《第四讲 恶意软件及其防护要点课件.ppt》由会员分享,可在线阅读,更多相关《第四讲 恶意软件及其防护要点课件.ppt(39页珍藏版)》请在三一办公上搜索。
1、第四讲 恶意软件及其防护,第四讲 恶意软件及其防护,恶意病毒病毒对抗措施木马的工作原理及其检测流氓软件和不良信息过滤,4.1 恶意病毒,病毒发展史1949年,John Von Neumann在复杂自动机组织论勾勒了病毒程序的蓝图20世纪50年代末60年代初,Core War磁芯大战,后续有Darwin(物竞天择,适者生存)70年代上半叶,Creeper(爬行者)和收割者(Reeper)Dwarf(侏儒)、Germini(双子星)1975年,John BrunnerShock Wave Rider,计算机病毒概念萌芽1977年,Thomas. J.RyanThe Adolescence of P
2、-1,计算机病毒概念提出1983年11月,Fred Cohen和Len Adleman在实验上验证了计算机病毒的存在1986年,Basit和Amjad编写了Pakistan病毒1988年3月,苹果机上出现病毒1988年11月,Morris病毒发作1991年海湾战争中,美军第一次将是计算机病毒用于实战1997年,Macro Virus年1998年,CIH年1999年,Melissa病毒、Nimda病毒、Red Code病毒,4.1 恶意病毒,恶意软件及其威胁病毒的本质病毒生命周期休眠期传播期触发期执行期,4.1 恶意病毒,病毒程序的结构,4.1 恶意病毒,压缩病毒程序,4.1 恶意病毒,病毒类型
3、寄生病毒:感染可执行文件内存驻留病毒:感染所执行的一切程序引导扇区病毒:感染引导记录隐秘病毒:反杀毒软件检测多态病毒:利用随机数加密宏病毒与系统平台无关感染目标是文档传播更加简单电子邮件病毒电子邮件病毒归类为病毒电子邮件病毒搜寻本用户通信簿的地址列表,把自身发送到列表中的每一个地址病毒对计算机系统进行某种破坏,MS word中的三种可自动执行的宏自动执行宏(存在于normal.dot)自动宏(事先定义操作事件后执行)命令宏(用户调用命令是会被执行),4.1 恶意病毒,计算机病毒的传播途径计算机病毒存储于磁盘中,激活时驻留在内存中。一般对磁盘进行病毒检测时,要求内存中不带病毒。4096病毒:当它
4、在内存中时,查看被感染文件的长度,不会发现长度已经发生变化;当它不在内存中时,才会发现长度已经增长什么情况可保证内存中不带毒?从原始的、未受感染的系统盘启动系统盘本省写保护操作系统版本类型应等于或高于硬盘内相应系统的版本号要保证能够访问硬盘上的所有分区,即使用相应的磁盘管理软件启动是上电启动而不是软启动,4.1 恶意病毒,计算机病毒的检测方法比较法:用原始备份与被检测的引导扇区或被检测的文件进行比较debug d命令、DOS diskcomp命令或PCTOOlS工具Checksum法:根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将该码附于程序后面,现在多采用加密MD5值
5、的方法特征字串搜索法:用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描,看是否匹配该串,从而确定是否含有病毒病毒代码库和扫描程序如何选择合适的代码串?有何弊端?(耗时、特征串选择本省不易、老版本无法识别新病毒、病毒变种、误报滥报、不易识别多维变形病毒),4.1 恶意病毒,计算机病毒的检测方法虚拟机查毒:对付多态病毒。仿真CPU,在Virtual Machine下伪执行可疑计算机程序,安全解密,再加以扫描陷阱技术人工智能陷阱:归纳并学习计算机病毒行为,一旦发现内存中有任何不当行为,系统就会有所警告宏病毒陷阱:将宏与文件分开防病毒技术人员使用的分析法(静态分析:反汇编技术动态分析:用de
6、bug动态跟踪先知扫描(Virus Instruction Code Emulation):利用软件仿真技术,结合专家系统和病毒知识库,超前分析出新的计算机病毒代码,4.1 恶意病毒,反病毒软件的划分第一代:简单的病毒扫描器(检测方法1、3)第二代:启发式的病毒扫描器(检测方法2、5)第三代:主动的病毒活动陷阱(检测方法5、7)第四代:全面地多功能防护,4.1 恶意病毒,蠕虫网络蠕虫程序利用网络从一个系统传递到另外一个系统网络媒介包括:电子邮件设施:利用电子邮件,蠕虫可以将自身的副本传递给其它系统远程执行功能:利用此功能,蠕虫的副本可以在其它系统上远程运行远程登录功能:蠕虫可以作为一个用户登陆
7、远程系统,并使用相应的命令将自身从一个系统复制到另外的系统中,4.1 恶意病毒,蠕虫传播阶段主要执行如下功能:通过搜索已感染主机的地址簿或其它类似存放远程系统地址的相应文件,得到下一步要感染的目标建立与远程目标系统的连接将自身复制给远程目标系统,并执行该副本,4.1 恶意病毒,红色代码蠕虫(Red Code Worm)2001年7月16日发现,感染运行IIS4.0、5.0的Web Server利用了IIS目录服务的idq.dll文件的一个已知缓冲区溢出漏洞运行阶段传播期模式(每月119日):受感染计算机随机产生IP地址,并试图连接这些IP地址主机的HTTP端口(80)。若有一个IP主机连接上了
8、,并且有漏洞,将它发送HTTP的GET请求包,将蠕虫代码藏在其中传过去,破坏服务器上的网页。对Web Server的拒绝服务攻击模式(每月2027日):发送大量的泛洪般的数据包给一个已选定的IP地址的主机的HTTP端口。休眠期(每月28日至月末):蠕虫驻留在存储器中,不被激活。,红色代码蠕虫第1阶段感染与传播,红色代码蠕虫第1阶段感染与传播,红色代码蠕虫第2阶段对白宫Web Server的拒绝服务攻击模拟,4.2 病毒对抗措施,单机下的病毒防范选择一款功能完善的单机版防杀计算机病毒软件计算机病毒检测扫描器实时监控程序未知计算机病毒检测压缩文件内部检测文件下载监视清除病毒能力病毒特征代码库自动升
9、级重要数据备份定时扫描支持多种分区格式关机时检查软件注重计算机病毒检测率(流行病毒100%,非流行病毒90%),4.2 病毒对抗措施,单机下的主要防护工作检查BIOS设置,引导顺序是硬盘先启动关闭BIOS中的软件升级安装防杀毒软件,保持最新的计算机病毒特征代码库备份系统中重要的数据和文件打开office中的“宏病毒防护”选项normal.dot为只读属性设置合适的Internet安全级别,防范来自Active X和JAVA Applet的恶意代码对抗病毒的方法:检测定位、识别、清除、恢复,4.2 病毒对抗措施,小型局域网防范简单的对等网络防范Windows网络的防毒UNIX/Linux网络的防
10、毒大型网络病毒防范在Internet入口安装网络型计算机病毒防治产品在外网单独设立一台服务器,安装服务器版的网络防杀病毒软件,并对整个网络进行实时监控内网应参照小型局域网防范要点布防建立严格的规章制度,定期检查各项防范工作状态,4.2 病毒对抗措施,高级防病毒技术通用解密(Generic Decryption)CPU仿真诱饵:一个基于软件的虚拟计算机。可执行程序的指令由CPU模拟器来解释执行,而不是由真正的底层处理器执行。病毒特征码扫描器:一个对目标代码进行扫描,以寻找已知病毒特征码的模块。仿真诱饵控制模块:该模块控制目标代码的执行,对目标代码的指令进行一次一条地解释(interpreting
11、)。数字免疫系统(Digital Immune System),4.2 病毒对抗措施,高级防病毒技术行为阻止软件(Behavior-Blocking Software)在监测到恶意的程序行为之后,行为阻止软件将在恶意行为对实际主机系统产生危害之前就阻止这些行为。要监控的计算机内部的行为包括以下几类:(1)试图打开、浏览、删除、修改文件;(2)试图格式化磁盘或者执行其它不可恢复的磁盘操作;(3)试图修改可执行文件的运行逻辑,以及对宏的脚本进行修改;(4)试图修改重要的计算机系统设置,如启动设置等;(5)电子邮件和即时聊天等客户的脚本试图发送可执行的内容;(6)计算机内自动地启动向外网络的可疑连接
12、通信(如木马)。,4.3 木马的工作原理及其检测,计算机木马的概念特洛伊木马(Trojan Horse)源于古希腊士兵藏在木马内进入敌城特洛伊,占领敌城的故事计算机木马指黑客在可供网络应用程序或网络游戏中,添加可以控制用户计算机系统的程序,可能造成用户系统被破坏、账户被窃取、财产损失木马不具有传染性和自我复制能力计算机木马的工作原理木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端木马设计者采用多种手段隐藏木马当服务端在被感染的机器上成功运行后,就会有一个或几个端口被打开,设计者就可使用客户端与服务端建立连接,并进一步控制被感染机器,4.3 木马的工作原理及其检测,木
13、马运行步骤“种植”木马:要使用木马控制对方计算机,先要在对方计算机中“种植”并运行服务端程序使用木马:成功给别人植入木马服务端后,就要耐心等待服务端上线。 一旦上线,就可以操控客户端对服务端进行远程控制,4.3 木马的工作原理及其检测,计算机木马入侵后出现的症状(注意其他问题也可能出现以下症状)浏览器窗口自动开启,并连入某一网站莫名其妙的弹出警告框或询问框,问用户一些从未接触过的问题用户的Windows配置信息被自动更改,比如屏保显示信息、声音大小、鼠标灵敏度运行某个程序没有任何反映,系统速度变得越来越慢硬盘无缘无故读盘,网络传输指示灯持续闪烁文件或数据无故被删除,密码突然被修改,4.3 木马
14、的工作原理及其检测,计算机木马的特点隐蔽性采用与系统文件相似的文件名命名文件属性通常是系统文件、隐藏、只读属性存放在不常用或难以发现的系统文件目录中在任务栏、任务管理器里隐藏占用端口号1024以上的端口(102465535)确保正常通信的情况下,同时进行隐秘通信隐蔽加载,诱导用户运行服务端程序绑定在进程上进行看似“正常”的木马操作,如修改虚拟设备驱动程序、修改动态链接库DLL加壳伪装,4.3 木马的工作原理及其检测,计算机木马的特点非授权性:一旦控制端与服务端连接后,便大开系统之门,毫无秘密而言包含在正常程序中不产生图标,以免用户注意到任务栏系统托盘里来历不明的图标自动隐藏在任务管理器中,以“
15、系统服务”的方式欺骗操作系统自动运行:附着在诸如win.ini、system.ini、winstart.ini 或启动组文件中随系统启动而启动自动恢复:多文件组合、多重备份,删除不彻底时,只要触发未删除的程序,就会启动木马自动打开特别端口其他特殊功能:除普通的文件操作外,还有诸如搜索cache中的口令、设置口令、扫描目标主机的IP地址、键盘记录、远程注册表操作等功能,4.3 木马的工作原理及其检测,计算机木马的分类破坏型:自动删除*.ini、*.dll、*.exe等文件盗取密码型:找到隐藏的密码,发送到黑客指定的邮箱远程访问型:只要运行了服务端程序,如果黑客知道服务端IP地址,就可实现远程控制
16、键盘记录型:记录用户在线或离线时击键的情况,统计用户击键频度,进行密码分析拒绝服务攻击型代理型:黑客为掩盖自己的足迹,让被控制计算机沦为“替罪羊”FTP型:打开21号端口,等待用户连接程序型:关闭受害者计算机上运行的防木马软件,“踢开”木马执行的“绊脚石”反弹端口型:防火墙对用户主动向外连接的端口往往疏于防范,因此该种木马的服务端会侦测客户端,一旦客户端上线,便主动与客户端相连接,造成用户主动请求服务的态势,从而避开防火墙,4.3 木马的工作原理及其检测,木马触发的方式注册表项(系统启动时自动执行的程序)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur
17、rentVersionRun或RunServices或以RunOnceC:WindowsWin.ini(启动命令load=和run=一般是空白的,若有启动程序,可能是木马)C:WindowsSystem.ini(在386Enh、mic和driver32中有命令行,可能找到木马的启动命令)C:autoexec.bat和config.sys(需要将已添加木马启动命令的这两个同名文件上传服务端覆盖干净文件)*.ini(应用程序的启动配置文件。将带有木马启动命令的同名文件上传到服务端,覆盖原有干净文件),4.3 木马的工作原理及其检测,木马触发的方式捆绑文件(控制端与服务端通过木马建立连接,然后控制端
18、用工具将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除,只要运行捆绑了木马的应用程序,木马又会被重新安装)注册表项:HKEY_CLASSES_ROOTGoogle Earth.etafile(具体某文件的类型)shellopencommand启动菜单(“开始”“程序”“启动”)C:UsersshrAppDataRoamingMicrosoftWindowsStart MenuProgramsHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders下的Startup项,4
19、.3 木马的工作原理及其检测,计算机木马的发展趋势隐蔽性增加非常规协议封装的IP数据包携带了盗取的信息寄生在TCP端口,与正常通信流混合传送传输方式多样化(如网页挂马)编程机制多样化(针对网卡或Modem的底层通信编程,跳过防火墙)跨平台性(一个木马程序可兼容不同公司不同版本的操作系统)模块化设计(易于组装)更新更强的感染模式(像病毒一样感染)即时通知(E-mail即时通知控制端木马的安装情况,以应对服务端IP动态变化的局面)商业病毒木马的泛滥(如木马点击器Clicker病毒,侵入用户电脑后,会根据病毒编写者预先设定的网址,去点击网上的广告,如百度竞价排名、Google AdSense等,让广
20、告主支付更多的广告费,而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。 ),4.3 木马的工作原理及其检测,被木马感染后的紧急措施断开网络,木马就没有的连线的威胁更改所有的账号和密码删除硬盘上所有原来没有的东西(通过系统还原实现)利用杀毒软件清理木马检测用netstat -an查看开放端口,也可使用Active Ports工具查win.ini和system.ini系统配置文件查启动程序查系统进程查注册表使用专业木马检测软件,4.3 木马的工作原理及其检测,木马的防治防止木马修改系统注册表(注册表锁定)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCur
21、rentVersionPoliciessystem新建DWORD值,名称DisableRegistryTools=1注册表解锁:组策略管理器(gpedit.msc)本地计算机策略用户配置管理模板系统阻止访问注册表编辑工具钩选“已禁止”,4.3 木马的工作原理及其检测,木马的防治IE设置中有选择地禁用ActiveX控件和插件以及Java脚本停止services.msc中的Server服务停用Guest账户使用屏幕键盘输入密码(运行osk.exe或在“附件”“辅助功能”中查找执行),4.3 木马的工作原理及其检测,木马的清除技巧解除非法的文件关联:HKEY_CLASSES_ROOT*fileshe
22、llOpenCommandexe文件的正确关联值 %1 %*txt、ini、inf文件的正确关联值 C:WINDOWSSystem32NOTEPAD.EXE %1显示隐藏文件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1,4
23、.4 流氓软件和不良信息过滤,反流氓软件行动已成过去时2006年9月4日,反流氓软件联盟开始正式起诉流氓软件厂商,时隔8年,流氓软件已销声匿迹,反流氓软件联盟也只剩官方博客在线据中国互联网协会对流氓软件定义:未经用户允许强行安装后,无法正常或完全卸载的软件。具备自我复制性,软件的正常功能与恶意行为并存强制安装:未明确提示用户、未经用户许可难以卸载:未提供通用的卸载方式、卸载不彻底浏览器劫持(绑架):修改用户浏览器的设置,迫使用户访问特点网站或导致不能正常上网的行为弹出广告恶意收集用户信息,记录用户计算机操作行为恶意捆绑软件:捆绑其他已经认定为恶意软件的软件恶意卸载:诱骗用户卸载非恶意的软件,达
24、到不可告人的商业目的有侵害用户的虚拟财产安全潜在因素,4.4 流氓软件和不良信息过滤,网络钓鱼黑客利用欺骗性的电子邮件和伪造Web站点进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应网络不良信息过滤技术技术层面下的网络道德不良信息的传播泛指一切在互联网上散布违法或攻击性的内容、反动言论以及色情信息的行为。网络成了一个“潘多拉盒子”!网民的行为特征注意力呈现“马太效应”,注意力越来越集中在少数的知名网站对色情信息存在猎奇心理,4.4 流氓软件和不良信息过滤,过滤技术(IP地址阻塞、页面内容分级等等)Web页面内容定级:起源于电影的分级审查制度互联网内容选择平台PICS(Platform for Internet Content Selection):一个提供内容定级和包过滤的平台www.w3.org/PICS娱乐软件顾问委员会RSACi(Recreational Software Advisory Council):IE浏览器Internet选项内容分级审查,4.4 流氓软件和不良信息过滤,Internet ratingsSoftware labels,
