《信息安全导论》 课件 第7章 软件安全与病毒防护

第七章软件安全与病毒防护1.代码安全漏洞2015年4月中旬，阿里安全研究实验室发现了一个名为“WiFi杀手”的安卓系统漏洞。利用该漏洞，黑客可对开启了WiFi的安卓手机远程攻击，窃取手机内的照片、通讯录等重要信息，影响市面上大部分安卓设备。除了手机上的代码漏洞问题，Web应用程序的漏洞问题也是当前攻击事件频发的根源之一。虽然目前绝大部分网络已安装有防火墙、入侵检测系统等安全设备，但并没有从根本上解决Web安全问题。由于现实世界中存在各种恶意企图的攻击者，利用系统存在的、或是新挖掘出的安全漏洞，加上安全防护体系的缺陷、使用人员的安全意识薄弱、管理制度的薄弱等问题，Web应用安全事件层出不穷。根据补天漏洞响应平台的数据进行的统计，自2014年4月至2015年3月的12个月间，补天平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个。其中，高危漏洞2611个，占74.7%；中危漏洞691个，占19.8%；低危漏洞193个，占5.5%。Web应用程序的漏洞问题也是当前攻击事件频发的根源之一。事例：黑客捏造了一篇清华大学校长顾秉林接受采访的新闻报道，批评现行教育制度应用软件面临的第1个安全问题是：代码安全漏洞手机恶意程序的数量逐年翻翻。这些安装在手机中的恶意程序可以对用户进行远程控制、隐私窃取、恶意扣费。手机恶意程序的数量逐年翻翻。手机上的恶意程序还只是整个信息系统中恶意代码的冰山一角。黑客会盗取网站后台数据库的重要信息，对社会对个人造成更大的损坏。视频3：专业黑客组织HackingTeam被黑应用软件的第3个安全问题：对应用软件本身的非法访问例如针对手机的越狱越狱反映的安全问题有：一是，越狱打破了手机封闭的生态环境，给获得了root权限的恶意代码有了可趁之机。二是，越狱后的设备失去了厂商对其保修的保护。三是，越狱后手机安装被破解的应用程序涉及盗版行为，侵犯了版权人的利益。根据应用软件面临的三大安全问题，应用软件安全包括：一是防止对应用软件漏洞的利用，如代码安全漏洞的防范；二是防止应用软件对支持其运行的计算机系统的安全产生破坏，如恶意代码的防范；三是防止对应用软件本身的非法访问，如对软件版权的保护。接下来本讲就主要围绕第2个方面展开介绍，介绍恶意代码的概念和防范技术恶意代码（Malware，也就是MaliciousSoftware的缩写），是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。恶意代码是软件或代码片段，其实现方式可以有多种，如二进制执行文件、脚本语言代码、宏代码、寄生在其他代码或启动扇区中的一段指令。依据定义，恶意代码包括：计算机病毒（ComputerVirus）蠕虫病毒（Worm）特洛伊木马（TrojanHorse）后门（BackDoor）内核套件（Rootkit）间谍软件（Spyware）恶意广告（DishonestAdware）流氓软件（Crimeware）恶意软件依赖主机程序独立于主机程序后门逻辑炸弹木马病毒蠕虫病毒僵尸(DOS)可复制从主机依赖的角度进行的分类，恶意软件大致分为两类：18（1）计算机病毒在1994年2月28日颁布的《中华人民共和国计算机信息系统安全保护条例》中是这样定义计算机病毒的：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，且能自我复制的一组计算机指令或者程序代码。（1）计算机病毒按照病毒的寄生存储的位置分类（1）引导型病毒。也称为引导区病毒。操作系统的引导模块存放在磁盘引导区，并且控制权的转接方式是以物理地址为依据，因此病毒占据该物理位置即可获得控制权。（2）文件型病毒。文件型病毒主要感染可执行文件，如扩展名为.EXE、.COM等文件，是一种较为常见的病毒。目录病毒是文件型病毒的一种特例，其感染方式非常独特，仅修改目录区，便可达感染的目的。宏病毒则是一种数据文件型病毒。（3）混合型病毒。也称为多型病毒，是综合了引导型和文件型病毒特征的病毒，可感染文件和引导扇区两种目标。（1）计算机病毒特点：寄生性：计算机病毒不是用户所希望执行的程序，一般不独立存在（计算机病毒本原除外），而是寄生在别的有用的程序或文档之上。可执行性：计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。隐蔽性：有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难（1）计算机病毒特点：传染性：计算机病毒最特殊的地方在于它能自我复制，或者称为传染性可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力破坏性：产生破坏。（1）计算机病毒它的另一特殊之处是，在条件满足时能被激活，可称为潜伏性或可触发性。当然，破坏性是其主要特征。计算机病毒在结构上有着共同性，一般由潜伏、传染和表现3部分组成。（2）蠕虫定义：1988年Morris蠕虫爆发该蠕虫是网络中的超级间谍，狡猾地不断截取用户口令等网络中的“机密文件”，利用这些口令欺骗网络中的“哨兵”，长驱直入互联网中的用户电脑。入侵得手，立即反客为主，并闪电般地自我复制，抢占地盘。用户目瞪口呆地看着这些不请自来的神秘入侵者迅速扩大战果，充斥电脑内存，使电脑莫名其妙地“死掉”康奈尔大学高材生：罗伯特莫里斯（2）蠕虫定义：1988年尤金·斯帕福德(EugeneSpafford)为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“蠕虫程序可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”美国普渡大学信息安保教育和研究中心主任、前沿互联网安全专家（2）蠕虫独立的计算机程序，不需要宿主自我复制，自主传播（Mobile）利用系统漏洞利用电子邮件（无需用户参与）占用系统网络资源，破坏其他程序（2）蠕虫2001年7月19日CRI蠕虫病毒发作24小时全球感染图传播速度快:在网络中通过网络通信机制，借助高速通信网络进行迅速扩散。（2）蠕虫清除难度大网络中只要有一台主机未能杀毒干净就可使整个网络重新全部被病毒感染。甚至刚刚完成杀毒工作的一台主机马上就能被网上另一台主机的带毒程序所传染。仅对主机进行病毒清除不能彻底解决网络蠕虫的问题，而需要借助防火墙等安全设备进行管理。（2）蠕虫破坏力强网络中蠕虫病毒直接影响网络的工作状态，轻则降低速度，影响工作效率，重则造成整个网络系统瘫痪，破坏服务器系统资源，使系统数据毁于一旦。（2）蠕虫与病毒的区别：蠕虫和病毒都具有传染性和复制功能，但蠕虫的最大特点是利用各种安全漏洞进行自动传播（2）蠕虫蠕虫在功能上可以分为基本功能模块和扩展功能模块。实现了基本功能模块的蠕虫程序就能完成复制传播流程，包含扩展功能模块的蠕虫程序则具有更强的生存能力和破坏力。扫描搜索模块基本功能模块攻击模块传输模块信息收集模块繁殖模块隐藏模块破坏模块通信模块控制模块扩展功能模块蠕虫程序功能结构扫描搜索模块攻击模块传输模块信息收集模块繁殖模块寻找下一台要传染的计算机。为提高搜索效率，可以采用搜索算法。在被感染的计算机上建立传输通道。为减少传染数据传输量，可以采用引导式结构。计算机之间的蠕虫程序复制。搜寻和建立被传染计算机的信息。建立自身的多个副本，在同一台计算机上提高传输效率、避免重复传输。隐藏模块破坏模块通信模块控制模块隐藏蠕虫程序，使简单的检测不能发现蠕虫。摧毁或破坏被感染计算机，或在被感染计算机上留下后门程序等。蠕虫之间、蠕虫同黑客之间进行交流，这可能是未来蠕虫发展重点。调整蠕虫行为，更新其他功能模块，控制被感染计算机。（3）木马名称由来：特洛伊木马计（3）木马该木马主要通过不良网站提供假视频下载地址进行广泛传播。当用户安装了携带该木马的视频播放软件后，该木马就随之运行，监视用户的网上银行操作，篡改用户的网银订单，从而获得现金转账，导致用户资金的流失。2013年9月，被安全软件厂商腾讯管家截获。

弼马温木马（3）木马通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门，没有自我复制的功能一种表面有用，但实际有破坏作用的计算机程序

（3）木马（3）木马木马病毒组成一个完整的木马程序由两部分组成

服务器端中木马的计算机,即被控制端客户端通过网络控制您的计算机木马内的士兵城外的大部队客户端Internet服务器端①配置木马②传播木马传播方式｝启动方式｝发作方式｝③运行木马④建立链接⑤传回消息木马病毒如何工作Internet1.下载邮件2.释放木马3.复制到系统4.在系统中隐藏5.发回密码信息（3）木马特点：隐蔽性：为了防止木马被发现，会采用多种手段隐藏木马，这样受控端即使发现感染了木马，也不能确定其具体位置；非授权性：指一旦控制端与受控端连接后，控制端将享有受控端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等（3）木马共性是自我传播，都不感染其他文件。传播特性：木马需要诱骗用户上当后进行传播，而蠕虫包含自我复制程序，利用漏洞进行传播。破坏性：蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上，而木马更多体现在秘密窃取用户信息上。与蠕虫的区别与联系：（4）后门后门是指绕过安全控制而获取对程序或系统访问权的方法，最主要目的就是方便以后再次秘密进入或者控制系统。（4）后门两种情况：攻击者攻陷一台主机，获得其控制权后，在主机上建立后门，比如安装木马程序，以便下一次入侵时使用。在程序开发与调试期间，程序员常常为了测试一个模块，或者为了今后的修改与扩充，或者为了在程序正式运行后，当程序发生故障时能够访问系统内部信息等目的而有意识预留的。（4）后门Word2003程序中的彩蛋：输入=rand()，看看效果（4）后门Word2003程序中的彩蛋：输入=rand()，看看效果（5）Rootkit最初，Rootkit是攻击者用来修改Unix操作系统和保持根权限且不被发现的工具，正是由于它是用来获得root后门访问的kit工具包，所以被命名为“root”+“kit”。目前通常所说的Rootkit是指：一类特洛伊木马后门工具，通过修改现有的操作系统软件，使攻击者获得访问权限并隐藏在计算机中。（5）RootkitRootkit与特洛伊木马、后门等既有联系又有区别。Rootkit属于特洛伊木马的范畴，它用恶意的版本替换运行在目标计算机上的常规程序来伪装自己，从而达到掩盖其真实的恶意目的，而这种伪装和隐藏机制正是特洛伊木马的定义特性。各种Rootkit通过后门口令，远程Shell或其它可能的后门途径，为攻击者提供绕过检查机制的后门访问通道，而这正是后门工具的定义特性。（5）RootkitRootkit与特洛伊木马、后门等既有联系又有区别。作为一类特殊形态的木马后门工具，一个恶意代码之所以能够被称为Rootkit，就必须具备替换或修改现有操作系统软件进行隐藏的特性，而这才是Rootkit的定义特性。Rootkit强调的是强大的隐藏功能、伪造和欺骗的功能，而木马、后门强调的是窃取功能、远程侵入功能。两者的侧重点不一样，两者结合起来则可以使得攻击者的攻击手段更加的隐蔽、强大。针对恶意代码的两条主要防范途径：（1）法律防范（2）技术防范对计算机病毒的法律惩处：（1）法律防范我国刑法第286条第一款：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。我国刑法第286条第二款：违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚对计算机病毒的法律惩处：（1）法律防范我国刑法第286条第三款规定：故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。根据该款规定，故意制作、传播计算机病毒的，也构成破坏计算机信息系统罪。对计算机病毒的法律惩处：依照这两款规定，行为人利用计算机病毒对他人计算机系统进行破坏，造成他人计算机信息系统不能正常运行的，或者对他人数据和程序进行破坏的，后果严重的，构成破坏计算机信息系统罪。这两款规定并不直接针对计算机病毒，而是对利用计算机病毒对他人计算机信息系统造成破坏的予以打击，因而是一种间接规制。但这样的刑法规定在面临新型的计算机病毒时出现了难题越来越多的计算机病毒，如木马程序，不再是破坏性的，而是以侵入、控制他人计算机为手段，意图获取他人计算机信息数据以谋取经济利益。原有的刑法规定的对象均是破坏性程序，对此类程序则无能为力。对恶意代码等计算机侵害的法律惩处：增加了新的网络犯罪条款新增非法侵入、控制计算机信息系统新增非法提供程序、工具罪新增非法获取计算机数据罪新增非法控制计算机信息系统罪修订了非法侵入计算机信息系统罪2009年，《刑法修正案（七）》思路：恶意代码的技术防范本质上是软件的可信验证问题Anderson于1972年首次提出了可信系统的概念自此，应用软件的可信性问题就一直受到广泛关注（2）技术防范思路：恶意代码的技术防范本质上是软件的可信验证问题ISO/IEC15408标准和可信计算组织（TrustedComputingGroup）将可信定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用软件、病毒以及一定的物理干扰造成的破坏。（2）技术防范模型：软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment（2）技术防范1、软件的可信性要求其独有的特征指令序列总是处于恶意软件特征码库之外，或其Hash值总是保持不变。其技术核心是特征码的获取、Hash值的比对。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment1、软件的可信性特征码扫描技术，首先提取新恶意软件的独有特征指令序列，并将其更新至病毒特征码库，在检测时将当前文件与特征库进行对比，判断是否存在某一文件片段与已知样本相吻合，从而验证文件的可信性。（2）技术防范1、软件的可信性Hash值对比（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证用户获得的软件程序不是购自供应商，就是来自网络的共享软件，用户对这些软件往往非常信赖，殊不知正是由于这种盲目的信任，将可能招致重大的损失。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证传统的基于身份的信任机制主要提供面向同一组织或管理域的授权认证。如PKI和PMI等技术依赖于全局命名体系和集中可信权威优点：对于解决单域环境的安全可信问题具有良好效果。缺点：随着软件应用向开放和跨组织的方向发展，如何在不可确知系统边界的前提下实现有效的身份认证，如何对跨组织和管理域的协同提供身份可信保障已成为新的问题（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证本机系统软件代码签名验证：依次点击“开始”→“所有程序”→“附件”，点击“运行”（或者使用组合键win+r）。在“运行”对话框中，输入sigverif。然后点击“确定”按钮。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证本机系统软件代码签名验证：在弹出的“文件签名验证”窗口下，点击“开始”按钮。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证本机系统软件代码签名验证：返回到“文件签名验证”窗口下，点击图中“高级”按钮。在弹出的“高级文件签名验证设置”窗口下，点击“查看日志”按钮，查看签名验证的记录。（2）技术防范2、身份可信验证IE中软件签名验证设置：首先打开IE浏览器Internet选项对话框，进入“高级”页框，去掉“允许运行或安装软件，即使签名无效”选项前面的勾。“下载未签名的ActiveX控件”选项选择“禁用（推荐）”“下载已签名的ActiveX控件”选择选择“提示（推荐）”（2）技术防范3、能力可信验证软件的可信性要求软件系统的行为和功能是可预期的，其技术核心是软件系统的可靠性和可用性，如源代码静态分析法、系统状态建模法等，统称为能力（行为）可信问题。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment4、环境可信验证软件的可信性要求其运行的环境必须是可知、可控和开放的，其技术核心是运行环境的检测、控制和交互。（2）技术防范1.病毒和杀毒软件的开始从微软的DOS操作系统开始，电脑病毒就出现了。

到了1988年，麦卡菲推出了自己的第一款杀软McAfeeVirusScan，这才标志着商业化杀毒软件的开始。

1.病毒和杀毒软件的开始

“防病毒卡”

1.病毒和杀毒软件的开始这种卡可以插在主机的任何一个扩展槽上，不占内存空间。它会在电脑上电自检的时候把程序挂在系统上，就可以对病毒实时检测了。1991年，刚刚成立的瑞星公司研发出一款全新的防病毒卡，并用一年多的时间就拿下国内一半以上的市场份额。

到了93年，瑞星的防病毒卡日销量已经接近1000套，毛利润达20万，这个数字对于当时年销售量只有45万台的国内计算机市场来说，还是非常震撼的。1.病毒和杀毒软件的开始但“防病毒卡”这种硬件不能及时升级病毒库，要是出了新病毒，你还得把卡寄回去，非常麻烦。江民公司的KV系列KV系列最早只能消灭六种病毒，所以叫KV6，但随着病毒不停出现变种，KV6肯定是不够用了。于是王江民发明了一种叫做“广谱特征码”的技术，通过添加病毒特征码来查杀变种病毒。1.病毒和杀毒软件的开始KV系列杀毒软件越卖越好，从1996年到1998年，KV系列一度占据了市场80%的份额，将同时代的其他软件厂商远远抛在后头。在那个盗版泛滥的年代，KV系列还能拥有100万的用户，堪称是软件界的奇迹。

2.从装机必备的黄金时代到广告泛滥后的日薄西山而另一边，当瑞星反应过来的时候，防病毒卡早就大势已去，自家产品被王江民吊起来打，于是他们也开始转型做杀毒软件。但这时候再想打入市场已经非常困难，瑞星的老大王莘想到想到个好办法，跟联想、方正这些硬件厂商合作，把瑞星作为预装软件放在电脑里，用这种“蹭热度”的方式来打广告。

2.从装机必备的黄金时代到广告泛滥后的日薄西山要光有这种手段，也很难让瑞星站稳，杀毒能力不行的话，估计下场就跟IE差不多。图片所以瑞星急切的需要一个机会，证明自己实力。而这个机会并没有让他们等太久。1999年的4月26日，全球各地的6000万台电脑开始陆续瘫痪，那些中毒的电脑，会被不断写入垃圾信息，覆盖硬盘，直到BIOS被破坏，电脑崩溃，这就是当时最恐怖的病毒，CIH。78

2.从装机必备的黄金时代到广告泛滥后的日薄西山CIH只有1kb大小，却造成了10亿美元的损失。而瑞星之所以迅速崛起，就是因为他们是当时国内第一家清除了CIH病毒的公司。在之后不到一年的时间，瑞星的销量极速回升，月销量轻松超过十万套。直到2003年，瑞星都一直占据着60%的市场份额，他们的年销量超过7个亿，可以说，只要你在国内上网，就不可能不知道瑞星。

2.从装机必备的黄金时代到广告泛滥后的日薄西山雷军的金山毒霸

2.从装机必备的黄金时代到广告泛滥后的日薄西山为了抢市场，金山毒霸推出了免费测试和降价的策略，一度把价格干到50元，宣传自己是“人人都买得起的高品质反病毒软件”。要知道KV300的零售价是260元，98版瑞星的零售价是230元，而98年浙江省的人均月收入仅有771元。所以雷军这张降价牌打的非常成功，不到三年，就在市场占有率上超过了老大哥江民，仅次于瑞星。

2.从装机必备的黄金时代到广告泛滥后的日薄西山在2000年初的这段时间，国内的瑞星，金山，江民三足鼎立，国外的卡巴斯基，诺顿，麦咖啡群雄争霸，估计不少小伙伴也是从这时候开始用杀毒软件的，那是属于杀毒软件的黄金时代。

2.从装机必备的黄金时代到广告泛滥后的日薄西山2008年7月，一个叫奇虎360的公司横空出世，宣布自己的杀毒软件永久免费。

2.从装机必备的黄金时代到广告泛滥后的日薄西山5年后，时任瑞星市场总监的唐威跟媒体坦白：“我们当时没有意识到这种模式的颠覆性，因为看不清楚免费模式要怎么生存。”看不懂的不光瑞星，当时几乎所有同行都不理解这种做法，大家觉得周鸿祎就是来做慈善的，也都没把他放在眼里。但360的商业模式压根就跟同行不一样，他用免费杀毒给自己的浏览器，导航等等产品带来了大量的流量，用广告变现的方式来支撑杀毒软件的研发和维护。

2.从装机必备的黄金时代到广告泛滥后的日薄西山就在所有人还等着360垮台的时候，它的用户数很快就突破了3亿，以坐火箭的速度拿下了中国杀软届的头把交椅。那段时间，360把广告甚至打到了央视。他身后的瑞星和金山也被迫跟着一块跑。金山在2010年宣布永久免费，而瑞星苦苦撑到2011年也彻底放弃了收费模式。到此，昔日的杀毒软件霸主接连退场，杀软的付费模式也彻底宣告落幕。3.杀毒软件现状杀毒软件也不再是以往单纯的杀毒，变成了啥都能干的“网管”。里面到处是页游广告和垃圾新闻，这些玩意甚至比病毒还恶心。要是你装了好几个杀毒软件，你就能看到真正的流氓打架：不打招呼就上全家桶，随便篡改你的主页，不断用“警告、危险”等弹窗对你连哄带吓。目的只有一个，就是争夺你电脑的主控权。为什么我们现在不再需要杀毒软件了？现如今用杀毒软件的人已经越来越少了，以前隔三差五总会出现一些新的电脑病毒，但最近几年好像都没听说装不装杀毒软件，杀毒软件到底有没有用，这些十年前就存在争议的话题似乎从来没有停止，一边是杀毒软件在PC上逐渐销声匿迹，而另一边却接连不断发生网络安全事件：游戏服务器、企业网站甚至政府部门的计算机都被病毒攻击过。那为什么杀毒软件的存在感越来越低了呢？为什么我们现在不再需要杀毒软件了？2006年中国互联网安全报告上的数据，全年共截获234211个新病毒，当年的毒王就是“熊猫烧香”。而到了2020年，仅仅是勒索病毒一种，就已经有78.1万个，而恶意程序的数量是4298万余个。这样的数量放在当年是不敢想象的。其实近几年也不是没有大规模的爆发过电脑病