当前位置:文档之家 › 网络信息对抗第六章恶意代码及其分析

网络信息对抗第六章恶意代码及其分析

  • 格式:ppt
  • 大小:2.16 MB
  • 文档页数:75

下载文档原格式

  / 75

合集下载

网络信息安全中的恶意代码分析与检测

网络信息安全中的恶意代码分析与检测

网络信息安全中的恶意代码分析与检测恶意代码是指一种具有恶意目的的计算机程序或脚本,其主要目标是在未被授权的情况下获取、破坏或篡改用户的敏感信息,甚至对整个网络系统造成严重威胁。

为了保护网络信息的安全,分析与检测恶意代码势在必行。

恶意代码分析是指通过对恶意代码样本进行研究与分析,确定其行为特征、攻击策略和传播方式,以便有效预防和对抗恶意攻击。

恶意代码检测则是利用相关的安全工具和技术,对网络中的文件、应用程序和流量进行监控和分析,以便及时发现和阻止恶意代码的传播和活动。

恶意代码的分析与检测有着关键的作用,它们能够帮助网络安全专家了解当前的威胁形势,及时发现新型的恶意代码,分析攻击者的行为特征和技术手段,从而制定相应的防范策略和安全措施,确保网络信息安全。

在进行恶意代码分析时,首先需要搜集恶意代码样本,这些样本可以来自于各种渠道,例如黑客攻击事件、恶意软件样本网站、病毒分析平台等。

通过对样本的静态分析和动态分析,可以分析出恶意代码的行为特征、代码结构、代码入侵的路径等信息。

静态分析主要包括反汇编、逆向工程和特征提取等技术,对于已经发现的恶意代码类型有一定的效果;而动态分析主要是通过在受控环境中进行恶意代码的运行和监测,以获取其行为模式和与其他系统组件的交互情况。

除了分析恶意代码本身,还需要研究和分析恶意代码的传播方式和策略。

恶意代码的传播方式多样,如电子邮件附件、可执行文件、网页等,针对不同的传播方式,需要采取相应的防范措施。

此外,对于已经泄露的恶意代码,还需要分析攻击者的目的和手段,找出受攻击系统的漏洞,并采取补救措施,以确保网络安全。

恶意代码检测则是通过一系列的技术手段和工具,对网络中的文件、应用程序和流量进行监控和分析,发现和阻止潜在的恶意代码活动。

其中包括基于签名的检测、行为分析和异常检测等。

基于签名的检测是通过比较已知的恶意代码特征与被检测文件或流量的特征是否一致来判断是否存在恶意代码。

行为分析是基于对恶意代码行为的模拟和评估,通过检测其异常行为来判断其是否为恶意代码。

6-恶意代码分析与防护分析

6-恶意代码分析与防护分析

4
网络与信息安全从业人员培训
恶意代码的发展史
2001 年,国信安办与公安部共同主办了我国首次计算机病毒疫情网 上调查工作。结果感染过计算机病毒的用户高达73%,其中,感染 三次以上的用户又占59%多,网络安全存在大量隐患。 2001 年8月,“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞,攻破目标机器,并通过自动扫描方式传播 蠕虫,在互联网上大规模泛滥。 2003 年,SLammer 蠕虫在10 分钟内导致互联网90%脆弱主机受到 感染。同年8月,“冲击波”蠕虫爆发,8天内导致全球电脑用户损 失高达20亿美元之多。 2004年到2006年,振荡波蠕虫、爱情后门、波特后门等恶意代码利 用电子邮件和系统漏洞对网络主机进行疯狂传播,给国家和社会造 成了巨大的经济损失。
8
网络与信息安全从业人员培训
计算机病毒的命名
DOS病毒命名: 1.按病毒发作症状命名:小球 熊猫烧香 花屏病毒 步行者 病毒 武汉男孩
2.按病毒发作的时间命名 :黑色星期五 ;
3.按病毒自身包含的标志命名 :CIH (不是HIV) 按病毒发现地命名:如“黑色星期五”又称Jurusalem( 耶路撒冷)病毒
6
网络与信息安全从业人员培训
恶意代码的主要特征(续)
恶意代码从80 年代发展至今体现出来的3个主要特征: –从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的 恶意代码:恶意代码的早期,大多数攻击行为是由病毒 和受感染的可执行文件引起的。然而,在过去5 年,利 用系统和网络的脆弱性进行传播和感染开创了恶意代码 的新纪元。
12
网络与信息安全从业人员培训
计算机病毒的命名
病毒后缀是指一个病毒的变种特征,是用来区别具 体某个家族病毒的某个变种的。一般都采用英文中的 26 个字母来表示,如 Worm.Sasser.b 就是指振荡波蠕虫病 毒的变种B,因此一般称为 “振荡波B变种”或者“振荡 波变种B” 。如果该病毒变种非常多(也表明该病毒生命 力顽强),可以采用数字与字母混合表示变种标识。

网络攻防技术课件第6章恶意代码第2-3节

网络攻防技术课件第6章恶意代码第2-3节
如果木马把自己注册成系统服务,并设置成自动启 用模式,那么它将随系统开机而启动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe t\Services\] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Ser vices\] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Ser vices\]
注册表启动项 [ HKEY_LOCAL_MACHINE\Software\Microsoft\Window s\CurrentVersion]
Run RunServices RunOnce RunOnceEx RunServicesOnce
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion]
6.2 恶意代码的关键技术
• 映像劫持
“HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Image File Execution Options\aa.exe Debugger=“bb.exe”
6.2 恶意代码的关键技术
21
6.2 恶意代码的关键技术
(4)启动隐藏
明目张胆-系统启动目录 历史教训-系统启动配置文件 曾经辉煌-修改文件关联、映像劫持 屡试不爽-捆绑文件 瞒过菜鸟-修改注册表 经常采用-服务、借壳、替换系统DLL 隐蔽启动-驱动加载 查无可查-木马运行期间隐藏启动方式
6.2 恶意代码的关键技术
启动目录 开始 -> 程序 -> 启动
6.2 恶意代码的关键技术
修改系统启动配置文件

网络安全中的恶意代码分析与防范手段

网络安全中的恶意代码分析与防范手段

网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。

随着网络的普及和应用的广泛,网络安全问题变得愈发突出。

本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。

一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。

下面将介绍几种常见的恶意代码及其分析方法。

1. 病毒病毒是一种能够自我复制并传播的恶意代码。

它通常通过文件的共享或者下载、运行来感染目标计算机。

病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。

分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。

2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。

蠕虫可以通过漏洞来感染系统,并在系统中运行。

它们常常通过邮件、用户点击等方式传播。

分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。

3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。

它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。

分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。

4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。

间谍软件通常通过下载和安装一些看似正常的软件而进入系统。

分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。

二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。

以下是几种常用的防范手段。

1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。

及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。

同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。

网络攻防技术与恶意代码分析

网络攻防技术与恶意代码分析

网络攻防技术与恶意代码分析在当今信息技术迅猛发展的时代,网络攻防技术和恶意代码分析变得日益重要。

本文将深入探讨网络攻防技术的基本原理和恶意代码分析的方法,旨在帮助读者更好地了解和应对网络安全风险。

1、网络攻防技术概述网络攻防技术是指保护计算机网络系统免受未经授权和恶意访问的一系列方法和策略。

主要包括防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等。

防火墙用于监控和过滤网络流量,保护网络免受恶意攻击。

IDS和IPS则能够识别和阻止未经授权的访问,并及时报告网络安全事件。

2、网络攻击类型及对策2.1 黑客攻击黑客攻击是指未经授权的个人或组织试图获取或破坏计算机网络系统的安全性。

常见的黑客攻击包括密码破解、拒绝服务攻击(DDoS)和远程执行代码攻击等。

为了应对黑客攻击,我们需要加强网络访问控制、定期更新系统补丁,并通过安全访问控制策略限制网络访问权限。

2.2 病毒和蠕虫病毒和蠕虫是通过植入恶意代码进入计算机系统,进行数据破坏或篡改的攻击方式。

为了防止病毒和蠕虫的传播,我们需要安装并及时更新杀毒软件,并定期进行系统扫描。

此外,用户还应该避免打开来自未知或不信任来源的文件和链接。

2.3 钓鱼攻击钓鱼攻击是指通过伪装成合法实体(如银行或电子邮件提供商)的方式,诱导用户输入个人敏感信息,以进行身份盗窃或其他非法活动。

为了防止钓鱼攻击,用户应该保持警惕,避免点击可疑的链接和提供个人信息给不可信任的实体。

3、恶意代码分析方法恶意代码分析是指通过对恶意软件的解析和研究,以增强对网络攻击的防御能力。

常见的恶意代码分析方法包括静态分析和动态分析。

3.1 静态分析静态分析是指对恶意代码进行逆向工程,并通过静态分析工具提取关键信息。

这些信息包括恶意代码的文件结构、被侵害系统的漏洞和攻击方式等。

在静态分析过程中,我们可以使用反汇编、调试器和二进制分析工具等来分析恶意代码的执行过程和影响范围。

3.2 动态分析动态分析是指在隔离的环境中运行和监视恶意代码,以收集其行为和操作。

恶意代码检测与分析

恶意代码检测与分析

恶意代码检测与分析恶意代码是指那些被设计用来对计算机系统或网络进行破坏、入侵或传播的代码。

恶意代码的目的可以是窃取敏感信息、破坏系统功能、操纵系统行为或传播自身。

恶意代码种类繁多,包括病毒、蠕虫、木马、间谍软件、广告软件等。

为了确保计算机系统和网络的安全,恶意代码的检测与分析变得至关重要。

下面将介绍恶意代码检测与分析的方法和技术。

一、恶意代码检测1.病毒扫描病毒扫描是一种最常见的恶意代码检测方法。

它通过对文件和系统进行扫描,寻找已知的病毒特征。

病毒特征是一些已知的病毒代码片段、文件名或行为模式。

如果扫描发现了这些特征,就会认定文件或系统受到感染。

2.行为分析行为分析是一种基于恶意代码的行为模式进行检测的方法。

它监视软件程序的运行过程,分析其行为模式是否符合恶意代码的行为。

例如,如果一个程序试图修改系统文件或窃取用户信息,就可能是恶意代码。

3.网络流量分析恶意代码在传播和执行时通常会通过网络进行通信。

网络流量分析可以通过监视网络通信,检测出异常流量模式或恶意行为。

例如,如果一个计算机在短时间内向大量IP地址发送数据包,就可能是一个僵尸网络的一部分。

二、恶意代码分析恶意代码分析是对恶意代码进行深入分析和理解的过程,目的是找出其行为、特征和传播方式,从而提供有效的防御措施。

1.静态分析静态分析是对恶意代码进行静态扫描,不需要实际运行代码。

静态分析可以通过对代码的反汇编、符号执行和代码模式匹配等技术来获取恶意代码的行为和特征。

2.动态分析动态分析是在虚拟环境中运行恶意代码,并监视其行为模式和系统调用。

动态分析通常通过采集恶意代码的运行数据、行为模式和输入输出参数来分析恶意代码的特征和目的。

3.持续监测总结:恶意代码检测与分析是确保计算机系统和网络安全的重要环节。

通过病毒扫描、行为分析和网络流量分析等方法可以及时检测恶意代码。

静态分析和动态分析可以深入理解恶意代码的行为和特征,从而提供有效的防御措施。

持续监测可以保持对恶意代码的及时识别和应对。

第六章 恶意代码分析与防范

其通过不断搜索和侵入具有漏洞的主机来自动传播。 利用系统漏洞(病毒不需要漏洞) 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波…
3.
特洛伊木马:是指一类看起来具有正常功能,但实际 上隐藏着很多用户不希望功能的程序。通常由控制端 和被控制端两端组成。
如冰河、网络神偷、灰鸽子……
网络恶意代码的分类(续) 4. 后门:使得攻击者可以对系统进行非授权访 问的一类程序。
网络通信安全管理员认证
恶意代码分析与防范
Copyright © 2010 Mazhao
请先思考以下3个问题
什么是上网安全意识? 恶意代码如何进入我 们
一个每天都要遇到的操作1 可移动存储设备的使用
演示U盘的使用过程
一个每天都要遇到的操作2
一个通过QQ的病毒用来扩散恶意代码,以创建一个 IRC僵尸网络(感染了60,000台主机)。
请访问:


一个每天都要遇到的操作3
如果您的电脑配有摄像头,在您使用完摄像头 之后,您会:( )
拔掉摄像头,或者将摄像头扭转方向 (546 人,44.1%) 无所谓 (693人,55.9%)
计算机病毒的生命周期
1、潜伏阶段
2、传染阶段 3、触发阶段
4、发作阶段
网络恶意代码的运行周期
保存线
触发线
寻 找 目 标
将在 自目 身标 保之 存中
目恶 标意 触系代 发统码 中执 的行
长目 让期标 自存系 身活统 于之 中
寻 找 目 标
将在 自目 身标 保之 存中
目恶 标意 触系代 发统码 中执 的行
一般比较大
是完整的程序,独立的存在于磁盘上 有自己的文件名和扩展名,如COM、EXE 不能自我复制 根据用户的命令执行

网络信息安全中的恶意代码分析与防御研究

网络信息安全中的恶意代码分析与防御研究第一章:引言随着互联网的快速发展,网络攻击已变得日益常见,给社会和个人带来了巨大的危害。

其中,恶意代码是网络攻击的重要组成部分,它具有隐蔽性和破坏性,对系统和数据安全造成了严重威胁。

因此,对恶意代码的分析与防御研究具有重要的意义。

第二章:恶意代码的定义与分类2.1 定义恶意代码:恶意代码是指以非法手段入侵计算机系统,破坏计算机系统安全,窃取用户信息,或传播恶意软件的程序。

2.2 恶意代码的分类:恶意代码可分为病毒、蠕虫、木马、间谍软件、广告软件等几大类别。

每种类型的恶意代码都有其独特的特点和传播方式。

第三章:恶意代码分析方法3.1 静态分析:静态分析是通过对恶意代码的二进制文件进行逆向工程,分析其结构和行为特征。

常用的静态分析方法包括特征码比对、模式匹配、语义分析等。

3.2 动态分析:动态分析是通过在虚拟环境中执行恶意代码,监控其行为并收集行为数据。

常用的动态分析技术包括行为特征提取、行为监测、行为可视化等。

第四章:恶意代码的危害与攻击方式4.1 危害:恶意代码可以导致系统崩溃、数据泄露、用户信息被盗用等严重后果。

同时,恶意代码还可用作发起其他网络攻击的工具,如拒绝服务攻击、劫持等。

4.2 攻击方式:恶意代码的攻击方式多种多样,包括电子邮件附件、网络下载、潜伏在正当程序中、网络漏洞利用等。

第五章:恶意代码防御与应对策略5.1 实时防御:设置防火墙、入侵预防系统等网络安全设备,并及时更新安全补丁,对恶意代码进行实时监控和拦截。

5.2 教育培训:加强员工的网络安全意识,定期进行网络安全培训,提高他们识别和避免恶意代码的能力。

5.3 安全软件:安装并定期更新安全软件,如杀毒软件、防火墙等,提供恶意代码的实时拦截和清除功能。

5.4 安全策略:建立完善的安全策略和安全管理体系,包括数据备份、网络监控、访问控制等,以防范恶意代码的入侵。

第六章:研究成果与展望恶意代码分析与防御领域的研究已取得了一定的成果,包括恶意代码的检测、行为追踪、变异分析等。

恶意代码分析与防治09-6


恶意代码的相关定义 (表6-1)
恶意代码类型 计算机病毒 定义 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响 计算机使用,并能自我复制的一组计算机指令或者程序代码。 特点 潜伏、传染和 破坏
计算机蠕虫
指通过计算机网络自我复制,消耗系统资源和网络资源的程序
扫描、攻击和 扩散 欺骗、隐蔽和 信息窃取 潜伏和破坏
6.1.2 恶意代码的发展史(续)


2003 年,SLammer 蠕虫在10 分钟内导 致互联网90%脆弱主机受到感染。同年8 月,“冲击波”蠕虫爆发,8天内导致全 球电脑用户损失高达20亿美元之多。 2006年到2007年,振荡波蠕虫、爱情后 门、波特后门等恶意代码利用电子邮件 和系统漏洞对网络主机进行疯狂传播, 给国家和社会造成了巨大的经济损失。
2007 年国内恶意代码情况

2007 年上半年恶意代码的目的性增强。 通过对CNCERT/CC 蜜网系统所捕获的恶 意代码进行分析,可以看出流行的恶意 代码侧重于控制用户系统并进而组成僵 尸网络或者窃取用户敏感信息等,主要 有后门、邮件蠕虫、木马、间谍软件以 及利用MS Windows 系统漏洞和通过即 时通讯软件、网络共享进行传播的蠕虫。
6.1.1 研究恶意代码的必要性

在Internet安全事件中,恶意代码造成的经济 损失占有最大的比例。恶意代码主要包括计算 机病毒(Virus)、蠕虫(Worm)、木马程序 (Trojan Horse)、后门程序(Backdoor)、 逻辑炸弹(Logic Bomb)等等。与此同时,恶 意代码成为信息战、网络战的重要手段。日益 严重的恶意代码问题,不仅使企业及用户蒙受 了巨大经济损失,而且使国家的安全面临着严 重威胁。

【网络通信安全管理员认证中级】第六章恶意代码分析与防范

按算法:伴随型、蠕虫型、寄生型、诡秘型、 变型
按入侵方式:源代码嵌入攻击、代码取代攻 击、系统修改型、外壳附加型
按传播媒介:单机、网络
PPT文档演模板
【网络通信安全管理员认证中级】第 六章恶意代码分析与防范
病毒的命名:实测比较各种防毒软件的查毒能力
•瑞•瑞星星查发出现有有木拒马绝类服务黑的客黑工客具工具
能够引起计算机故障,破坏计算机数据 的程序都统称为计算机病毒。
PPT文档演模板
【网络通信安全管理员认证中级】第 六章恶意代码分析与防范
恶意代码
PPT文档演模板
【网络通信安全管理员认证中级】第 六章恶意代码分析与防范
网络恶意代码的分类
1. 计算机病毒:一组能够进行自我传播、需要用户干预 来触发执行的破坏性程序或代码。
v 4、脚本病毒:红色代码(Script.Redlof, 欢 乐 时 光 ( VBS.Happytime ) 、 十 四 日 (Js.Fortnight.c)
PPT文档演模板
【网络通信安全管理员认证中级】第 六章恶意代码分析与防范
计算机病毒的命名
v 5、宏病毒:宏病毒的前缀是:Macro,第二前缀 是:Word、Word97、Excel、Excel97, Macro.Melissa
PPT文档演模板
【网络通信安全管理员认证中级】第 六章恶意代码分析与防范
病毒起源探究
v 1949年,冯·诺伊曼文章《复杂自动装置的理论 及组织的行为》中提出一种会自我繁殖的程序的 可能,但没引起注意
v 1960年,美国的约翰·康维在编写"生命游戏"程 序时,首先实现了程序自我复制技术。
v 1977,科幻小说《p-1的青春》 v 贝尔实验室,磁芯大战,达尔文游戏
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
冠群金辰、瑞星、江民、金山
90年代末新世纪初,本土化恶意代码流行
1998-CIH病毒 1999-冰河 2003-灰鸽子 2004-证券大盗 2007-2008:熊猫烧香,机器狗、磁碟机…
计算机病毒
定义
计算机病毒是一种能够自我复制的代码,通过将自
木马的常见伪装机制
命名伪装 软件包装 木马化软件发行站点
Tcpdump/libpcap木马化事件
代码“Poisoning”
软件开发者/厂商有意给代码加入后门 “复活节彩蛋”: Excel 2000中隐藏的赛车游 戏
僵尸程序与僵尸网络
僵尸程序(Bot)
来自于robot,攻击者用于一对多控制目标主机的恶意代 码
Linux
LRK (Linux RootKit) URK (Universal RootKit):适用于多种Unix平台 Linux用户模式Rootkit的防御: 文件完整性检测 Tripwire, 专用检测工具chkrootkit
Win32
FakeGINA, AFX Rootkit(DLL注入、API Hooking)
后门
后门类型
本地权限提升、本地帐号 单个命令的远程执行 远程命令行解释器访问-NetCat 远程控制GUI-VNC, BO, 冰河, 灰鸽子 无端口后门: ICMP后门, 基于Sniffer非混杂模式的后 门,基于Sniffer混杂模式的后门
自启动后门
Windows:自启动文件/文件夹;注册表自启动项; 计划任务 Linux/Unix:inittab, rc.d/init.d, 用户启动脚本, cron计划任务
HTTP僵尸网络
传统僵尸网络-基于IRC互联网实时聊天协议构建 著名案例: sdbot, agobot等
P2P僵尸网络
僵尸网络控制器-Web网站方式构建 僵尸程序中的命令与控制模块:通过HTTP协议向控制器 注册并获取控制命令 著名案例: bobax, rustock, 霸王弹窗
内核模式Rootkit
XueTr检测软件
恶意代码相关推荐书籍
基础
Ed. Skoudis, Lenny Zelter, Malware: Fighting Malicious Code(决战恶意代码)电子工业 出版社. 刘倍昌,走进计算机病毒,人民邮电出版社,2011
进阶
Peter Szor, The Art of Computer Virus Research and Defense(计算机病毒防范艺术), 机 械工业出版社. 段钢(看雪学院), 加密与解密(第三版), 电子工业出版社. 刘倍昌,计算机病毒揭秘与对抗,电子工业出版社, 2011
恶意代码的类型
恶意代码的命名规则与分类体系
恶意代码命名规则
[恶意代码类型.]恶意代码家族名称[.变种号]
恶意代码分类的混淆
反病毒工业界并没有形成规范的定义,概念混淆 各种恶意代码形态趋于融合
各种形态恶意代码在关键环节上具有其明确的定义 特性
传播、控制、隐藏、攻击 针对明确定义特性对恶意代码进行分类研究 僵尸程序、Rootkit、网页木马…
网络信息对抗
主讲人:张 瑜
Email:bullzhangyu@ QQ:344248003
网络信息对抗
第六章:恶意代码及其分析
提纲
恶意代码基础知识 恶意代码分析技术
课题实践:恶意代码静态分析
作业:分析一个自制恶意代码样 本
恶意代码(Malware)
恶意代码定义 Malware is a set of instructions that run on your computer and make your system do something that an attacker wants it to do. 使计算机按照攻击者的意图运行以达到恶意目的的指令集合。 指令集合: 二进制执行文件, 脚本语言代码, 宏代码, 寄生在文 件、启动扇区的指令流 恶意代码目的: 技术炫耀/恶作剧, 远程控制, 窃取私密信息, 盗用资源, 拒绝服务/破坏, … 恶意代码类型 计算机病毒, 蠕虫, 恶意移动代码, 后门, 特洛伊木马, 僵尸程 序, Rootkit等… 计算机病毒是最早出现的恶意代码,媒体/工业界的概念混淆, 经常以计算机病毒(Computer Virus)等价于恶意代码
恶意代码分析环境(病毒发烧友)
2007-2008年:Storm worm
基于Overnet构建了Stromnet, 一个专属的P2P网络
恶意代码发展史上著名的案例
国内著名的恶意代码实例与事件
1986年,中国公安部成立计算机病毒研究小组 1989年,国内首例病毒攻击事件,Kill发布 90年代,反病毒业界逐步形成
恶意代码的发展史
1999-2000年:邮件病毒/蠕虫, Melissa, ILOVEYOU 2001年(蠕虫年):Code Red I/II, Nimda 2002年:反向连接木马Setiri, … 2003年-2004年:蠕虫大爆发
2003: Slammer/Blaster/Nachi/Sobig/… 2004: Mydoom/Witty/Sasser/Santy/…
木马
特洛伊木马(Trojan Horse)起源-特洛伊 战争 木马: 特洛伊木马(Trojans)
定义: 看起来具有某个有用或善意目的,但实际 掩盖着一些隐藏恶意功能的程序。 错误观点: 提供对受害计算机远程控制的任何程 序,或受害计算机上的远程命令行解释器看做 木马,他们应被视为后门。 如果将后门工具伪装成良性程序,才具备真正 的木马功能。
内核模式Rootkit
内核模式Rootkit 恶意修改操作系统内核,从而达到更深的隐藏和更强的隐蔽性 Linux内核模式Rootkit Adore, Adore-ng, KIS (Kernel Intrusion System) 防御: SELinux, LIDS, … 检测: chkrootkit, KSTAT, ... Win32内核模式Rootkit NT Rootkit, Fu Rootkit 虚拟机模式Rootkit 黑客帝国《Matrix》 Linux: UML, KML Win32: VM Rootkit
恶意代码的发展史
1949年: Von Neumann提出计算机程序自我复制概念 1960年: 康维编写出“生命游戏”, 1961年AT&T实验室程序员编 写出“Darwin”游戏,通过复制自身来摆脱对方控制 1970s早期: 第一例病毒Creeper在APANET上传播 1983年: Fred Cohen给出计算机病毒定义 1983年: 最著名的Backdoor, Thompson Ken (October 1983). "Reflections on Trusting Trust" (PDF). 1983 Turing Award Lecture, ACM. 1986年: 第一例PC病毒Brain 1988年: 第一例蠕虫Morris Worm 1990年: SunOS rootkit 1995年: Concept宏病毒 1998年: CIH病毒-首例破坏计算机硬件的病毒 1998年: 最著名的后门软件-Back Orifice
特性
感染性:最本质的特性 潜伏性 可触发性 破坏性 衍生性
计算机病毒的感染机制
感染可执行文件
前缀感染 后缀感染 插入感染
感染引导扇区 感染数据文件-宏指令
计算机病毒的感染机制
计算机病毒的传播机制
计算机病毒VS. 蠕虫
病毒: 借助人类帮助从一台计算机传至另一台计 算机 蠕虫: 主动跨越网络传播
提纲
恶意代码基础知识 恶意代码分析技术
课题实践:恶意代码静态分析
作业:分析一个自制恶意代码样 本
恶意代码分析
没有分析的生活是毫无意 义的。 ---苏格拉底
恶意代码分析
恶意代码分析与良性代码分析
相同点:通用代码分析技术
恶意代码分析的关键点
构建受控的分析环境, 通过静态/动态方法实施分析
应用程序级木马后门: 操作系统之上由攻击 者添加至受害计算机的恶意应用程序 用户模式Rootkit:木马化操作系统用户模 式应用程序 内核模式Rootkit:对内核组件的恶意修改 和木马化
Rootkit和木马后门之间的位置对比
用户模式Rootkit
用户模式Rootkit
恶意修改操作系统在用户模式下的程序/代码,达到隐藏 目的
Rootkit也可被视为特洛伊木马 获取目标操作系统上的程序或内核代码,用恶意版本替 换它们 Rootkit往往也和后门联系在一起 植入Rootkit目的是为攻击者提供一个隐蔽性的后门访 问
Rootkit分类: 用户模式、内核模式
定义特性:隐藏性
Rootkit和木马后门之间的位置对比
僵尸网络(BotNet)
攻击者出于恶意目的,传播僵尸程序控制大量主机,并 通过一对多的命令与控制信道所组成的网络。 定义特性:一对多的命令与控制通道的使用。
僵尸网络危害-提供通用攻击平台
分布式拒绝服务攻击 发送垃圾邮件 窃取敏感信息 点击欺诈…
僵尸网络类型
IRC僵尸网络
渗透攻击模块
传播引擎
FTP/TFTP/HTTP/SMB/直接传送/单包
目标选择算法+扫描引擎
扫描策略
有效负荷(攻击负荷)
Payload: 传播自身, 开放后门, DDoS攻击...
“红色代码”蠕虫
2001年7月19日,”红色代码”蠕虫爆发 在红色代码首次爆发的短短9小时内,以迅雷不及 掩耳之势迅速感染了250,000台服务器(通过 IIS服务漏洞) 最初发现的红色代码蠕虫只是篡改英文站点主页, 显示“Welcome to ! Hacked by Chinese!” 随后的红色代码蠕虫便如同洪水般在互联网上泛滥, 并会在每月20日~28日对白宫的WWW站点的 IP地址发动DoS攻击,使白宫的WWW站点不得 不全部更改自己的IP地址。