《恶意代码简介ppt课件.ppt》由会员分享,可在线阅读,更多相关《恶意代码简介ppt课件.ppt(31页珍藏版)》请在三一办公上搜索。
1、2022/12/29,1,第17章 恶意代码,广州大学华软软件学院软件工程系网络信息安全课程组,2022/12/29,2,课程内容,恶意代码概述,计算机病毒,特洛伊木马,蠕虫,4,1,2,3,17.1.恶意代码概述,恶意代码泛指所有恶意的程序代码,是一种可造成目标系统信息泄露和资源滥用,破坏系统的完整性及可用性,违背目标系统安全策略的程序代码。包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)和逻辑炸弹(Logic Bomb)等恶意代码的特征包括三个方面:带有恶意的目的本身是计算机程序一般通过执行来发挥作用,17.1.1恶意代码的
2、发展史,早在1949年,计算机的先驱者约翰冯诺依曼在他的论文自我繁衍的自动机理论中已把病毒的蓝图勾勒出来短短十年之后,磁芯大战(core war)在贝尔实验室中诞生,使他的设想成为事实。例如有个叫爬行者的程序(Creeper),每一次执行都会自动生成一个副本,很快计算机中原有资料就会被这些爬行者侵蚀掉;“侏儒”(Dwarf)程序在记忆系统中行进,每到第五个“地址”(address)便把那里所储存的东西变为零,这会使原本的程序严重破坏;,恶意代码的历史,第一次关于计算机病毒的报道发生在1981年,在计算机游戏中发现了ELK Cloner病毒。1986年,第一个PC病毒Brain Virus感染了
3、Microsoft的DOS操作系统1995年,首次发现宏病毒1998年,CIH病毒造成数千万台计算机硬件受到破坏2007年1月,“熊猫烧香”病毒爆发恶意代码经过三十多年的发展,破坏性、种类和感染性都得到了增强,特别僵尸网络、木马威胁、高级可持续威胁(APT)非常严重,恶意代码的分类,后门进入系统或程序的一个秘密入口逻辑炸弹一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件发生触发其破坏行为特洛伊木马一段吸引人而不为人警惕的程序,但它们可以执行某些秘密任务病毒附着在其他程序上的可以进行自我繁殖的代码蠕虫一种具有自我复制和传播能力、可独立自动运行的恶意程序,2022/12/29,7,课程
4、内容,恶意代码概述,计算机病毒,特洛伊木马,蠕虫,4,1,2,3,17.2计算机病毒,严格地从概念上讲,计算机病毒只是恶意代码的一种。实际上,目前发现的恶意代码几乎都是混合型的计算机病毒美国计算机研究专家最早提出了“计算机病毒”的概念:计算机病毒是一段人为编制的计算机程序代码。1994年2月28日,我国出台的中华人民共和国计算机安全保护条例对病毒的定义如下:“计算机病毒是指编制或者在计算机程序中插入的、破坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码”,计算机病毒的结构,潜伏机制 包括初始化、隐藏和捕捉传染机制 包括判断和感染。先是判断候选感染目标是否已被感染,可以通过感染标
5、记来判断候选感染目标是否已被感染。表现机制包括判断和表现。表现机制首先对触发条件进行判断,然后根据不同的条件决定什么时候表现、如何表现,典型的病毒代码结构,计算机病毒的特点,传染性 通过各种渠道从已被感染的计算机扩散到未被感染的计算机。隐蔽性 病毒一般是具有很高编程技巧的、短小精悍的一段代码,躲在合法程序当中。潜伏性病毒进入系统之后一般不会马上发作多态性 病毒试图在每一次感染时改变它的形态破坏性造成系统或数据的损伤甚至毁灭,计算机病毒的分类,按照计算机病毒攻击的操作系统攻击DOS系统攻击Windows系统攻击Unix、Linux系统攻击Mactonish系统,按寄生方式引导型病毒文件型病毒混合
6、型病毒按破坏性良性病毒恶性病毒,计算机病毒的防范,养成良好的安全习惯安装防火墙和专业的杀毒软件进行全面监控经常升级操作系统的安全补丁迅速隔离受感染的计算机及时备份计算机中有价值的信息,2022/12/29,14,课程内容,恶意代码概述,计算机病毒,特洛伊木马,蠕虫,4,1,2,3,17.3特洛伊木马,特洛伊木马的故事来自古希腊传说在信息安全领域,特洛伊木马是一种恶意代码,也称为木马指那些表面上是有用的或必需的,而实际目的却是完成一些不为人知的功能,危害计算机安全并导致严重破坏的计算机程序具有隐蔽性和非授权性的特点,因此和希腊传说的特洛伊木马很相似。,木马泛滥,三方面原因:一是经济利益驱使,黑客
7、编写一个木马程序非法牟利十几万元的事情并不少见二是木马程序很容易改写更新,而杀毒软件采用的传统的特征码查毒属于静态识别技术,对于木马程序的不断更新其适应性不强;三是“木马技术”具有不可判定性据2013年第二季度360互联网安全中心发布的报告显示,二季度国内新出现木马病毒5.27亿个,1.57亿网民遭遇攻击,约占国内计算机用户数量的三成,木马的结构和原理,木马程序一般包括控制端和服务端两部分控制端程序用于攻击者远程控制木马服务器端程序即木马程序进行攻击时,第一步要进行特洛伊木马的植入,这是攻击目标最关键的一步被动植入主动植入,木马隐藏技术,启动隐藏指目标机自动加载运行木马程序,而不被用户发现进程
8、隐藏使用户不能发现当前运行着的木马进程文件/目录隐藏通过伪装,或隐藏木马文件和目录自身内核模块隐藏内核级木马对自身加载模块信息的隐藏始分发隐藏软件开发商可以在软件的原始分发中植入木马通信隐藏包括通信内容、状态和流量等方面的隐藏,木马的分类,远程控制型木马可以让攻击者完全控制被感染的计算机密码发送型木马专门为了盗取被感染主机上的密码破坏型木马破坏被感染主机上的文件系统键盘记录型木马记录受害者的键盘敲击拒绝服务攻击木马反弹端口型木马服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口代理木马变为攻击者发动攻击的跳板,木马植入手段,下载植入木马木马程序通常伪装成优秀的工具或游戏通过电子邮件来
9、传播木马程序隐藏在一些具有恶意目的的网站中利用系统的一些漏洞植入如微软著名的IIS漏洞攻击者成功入侵目标系统后,把木马植入目标系统,木马的特点,隐蔽性。隐蔽性是木马程序与远程控制程序的主要区别欺骗性。为了达到隐蔽目的,木马常常使用和系统相关的一些文件名来隐蔽自身。顽固性。很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份危害性。攻击者可以通过客户端强大的控制和破坏力对主机进行操作。潜伏性。木马种植到系统后一般不会马上发作,而是要等到与控制端连接之后才会接受指令而动作。,木马的防范技术,利用工具查杀木马查看系统注册表检查网络通信状态查看目前的运行任务查看系统启动项使用内存检测工具检查用
10、户安全意识策略 纵深防御保护系统安全,2022/12/29,23,课程内容,恶意代码概述,计算机病毒,特洛伊木马,蠕虫,4,1,2,3,17.4蠕虫,蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形蠕虫具有病毒的一些共性,如传染性、隐蔽性和破坏性等蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主,是一段完整的独立代码,影响比较严重的蠕虫病毒,莫里斯蠕虫:1988年,22岁的康奈尔大学研究生罗伯特莫里斯通过网络发送了一种专为攻击UNIX
11、系统缺陷、名为莫里斯蠕虫的病毒。蠕虫造成了6000个系统瘫痪,直接经济损失达9600万美元;美丽杀手:1999年 政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元;爱虫病毒:2000年5月至今 众多用户计算机被感染,损失超过100亿美元以上;红色代码:2001年7月网络瘫痪,直接经济损失很大;求职信:2001年12月大量病毒邮件堵塞服务器,损失达数百亿美元;SQL蠕虫王:2003年1月 26日,一种名为“2003蠕虫王”的蠕虫病毒迅速传播并袭击了全球,致使互联网严重堵塞,蠕虫的结构,基本程序结构为传播模块、隐藏模块和目的功能模块传播模块又可以分为扫描、攻击和复制三个基本模块利用
12、系统漏洞进行传播主要有以下三个阶段第一阶段要进行主机探测,已经感染蠕虫的主机在网络上搜索易感染的目标主机。第二阶段已经感染蠕虫的主机把蠕虫代码传送到易感染的目标主机上。第三阶段易感染的目标主机执行蠕虫代码,感染目标主机系统。,蠕虫的特点,独立性蠕虫病毒不需要宿主程序,它是完整的、独立的代码利用漏洞主动攻击传播方式多样伪装和隐藏方式好采用的技术更先进些蠕虫病毒与网页的脚本相结合,利用VB Script、java、ActiveX等技术隐藏在HTML页面里。,蠕虫的防范技术,加强网络管理员的安全管理水平,提高用户的安全意识。建立安全检测系统从网络整体考虑,建立相对完善的检测系统,能够在第一时间内检测到网络异常和病毒攻击利用蠕虫免疫技术防范蠕虫攻击建立应急响应系统,将风险减少到最小灾难备份系统。对于数据库和数据系统,必须采用定期备份对于局域网而言可以采用安装防火墙式、计算机防病毒的产品,对邮件服务器进行监控,病毒、木马、蠕虫的区别,2022/12/29,30,The End,2022/12/29,31,考试题型,1、选择题(20)2、填空题(20)3、简答题(30)4、问答题(30),
