当前位置:文档之家 › 第2讲 恶意代码检测与防范

第2讲 恶意代码检测与防范

  • 格式:pptx
  • 大小:1.74 MB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

网络安全管理制度中的网络恶意代码检测与防范

网络安全管理制度中的网络恶意代码检测与防范

网络安全管理制度中的网络恶意代码检测与防范一、引言在当今数字化时代,网络安全问题日益突出,网络恶意代码成为网络攻击的重要手段,给个人、企业和国家带来了巨大的威胁。

为了确保网络安全,建立一套完善的网络安全管理制度至关重要。

本文将论述网络安全管理制度中的网络恶意代码检测与防范措施。

二、恶意代码概述网络恶意代码是指通过网络传播、感染计算机系统并对其进行破坏、窃取信息或控制的恶意程序。

常见的网络恶意代码包括病毒、蠕虫、木马和僵尸网络等。

这些恶意代码通过各种手段侵入系统,窃取用户信息、破坏系统功能、传播更多的恶意代码,给个人和组织带来巨大的损失。

三、网络恶意代码检测策略针对网络恶意代码的检测,在网络安全管理制度中,应采取多层次、多种手段的策略,以提高检测的准确性和及时性。

1. 实时监测与拦截通过实时监测流量,设置流量监测和分析系统,对进出网络的数据进行实时检测,发现异常行为或恶意代码传播迹象时,立即进行拦截或隔离,以阻止恶意代码的传播和遏制危害。

2. 引入先进的检测技术有效利用先进的恶意代码检测技术,例如基于特征的检测和行为分析检测等,能够更准确地识别并检测出恶意代码。

同时,及时更新病毒库和恶意代码规则,确保系统能够及时应对新型的恶意代码攻击。

3. 加强终端安全管理终端设备是恶意代码传播的重要载体,强化终端安全管理是有效预防恶意代码传播的重要手段。

通过安装杀毒软件、定时更新系统补丁、控制远程访问权限等方式,提高终端的安全性。

四、网络恶意代码防范措施除了检测恶意代码外,网络安全管理制度还应采取一系列防范措施,从源头上减少恶意代码的传播和攻击。

1. 加强员工安全意识培训教育员工关于网络安全的重要性和预防恶意代码攻击的基本知识,提高他们的安全意识,使其能够识别和避免恶意代码的陷阱,防范恶意代码的攻击。

2. 强化网络访问权限控制建立科学合理的网络访问控制机制,根据不同用户的权限,精细化管理网络资源访问,限制外部可访问网络的范围,减少网络恶意代码的入侵机会。

恶意代码检测与防范

恶意代码检测与防范
有时配置程序和控制程序集成在一起,统称控制端程序。
12
木马的基本原理
1. 配置木马:设置木马参数,实现伪装和信息反馈 2. 传播木马:如通过帮定程序将木马帮定到某个合法或
有用软件,通过诱骗等方式传播到用户系统 3. 运行木马:用户运行捆绑木马的软件而安装木马,将
木马文件复制到系统,并设置触发条件,以后可自动 运行 4. 信息反馈:木马收集系统信息发送给控制端攻击者 5. 建立连接:控制程序扫描运行了木马的主机(开放特 定端口),添加到主机列表,并在特定端口建立连接 6. 实施监控:实现远程控制,如同本地操作
恶意代码检测与防范
主要内容
▪ 常见的恶意代码 ▪ 恶意代码机理 ▪ 恶意代码检测 ▪ 恶意代码清除与预防
2
常见的恶意代码
• 恶意代码 主要是指以危害信息的安全等不良意图为目的的 程序,它们一般潜伏在受害计算机系统中实施破 坏或窃取信息。主要有计算机病毒、蠕虫、木马
• 恶意代码主要危害
– 攻击系统,造成系统瘫痪或操作异常 – 危害数据文件的安全存储和使用 – 泄露文件、配置或隐秘信息 – 肆意占用资源,影响系统或网络性能
升级更新,定期检测系统 • 打开防病毒软件的实时监控功能 • 建立严密的病毒监测体系,及早发现病毒,及时
清除病毒
17
常用检测方法
1) 外观检测法
– 病毒侵入系统后会是系统表现出一些异常现象 – 根据异常现象判断病毒的存在
2) 特征代码法
– 病毒特征码是从病毒体内抽取的代表病毒特征的 唯一代码串
防范体系 – 管理体系 – 技术体系
防治策略 – 主动预防为主、被动处理为辅 – 预防、检测、清除相结合
16
一般预防措施
• 及时备份重要数据和系统数据 • 关注漏洞公告,及时更新系统或安装补丁程序 • 新购置的机器、磁盘、软件使用前进行病毒检 • 不要下载或使用来历不明的软件 • 外用的磁盘尽量要写保护,外来的磁盘要检毒 • 安装具有实时防病毒功能的防病毒软件,并及时

网络安全中的恶意代码检测与防范方法

网络安全中的恶意代码检测与防范方法

网络安全中的恶意代码检测与防范方法恶意代码(Malware)是指用于攻击计算机系统、窃取用户信息、传播病毒等恶意行为的计算机程序。

随着网络的普及和应用的广泛,恶意代码的威胁日益严重,对网络安全造成了巨大的风险。

为了保护用户信息和计算机系统的安全,网络安全专家们积极研发并应用恶意代码检测与防范方法。

恶意代码的检测方法主要包括特征检测、行为检测和机器学习检测。

特征检测是一种常见而有效的方法,它利用已知的恶意代码特征来识别和分类恶意代码。

这些特征可以是恶意代码的特定字符串、文件结构或者函数调用等。

特征检测不依赖于恶意代码的行为,而是依赖于恶意代码的特定特征。

然而,特征检测的局限在于对已知特征的依赖,新型的恶意代码可能会使用新的特征,从而逃避检测。

行为检测是通过观察恶意代码的行为来判断其是否为恶意代码。

这种方法不依赖于恶意代码的特定特征,而是关注其对计算机系统的影响和操作。

行为检测可以监控恶意代码执行的系统调用、网络通信等行为,从而及时发现和阻止恶意代码的活动。

然而,行为检测也有其局限性,因为某些新型的恶意代码可以通过伪装、加密等手段来隐藏其行为特征,使得其难以被检测。

机器学习是一种基于样本数据的自动学习方法,其在恶意代码检测中也得到了广泛应用。

机器学习方法通过分析已有的恶意代码数据和非恶意代码数据,学习生成一个分类模型。

这个模型可以对新的恶意代码进行预测和分类。

机器学习方法能够自动学习具有较强泛化能力的特征,对于新型的恶意代码也能较好地进行检测。

但是,机器学习方法也存在着过拟合、样本不平衡等问题,需要针对这些问题进行优化。

除了恶意代码的检测方法,防范恶意代码也是非常重要的。

下面我来介绍几种常用的防范恶意代码的方法。

首先是使用杀毒软件。

杀毒软件是一种能够检测和消除计算机病毒的软件。

它通过对病毒特征的识别和监听计算机的活动,及时发现和清除恶意代码。

用户可以定期更新杀毒软件的病毒库,确保其具备最新的恶意代码识别能力。

网络信息安全中的恶意代码检测与防御技术

网络信息安全中的恶意代码检测与防御技术

网络信息安全中的恶意代码检测与防御技术在当今数字化时代,我们越来越依赖互联网来进行日常活动,这也使得网络安全成为一个焦点。

恶意代码是网络安全的一个主要威胁,它可能引起数据泄露、系统崩溃、身份盗窃等问题。

为了保护网络安全,恶意代码的检测与防御技术变得至关重要。

恶意代码是指具有恶意目的的计算机程序,它们可能被用于破坏、窃取或者干扰计算机系统的正常运行。

恶意代码分为多种类型,包括病毒、蠕虫、木马、间谍软件等等。

恶意代码检测是指通过不同的技术手段来发现计算机系统中存在的恶意代码。

常见的检测技术包括特征匹配、行为分析和启发式分析。

特征匹配是一种常用的恶意代码检测技术,它通过比对恶意代码样本与系统中的文件进行匹配来发现恶意代码。

这种技术依赖于已知的恶意代码样本库,它会将系统中的文件与已知的病毒特征进行比对,如果存在匹配,就表明系统中存在恶意代码。

行为分析是另一种常见的恶意代码检测技术。

它通过监视计算机系统的行为来发现潜在的恶意活动。

例如,行为分析可以检测到一个程序试图在后台下载其他可疑文件的行为,这可能是一个恶意代码的迹象。

启发式分析是一种相对复杂的恶意代码检测技术。

它通过建立一个恶意代码行为模型来识别潜在的恶意代码。

启发式分析不依赖于已知的恶意代码库,而是根据恶意代码的典型行为和特征来判断一个程序是否是恶意代码。

恶意代码防御技术则是指通过不同的方式来保护计算机系统免受恶意代码的攻击。

常见的恶意代码防御技术包括网络防火墙、入侵检测系统和反病毒软件等。

网络防火墙是一种用于保护计算机网络免受未经授权访问和恶意攻击的技术。

它通过监控网络传输数据来过滤恶意流量,并根据事先设定的规则来允许或拦截特定类型的数据包。

网络防火墙可以有效地防止网络中的恶意代码扩散。

入侵检测系统是一种用于监视计算机网络或系统的安全性的技术。

它可以检测到异常行为或者已知的攻击模式,并在发现异常时发出警报,以便及时采取措施。

入侵检测系统可以帮助防御恶意代码的攻击,提高系统的安全性。

信息安全中的恶意代码检测与防护方法

信息安全中的恶意代码检测与防护方法

信息安全中的恶意代码检测与防护方法恶意代码是指那些有意引起计算机系统破坏、扩散、窃取信息以及干扰正常运行的程序或脚本。

随着技术的不断发展,恶意代码的种类和形式也在不断增多,因此对于恶意代码的检测与防护显得尤为重要。

本文将介绍信息安全中恶意代码检测与防护的方法和措施。

一、恶意代码的类型恶意代码包括病毒、蠕虫、木马、间谍软件、广告软件等。

病毒以复制自身的方式感染文件、系统和网络,对系统造成破坏;蠕虫则通过网络传播自己,对系统和网络安全构成威胁;木马躲藏在合法软件中,获取用户的敏感信息或者对系统进行控制;间谍软件则通过获取用户的信息,窃取敏感数据,广告软件则以广告为手段,通过弹窗或者插件形式对用户实施骚扰。

了解不同类型的恶意代码,对于选择适合的防护方法至关重要。

二、恶意代码检测方法1. 病毒库检测病毒库检测是目前最常用的恶意代码检测方法之一,它建立在静态分析的基础上。

病毒库中收录了已知病毒的特征码,当系统中的文件或者程序与病毒库中的特征码相匹配时,就会被判定为病毒。

这种方法检测速度快,准确率高,但无法应对未知病毒,因此需要不断更新病毒库以保持检测能力。

2. 行为检测行为检测是一种动态的恶意代码检测方法。

它通过监控程序的行为和活动,对异常行为进行判定。

例如,如果一个程序在无权限的情况下试图修改系统文件,那么就可以判定为恶意代码。

行为检测准确率高,可以应对未知病毒,但对计算机性能有一定的影响。

3. 壳层检测壳层是恶意代码为了对抗防火墙和病毒扫描器而使用的技术手段。

壳层检测通过识别恶意代码的壳层来判定其恶意性。

壳层的特点是对代码进行加密或混淆,使其难以被检测。

因此,壳层检测需要研究壳层技术,识别病毒的壳层并对其进行解析。

三、恶意代码防护方法1. 安全意识培养恶意代码的传播往往是通过用户的不慎点击或下载恶意软件而实现的。

因此,培养用户的安全意识至关重要。

用户应该了解常见的恶意代码形式和传播方式,并学习如何判断和避免恶意代码的攻击。

计算机安全中的恶意代码检测与防范

计算机安全中的恶意代码检测与防范

计算机安全中的恶意代码检测与防范随着计算机技术的不断发展,人们的生活也越来越依赖于计算机。

但是,随着计算机应用的广泛化,计算机安全问题也变得更加重要。

其中,恶意代码检测与防范是计算机安全领域的重要领域之一。

本文将从恶意代码检测与防范的基本概念、常见恶意代码及其工作原理等方面进行介绍和分析。

一、基本概念恶意代码(Malware)是指一类针对计算机系统的恶意软件,其目的是破坏计算机系统的正常工作、窃取用户敏感信息、利用计算机系统进行网络攻击以及其他非法行为。

恶意代码通常包括病毒、木马、蠕虫、间谍软件、广告软件等。

恶意代码检测与防范是指通过各种手段,来检测和防范计算机系统中的恶意代码,保护计算机系统的安全和稳定。

检测和防范恶意代码是计算机安全工作的重中之重,因为恶意代码往往会给用户的个人资料、财产和机密信息造成极大的损失,同时也会对社会带来一定的负面影响。

二、常见恶意代码及其工作原理1. 病毒病毒是一种常见的恶意代码,它以文件、程序为载体,通过感染其他文件或程序来进行传播和破坏。

病毒可以在目标计算机中逐渐破坏正常程序的功能,甚至可以完全控制用户的计算机系统。

病毒的工作原理是通过感染主机文件来实现自身的复制和传播。

一旦病毒感染了计算机系统,它会开始自我复制,不断地从宿主文件、程序等中复制自身,并利用各种方式来传播,最终破坏计算机系统。

为了防范病毒,用户应该及时安装杀毒软件并且开启实时监控模式,通过杀毒软件对计算机进行全面扫描和检查,及时查杀潜在的病毒威胁。

2. 木马木马是一种通过合法的程序或文件来隐藏恶意代码的恶意软件。

木马的本质是一种后门程序,它会在用户不知情的情况下在目标计算机上植入恶意代码,以实现对目标计算机的合法控制。

木马病毒在传播时,往往伪装成有吸引力的文件或者程序,使得用户在不知情的情况下进行下载和安装。

一旦木马病毒成功感染了目标计算机,它就会悄悄地进行各种远控操作,窃取用户的隐私信息,甚至进行远程控制等非法操作。

网络安全中的恶意代码检测与防护研究

网络安全中的恶意代码检测与防护研究随着互联网的发展,网络安全问题日益突出。

恶意代码成为网络安全的重要威胁之一。

恶意代码是指通过网络传播并具有恶意功能的软件,如计算机病毒、蠕虫、木马等。

针对恶意代码的检测与防护研究成为当前亟待解决的难题。

一、恶意代码检测技术恶意代码的检测技术主要包括特征检测、行为分析和机器学习等方法。

特征检测是通过分析恶意代码的固定特征来判断其是否存在。

常见的特征包括恶意代码的哈希值、文件大小、启动行为等。

然而,这种方法容易被恶意代码制作者规避,因此需要不断更新特征库。

行为分析是通过监视程序的运行行为来判断其是否恶意。

这种方法关注的是恶意代码对系统进行的非法操作,如文件篡改、系统漏洞利用等。

但是,行为分析也容易受到正常程序误判的影响。

机器学习方法通过训练算法来识别恶意代码的特征。

这种方法可以通过大量的样本数据进行训练,并根据模型不断优化,提高检测的准确性。

但是,机器学习方法也存在过拟合和数据不平衡等问题。

二、恶意代码防护策略除了检测恶意代码外,防护策略同样重要。

常见的恶意代码防护策略包括安全更新、访问控制和加密技术等。

安全更新是指及时更新操作系统和应用程序的补丁,以修复已知的安全漏洞,防止恶意代码的利用。

用户应关注官方发布的安全更新通知,并及时进行更新。

访问控制是通过设置权限和身份验证来控制对系统资源的访问。

通过合理设置权限和使用强密码,可以减少恶意代码对系统的攻击。

加密技术是对数据进行加密保护,防止恶意代码获取敏感信息。

使用强大的加密算法和安全通信协议可以有效保护数据的机密性和完整性。

三、恶意代码检测与防护的挑战恶意代码检测与防护仍面临诸多挑战。

首先,恶意代码的变异能力不断提高,很多恶意代码可以通过加密、压缩或其他手段进行变异,以规避现有的检测方法。

其次,恶意代码常常采用隐蔽的传播方式,如伪装成合法应用程序、通过社交媒体传播等。

这不仅给检测带来了困难,也增加了用户的误判率。

此外,恶意代码的攻击手段也日益复杂。

网络安全中的恶意代码检测与防范

网络安全中的恶意代码检测与防范一、恶意代码的概念与特征恶意代码(Malware)是一种破坏性的软件,它会在用户不知情的情况下进入计算机系统,通过窃取信息、破坏文件、占用系统资源等方式对用户造成伤害。

目前常见的恶意代码包括病毒(Virus)、蠕虫(Worm)、木马(Trojan horse)、间谍软件(Spyware)等。

这些恶意软件会利用漏洞或者用户的不当行为来攻击用户的计算机系统。

例如,用户不小心点击了一个恶意链接或者下载了一个感染了病毒的程序,都有可能导致计算机系统遭到破坏。

恶意代码的特征包括潜在性、不可预测性、变异性和传染性。

其中,变异性是恶意代码最为致命的特征之一。

由于恶意代码的变异性比较强,导致传统的恶意代码检测技术失效。

因此,基于行为的恶意代码检测技术逐渐应用广泛。

二、恶意代码检测技术(一)基于签名的恶意代码检测基于签名的恶意代码检测是一种传统的检测技术,它通过比对已知的恶意代码的特征(即病毒特征库)和目标文件的特征来识别恶意代码。

如果目标文件的特征与病毒特征库中的恶意代码匹配,那么该目标文件就被认为是恶意的。

基于签名的恶意代码检测技术的优点是准确性高、误报率低,但其缺点是无法检测出新出现的恶意代码。

(二)基于行为的恶意代码检测随着恶意代码的变异性不断增强,基于签名的恶意代码检测技术的局限性日益显现。

与此同时,基于行为的恶意代码检测技术逐渐成为了主流。

基于行为的恶意代码检测技术直接针对恶意代码的行为特征进行监测,从而判断该程序是否为恶意代码。

例如,当一个程序在计算机上执行某些恶意行为,例如窃取用户的个人信息或占用计算机资源时,基于行为的恶意代码检测技术会自动识别出来。

基于行为的恶意代码检测技术的优点是可适应新兴的恶意代码,但其缺点是误报率较高。

三、恶意代码防范措施(一)注意网络安全意识有一个好的网络安全意识可以更好地保护自己的计算机系统。

用户应该牢记的是,不要轻易打开陌生邮件、不要随便点击任何链接,并且不要轻易下载未知来源的程序,以避免受到恶意代码的攻击。

网络安全中的恶意代码分析与防范手段

网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。

随着网络的普及和应用的广泛,网络安全问题变得愈发突出。

本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。

一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。

下面将介绍几种常见的恶意代码及其分析方法。

1. 病毒病毒是一种能够自我复制并传播的恶意代码。

它通常通过文件的共享或者下载、运行来感染目标计算机。

病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。

分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。

2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。

蠕虫可以通过漏洞来感染系统,并在系统中运行。

它们常常通过邮件、用户点击等方式传播。

分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。

3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。

它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。

分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。

4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。

间谍软件通常通过下载和安装一些看似正常的软件而进入系统。

分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。

二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。

以下是几种常用的防范手段。

1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。

及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。

同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。

恶意代码检测与防范技术ppt课件

恶意代码刚出现时发展较慢,但是随着网络飞速发展,Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年,不断涌现的 恶意代码,证实了这一点。 3)从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

木马植入技术
主动植入技术主要包括 : 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马
被动植入主要包括: 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播
木马的自动加载技术
针对Windows系统,木马的自动加载主要有以下方法:
主动攻击
造成网络拥塞 消耗系统资源
反复性
破坏性
蠕虫工作机制
信息收集 攻击渗透 现场处理
按照一定的策 略搜索网络中存活 的主机,收集目标 主机的信息,并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机,否则 放弃攻击。
23
蠕虫工作机制
信息收集 攻击渗透 现场处理
隐藏在主机上的所有活动 监视键盘 删除敏感信息
收集你的相关信息
窃取文件 开启后门(肉鸡) 诱骗访问恶意网站 作为网络传播的起点
恶意代码的危害
恶意代码的危害
攻击系统,造成系统瘫痪或操作异常; 危害数据文件的安全存储和使用; 泄露文件、配置或隐私信息; 肆意占用资源,影响系统或网络的性能; 攻击应用程序,如影响邮件的收发。
按照一定的策 略搜索网络中存活 的主机,收集目标 主机的信息,并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机,否则 放弃攻击。
通过收集的漏洞 信息尝试攻击,一 旦攻击成功,则获 得控制该主机的权 限,将蠕虫代码渗 透到被攻击主机。
蠕虫工作机制
信息收集 攻击渗透 现场处理
手机骷髅
手机病毒
手机病毒的定义是:
“手机病毒和计算机病毒一样,以手机为感染对象,
以手机网络和计算机网络为平台,通过病毒短信等形 式,对手机进行攻击,从而造成手机异常的一种新型 病毒。”
另一个声音:
2009.3,易安信CTO王伟:“手机病毒纯属忽悠,目前 并没有真正意义的手机病毒。 ” 2009.9,360 CEO周鸿袆 (YI),“手机病毒是个伪概 念 ”
计算机病毒的特征
病毒主要特征 解释
病毒具有把自身复制到其它程序中的特性。
传染性
隐蔽性 破坏性
通过隐蔽技术使宿主程序的大小没有改变,以至 于很难被发现。 计算机所有资源包括硬件资源和软件资源,软件 所能接触的地方均可能受到计算机病毒的破坏 长期隐藏在系统中,只有在满足特定条件时,才 启动其破坏模块。
传染
攻击
破坏
扩散
欺骗 潜伏
隐藏 破坏
信息窃取
5
恶意代码的发展历史
恶意代码的特征
恶意代码的特性 一类程序,由人编制,而非在计算环境或系统中 自生的; 对系统具有破坏性或威胁性,这是它们与普通程 序最大的区别; 按照种类,不同恶意代码具有潜伏性、传染性、 依附性等性质。
恶意代码的主要功能
• • • • • 系统文件 系统注册表 文件打开关联 任务计划 组策略
• 破坏机制
–良性病毒表现为占用内存或硬盘资源。 –恶性病毒则会对目标主机系统或信息产生严重破坏。
病毒传播的两种方式
被动传播 用户在进行复制磁盘或文件时,把病毒由一个 载体复制到另一个载体上,或者通过网络把一 个病毒程序从一方传递到另一方。 主动传播 计算机病毒以计算机系统的运行及病毒程序处于 激活状态为先决条件,在病毒处于激活状态下, 只要传播条件满足,病毒程序能主动把病毒自身 传播给另一个载体或另一个系统。
攻击成功后,要对 被攻击的主机进行 一些处理,将攻击 代码隐藏,为了能 使被攻击主机运行 蠕虫代码,还要通 过注册表将蠕虫程 序设为自启动状态; 可以完成它想完成 的任何动作,如恶 意占用CPU资源等。
25
按照一定的策 略搜索网络中存活 的主机,收集目标 主机的信息,并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机,否则 放弃攻击。
蠕虫的特征
蠕虫主要特征 解释
从搜索漏洞,到利用搜索结果攻击系统,到攻击 成功后复制副本是全自动。
1.传播的过程中,蠕虫需要判断感染条件的存在。 2.同时出于攻击网络的需要,蠕虫也可以产生大 量恶意流量。 搜索目标主机、漏洞、感染其它主机需要消耗资 源;许多蠕虫本身就会恶意耗费系统的资源。 即使清除了蠕虫,如果没有修补计算机系统漏洞, 网络中的计算机还是会被重新感染。 现在蠕虫开始包含其它种类恶意代码,破坏被攻 击的计算机系统,而且造成的损失越来越大。
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
蠕虫
概念 一类特殊的恶意代码,可以在计算机系统或网络 中繁殖,由于不依附于其他程序,这种繁殖使它 们看上去是在内存、磁盘或网络中移动。 特征 不用计算机使用者干预即可运行的攻击程序或代 码; 它会扫描和攻击网络上存在系统漏洞的节点主机 ,通过网络从一个节点传播到另外一个节点。
自动恢复性
破坏或信息收集
木马的自动恢复性
木马-“聪明基因”
植入系统后,生成以下三个文件: C:\windows\MBBManager.exe C:\windows\Explore32.exe C:\windows\system\editor.exe
用的都是 HTML文 件图标
关联: MBBManager.exe在启动时加载 Explore32.exe关联HLP文件( Windows帮助文件) Editor.exe关联TXT文件 机理 当MBBManager.exe被发现删除,只要打开HLP文件 或文本文件,Explore32.exe和Editor.exe就被激活并 再次生成MBBManager.exe。
客户端:安装在攻击者机器上的部分。 服务端:通过各种手段植入目标机器的部分。
木马的特征
木马主要特征
隐蔽性
解释
隐蔽性是木马的首要特征。木马类软件的服务端程序 在被控主机系统上运行时,会使用各种方法来隐藏自 己。
自动运行性
欺骗性
木马程序通过修改系统配置文件,在目标主机系统启 动时自动运行或加载。
蠕虫扫描策略
从DNS服务器获取IP地址来建立目标地址库。
优点:
获得的IP地址块针对性强和可用性高。
关键问题:
如何从DNS服务器得到网络主机地址,以及DNS服务器是 否存在足够的网络主机地址。
蠕虫扫描策略
基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标 列表,搜寻感染目标。
网络蠕虫传播模型
慢速发展阶段
LOGO
恶意代码检测与防范
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
什么是恶意代码?
恶意代码(Malicious Code):主要是指以危害 信息安全等不良意图为目的的程序,它们一般潜 伏在受害计算机系统中实施破坏或窃取信息。
宏病毒
宏病毒 使用宏语言编写的程序,可以在一些数据处 理系统中运行,存在于字处理文档、数据表 格、数据库、演示文档等数据文件中。
宏ormal.dot
启动 激活病毒 无毒文件.doc Normal.dot
宏病毒的特点
宏病毒具有如下特点 传播快
• Word文档是交流最广的文件类型。人们大多对外来 的文档文件基本是直接浏览使用,这给Word宏病毒 传播带来很多便利。
制作、变种方便
• Word使用宏语言WordBasic来编写宏指令。用户很 方便就可以看到这种宏病毒的全部面目。 • 把宏病毒稍微加以改变,立即就生产出了一种新的 宏病毒.
破坏性大
—来源: 冯登国,赵险峰《信息安全概论》
恶意代码是指没有作用却会带来危险的代码。
—来源:
恶意代码是经过存储介质和网络进行传播,从一 台计算机系统到另外一台计算机系统,未经授权 认证破坏计算机系统完整性的程序或代码.
—来源:
常见的恶意代码种类
恶意代码类型 主要特点
潜伏
扫描
计算机病毒 蠕虫
特洛伊木马 逻辑炸弹
木马与病毒、蠕虫和远程控制软件的区别
木马与病毒、蠕虫的区别
是否主动传播 木马 病毒 蠕虫
否 否 是
是否独立存在
是 否 是
木马与远程控制软件的区别 远程控制 木马
“善意”的控制,不具有隐蔽性和破坏性 “恶意”的控制,对目标系统执行恶意 操作或窃取信息
木马的欺骗技术
木马欺骗技术是木马欺骗用户安装、欺骗用户运 行以及隐藏自己的关键技术。 木马欺骗技术主要有 :
蠕虫扫描策略
选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描 的地址空间。所选的目标地址按照一定的算法随机生成。
特点:
1.选择性随机扫描算法简单,容易实现。 2.若与本地优先原则结合则能达到更好的传播效果。 红色代码和“Slammer”的传播采用了选择性随机扫描策
略。
27
蠕虫扫描策略
顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地 址进行传播,根据本地优先原则,网络地址段顺序递增。
随着网络蠕虫的 爆发和流行,人们通 过分析蠕虫的传播机 制,采取一定措施及 时更新补丁包,并采 取措删除本机存在的 蠕虫,感染蠕虫数量 开始缓慢减少。
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
30
特洛伊木马
概念 木马是指隐藏在正常程序中的一段具有特殊功 能的恶意代码,是具备破坏和删除文件、发送 密码和记录键盘等的特殊功能的后门程序。 木马的组成结构
通过收集的漏洞 信息尝试攻击,一 旦攻击成功,则获 得控制该主机的权 限,将蠕虫代码渗 透到被攻击主机。
蠕虫扫描策略