恶意代码简介

2020/4/51第17章恶意代码广州大学华软软件学院软件工程系《网络信息安全》课程组2020/4/52课程内容恶意代码概述计算机病毒特洛伊木马蠕虫412317.1.恶意代码概述恶意代码泛指所有恶意的程序代码，是一种可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性，违背目标系统安全策略的程序代码。包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（TrojanHorse）、后门程序（Backdoor）和逻辑炸弹（LogicBomb）等恶意代码的特征包括三个方面：带有恶意的目的本身是计算机程序一般通过执行来发挥作用17.1.1恶意代码的发展史早在1949年，计算机的先驱者约翰·冯·诺依曼在他的论文《自我繁衍的自动机理论》中已把病毒的蓝图勾勒出来短短十年之后，磁芯大战(corewar)在贝尔实验室中诞生，使他的设想成为事实。例如有个叫爬行者的程序（Creeper），每一次执行都会自动生成一个副本，很快计算机中原有资料就会被这些爬行者侵蚀掉；“侏儒”（Dwarf）程序在记忆系统中行进，每到第五个“地址”（address）便把那里所储存的东西变为零，这会使原本的程序严重破坏；恶意代码的历史第一次关于计算机病毒的报道发生在1981年，在计算机游戏中发现了ELKCloner病毒。1986年，第一个PC病毒BrainVirus感染了Microsoft的DOS操作系统1995年，首次发现宏病毒1998年，CIH病毒造成数千万台计算机硬件受到破坏2007年1月，“熊猫烧香”病毒爆发恶意代码经过三十多年的发展，破坏性、种类和感染性都得到了增强，特别僵尸网络、木马威胁、高级可持续威胁（APT）非常严重恶意代码的分类后门进入系统或程序的一个秘密入口逻辑炸弹一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为特洛伊木马一段吸引人而不为人警惕的程序，但它们可以执行某些秘密任务病毒附着在其他程序上的可以进行自我繁殖的代码蠕虫一种具有自我复制和传播能力、可独立自动运行的恶意程序2020/4/57课程内容恶意代码概述计算机病毒特洛伊木马蠕虫412317.2计算机病毒严格地从概念上讲，计算机病毒只是恶意代码的一种。实际上，目前发现的恶意代码几乎都是混合型的计算机病毒美国计算机研究专家最早提出了“计算机病毒”的概念：计算机病毒是一段人为编制的计算机程序代码。1994年2月28日，我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下：“计算机病毒是指编制或者在计算机程序中插入的、破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码”计算机病毒的结构潜伏机制包括初始化、隐藏和捕捉传染机制包括判断和感染。先是判断候选感染目标是否已被感染，可以通过感染标记来判断候选感染目标是否已被感染。表现机制包括判断和表现。表现机制首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现典型的病毒代码结构计算机病毒的特点传染性通过各种渠道从已被感染的计算机扩散到未被感染的计算机。隐蔽性病毒一般是具有很高编程技巧的、短小精悍的一段代码，躲在合法程序当中。潜伏性病毒进入系统之后一般不会马上发作多态性病毒试图在每一次感染时改变它的形态破坏性造成系统或数据的损伤甚至毁灭计算机病毒的分类按照计算机病毒攻击的操作系统攻击DOS系统攻击Windows系统攻击Unix、Linux系统攻击Mactonish系统按寄生方式引导型病毒文件型病毒混合型病毒按破坏性良性病毒恶性病毒计算机病毒的防范养成良好的安全习惯安装防火墙和专业的杀毒软件进行全面监控经常升级操作系统的安全补丁迅速隔离受感染的计算机及时备份计算机中有价值的信息2020/4/514课程内容恶意代码概述计算机病毒特洛伊木马蠕虫412317.3特洛伊木马特洛伊木马的故事来自古希腊传说在信息安全领域，特洛伊木马是一种恶意代码，也称为木马指那些表面上是有用的或必需的，而实际目的却是完成一些不为人知的功能，危害计算机安全并导致严重破坏的计算机程序具有隐蔽性和非授权性的特点，因此和希腊传说的特洛伊木马很相似。木马泛滥三方面原因：一是经济利益驱使，黑客编写一个木马程序非法牟利十几万元的事情并不少见二是木马程序很容易改写更新，而杀毒软件采用的传统的特征码查毒属于静态识别技术，对于木马程序的不断更新其适应性不强；三是“木马技术”具有不可判定性据2013年第二季度360互联网安全中心发布的报告显示，二季度国内新出现木马病毒5.27亿个，1.57亿网民遭遇攻击，约占国内计算机用户数量的三成木马的结构和原理木马程序一般包括控制端和服务端两部分控制端程序用于攻击者远程控制木马服务器端程序即木马程序进行攻击时，第一步要进行特洛伊木马的植入，这是攻击目标最关键的一步被动植入主动植入木马隐藏技术启动隐藏指目标机自动加载运行木马程序，而不被用户发现进程隐藏使用户不能发现当前运行着的木马进程文件/目录隐藏通过伪装，或隐藏木马文件和目录自身内核模块隐藏内核级木马对自身加载模块信息的隐藏始分发隐藏软件开发商可以在软件的原始分发中植入木马通信隐藏包括通信内容、状态和流量等方面的隐藏木马的分类远程控制型木马可以让攻击者完全控制被感染的计算机密码发送型木马专门为了盗取被感染主机上的密码破坏型木马破坏被感染主机上的文件系统键盘记录型木马记录受害者的键盘敲击拒绝服务攻击木马反弹端口型木马服务端（被控制端）使用主动端口，客户端(控制端)使用被动端口代理木马变为攻击者发动攻击的跳板木马植入手段下载植入木马木马程序通常伪装成优秀的工具或游戏通过电子邮件来传播木马程序隐藏在一些具有恶意目的的网站中利用系统的一些漏洞植入如微软著名的IIS漏洞攻击者成功入侵目标系统后，把木马植入目标系统木马的特点隐蔽性。隐蔽性是木马程序与远程控制程序的主要区别欺骗性。为了达到隐蔽目的，木马常常使用和系统相关的一些文件名来隐蔽自身。顽固性。很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份危害性。攻击者可以通过客户端强大的控制和破坏力对主机进行操作。潜伏性。木马种植到系统后一般不会马上发作，而是要等到与控制端连接之后才会接受指令而动作。木马的防范技术利用工具查杀木马查看系统注册表检查网络通信状态查看目前的运行任务查看系统启动项使用内存检测工具检查用户安全意识策略纵深防御保护系统安全2020/4/523课程内容恶意代码概述计算机病毒特洛伊木马蠕虫412317.4蠕虫蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形蠕虫具有病毒的一些共性，如传染性、隐蔽性和破坏性等蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，是一段完整的独立代码影响比较严重的蠕虫病毒莫里斯蠕虫：1988年，22岁的康奈尔大学研究生罗伯特莫里斯通过网络发送了一种专为攻击UNIX系统缺陷、名为莫里斯蠕虫的病毒。蠕虫造成了6000个系统瘫痪，直接经济损失达9600万美元；美丽杀手：1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元；爱虫病毒：2000年5月至今众多用户计算机被感染，损失超过100亿美元以上；红色代码：2001年7月网络瘫痪，直接经济损失很大；求职信：2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元；SQL蠕虫王：2003年1月26日，一种名为“2003蠕虫王”的蠕虫病毒迅速传播并袭击了全球，致使互联网严重堵塞蠕虫的结构基本程序结构为传播模块、隐藏模块和目的功能模块传播模块又可以分为扫描、攻击和复制三个基本模块利用系统漏洞进行传播主要有以下三个阶段第一阶段要进行主机探测，已经感染蠕虫的主机在网络上搜索易感染的目标主机。第二阶段已经感染蠕虫的主机把蠕虫代码传送到易感染的目标主机上。第三阶段易感染的目标主机执行蠕虫代码，感染目标主机系统。蠕虫的特点独立性蠕虫病毒不需要宿主程序，它是完整的、独立的代码利用漏洞主动攻击传播方式多样伪装和隐藏方式好采用的技术更先进—些蠕虫病毒与网页的脚本相结合，利用VBScript、java、ActiveX等技术隐藏在HTML页面里。蠕虫的防范技术加强网络管理员的安全管理水平，提高用户的安全意识。建立安全检测系统从网络整体考虑，建立相对完善的检测系统，能够在第一时间内检测到网络异常和病毒攻击利用蠕虫免疫技术防范蠕虫攻击建立应急响应系统，将风险减少到最小灾难备份系统。对于数据库和数据系统，必须采用定期备份对于局域网而言可以采用安装防火墙式、计算机防病毒的产品，对邮件服务器进行监控…病毒、木马、蠕虫的区别病毒木马蠕虫存在形式寄生独立个体独立个体传播途径通过宿主程序运行植入目标主机通过系统存在的漏洞传播速度慢最慢快攻击目标本地文件本地文件和系统、网络上的其他主机程序自身触发机制计算机操作者计算机操作者程序自身防治方法从宿主文件中摘除停止并删除计算机木马服务程序为系统打上补丁对抗主体计算机使用者、反病毒供应商计算机使用者和防病毒供应商、网络管理者计算机使用者、系统软件供应商、网络管理者2020/4/530TheEnd2020/4/531考试题型1、选择题(20)2、填空题(20)3、简答题(30)4、问答题(30)