區(qū)別和標識病毒家族的病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的7.2惡意代碼的生存原理7.2.1惡意代碼的生命周期7.2.2惡意代碼的傳播機制7.2.3惡意代碼的感染機制7.2.4惡意代碼的觸發(fā)機制7.2.1惡意代碼的生命周期設(shè)計期：用編程語言制造一個惡意代碼傳播期：通過不同的途徑散布和侵入受害系統(tǒng)中感染期：找到自己依附或隱藏的宿主，并實施依附或隱藏觸發(fā)期：滿足觸發(fā)條件時，惡意代碼進入運行期運行期：惡意代碼的惡意目的得以展現(xiàn)消亡期：惡意代碼被檢測出來，并應(yīng)用相應(yīng)的手段進行處理7.2.2惡意代碼的傳播機制惡意代碼傳播主要是通過復(fù)制文件、傳送文件、運行程序等方式進行。主要傳播機制：互聯(lián)網(wǎng)局域網(wǎng)移動存儲設(shè)備無線設(shè)備和點對點通信系統(tǒng)7.2.3惡意代碼的感染機制感染執(zhí)行文件主要感染.exe和.dll等可執(zhí)行文件和動態(tài)連接庫文件根據(jù)惡意代碼感染文件的方式不同，可以分為外殼型惡意代碼、嵌入型惡意代碼、源代碼型惡意代碼、覆蓋型惡意代碼和填充型惡意代碼等感染引導(dǎo)區(qū)如果惡意代碼感染了引導(dǎo)區(qū)，開機后，它被讀入內(nèi)存時，殺毒軟件還沒有讀入內(nèi)存，惡意代碼就獲得了系統(tǒng)控制權(quán)，改寫操作系統(tǒng)文件，隱藏自己7.2.3惡意代碼的感染機制感染結(jié)構(gòu)化文檔宏病毒是一種寄存在文檔或模板的宏中的惡意代碼。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上7.2.4惡意代碼的觸發(fā)機制惡意代碼在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動觸發(fā)7.2.4惡意代碼的觸發(fā)機制訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號/主板型號觸發(fā)被惡意代碼使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一個條件，而是使用由多個條件組合起來的觸發(fā)條件7.3惡意代碼的分析與檢測技術(shù)7.3.1惡意代碼的分析方法7.3.2惡意代碼的檢測方法7.3.1惡意代碼的分析方法靜態(tài)分析法:在不執(zhí)行惡意代碼的情況下進行分析?？梢苑譃樵创a分析、反匯編分析、二進制統(tǒng)計分析三種情況動態(tài)分析法:通過檢測惡意代碼執(zhí)行的過程，分析執(zhí)行過程中的操作進行分析7.3.1惡意代碼的分析方法在實際應(yīng)用中，一般將惡意代碼分析方法分成三類：基于代碼特征的分析方法基于代碼語義的分析方法基于代碼行為的分析方法。7.3.1惡意代碼的分析方法基于代碼特征的分析方法首先，獲取一個病毒程序的長度，根據(jù)長度可以將文件分為幾份然后，每份中選取通常為16或32個字節(jié)長的特征串最后，將選取出來的幾段特征碼及它們的偏移量存入病毒庫，標示出病毒的名稱7.3.1惡意代碼的分析方法基于代碼語義的分析方法通過各種渠道收集到最新的未知惡意代碼樣本時，進行文件格式分析對樣本文件的屬性進行查看分析對樣本的行為進行分析，分析它的本地感染行為，以及網(wǎng)絡(luò)傳播行為通過靜態(tài)反匯編工具（IDA等）對的惡意代碼程序的PE文件進行反匯編通過動態(tài)調(diào)試對惡意代碼加載調(diào)試，進一步分析代碼的操作7.3.1惡意代碼的分析方法基于代碼行為的分析方法。基于代碼行為的分析方法是基于以下理論展開的：軟件行為=API+參數(shù)六大類常見軟件惡意行為：修改注冊表啟動項修改關(guān)鍵文件控制進程訪問網(wǎng)絡(luò)資源修改系統(tǒng)服務(wù)控制窗口7.3.2惡意代碼的檢測方法基于特征碼的檢測法啟發(fā)式檢測法基于行為的檢測法完整性驗證法基于特征函數(shù)的檢測方法7.4惡意代碼的清除與預(yù)防技術(shù)7.4.1惡意代碼的清除技術(shù)7.4.2惡意代碼的預(yù)防技術(shù)7.4.1惡意代碼的清除技術(shù)選擇適當?shù)姆怄i策略鑒別和隔離被感染主機阻塞發(fā)送出的訪問關(guān)閉郵件服務(wù)器斷開局域網(wǎng)與因特