第06章恶意代码

第6章恶意代码恶意代码造成的经济损失Windows7苹果手机恶意代码在安全方面的威胁1991海湾战争美国使伊拉克从第三方买入的打印机中植入可远程控制的恶意代码，使其整个计算机网络管理的雷达预警系统全面瘫痪。恶意代码机理研究未来恶意代码的趋势中国首届网络安全宣传周

2014-11-24-30日北京360展台--绵羊墙

绵羊墙（TheWallofSheep）是在西方举行的各种黑客大会或安全大会上经常出现的趣味活动，源自于黑客大会的鼻祖Defcon。2002年第十界Defcon大会的期间，一群参会的黑客偶然坐到一起，他们想扫描网络找出那些使用不安全的口令，用户密码上网和收发电子邮件的人，当他们破获这些人的信息后，会找一些餐厅用的纸盘子把这些人的用户名及其部分密码写在上面，并将这些纸盘子贴在墙上，还在墙上写了个大大的“Sheep”。黑客们这样做是想教育人们：“你很可能随时都被监视”。Cookie第6章恶意代码6.1恶意代码的概念及关键技术重点6.2计算机病毒6.3木马6.4蠕虫6.5其他常见恶意代码国家互联网应急中心关于近期我国部分网站遭受页面劫持情况的提示2015年4月26日以来，我国部分网站页面被劫持，经查是由于境外服务器对我国境内部分递归域名服务器投毒所致。被污染域名为，投毒后递归域名服务器上该域名被指向或4或5。此事件发生后，运营商积极采取措施，对被投毒域名指向进行刷新或修改，及时控制了事件的进一步扩散。至4月30日12时，仍有少数递归域名服务器处于被污染状态。CNCERT提醒递归域名服务器所有者，采取有效措施，及时刷新被污染域名，避免给用户带来不便。关于监控设备存在高危漏洞可被入侵控制并对外发动网络攻击的情况通报

2月27日，监控设备存在高危漏洞可被入侵控制并对外发动网络攻击的安全隐患问题引起社会广泛关注。因涉事监控设备在国内，特别是政府机关和公共行业的应用较广泛，存在风险较为严重。

自2013年起，“海康威视”产品陆续被曝光存在多个严重漏洞。截至2015年3月，国家信息安全漏洞共享平台（以下简称“CNVD”）共向“海康威视”的400邮箱通报了4起高危漏洞事件，主要危害是可获取后台管理权限或可取得系统服务器远程控制权限。

最新漏洞[2015-5-15]关于虚拟机管理组件QEMU存在VENOM（毒液）高危漏洞的情况公告[2015-04-21]关于微软IIS服务器存在远程代码执行漏洞威胁的情况通报[2015-04-17]Microsoft发布2015年4月安全更新[2015-04-17]Microsoft发布2015年4月安全更新6.1恶意代码的概念及关键技术6.1.1恶意代码的概念6.1.2恶意代码生存技术6.1.3恶意代码隐藏技术6.1.1恶意代码的概念Grimes恶意代码概念：经过存储介质和计算机网络进行传播，从一台计算机系统到另一台计算机系统，未经授权而破坏计算机系统的安全性和完整性的程序或代码。恶意代码定义最显著的两个特点：非授权破坏常见的恶意代码（3+4）表6-1p134-6.1.1恶意代码的概念恶意代码分类：依赖于宿主程序：病毒、逻辑炸弹后门独立于宿主程序：蠕虫和僵尸不进行复制：逻辑炸弹后门僵尸程序进行复制：病毒和蠕虫-6.1.1恶意代码的概念恶意代码发展体现的3个特征：恶意代码日趋复杂和完善恶意代码编制方法和发布速度更快从病毒->电子邮件蠕虫—>利用系统漏洞主动攻击的恶意代码6.1.2恶意代码生存技术（4种）1）反跟踪技术2）加密技术：3）模糊变换技术4）自动生产技术6.1.2恶意代码生存技术（4种）1）反跟踪技术反动态跟踪：禁止跟踪中断、封锁键盘输入和屏幕显示、检测（调试器）跟踪法、其他反跟踪技术。反静态跟踪：对恶意程序代码分块加密执行，伪指令法2）加密技术：与反跟踪技术配合使用，使分析者无法正常调用和阅读恶意代码，从而无法抽取恶意代码的特征串，也无法知道其工作机理。3）模糊变换技术指令替换技术JMPCALL指令压缩技术指令扩展技术伪指令技术重编译技术4）自动生产技术计算机病毒生产器使得对计算机病毒一无所知的普通用户，也能组合出功能各异的计算机病毒。6.1.3恶意代码隐藏技术本地隐藏文件隐藏恶意代码文件名改为系统合法程序名；操作系统命令；扇区标记为坏块隐藏进程隐藏附着或替换系统进程。网络连接隐藏熟知的网络端口来隐藏网络连接HTTP80端口编译器隐藏植入者编译器开发人员Rootkit隐藏：用户模式和内核模式网络隐藏

防火墙和入侵检测层的安全机制：内容加密可隐藏通信内容，不能隐藏通信状态，因此对传输信道的隐藏主要采用隐蔽通道技术。隐蔽通道技术分2类存储隐蔽通道时间隐蔽通道

隐蔽通道分两类存储隐蔽通道：一个进程可以直接或间接访问某存储空间，而该存储空间有可以被另一个进程访问，两个进程间形成的通道成为存储隐蔽空间。时间隐蔽通道：一个进程对系统性能产生的影响可以被另一个进程观察到并且可以利用一个时间基准进行测量，这样形成的信息通道成为时间隐蔽通道。举例：发送进程和接收进程共享一个客体，网络数据包。对数据内容的修改对应于存储隐蔽通道；对数据包顺序进行编号或者改变数据包的发送时间对应于时间隐蔽通道。6.2计算机病毒6.2.1计算机病毒概述6.2.2计算机病毒防治技术6.2.1计算机病毒概述1）病毒的概念和特征2）病毒的种类3）病毒的传播-病毒的概念和特征概念：计算机病毒是一种人为编制的、能够对计算机正常程序或数据文件造成破坏，并且能够自我复制的一组指令程序代码。特征：破坏性传染性隐蔽性潜伏性多态性检测困难不能通过扫描特征字符串发现不可预见性2）病毒的种类按破坏程度强弱分：良性恶性按传染方式分：文件型病毒引导型病毒按连接方式分：源码型病毒、嵌入型、操作系统型外壳性3）病毒的传播网络可移动存储设备通信系统6.2.2计算机病毒防治技术（4）病毒预防技术病毒免疫技术病毒检测技术?反病毒软件6.2.2计算机病毒防治技术（4）病毒预防技术病毒的传播途径及预防措施不可移动的计算机硬件设备，包括ROM芯片、专用ASIC芯片和硬盘：新购置可移动的存储设备。

计算机网络点对点通信系统

无线通信网病毒的寄生场所及预防措施引导扇区计算机文件内存空间文件分配表中断向量病毒的寄生场所及预防措施引导扇区计算机文件执行文件.com.exe；宏命令文件内存空间文件分配表FAT

中断向量病毒程序一般采用中断方式执行，先修改中断向量，使系统在适当的时间转向执行病毒程序，在病毒程序完成传染或破坏目的后，在转回原来的中断处理。汇编语言6.2.2-病毒免疫技术针对某一种病毒进行的免疫方法为首保护对象加上特定病毒的感染标记（免疫标记）缺点：对不舍又感染标记不能达到免疫目的；对病毒的变种不再使用感染标记或新病毒；病毒种类太多；只能组织传染，不能组织破坏。针对自我完整性检查的免疫方法为可执行程序增加一个免疫外壳，在免疫外壳记在有关用于恢复自身的信息。免疫外壳先执行，检查程序大小，校验和。。。，没有异常，再执行该程序。6.2.2-病毒检测技术特征判定技术静态

根据病毒程序特征(如感染标记，特征程序段内容等）对病毒进行分类，而后在程序运行过程凡有类似特征点出现，则认定为病毒比较法可能感染对象vs原始备份扫描法

每种病毒代码含有的特定字符或字符串特征扫描器：病毒特征码库扫描引擎。校验和法

分析法未知新病毒，对使用者的要求高行为判定技术：动态

占用INT13H

：引导型病毒攻击引导扇区后，一般占用Int13H

向.com和.exe做写入动作病毒和宿主程序的切换6.2.2-反病毒软件反病毒软件发展经历4代：简单扫描病毒特征匹配符启发式扫描自行发现规律，解密；完整的检查，校验和存储自驻留型受染文件中病毒的行为而非特征鉴别病毒全面预防措施一组含有许多和反病毒技术联系的包，包括扫描软件和主动设置陷阱，访问控制，限制病毒入侵能力6.3木马6.3.1木马概述6.3.2木马的工作原理6.3.3木马防治技术6.3.1木马概述引入：特洛伊木马vs计算机领域木马：有隐藏性，与远程计算机连接远程机通过网络控制本地机的恶意程序木马与传统病毒的不同不像感染文件；一般以寻找后门、窃取密码和重要文件为主；对计算机进行监视、控制、查看、修改资料有很强的隐蔽性、突发性和攻击性。木马的危害以网络为依托传播，偷取用户隐私后门程序黑客从这个后门进入系统，随心所欲计算机……查看发布DDoS攻击6.3.2木马的工作原理木马的工作模式客户机/服务器：控制端/入侵计算机中绑定将木马服务器绑定在某个合法软件上，诱使用户使用该合法软件木马的攻击步骤(6)配置木马：木马伪装信息反馈传播木马：用户打开邮件，运行绑定木马的程序，木马伪装方法（6）运行木马：安装触发条件信息收集，反馈建立连接远程控制木马常用技术进程注入技术三线程技术端口复用技术超级管理技术广外女生金山毒霸天网防火墙端口反向连接技术国外Boint国内灰鸽子6.3.3木马防治技术木马预防不随意打开不随意下载及时修补。。木马检测与清除查看开放端口名令netstate工具fport查看和恢复win.ini和system.ini系统配置文件查看启动删除可以启动程序查看系统进程并停止可疑进程查看和还原注册表。使用杀毒软件和木马查杀工具6.4蠕虫6.4.1蠕虫概述6.4.2蠕虫的传播过程6.4.3蠕虫的分析和防范6.4.1蠕虫概述蠕虫

一种结合黑客技术和计算机病毒技术，利用系统漏洞和应用软件漏洞，通过复制自身畸形传播的、完全独立的程序代码

1988莫里斯蠕虫1998HaPpy99蠕虫蠕虫和病