1、信息安全理论与技术71信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马4总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7恶意代码的概念恶意代码的概念 代码是指计算机程序代码,可以被执行完成特定功能。恶意代码(Malicious Codes)指的是黑客们编写的扰乱社会和他人,起着破坏作用的计算机程序。病毒 木马 蠕虫 间谍软件 信息安全理论与技术7恶意代码的主要功能恶意代码的主要功能收集你的相关信息收集你的相关信息诱骗访问恶意网站诱骗访问恶意网站删除敏感信息删除敏感信息监视键盘监视键盘窃取文件窃取文件开启后门(肉鸡)开启后门(肉鸡
2、)作为网络传播的起点作为网络传播的起点隐藏在主机上的所有活动隐藏在主机上的所有活动 信息安全理论与技术7恶意代码的危害恶意代码的危害攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪或操作异常;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。信息安全理论与技术7恶意代码的分类恶意代码的分类分类标准分类标准需要宿主需要宿主无需宿主无需宿主不能自我复制不能自我复制不感染的依附性不感染的依附性恶意
3、代码恶意代码不感染的独立性不感染的独立性恶意代码恶意代码能够自我复制能够自我复制可感染的依附性可感染的依附性恶意代码恶意代码可感染的独立性可感染的独立性恶意代码恶意代码特定的应用程序、工具程序或系统程序信息安全理论与技术7恶意代码的分类实例恶意代码的分类实例类别类别实例实例不感染的依附性不感染的依附性恶意代码恶意代码特洛伊木马(特洛伊木马(Trojan horseTrojan horse)逻辑炸弹(逻辑炸弹(Logic bombLogic bomb)后门(后门(BackdoorBackdoor)或陷门()或陷门(TrapdoorTrapdoor)不感染的独立性不感染的独立性恶意代码恶意代码点滴
4、器(点滴器(DropperDropper)繁殖器(繁殖器(GeneratorGenerator)恶作剧(恶作剧(HoaxHoax)可感染的依附性可感染的依附性恶意代码恶意代码病毒(病毒(VirusVirus)可感染的独立性可感染的独立性恶意代码恶意代码蠕虫(蠕虫(WormWorm)信息安全理论与技术7恶意代码的生命周期恶意代码的生命周期 每个恶意代码都拥有一个生命周期,从生成开始到完全消亡结束。恶意代码的生命周期主要包括:程序设计-传播-感染-触发-运行等环节。2024年3月31日11时18分信息安全理论与技术71、恶意代码的传播机制、恶意代码的传播机制 互联网 局域网 移动存储设备 无线设备
5、和点对点通信系统 2、恶意代码的感染机制 感染执行文件 感染引导区 感染结构化文档 信息安全理论与技术7 3、恶意代码的触发机制(1).日期触发:(2).时间触发:(3).键盘触发:(4).感染触发:(5).启动触发:(6).访问磁盘次数触发:(7).调用中断功能触发:(8).CPU型号/主板型号触发:10信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7冲击波病毒冲击波病毒暴发能暴发能2003年夏年夏全球损失几百亿美元全球损失几百亿美元信息安全理论与技术7 计算机病毒 计算机
6、病毒能够寻找宿主对象,并且依附于宿计算机病毒能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶主,是一类具有传染、隐蔽、破坏等能力的恶意代码,意代码,本质特征:本质特征:传染性传染性和和依附性依附性 分类 按传播媒介分类按传播媒介分类 单机病毒和网络病毒单机病毒和网络病毒 按传播方式分类按传播方式分类 引导型病毒、文件型病毒和混合型病毒引导型病毒、文件型病毒和混合型病毒 信息安全理论与技术7计算机病毒的特征计算机病毒的特征病毒主要特征病毒主要特征解释解释传染性传染性病毒具有把自身复制到其它程序中的特性。病毒具有把自身复制到其它程序中的特性。隐蔽性隐蔽性通过隐蔽技术使宿主程序
7、的大小没有改变,以至通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。于很难被发现。破坏性破坏性计算机所有资源包括硬件资源和软件资源,软件计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏所能接触的地方均可能受到计算机病毒的破坏潜伏性潜伏性长期隐藏在系统中,只有在满足特定条件时,才长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。启动其破坏模块。其它其它取得系统控制权和不可预见等特征。取得系统控制权和不可预见等特征。信息安全理论与技术7计算机病毒的基本机制计算机病毒的基本机制 传染机制传染机制 指计算机病毒由一个宿主传播到另一个宿主程序,由一个指计
8、算机病毒由一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。系统进入另一个系统的过程。v计算机病毒的基本机制计算机病毒的基本机制 传染机制传染机制、触发机制触发机制、破坏机制破坏机制 触发机制触发机制计算机病毒在传染和发作之前,要判断某些特定条件是否计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。满足,这个条件就是计算机病毒的触发条件。破坏机制破坏机制 良性病毒表现为占用内存或硬盘资源。良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。恶性病毒则会对目标主机系统或信息产生严重破坏。信息安全理论与技术7病毒传播的
9、两种方式病毒传播的两种方式 被动传播 用户在进行复制磁盘或文件时,把病毒由一个用户在进行复制磁盘或文件时,把病毒由一个载体复制到另一个载体上,或者通过网络把一载体复制到另一个载体上,或者通过网络把一个病毒程序从一方传递到另一方。个病毒程序从一方传递到另一方。v主动传播主动传播 计算机病毒以计算机系统的运行及病毒程序处于计算机病毒以计算机系统的运行及病毒程序处于激活状态为先决条件,在病毒处于激活状态下,激活状态为先决条件,在病毒处于激活状态下,只要传播条件满足,病毒程序能主动把病毒自身只要传播条件满足,病毒程序能主动把病毒自身传播给另一个载体或另一个系统。传播给另一个载体或另一个系统。信息安全理
10、论与技术7传染源传染源:病毒制造 传染媒介传染媒介:计算机网络、可移动的存储介质 病毒激活病毒激活:设置触发条件,条件成熟开始作用 病毒表现病毒表现:凡是软件技术能够触发到的地方 传染传染:病毒复制一个自身副本到传染对象中去 病毒工作过程病毒工作过程存储介质存储介质:硬盘、程序、系统。信息安全理论与技术718引导型病毒引导型病毒引导记录引导记录 主引导记录(MBR)55AA主引导程序(446字节)分区1(16 字节)主分区表(64字节)分区2(16 字节)分区3(16 字节)分区4(16 字节)结束标记(2字节)引导代码及出错信息A信息安全理论与技术719引导型病毒引导型病毒感染与执行过程感染
11、与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。信息安全理论与技术72024-3-31恶意代码技术分析及应急响应 20利用移动介质的自启动功能传播利用移动介质的自启动功能传播 autorun.inf icon Open RECYCLER目录 隐藏扩展名 伪装成系统图标信息安全理论与技术721正常正常程序程序正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序
12、程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序
13、头病毒程序病毒程序程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头DOS下的下的EXE文件感染文件感染信息安全理论与技术7宏病毒宏病毒 宏病毒 使用使用宏语言编写的程序,可以在一些数据处宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件格、数据库、演示文档等数据文件中。中。信息安全理论与技术7宏病毒的特点宏病毒的特点 宏病毒具有如下特点 传播快传播快Word文档是交流最广的文件类型。人们大多对外文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏
14、览使用,这给来的文档文件基本是直接浏览使用,这给Word宏宏病毒传播带来很多便利。病毒传播带来很多便利。制作、变种方便制作、变种方便Word使用宏语言使用宏语言WordBasic来编写宏指令。用户来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目很方便就可以看到这种宏病毒的全部面目。把把宏病毒稍微加以改变,立即就生产出了一种新的宏病毒稍微加以改变,立即就生产出了一种新的宏病毒宏病毒.破坏性大破坏性大信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马4总结总结5信息安全理论与技术7熊猫烧香病毒特点熊猫烧香病毒特点病毒名称 熊猫烧香 又称
15、 尼姆亚、武汉男生、worm.whBoy.worm.whBoy.、worm.nimaya.worm.nimaya.病毒类型 蠕虫病毒危险级别 影响系统 Win 9X/ME/NT/2000/XP/2003Win 9X/ME/NT/2000/XP/2003 2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。信息安全理论与技术7熊猫烧香病毒特点熊猫烧香病毒特点湖北省公安厅2007年2月12日宣布
16、,根据统一部署,湖北省网监在多个省市公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,岁,武汉新洲区人)。病毒制造者被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。信息安全理论与技术7蠕虫蠕虫 概念 一类特殊的恶意代码,可以在计算机系统或网络一类特殊的恶意代码,可以在计算机系统或网络中繁殖,由于不依附于其他程序,这种繁殖使它中繁殖,由于不依附于其他程序,这种繁殖使它们看上去是在内存、磁盘或网络中移动。们看上去是在内存、磁盘或网络中移动。特征 不用计算机使用者干预不用计算机使用者干预即可运行的攻击程序或代即可运行的攻击程序或代码;码;它会扫描和攻击网络
17、上存在系统漏洞的节点主机,它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点。通过网络从一个节点传播到另外一个节点。信息安全理论与技术7蠕虫的特征蠕虫的特征蠕虫主要特征蠕虫主要特征解释解释主动攻击主动攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本是全自动。成功后复制副本是全自动。造成网络拥塞造成网络拥塞1.传播的过程中,蠕虫需要判断感染条件的存在。传播的过程中,蠕虫需要判断感染条件的存在。2.同时出于攻击网络的需要,蠕虫也可以产生大同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量。量恶意流量。消耗系统资源消
18、耗系统资源搜索目标主机、漏洞、感染其它主机需要消耗资搜索目标主机、漏洞、感染其它主机需要消耗资源;许多蠕虫本身就会恶意耗费系统的资源。源;许多蠕虫本身就会恶意耗费系统的资源。反复性反复性即使清除了蠕虫,如果没有修补计算机系统漏洞,即使清除了蠕虫,如果没有修补计算机系统漏洞,网络中的计算机还是会被重新感染。网络中的计算机还是会被重新感染。破坏性破坏性现在蠕虫开始包含其它种类恶意代码,破坏被攻现在蠕虫开始包含其它种类恶意代码,破坏被攻击的计算机系统,而且造成的损失越来越大。击的计算机系统,而且造成的损失越来越大。信息安全理论与技术7蠕虫工作机制蠕虫工作机制29信息收集信息收集攻击渗透攻击渗透现场处
19、理现场处理 按照一定的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析程进行漏洞的分析。如果目标主机上。如果目标主机上有可以利用的漏洞有可以利用的漏洞则确定为一个可以则确定为一个可以攻击的主机,否则攻击的主机,否则放弃攻击。放弃攻击。信息安全理论与技术7蠕虫工作机制蠕虫工作机制信息收集信息收集攻击渗透攻击渗透现场处理现场处理通过收集的漏洞通过收集的漏洞信息尝试攻击,一信息尝试攻击,一旦攻击成功,则获旦攻击成功,则获得控制该主机的权得控制该主机的权限,将蠕虫代码渗限,将蠕虫代码渗透到被攻击主机。透到被攻击主机。按照一定
20、的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析程进行漏洞的分析。如果目标主机上。如果目标主机上有可以利用的漏洞有可以利用的漏洞则确定为一个可以则确定为一个可以攻击的主机,否则攻击的主机,否则放弃攻击。放弃攻击。信息安全理论与技术7蠕虫工作机制蠕虫工作机制31信息收集信息收集攻击渗透攻击渗透现场处理现场处理通过收集的漏洞通过收集的漏洞信息尝试攻击,一信息尝试攻击,一旦攻击成功,则获旦攻击成功,则获得控制该主机的权得控制该主机的权限,将蠕虫代码渗限,将蠕虫代码渗透到被攻击主机。透到被攻击主机。按照一定的策按照一定的策
21、略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析程进行漏洞的分析。如果目标主机上。如果目标主机上有可以利用的漏洞有可以利用的漏洞则确定为一个可以则确定为一个可以攻击的主机,否则攻击的主机,否则放弃攻击。放弃攻击。攻击成功后,要对攻击成功后,要对被攻击的主机进行被攻击的主机进行一些处理,将攻击一些处理,将攻击代码隐藏,为了能代码隐藏,为了能使被攻击主机运行使被攻击主机运行蠕虫代码,还要通蠕虫代码,还要通过注册表将蠕虫程过注册表将蠕虫程序设为自启动状态;序设为自启动状态;可以完成它想完成可以完成它想完成的任何动作,如恶的任何动作,如恶
22、意占用意占用CPUCPU资源等。资源等。信息安全理论与技术7网络蠕虫传播模型网络蠕虫传播模型慢速发展阶段慢速发展阶段快速发展阶段快速发展阶段缓慢消失阶段缓慢消失阶段 漏洞被蠕虫设计漏洞被蠕虫设计者发现,并利用漏洞者发现,并利用漏洞设计蠕虫发布于互联设计蠕虫发布于互联网,大部分用户还没网,大部分用户还没有通过服务器下载补有通过服务器下载补丁,网络蠕虫只是感丁,网络蠕虫只是感染了少量的网络中的染了少量的网络中的主机。主机。如果每个感染蠕如果每个感染蠕虫的可以扫描并感染虫的可以扫描并感染的主机数为的主机数为W,N为感为感染的次数,那么感染染的次数,那么感染主机数扩展速度为主机数扩展速度为WN,感染蠕
23、虫的机器成指感染蠕虫的机器成指数幂急剧增长。数幂急剧增长。随着网络蠕虫的随着网络蠕虫的爆发和流行,人们通爆发和流行,人们通过分析蠕虫的传播机过分析蠕虫的传播机制,采取一定措施及制,采取一定措施及时更新补丁包,并采时更新补丁包,并采取措删除本机存在的取措删除本机存在的蠕虫,感染蠕虫数量蠕虫,感染蠕虫数量开始缓慢减少。开始缓慢减少。信息安全理论与技术7网游大盗木马网游大盗木马 盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码,并且会下载其它病毒到本地运行。玩家计算机一旦中毒,就可能导致游戏帐号、装备等丢失 信息安全理论与技术7 概念 木马是指木马是指隐藏在正常程序中隐藏在正
24、常程序中的一段具有的一段具有特殊功能的恶意代码,是具备破坏和删特殊功能的恶意代码,是具备破坏和删除文件、发送密码和记录键盘等的特殊除文件、发送密码和记录键盘等的特殊功能的功能的后门程序后门程序。特洛伊木马特洛伊木马信息安全理论与技术7木马的组成结构木马的组成结构木马程序Server端木马程序Clint端被攻击者攻击者打开特定的端口取得连接 客户端:客户端:安装在攻击者机器上的部分安装在攻击者机器上的部分。服务端:服务端:通过各种手段植入目标机器的部分通过各种手段植入目标机器的部分。信息安全理论与技术7木马的特征木马的特征木马主要特征木马主要特征解释解释隐蔽性隐蔽性隐蔽性是木马的首要特征。木马类
25、软件的服务端程序隐蔽性是木马的首要特征。木马类软件的服务端程序在被控主机系统上运行时,会使用各种方法来隐藏自在被控主机系统上运行时,会使用各种方法来隐藏自己。己。自动运行性自动运行性木马程序通过修改系统配置文件,在目标主机系统启木马程序通过修改系统配置文件,在目标主机系统启动时自动运行或加载。动时自动运行或加载。欺骗性欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防用户发现。中已有的文件,以防用户发现。自动恢复性自动恢复性很多的木马程序中的功能模块已不再是由单一的文件很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有
26、多重备份,可以相互恢复,只删除某组成,而是具有多重备份,可以相互恢复,只删除某一个木马文件来进行清除是无法清除干净的。一个木马文件来进行清除是无法清除干净的。破坏或信息收集破坏或信息收集木马通常具有搜索木马通常具有搜索Cache中的口令、设置口令、扫描中的口令、设置口令、扫描目标机器的目标机器的IP地址、进行键盘记录、远程注册表的操地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。作、以及锁定鼠标等功能。信息安全理论与技术7木马的自动恢复性木马的自动恢复性 木马-“聪明基因”植入系统后,生成以下三个文件:植入系统后,生成以下三个文件:C:windowsMBBManager.exe C:
27、windowsExplore32.exe C:windowssystemeditor.exe用的都是用的都是HTML文文件图标件图标 关联:关联:MBBManager.exe在启动时加载在启动时加载 Explore32.exe关联关联HLP文件(文件(Windows帮助文件帮助文件)Editor.exe关联关联TXT文件文件 机理机理当当MBBManager.exeMBBManager.exe被发现删除,只要打开被发现删除,只要打开HLPHLP文件文件或文本文件,或文本文件,Explore32.exeExplore32.exe和和Editor.exeEditor.exe就被激活并就被激活并再次
28、生成再次生成MBBManager.exeMBBManager.exe。信息安全理论与技术7木马与病毒、蠕虫的区别木马与病毒、蠕虫的区别是否主动传播是否独立存在木马否是病毒否否蠕虫是是木马与远程控制软件的区别木马与远程控制软件的区别远程控制“善意”的控制,不具有隐蔽性和破坏性木马“恶意”的控制,对目标系统执行恶意操作或窃取信息木马与病毒、蠕虫和远程控制软件的区别木马与病毒、蠕虫和远程控制软件的区别信息安全理论与技术7木马的欺骗技术木马的欺骗技术 木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有:伪装成其它类型的文件,可执行文件需要伪装其它文伪装成其它类型的文
29、件,可执行文件需要伪装其它文件。如伪装成图片文件。件。如伪装成图片文件。合并程序欺骗。合并程序欺骗。插入其它文件内部。插入其它文件内部。伪装成应用程序扩展组件。伪装成应用程序扩展组件。把木马程序和其它常用程序利用把木马程序和其它常用程序利用WinRar捆绑在一起,捆绑在一起,将其制作成自释放文件。将其制作成自释放文件。在在Word文档中加入木马文件。文档中加入木马文件。35信息安全理论与技术7木马的欺骗技术木马的欺骗技术 例如:著名的木马黑洞2001的服务端程序用的就是文件夹的图标,如果你以为它是文件夹而去单击那你就错了,它是个不折不扣的EXE文件。此木马就把自己伪装成文件夹图标。实施过程实施
30、过程:先用IconChanger把文件的图标更换为“文件夹”图标 ,再把它放进几层新建的文件夹中即可。例如:例如:有的木马把名字改为有的木马把名字改为window.exe,还有的就是更改一些后,还有的就是更改一些后缀名,比如把缀名,比如把dll改为改为d11等等(注意看是数字注意看是数字“11”而非英文字母而非英文字母“ll),如不仔细看的话,很难发现。如下图所示,把,如不仔细看的话,很难发现。如下图所示,把Rundll.dll伪装成伪装成Rundll.d11,explorer.exe伪装成伪装成exp1orer.exe。信息安全理论与技术7木马程序入侵并且控制计算木马程序入侵并且控制计算机的
31、过程机的过程向目标主机向目标主机植入木马植入木马启动和隐藏启动和隐藏木马木马植入者远程控制植入者远程控制被植入木马的主机被植入木马的主机植入者达到植入者达到其攻击的目的其攻击的目的信息安全理论与技术7木马植入技术木马植入技术 植入技术,木马植入技术可以大概分为主动植入与被动植入两类。主动植入:主动植入:就是攻击者利用网络攻击技术通过就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机,网络将木马程序植入到远程目标主机,这个行这个行为过程完全由攻击者主动掌握。为过程完全由攻击者主动掌握。被动植入:被动植入:是指是指攻击者预先设置某种环境,然攻击者预先设置某种环境,然后被动等待目标系统用
32、户的某种可能的操作后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目只有这种操作执行,木马程序才有可能植入目标系统。标系统。信息安全理论与技术7如何远程植入程序如何远程植入程序直接攻击直接攻击电子邮件电子邮件文件下载文件下载浏览网页浏览网页+合并文件合并文件经过伪装的木马经过伪装的木马被植入目标机器被植入目标机器信息安全理论与技术7木马植入技术(实例)木马植入技术(实例)最后,把生成的最后,把生成的BMP文件放进网页中(支持文件放进网页中(支持ASP格式),只要有人格式),只要有人浏览了该网页,木马就会自动运行。浏览了该网页,木马就会自动运行。信息安全理论与技术7
33、木马的自动加载技术木马的自动加载技术 系统文件系统文件 系统注册表系统注册表 文件打开关联文件打开关联 任务计划任务计划 组策略组策略 修改 系统自动运行的文件系统自动运行的文件 系统系统DLL 替换 作为服务启动作为服务启动 利用利用AppInit_DLLs 注入注入其它v针对针对Windows系统,木马的自动加载主要有以下方法:系统,木马的自动加载主要有以下方法:信息安全理论与技术7修改文件关联修改文件关联 正常情况下文件的打开方式为文件,一旦中了文件关联木马,则文件打开方式就会被修改为用木马程序打开。v 例如:例如:冰河木马通过修改注册表冰河木马通过修改注册表 HKEY_CLASSES_
34、ROOTtextfileshellopencommandHKEY_CLASSES_ROOTtextfileshellopencommand下的键值下的键值 C:/windows/notepad.exe%1 C:/windows/notepad.exe%1 C:/windows/system/Sysexplr.exe%1 C:/windows/system/Sysexplr.exe%1v 一旦双击一个一旦双击一个txttxt文件原本应用文件原本应用notepadnotepad打开该文件的,现打开该文件的,现在却变成启动木马程序了。在却变成启动木马程序了。v 这仅仅是这仅仅是txttxt文件的关联
35、,如文件的关联,如htmhtm、exeexe、zipzip、comcom都是木都是木马的目标。马的目标。40信息安全理论与技术7木马隐藏技术木马隐藏技术 v木马隐藏技术木马隐藏技术 主要分为两类主要分为两类:主机隐藏和通信隐藏主机隐藏和通信隐藏。v主机隐藏主机隐藏 主要指在主机系统上表现为正常的进程。主要指在主机系统上表现为正常的进程。主要有主要有文件隐藏、进程隐藏文件隐藏、进程隐藏等。等。文件隐藏文件隐藏主要有两种方式主要有两种方式 采用欺骗的方式伪装成其它文件采用欺骗的方式伪装成其它文件 伪装成系统文件伪装成系统文件 进程隐藏进程隐藏 动态链接库注入技术动态链接库注入技术,将,将“木马木马
36、”程序做成一个程序做成一个DLL文件,并将调用动态链接库函数的语句插入到文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序目标进程,这个函数类似于普通程序中的入口程序。Hooking API技术。技术。通过修改通过修改API函数的入口地函数的入口地址的方法来欺骗试图列举本地所有进程的程序。址的方法来欺骗试图列举本地所有进程的程序。45信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术72024-3-31恶意代码技术分析及应急响应 49恶意代码分析
37、与防范恶意代码分析与防范 分析 基于代码特征的分析方法;基于代码语义的分析方法;基于代码行为的分析方法;检测 基于特征码的检测法 启发式检测法 基于行为的检测法等 完整性验证法 控制 基于主机的控制 基于网络的控制:Firewall,路由和域名控制信息安全理论与技术750文件结构的静态分析文件结构的静态分析信息安全理论与技术751静态分析工具静态分析工具IDA Pro信息安全理论与技术752启发式(启发式(Heuristic)检测)检测 启发式指 运用某种经验或知识去判定未知事物的方法 静态启发式检测:检查文件结构的异常变化 DOS EXAMPLE1.COM 12345 01-01-1995
38、12:02:62EXAMPLE2.COM 12345 01-01-2095 12:01:36 Windows PE 文件结构 E.g pedump calc.exe信息安全理论与技术753动态分析动态分析 调试运行 SoftIce 虚拟环境运行 VMWare Virtual PC PowerShadow Sand-Box 代码仿真信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7网络恶意代码的运行周期网络恶意代码的运行周期寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存
39、恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身保存线保存线触发线触发线信息安全理论与技术7寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身寻找目标寻找目标本地文件(本地文件(.exe,.scr,.doc,vbs)可移动存储设备可移动存储设备电子邮
40、件地址电子邮件地址远程计算机系统远程计算机系统信息安全理论与技术7寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身主动型主动型程序自身实现程序自身实现病毒,蠕虫病毒,蠕虫被动型被动型-人为实现人为实现物理接触植入物理接触植入入侵之后手工植入入侵之后手工植入用户自己下载用户自己下载(姜太公钓鱼)(姜太公钓鱼)访问恶意网站访问恶意
41、网站多用于木马,后门,多用于木马,后门,Rootkit信息安全理论与技术7寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身主动触发主动触发蠕虫蠕虫各种漏洞(如缓冲区溢出)各种漏洞(如缓冲区溢出)恶意网站恶意网站网页木马网页木马被动触发被动触发初次人为触发初次人为触发双击执行,或命令行运行双击执行,或命令行运行打开可移动存储设备打开可移动存储设备打开本地磁盘打开本地磁
42、盘系统重启后的触发系统重启后的触发各种启动项(如注册表,启动文件各种启动项(如注册表,启动文件)信息安全理论与技术7寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身目标系统之中目标系统之中长期存活于长期存活于让自身让自身静态存在形式静态存在形式文件(文件(Exe,Dll)启动项(修改注册表、各种启动文件启动项(修改注册表、各种启动文件)动态存在形式动态存在形式进程(自创进程或插入到其他进程之中)进程(自创进程或插入到其他进程之中)服务服务端口(对外通信)端口(对外通信)以上也
43、是恶意代码检测的基础和依据所在;以上也是恶意代码检测的基础和依据所在;而恶意代码本身也会对文件、启动项、进程、而恶意代码本身也会对文件、启动项、进程、端口、服务等进行隐藏端口、服务等进行隐藏-即即RootKit。信息安全理论与技术7上网安全意识上网安全意识恶意代码预防恶意代码预防寻找目标寻找目标在目标之中在目标之中将自身保存将自身保存恶意代码执行恶意代码执行目标系统中的目标系统中的触发触发目标系统之中目标系统之中长期存活于长期存活于让自身让自身安装反病毒软件和防火墙安装反病毒软件和防火墙及时更新系统补丁、病毒库及时更新系统补丁、病毒库不访问恶意网站不访问恶意网站为系统设置系统密码为系统设置系统
44、密码离开计算机时锁定计算机离开计算机时锁定计算机不从不知名网站下载软件不从不知名网站下载软件拒绝各种诱惑(如色情)拒绝各种诱惑(如色情)移动存储设备的可写开关移动存储设备的可写开关及时更新系统补丁、病毒库及时更新系统补丁、病毒库对系统关键程序(如对系统关键程序(如cmd.exe)作权限保护)作权限保护不运行来历不明文件(包括数据文件)不运行来历不明文件(包括数据文件)养成安全的移动存储设备使用习惯养成安全的移动存储设备使用习惯定期备份与还原系统定期备份与还原系统关注系统启动项和系统目录中的可执行文件关注系统启动项和系统目录中的可执行文件安装杀毒软件,更新病毒库安装杀毒软件,更新病毒库定期备份与还原系统定期备份与还原系统清除异常系统启动项与系统目录异常文件清除异常系统启动项与系统目录异常文件关注异常进程、端口、服务、网络流量关注异常进程、端口、服务、网络流量保存线保存线触发线触发线存活线存活线信息安全理论与技术761本章小结 恶意代码是一类有特殊目的代码的统称。本章首先介绍了恶意代码的概念,然后重点介绍了恶意代码的生存原理,包括生命周期、传播机制、感染机制、触发机制等。恶意代码对网络安全影响巨大,因此接着又从技术的角度介绍了分析与检测恶意代码的方法。最后,介绍了对恶意代码的清除与防范方法。
