恶意代码原理、技术与防范 课件 1-恶意代码概述

第一章恶意代码概述引言恶意代码是攻击者故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。本章主要介绍恶意代码的发展过程、定义、基本模型、分类、命名规则以及发展趋势等相关内容。恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势1.1基本概念4本质：传播性、破坏性、未授权。恶意代码恶意代码是指在未经授权情况下，以破坏软硬件设备、窃取用户信息、扰乱用户正常使用为目的而编制的软件或代码片段。

--维基百科定义1.1基本概念5代码类型定义特点计算机病毒编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，能自我复制的一组计算机指令或程序代码。潜伏、传染和破坏蠕虫指通过计算机网络自我复制，消耗系统资源和网络资源的程序。扫描、攻击和扩散特洛伊木马指一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序。欺骗、隐蔽和信息窃取逻辑炸弹指一段嵌入计算机系统程序的，通过特殊的数据或时间作为条件触发，试图完成一定破坏功能的程序。潜伏和破坏分类1.1基本概念代码类型定义特点RootKit攻击者用来隐藏自已踪迹和保留root访问权限的工具。潜伏、提权和破坏流氓软件未经授权驻留在系统内部，用正常途径难于卸载，以发送广告等方式影响用户使用的程序。驻留、隐蔽和破坏网络钓鱼通过发送大量声称主业自于权威机构的欺骗性信息来引诱用户给出敏感信息的方法。欺骗、信息窃取勒索软件通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。加密、信息窃取、恐吓6分类1.1基本概念技术融合是恶意代码的发展趋势。为了实现攻击目标，恶意代码会融合不同种类恶意代码的技术，使得各种类之间的界限越来越模糊。恶意代码有无划分类别的必要？1.1基本概念8恶意代码的攻击模型攻击模型恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势1.2发展历程10产生阶段（1983年～1989年）：磁芯大战1983.11，Fred

Cohen编写首个复制自身的破坏性程序，命名为计算机病毒；1986，Virus/Boot.Brain,首个PC病毒，1988.11，Morris蠕虫11产生阶段的主要特征：1.攻击的目标单一，传染磁盘引导扇区或可执行文件；2.通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对特定目标进行传染；3.传染目标以后有明显特征；4.不具有自我保护的措施，容易被分析和解剖。1.2发展历程12初级发展阶段（1989年～1995年）：1989年

，“Ghostball”病毒，同时感染com文件和引导区；1990，“1260”病毒,首个多态病毒，1992，“Onehalf”病毒，多态、加密、位置随机；1993,病毒构造集“VirusConstructionSet”

1.2发展历程1.2发展历程13初级发展阶段的主要特征：1.目标趋于混合型，可同时传染磁盘引导扇区和可执行文件；2.以更为隐蔽的方法驻留内存和传染目标；3.开始采取加密和变形等自我保护措施，增加分析和查杀的难度；4.感染目标后没有明显的特征。1.2发展历程MS-DOS病毒发作表象1.2发展历程15互联网爆发阶段（1996年～2010年）：1995年，首个宏病毒；1998年，BO木马；1998年，CIH病毒2000年，爱虫病毒2003-2006，冲击波、震荡波等蠕虫….1.2发展历程16互联网爆发阶段的主要特征：1.类型多样化，不再局限于可执行文件；2.技术更深入，从应用到内核甚至是硬件层；3.木马成为恶意代码主要类型；1.2发展历程APT成为网络安全事件的主导2010年，Stuxnet2012年，Flame2015年，BlackEnergy2016年，Miria2017年，Wannacry等17专业综合阶段（2010年至今）：1.2发展历程1.政府等大玩家开始介入，出现攻守不对等性；2.目标更加明确，传播不再以扩散为主，而是定向传播；3.利用的0day漏洞进行传播和植入的种类更多；4.样本更难于捕获，保护能力更强，代码更难于分析；18专业综合阶段的主要特征：恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势1.2基本概念20命名方式示例发作的时间“黑色星期五”发作症状“小球”、“火炬”传染方式“疯狂拷贝”包含的标志“CIH病毒”发现地“巴基斯坦”、“耶路撒冷”字节长度“1813”命名规则（1）通用命名法：早期的恶意代码以计算机病毒为主体，同时新增的频度和数量有限，因此安全公司主要根据计算机病毒的属性例如发作时间、症状、宿主文件变化的大小等进行命名，这种方式被称为通用命名方法。1.2基本概念21（2）三元组命名规则含义示例前缀恶意代码的类型“backdoor、virus名称指恶意代码的家族特征“CIH”、“Sasser”后缀恶意代码的变种特征用a、b等字母表示命名规则1.2基本概念22前缀表示的类型：蠕虫：“Worm”为前缀；木马：“Trojan”为前缀；黑客程序:“Hack”、“Hacktool”为前缀；脚本病毒：“Script”、“Vbs”、“Js”为前缀；宏病毒：“Macro”为前缀；后门：”Backdoor”为前缀；玩笑病毒：“Joke”为前缀；捆绑机：”Binder”为前缀；漏洞利用:“Exploit”为前缀；……命名规则Worm.Win32.Sasser.bf、Macro.Word97.Melissa恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势1.4恶意代码的传播途径目前恶意代码的主要传播途径主要包括：通过不可移动的计算机硬件进行传播通过移动存储设备实现传播通过网络进行传播恶意代码的概念恶意代码的发展历程恶意代码的命名恶意代码的传播途径恶意代码的发展趋势1.5恶意代码的发展趋势恶意代码将具有以下发展趋势：种类多元化目标多样化技术复杂化操作专业化思考题271.“挖矿”脚本程序会在用户打开某些网页时自动运行，它将当前主机的CPU计算资源加入到矿池算力中。这种挖矿脚本算是恶意代码吗？为什么？2.恶意代码技具有技术混合化的趋势，有些恶意代码会综合使用病毒的感染技术、蠕虫的漏洞利用传播技术、木马的隐蔽手段和数据的破坏功能等，那么对此类恶意代码如何划分类别？有没有更好