信息安全原理与技术ch11-恶意代码

信息安全原理与技术第2版郭亚军宋建华李莉董慧慧清华大学出版社2020/1/23Ch11恶意代码2第11章恶意代码•主要知识点：--计算机病毒--蠕虫病毒--特洛伊木马--恶意代码的防治对策2020/1/23Ch11恶意代码3恶意代码•恶意代码（Maliciouscode）是一种计算机程序，它通过把代码在不被察觉的情况下嵌入到另一段程序中，从而达到运行具有入侵性或破坏性的程序，或破坏被感染电脑数据的安全性和完整性的目的。•按传播方式，恶意代码大致分成计算机病毒、蠕虫、特洛伊木马、移动代码和复合型病毒等。2020/1/23Ch11恶意代码411.1计算机病毒•计算机病毒的起源与发展•计算机病毒的特征•计算机病毒的分类•计算机病毒的结构和原理2020/1/23Ch11恶意代码5•计算机病毒是指在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。•计算机病毒能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏。2020/1/23Ch11恶意代码611.1.1计算机病毒的起源与发展•计算机之父冯诺伊曼在1949年提出了计算机病毒的基本概念：“一部事实上足够复杂的机器能够复制自身”。•1983年l1月3日美国计算机专家弗莱德·科恩（FredCohen）演示了第一例被证实的计算机病毒。•1986年初，Basit和Amjad为了打击盗版软件的使用者编写了Pakistan病毒，即BRAIN。在一年内流传到世界各地。2020/1/23Ch11恶意代码7•1988年3月2日，一种苹果机的病毒发作，这天感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”以庆祝苹果机生日。•1988年底，我国国家统计系统发现小球病毒。随后全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后，已发现越来越多的国产病毒。•在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。2020/1/23Ch11恶意代码811.1.2计算机病毒的特征•根据分析计算机病毒的产生、传播和破坏行为，主要特征如下。–传染性–潜伏性–隐蔽性–多态性–破坏性2020/1/23Ch11恶意代码911.1.3计算机病毒的分类•感染文件型病毒•感染引导区型病毒•宏病毒•恶作剧电子邮件•变形病毒2020/1/23Ch11恶意代码101.感染文件型病毒•感染文件型病毒会把自己加载到可执行文件中（如Windows系统中的exe文件和.dll文件等）。•当病毒感染了一个程序后，它在被执行时就自我复制去感染系统中的其他程序和破坏操作。•目前，jerusalem和cascade是这类病毒中比较著名的。2020/1/23Ch11恶意代码112.感染引导区型病毒•感染引导区型病毒可以感染软盘、硬盘或可移动存储设备的主引导区。•当带病毒的磁盘上的内容在系统启动时被读取，病毒代码就会被执行，在用户对软盘或硬盘进行读写动作时进行感染活动。•感染引导区病毒隐蔽性非常强，可以对电脑造成极大破坏。Ichelangelo和Stoned是这种病毒中比较典型的。2020/1/23Ch11恶意代码123.宏病毒•宏病毒是把自己加载到WOED、EXCEL、ACCESS等办公自动化程序中，利用宏语言编写的应用程序来运行和繁殖。•由于用户经常把带有宏程序的文件共享，所以宏病毒的传播速度是非常快的。•宏病毒利用宏命令的强大系统调用功能，实现某些涉及系统底层操作的破坏。Marker和Melissa是这种病毒的典型例子。2020/1/23Ch11恶意代码134.恶作剧电子邮件•这种病毒是一种假冒的病毒警告。它的内容一般是恐吓用户，表示将要对用户计算机造成极大的破坏；或是欺骗用户计算机即将被病毒感染，警告他们立即采取紧急措施。•通常恶作剧电子邮件的传播是通过一些无辜的用户，他们希望发送这个信息提醒其他人防范病毒的侵袭。•恶作剧邮件并不会造成什么危害，但是有的恶作剧邮件会指使用户修改系统设置或是删除某些文件，这将会影响系统的安全性。这种病毒传播比较广泛的有GoodTimes和BudFrogs。2020/1/23Ch11恶意代码145.变形病毒•为了避免被防毒软件模拟而被侦查，有些病毒在每一次传染到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化，利用此种技术的病毒被称为可变形的。•要达到可变形，一个变形引擎是必需的。一个变形病毒通常非常庞大且复杂。举例来说，Simile病毒包含14000行汇编语言，其中90%都是变形引擎。2020/1/23Ch11恶意代码1511.1.4计算机病毒的结构和原理•计算机病毒一般被放在可执行文件的开始、结尾，或以其他方式嵌入，关键是要保证当调用受感染文件时，首先被执行的是病毒程序，然后才是原来的程序。•计算机病毒一般由三个模块构成：引导模块、感染模块和破坏模块。2020/1/23Ch11恶意代码16（1）引导模块•引导模块是计算机病毒的控制中心。•它的主要作用是当程序开始工作时将病毒程序从外存引入内存，使病毒的感染模块和破坏模块处于活动状态，以监视系统运行。•当触发条件满足时，病毒会按照设计的程序去调用破坏模块发动攻击。2020/1/23Ch11恶意代码17（2）感染模块•感染模块是完成计算机病毒的扩散功能。•它寻找到感染目标后，判断目标是否已被感染，若目标未感染则完成感染工作。2020/1/23Ch11恶意代码18（3）破坏模块•破坏模块是计算机病毒的核心部分。•首先判断程序运行过程中是否出现了满足病毒触发条件的情况，若满足则调用破坏程序的功能，比如删除程序，改写磁盘上的文件内容等。•以上是计算机病毒的组成部分，但并不是所有的病毒都由这三个模块组成，也有的病毒会缺少其中一些模块，或者模块之前的界限不明显。2020/1/23Ch11恶意代码19计算机病毒的工作原理•引导型病毒工作过程–引导型病毒感染的不是文件，而是磁盘引导区，病毒将自身写入引导区，只要磁盘被读写，病毒就首先被读取入内存。–接着系统执行引导区内容，首先被执行的是病毒的引导模块，引导模块将病毒的全部代码放到内存某段位置，并对这一段内存进行监控。–然后，引导模块会修改系统参数，为病毒的传染和迫害设置触发条件。–最后，病毒会执行系统的正常引导过程，完成系统的引导工作，在内存中的病毒等待触发条件的满足时刻，一旦满足条件则完成破坏功能。2020/1/23Ch11恶意代码20•文件型病毒工作过程–对于可执行文件，计算机病毒在传染的时候，首先要将病毒代码植入被传染的程序（也称宿主）中，并修改宿主程序的入口地址，使之分别指向病毒的感染模块和破坏模块，这样当宿主程序执行时，病毒代码会首先执行感染和破坏功能，完成后再将程序的执行权交给宿主程序，使用户觉察不到宿主程序中病毒的存在。–文件型病毒工作如图11.1所示。2020/1/23Ch11恶意代码21图11.1文件型病毒工作过程2020/1/23Ch11恶意代码22•宏病毒工作过程–宏病毒是一类主要感染Word、Excel等办公软件的病毒。–宏病毒可以把特定的宏命令代码附加在指定文件上，当Word等文档被打开时，隐藏在宏命令中的病毒就被激活，监视文档的操作，一旦到达触发点就发作破坏。如果文档关闭，宏病毒随着宏命令退出，不会驻留内存。2020/1/23Ch11恶意代码2311.2蠕虫病毒•蠕虫病毒与一般计算机病毒的异同•蠕虫病毒的工作原理•典型蠕虫病毒介绍•蠕虫病毒的发展与防治2020/1/23Ch11恶意代码24•1988年一个由美国CORNELL大学研究生莫里斯（RobertMorris）编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络。•蠕虫病毒是自包含的程序(或是一套程序),它通常是经过某种网络连接将自身从一台计算机分发到其他计算机系统中。•蠕虫病毒在计算机之间进行传播时无需用户干预，它不像一般病毒那样感染文件后进行直接破坏行为，它只是在计算机内存中自我复制，并向网络上尽可能多的计算机发送自身的副本。这种高速的自我复制在内存中达到一定数量后，会造成网络或本地系统资源耗尽导致拒绝服务攻击，甚至会引起系统崩溃。2020/1/23Ch11恶意代码2511.2.1蠕虫病毒与一般计算机病毒的异同蠕虫一般病毒存在形式独立程序寄生复制方式自我复制嵌入到宿主程序（文件）中感染方式主动攻击宿主程序运行感染目标网络上其他计算机本地文件触发感染程序自身计算机使用者影响重点网络、系统性能文件系统用户无关病毒传播的关键环节防止措施为系统漏洞打补丁从宿主文件中清除表11.1蠕虫和一般病毒之间的区别2020/1/23Ch11恶意代码2611.2.2蠕虫病毒的工作原理•蠕虫的工作流程•蠕虫的工作方式•蠕虫的行为特征•蠕虫的传播方式2020/1/23Ch11恶意代码27•蠕虫病毒程序一般由两部分组成：一部分是主程序，另一部分是引导程序。•主程序一旦在机器上建立就会搜索与当前机器联网的其他机器的信息。它能通过读取公共配置文件，并运行显示当前网上联机状态信息的系统使用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷，在这些远程机器上建立引导程序，把蠕虫病毒程序传染给每个机器。2020/1/23Ch11恶意代码28（1）蠕虫的工作流程•蠕虫程序的工作流程一般可以分为：漏洞扫描、攻击、现场处理、复制四个阶段。•当蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。如图11.2所示。2020/1/23Ch11恶意代码29图11.2蠕虫病毒工作流程2020/1/23Ch11恶意代码30（2）蠕虫的工作方式–随机产生一个网络地址–判断对应此网络地址的机器是否具有感染条件–如果具有则感染，否则持续循环扫描检测2020/1/23Ch11恶意代码31（3）蠕虫的行为特征•蠕虫的活动行为特征一般包括主动攻击，行踪隐蔽，利用系统、网络应用服务漏洞，造成网络拥塞，降低系统性能，产生安全隐患，反复性，破坏性。2020/1/23Ch11恶意代码32（4）蠕虫的传播方式•蠕虫病毒一般使用三种网络工具进行传播：电子邮件设备、远程执行功能、远程登录功能。•蠕虫病毒可以将自身的副本以电子邮件的形式发到网络的其他机器上，在其他机器上执行自身复制，以用户身份进入远程系统，然后使用命令将自身从一台计算机复制到另外一台计算机。2020/1/23Ch11恶意代码3311.2.3典型蠕虫病毒介绍•Morris蠕虫病毒•冲击波蠕虫病毒•红色代码•尼姆达2020/1/23Ch11恶意代码34Morris蠕虫病毒•1998年RobertMorris设计一种大小为60kB的病毒--Morris蠕虫。它通过Internet并使用多种不同的技术在UNIX系统中传播。（1）Morris蠕虫首先是找到当前主机所联系的其他系统，从而可以从当前主机进入其他系统。（2）一旦找到其他系统，Morris蠕虫病毒就会想办法获取它们的访问权限。（3）Morris蠕虫病毒获得访问权限后，就会和操作系统命令解释器进行通信。它会向该命令解释器发送一个比较短的引导程序，并发布某命令来执行该程序，然后在网络上终止连接主机的操作。接下来该引导程序便收回主程序并下载病毒的其他部分，最后新的病毒就开始执行了。2020/1/23Ch11恶意代码35冲击波蠕虫病毒•冲击波蠕虫（Worm.Blaster或Lovesan）是一种散播于Microsoft操作系统，WindowsXP与Windows2000的蠕虫病毒，爆发于2003年8月。•冲击波蠕虫是一种利用MicrosoftWindowsDCOMRPC漏洞进行传播的蠕虫，传播能力很强。在短短一周之内，冲击波蠕虫至少攻击了全球80%的Windows用户。2020/1/23Ch11恶意代码36•受到感染的系统所表现