《恶意代码防范ppt课件.pptx》由会员分享,可在线阅读,更多相关《恶意代码防范ppt课件.pptx(60页珍藏版)》请在三一办公上搜索。
1、恶意代码防范,课程大纲,防病毒蠕虫防范木马防范恶意网页防范恶意代码的分析,前言,恶意代码定义:恶意代码=有害程序 (包括病毒、蠕虫、木马、垃圾邮件、间谍程序、玩笑等在内的所有可能危害计算机安全的程序)主要分为病毒、蠕虫、木马、恶意网页四大类。,病毒防范,病毒定义病毒类型病毒的分类病毒技术和特点 防病毒产品 病毒防范策略,病毒定义,计算机病毒:是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码 一种能把自己(或经演变)注入其它程序的计算机程序 传播机制同生物病毒类似。生物病毒是把自己注入细胞中 蠕虫程序与木马程序不是真正意义上的病毒
2、,电脑病毒的工作原理,病毒三部曲:住进阶段:执行被感染的程序,病毒就加载入计算机内存感染阶段:病毒把自己注入其它程序,包括远程文件执行阶段:当某些条件成熟时,一些病毒会有一些特别的行为。例如重新启动,删除文件。,主要病毒类型,引导型计算机病毒主要是感染磁盘的引导扇区,也就是常说的硬盘的boot区。我们在使用被感染的磁盘(无论是软盘还是硬盘)启动计算机时他们就会首先取得系统的控制权,驻留在内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区。文件型计算机病毒一般只传染磁盘上的可执行文件(com 、exe),在用户调用感染病毒的可执行文件时,计算机病毒首先被运行,然后计算机病毒驻留内存伺机感染其它
3、文件,其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。宏病毒(macro virus) 传播依赖于包括word、excel和power point 等应用程序在内的office套装软件。电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒,病毒分类,病毒命名方式:病毒前缀是指一个病毒的种类,用来区别病毒的种族分类的。如木马病毒的前缀trojan,蠕虫病毒的前缀是worm病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。,病毒的分类,系统病毒系统病毒的前缀为:win32、pe、win95、w32、w95等。可以感染windows操作系统的 *.exe 和 *.
4、dll 文件,并通过这些文件进行传播。如cih病毒。蠕虫病毒蠕虫病毒的前缀是:worm 通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波,小邮差。(通常单列)木马/黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。(通常单列),病毒的分类,脚本病毒脚本病毒的前缀是:script。用脚本语言编写,通过网页进行的传播的病毒,如红色代码(script.pedl of)宏病毒宏病毒的前缀是:macro,第二前缀是:word、word97、excel、excel97 (
5、也许还有别的)其中之一。如著名的美丽莎(macro.word.melissa)。后门病毒后门病毒的前缀是:backdoor。通过网络传播,给系统开后门,给用户电脑带来安全隐患。如irc后门backdoor.irobot。病毒种植程序运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(dropper.binghe2.2c)、msn射手(dropper.worm.smibag)等。,病毒的分类,破坏性程序病毒破坏性程序病毒的前缀是:Harm 用好看的图标来诱惑用户点击,当点击这类病毒时,便会直接对计算机产生破坏。如格式化c盘(harmformatcf)玩
6、笑病毒玩笑病毒的前缀是:joke。也成恶作剧病毒。用好看的图标来诱惑用户点击,但不对电脑进行破坏。如:女鬼(joke.grilghost)病毒。捆绑机病毒捆绑机病毒的前缀是:binder.用特定的捆绑程序将病毒与应用程序如qq、ie捆绑起来,当运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒。如:捆绑qq(binder.qqpass.qqbin),防病毒软件的结构,防病毒软件的3个组成部分,防病毒网关,由于目前的防火墙并不能防止目前所有的病毒进入内网,所以在某些情况下,需要在网络的数据出口处和网络中重要设备前配置防病毒网关,以防止病毒进入内部网络。,防病毒网关,防病毒
7、网关按照功能上分为两种:保护网络入口的防病毒网关保护邮件服务器的防病毒网关防病毒网关按照部署形式分为:透明网关代理网关,防病毒网关,邮件防病毒,由于目前的病毒大部分均是通过邮件传播的,所以对于邮件服务器的保护是十分重要的。对邮件服务器系统自身加固邮件防病毒网关,客户端防病毒,引导安全系统安装安全系统日常加固日常使用安全,反病毒技术,第一代反病毒技术采取单程的病毒特征诊断,但是对加密,变形的新一点病毒无能为力;第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒,但是误报率高,杀毒风险大;第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合;第四代反病毒技术基于病毒家族体系的命名规则,基
8、于多位crc效验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐藏性极强的严肃哦加密文件中的病毒)、内存解读模块、自身免疫模块等先进解读技术,能过较好的完成查解毒任务。,病毒检测方法,比较法比较法是用原始备份与被检测的引导扇区或者被检测的文件进行比较。加总比对法搜索法 搜索法是用每一种计算机病毒体含有的的顶字符串对被检测的对象进行扫描分析法确认被观察的磁盘引导扇区和程序中是否含有计算机病毒;确认计算机病毒的类型和种类,判定其实否是一种新的计算机病毒;搞清楚计算机病毒体的大致结构;详细分析计算机病毒代码。人工智能陷阱技术和宏病毒陷阱技术人工智能陷阱是一种检测计算机行为的常驻式扫描技
9、术。软件仿真扫描法 该技术专门用来对付多态类型的计算机病毒。先知扫描法先知扫描法技术是继软件仿真后的一大技术上突破。,反病毒技术发展趋势,人工智能技术的应用提高清楚病毒准确性以网络为核心的防病毒技术多种技术的融合,新一代病毒预警技术,病毒预警技术一般是采用分步式的结构,进行集中管理报警,分散控制。病毒预警的具体可采用“数据流分析”、“病毒诱捕”等技术。,新一代病毒预警技术,病毒的预防措施,新购置的计算机硬软件系统的测试计算机系统的启动单台计算机系统的安全使用重要数据文件要有备份不要随便直接运行或直接打开电子函件夹带的附件文件计算机网络的安全使用安装网络服务器时应保证没有计算机病毒存在。在安装网
10、络服务器时,应将文件系统划分成文件卷系统。一定要用硬盘启动网络服务器。为各个卷分配不同的用户权限。在网络服务器上必须安装真正有效的防杀计算机病毒软件系统管理员的职责。,防护办公网络中病毒传播,大型内部网络,一般均有防火墙等便捷防护措施,但是还经常会出现病毒,病毒是如何传入的呢病毒传入途径:终端漏洞导致病毒传播;邮件接收导致病毒传播;外部带有病毒的介质直接接入网络导致病毒传播;内容用户绕过边界防护措置,直接接入因特网导致病毒传播;网页中的恶意代码传入;,防护办公网络中病毒传播,系统漏洞传播系统邮件传播储存介质传播共享目录传播,物理隔离网络中病毒的传播,国家机关和军队、银行等为了保护网络,一般均采
11、用物理隔离措施,这类网络理论上应该是安全的,不过也有病毒的出现,这类网络,病毒主要是靠集中途径传播的:外部带有病毒的介质介入网络导致病毒传播内部用户私自在将所有的终端接入因特网导致病毒被引入,物理隔离网络中病毒的传播,系统漏洞传播;存储介质传播;邮件传播;,建立有效的病毒防范管理机制,建立防病毒管理机构防病毒管理机制的制定和完善制定防病毒管理制度用技术手段保障管理的有效性加强培训以保障管理机制执行,建立有效的病毒防范管理机制,建立有效的病毒应急机制,建立应急响应中心病毒事件分级制定应急响应处理预案应急响应流程应急响应的事后处理,通常的病毒应急反应预案流程图,二、蠕虫防范,防病毒蠕虫防范木马防范
12、恶意网页防范恶意代码的分析,蠕虫技术,蠕虫的特征蠕虫的基本结构蠕虫发作特点和趋势蠕虫分析和防范,蠕虫的特征,定义:一段能不以其他程序为媒介,从一个电脑体统复制到另一个电脑系统的程序蠕虫是一种通过网络传播的恶性病毒。病毒共性:传播性,隐蔽性,破坏性蠕虫特性:不利于文件寄生,拒绝服务,结合黑客技术破坏性上,蠕虫病毒也不是普通病毒所能比拟的!,网络蠕虫传播基本原理,利用程序中缓冲区溢出的缺陷,进程劫持,注入现有的进程重新启动后自动消失增加侦测难度,蠕虫的基本结构,传播模块:负责蠕虫的传播。隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。目的功能模块:实现对计算机的控制、监视或者破坏等功能,蠕虫发
13、作特点和趋势,利用操作系统和应用程序的漏洞主动进行攻击传播方式多样。许多新病毒制作技术是利用当前最新的编程语言与编程技术实现的。从而逃避反病毒软件的搜索与黑客技术相结合!,蠕虫防范,蠕虫病毒往往能够利用漏洞:软件上的缺陷用户使用的缺陷,蠕虫防范(cont.),对于个人用户而言,威胁大的蠕虫病毒的传播方式:一、电子邮件(email)对于利用email传播得蠕虫病毒来说,通常利用在社会工程学,即以各种各样的欺骗手段来诱惑用户点击的方式进行传播!二、 恶意网页恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。,木马防范,防病毒蠕虫防范木
14、马防范恶意网页防范恶意代码的分析,木马,木马定义及生存方式五代木马技术的发展关键技术和检测方法防范实例和方法,木马程序的生存方式,包含一个合法程序中,与合法程序绑定在一起,在用户调用该合法程序时,木马程序也被启动;在一个合法程序中加入此非法程序执行代码,该代码在用户调用合法程序时被执行;直接伪装成合法程序。,木马定义,定义:当目标主机上的木马程序被执行后,目标主机就成为一个网络服务器,这时通过木马程序的另一部分,就可以对目标主机进行监视、控制。本质上是一种基于远程控制的病毒程序,具有很强的隐蔽性和危险性。1.隐蔽性是其首要的特征:主要体现:A、不产生图标B、自动隐藏2.它具有自动运行性3.木马
15、程序具有欺骗性4.具备自动恢复功能5.能自动打开特别的端口6.功能的特殊性7.黑客组织趋于公开化,五代木马技术发展,第一代木马是简单的具有口令窃取及发送功能的木马程序,例如:口令发送型木马.找到所有的隐藏口令并在受害者不知情的情况下发送到指定信箱.键盘记录性木马。就是记录受害者的键盘敲击并且在log文件里查找口令第二代木马在技术上有了很大的进步,是最早的监视控制型木马一般是等待客户端程序重启端口连接后,接受客户端程序给木马程序发送的命令数据包,然后执行所要求的指令,如隐藏在配置文件、内置到注册表、捆绑在启动文件等手段。第三代木马在数据传递技术上、木马程序隐藏技术上又做了进一步的改进。(1) 放
16、弃了传统木马程序重启端口进行数据传输的工作模式,而采用寄生在目标主机系统本身启用的端口或使用潜伏手段利用ip协议族中的其他协议而非tcp/udp来进行通讯,从而瞒过netstat和端口扫描软件,如icmp木马。(2)进行进程列表欺骗,也就是欺骗用户和入侵检测软件用来查看进程的函数,第四代木马在程序的隐身技术及植入方式上又将进一步提高:利用驱动程序达到木马的隐身目的;使用dll陷阱技术进行隐藏;针对微软的下一代操作系统中将使用的dll数字签名、效验技术,将采用内核插入式的嵌入方式达到木马进程的隐身目的。第五代木马与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的。,木马的关键技术,对指定目
17、标主机的木马程序的植入和加载方式,以及目标主机之间的自动传播植入手段;研究开发利用驱动程序技术、动态数据库陷阱技术、远程线程技术这三种木马的技术实现,其中关键技术有动态链接库的替换、如何提升权限实现在另一个进程中创建新的远程线程;对防火墙及杀毒软件的欺骗及信息收集;对木马的远程配置和服务的在线通知、自动卸载以及能够操作其对第三方电脑发动攻击功能。rootkit技术,rootkit,恶意程序,间谍软件,广告软件提升反侦测能力恶意系统程序是一种提供反侦测能力技术隐藏文件,进程网络端口和连接,系统设置,系统服务可以在恶意程序之中,例如 berbew也有独立软件,例如 hackder defender
18、恶意系统程序历史首次出现在隐性病毒中,例如 brain1994年第一个恶意系统程序出现在sunos,替换核心系统工具(is,ps等)来隐藏恶意进程。,木马防范,查1、检查系统进程2、检查注册表、ini文件和服务3、检查开放端口4、监视网络通讯堵1、堵住控制通路2、杀掉可疑进程杀1、手工删除2、软件杀毒,如何避免木马的入侵,1.不要执行任何来历不明的软件2.不要相信你得邮箱不会收到垃圾和带毒的邮件3.不要轻信他人4.不要随便留下你得个人资料5.网上不要得罪人6.不要随便下载软件7.最好使用第三方邮件程序8.不要轻易打开广告邮件中附件或点击其中的链接9.将windows资源管理器配置成始终显示扩展
19、名10.尽量少用共享文件夹11.给电子邮件加密12.隐藏ip地址13.运行反木马实时监控程序,恶意网页防范,防病毒蠕虫防范木马防范恶意网页防范恶意代码的分析,网页恶意代码举例,如何在注册表被锁定的情况下修复注册表篡改IE的默认页修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改IE的默认首页灰色按钮不可选IE标题栏被修改IE右键菜单被修改IE默认搜索引擎被修改系统启动时弹出对话框IE默认连接首页被修改IE中鼠标右键失效查看源文件菜单被禁用,认识误区,如果你只浏览信任的网站,那么上网冲浪不可能使你的浏览器受到病毒感染。浏览器补丁更新以后,系统就安全了。你得病毒防护工具可以阻止各种恶意代码侵入系
20、统每个月更新一次你得病毒防护工具的病毒特征库,系统就会安全。大多数恶意代码只是那些出于好玩的心理或者为了在计算机领域扬名的十几岁小孩编写的。,阻止恶意软件的有效措施,主动防御措施:及时下载安装软件补丁运行漏洞扫描程序启用防火墙,关闭限制端口减小攻击面,停止不需要的应用程序或服务使用最少特权账号正确使用口令被动防御措施:安装使用防病毒软件定期备份重要文件,恶意软件清除步骤,断开与网络的连接识别恶意的进程和设备驱动程序杀掉识别出的恶意的进程识别并删除恶意软件的自动运行删除磁盘上的恶意程序重启并重复以上步骤,结束恶意进程,不要直接杀死进程恶意软件会使用另外一个watchdog进程,重启被杀掉的进程而应该先挂起进程注意:对于svchost 进程会引起系统重起记录恶意exe和dll文件的具体位置最后一起杀掉所有进程重复上面的过程,目录,防病毒蠕虫防范木马防范恶意网页防范恶意代码的分析,信息获取工具,主机信息获取工具内存信息磁盘信息文件系统信息注册表信息网络信息获取工具SnifferLdsTcpviewnetcat,文件监控,Filemon & regmonwinalysis,代码分析工具,文件格式处理工具PeidProcdump静态代码分析工具UltraeditIda pro动态调试工具Softlce组合调试工具Ollydbgw32dasm,
