信息安全技术概论11章 恶意代码检测与防范技术

第十一章 恶意代码检测与防备技术2学时课间播放

QQ密码攻击过程演示本章内容常见恶意代码恶意代码的机理恶意代码分析与检测恶意代码去除与防备11.1 常见恶意代码恶意代码是指以危害信息的平安等不良意图为目的的程序。 恶意代码的危害攻击系统危害数据文件的平安存储和运用泄露文件、配置和隐私信息肆意占用资源攻击运用程序 常见的恶意代码计算机病毒蠕虫特洛伊木马后门程序恶作剧程序阅读器劫持软件、间谍软件等计算机病毒计算机病毒是一种特殊的计算机程序，可以寻觅宿主对象，并且依靠于宿主，是一类具有传染、隐蔽、破坏等才干的恶意代码。1994年2月18日，我国正式公布实施<中华人民共和国计算机信息系统平安维护条例>的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机运用，并能自我复制的一组计算机指令或者程序代码。〞此定义具有法律性、权威性。计算机病毒的特点传染性:计算机病毒也会经过各种媒体从已被 感染的计算机分散到未被感染的计算机。隐蔽性:计算机病毒隐蔽性是指计算机病毒不 经过程序代码分析或计算机病毒代码扫描，病 毒程序与正常程序是不容易区别开来的。埋伏性〔依靠性〕:计算机病毒埋伏性是指病毒具有依靠其他媒体而寄生的才干。埋伏性的一种表现指的是病毒程序假设不用专门的检测程序是检测，是检查不来的，因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。表现性:病毒的表现性是指当病毒触发条件满足时，病毒在被计算机病毒感染的计算机上开场发作，表现出一定的病症和破坏性。

传染性和依靠性是计算机病毒区别且他恶意代码的本质特征病毒未授权的内部访问系统入侵偷窥私人信息电信欺骗金融欺骗破坏被动搭线窃听自动搭线窃听笔记本电脑盗窃内部人员对网络的滥用73％68％57％39％10％20％30％40％50％60％70％80％021％73％16％14％13％13％9％1％据1998年CSI/FBI计算机犯罪和平安调查报告中对攻击的分类调查显示，计算机病毒占一切攻击类型的首位.计算机病毒的分类攻击对象计算机系统病毒计算机网络病毒操作系统WindowsLinuxunix感染对象引导型文件型 CIH病毒CIH病毒，又名"切尔诺贝利"，是一种可怕的电脑病毒。它属于MicrosoftOffice的macro病毒类。它会感染他的电脑里面的*.exe(执行档)，由Win95/98至一切的运用软件。感染速度非常之快，所以也非常可怕。它是台湾大学生陈英豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写"CIH"名的电脑病毒〔即切核病毒〕。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。 蠕虫蠕虫是一种可以经过网络〔永久性网络衔接或拨号网络〕进展本身复制的病毒程序。蠕虫是一个独立运转的程序，本身不改动其他程序，但可携带一个具有改动其他程序功能的病毒。一旦在系统中激活，蠕虫可以表现得像计算机病毒。可以向系统注入特洛伊木马程序，或者进展任何次数的破坏或消灭行动。普通计算机病毒需求在计算机的硬盘或文件系统中繁衍，而典型的蠕虫程序那么不同，只会在内存中维持一个活动副本，甚至根本不向硬盘中写入任何信息。 蠕虫的复制步骤搜索系统或网络，确认下一步要感染的目的建立与其他系统或远程主机的衔接将本身复制到其他系统或远程主机，并尽能够激活它们划时代的“红色代码〞2001.7红色代码“红色代码〞病毒是一种新型网络病毒，其传播所运用的技术可以充分表达网络时代网络平安与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。“红色代码〞病毒是经过微软公司IIS系统破绽进展感染，它使IIS效力程序处置恳求数据包时溢出，导致把此“数据包〞当作代码运转，病毒驻留后再次经过此破绽感染其它效力器。“红色代码〞病毒采用了一种叫做“缓存区溢出〞的黑客技术，利用网络上运用微软IIS系统的效力器来进展病毒传播。这个蠕虫病毒运用效力器的端口80进展传播，而这个端口正是Web效力器与阅读器进展信息交流的渠道。“红色代码II〞病毒体内还包含一个木马程序，这意味着计算机黑客可以对遭到入侵的计算机实施全程遥控，并使得“红色代码II〞拥有前身无法比较的可扩展性，只需病毒作者情愿，随时可改换此程序来到达不同的目的。特洛伊木马特洛伊木马是指一个有用的，或者外表上有用的程序或命令过程，但其中包含了一段隐藏的、激活时将执行某种有害功能的代码，可以控制用户计算机系统的程序，并能够呵斥用户的系统被破坏甚至瘫痪。特洛伊木马程序可以用来非直接地完成一些非授权用户不能直接完成的功能。木马不是病毒，不复制。 原理 鸽子远程监控软件分两部分：客户端和效力端。黑客支配着客户端，利用客户端配置生成出一个效力端程序。效力端文件的名字默以为G_Server.exe，然后黑客经过各种渠道传播这个效力端〔俗称种木马〕。上机实验 灰鸽子木马11.2 恶意代码的机理

传播机制文件流动网页脚本和插件电子邮件数字内容播放网络攻击自我传播

感染机制感染引导系统

内存病毒感染其它磁盘原始引导扇区信息引导扇区病毒感染过程

感染文件

覆盖型文件病毒依靠型文件病毒伴随型病毒.EXE病毒.EXE文件型病毒任务方式.EXE

感染构造化文档所谓宏，就是软件设计者为了在运用软件任务时，防止一再的反复一样的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再任务时，就可以直接利用事先写好的宏自动运转，去完成某项特定的义务，而不用再反复一样的任务。所谓宏病毒，就是利用软件所支持的宏命令编写成的具有复制、传染才干的宏。

宏病毒的分类宏病毒根据传染的宿主的不同可以分为：传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统运用较多，所以大家议论的宏病毒普通是指Word宏病毒。

Word宏病毒的特点 〔1〕以数据文件方式传播，隐蔽性好，传播速 度快，难于杀除 〔2〕制造宏病毒以及在原型病毒上变种非常方便 〔3〕破坏能够性极大

Word宏病毒的表现 Word宏病毒在发作时，会使Word运转出现怪景象，如自动建文件、开窗口、内存总是不够、封锁WORD不对已修正文件提出未存盘警告、存盘文件丧失等，有的使打印机无法正常打印。Word宏病毒在传染时，会使原有文件属性和类型发生改动，或Word自动对磁盘进展操作等。当内存中有Word宏病毒时，原Word文档无法另存为其他格式的文件，只能以模板方式进展存储。

感染网络效力或客户端冒充文件

11.3 恶意代码分析与检测1.比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进展比较。比较时可以靠打印的代码清单〔比如DEBUG的D命令输出格式〕进展比较，或用程序来进展比较〔如DOS的DISKCOMP、COMP或PCTOOLS等其它软件〕。这种比较法不需求公用的查病毒程序，只需用常规DOS软件和PCTOOLS等工具软件就可以进展。而且用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。由于病毒传播得很快，新病毒层出不穷，还没有做出通用的能查出一切病毒，发现新病毒就只需靠比较法和分析法，有时必需结合这两者来一同任务。2.特征代码扫描法 病毒的特征代码是病毒程序编制者用来识别本人编写程序独一的代码串。可利用病毒的特征代码检测病毒程序和防止病毒程序传染。 特征代码扫描法所用的软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进展扫描的扫描程序。翻开被检测文件，搜索检查文件中能否含有病毒数据库中的病毒特征代码。假设发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定被查文件中患有何种病毒。 3.校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保管。在文件运用过程中，定期地或每次运用文件前，检查文件如今内容算出的校验和与原来保管的校验和能否一致，因此可以发现文件能否感染，这种方法叫校验和法，它既可发现知病毒又可发现未知病毒。在SCAN工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测才干。4.分析法普通运用分析法的人不是普通用户，而是反病毒技术人员。运用分析法的目的在于：确认被察看的磁盘引导区和程序中能否含有病毒；假设有病毒，确认病毒的类型和种类，断定其能否是一种新病毒；假设是新病毒，搞清楚病毒体的大致构造，提取特征代码或特征字，用于增添到病毒代码库供病毒扫描和识别程序用；详细分析病毒代码，为制定相应的反病毒措施制定方案。11.4 恶意代码去除与防备 去除计算机病毒完全