《信息安全理论与技术》课件7-恶意代码检测与防范

1恶意代码检测与防范提纲恶意代码概述1计算机病毒2蠕虫3特洛伊木马4总结6恶意代码防御5恶意代码的概念代码是指计算机程序代码，可以被执行完成特定功能。恶意代码（MaliciousCodes）指的是黑客们编写的扰乱社会和他人，起着破坏作用的计算机程序。病毒木马蠕虫间谍软件……恶意代码的主要功能收集你的相关信息诱骗访问恶意网站删除敏感信息监视键盘窃取文件开启后门（肉鸡）作为网络传播的起点隐藏在主机上的所有活动

恶意代码的危害攻击系统，造成系统瘫痪或操作异常；危害数据文件的安全存储和使用；泄露文件、配置或隐私信息；肆意占用资源，影响系统或网络的性能；攻击应用程序，如影响邮件的收发。恶意代码的分类分类标准需要宿主无需宿主不能自我复制不感染的依附性恶意代码不感染的独立性恶意代码能够自我复制可感染的依附性恶意代码可感染的独立性恶意代码特定的应用程序、工具程序或系统程序恶意代码的分类实例类别实例不感染的依附性恶意代码特洛伊木马（Trojanhorse）逻辑炸弹（Logicbomb）后门（Backdoor）或陷门（Trapdoor）不感染的独立性恶意代码点滴器（Dropper）繁殖器（Generator）恶作剧（Hoax）可感染的依附性恶意代码病毒（Virus）可感染的独立性恶意代码蠕虫（Worm）恶意代码的生命周期

每个恶意代码都拥有一个生命周期，从生成开始到完全消亡结束。恶意代码的生命周期主要包括：程序设计-传播-感染-触发-运行等环节。*1、恶意代码的传播机制互联网局域网移动存储设备无线设备和点对点通信系统

2、恶意代码的感染机制感染执行文件感染引导区感染结构化文档

3、恶意代码的触发机制（1）.日期触发：（2）.时间触发：（3）.键盘触发：（4）.感染触发：（5）.启动触发：（6）.访问磁盘次数触发：（7）.调用中断功能触发：（8）.CPU型号/主板型号触发：10提纲恶意代码概述1计算机病毒2蠕虫3特洛伊木马410总结6恶意代码防御5冲击波病毒暴发能2003年夏全球损失几百亿美元计算机病毒计算机病毒能够寻找宿主对象，并且依附于宿主，是一类具有传染、隐蔽、破坏等能力的恶意代码，本质特征：传染性和依附性分类按传播媒介分类单机病毒和网络病毒

按传播方式分类引导型病毒、文件型病毒和混合型病毒……计算机病毒的特征病毒主要特征解释传染性病毒具有把自身复制到其它程序中的特性。

隐蔽性通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。破坏性计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏潜伏性长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。其它取得系统控制权和不可预见等特征。计算机病毒的基本机制传染机制指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。计算机病毒的基本机制传染机制、触发机制、破坏机制触发机制计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。破坏机制良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。病毒传播的两种方式被动传播用户在进行复制磁盘或文件时，把病毒由一个载体复制到另一个载体上，或者通过网络把一个病毒程序从一方传递到另一方。

主动传播计算机病毒以计算机系统的运行及病毒程序处于激活状态为先决条件，在病毒处于激活状态下，只要传播条件满足，病毒程序能主动把病毒自身传播给另一个载体或另一个系统。传染源：病毒制造

传染媒介：计算机网络、可移动的存储介质

病毒激活：设置触发条件，

条件成熟开始作用

病毒表现：凡是软件技术能够触发到的地方

传染：病毒复制一个自身副本到传染对象中去

病毒工作过程存储介质：硬盘、程序、系统。18引导型病毒—引导记录主引导记录（MBR）55AA主引导程序(446字节)分区1(16字节)主分区表(64字节）分区2(16字节)分区3(16字节)分区4(16字节)结束标记（2字节）引导代码及出错信息A19引导型病毒—感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。。。。。病毒引导系统病毒体。。。2024/3/31恶意代码技术分析及应急响应20利用移动介质的自启动功能传播autorun.inficon

OpenRECYCLER目录隐藏扩展名伪装成系统图标21正常程序正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序病毒程序病毒程序病毒程序正常程序程序头程序头DOS下的EXE文件感染宏病毒宏病毒使用宏语言编写的程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中。宏病毒的特点宏病毒具有如下特点传播快Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。制作、变种方便Word使用宏语言WordBasic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变，立即就生产出了一种新的宏病毒.破坏性大提纲恶意代码概述1计算机病毒2蠕虫3特洛伊木马4总结5熊猫烧香病毒特点病毒名称熊猫烧香

又称尼姆亚、武汉男生、worm.whBoy.、worm.nimaya.

病毒类型蠕虫病毒危险级别★★★★★影响系统Win9X/ME/NT/2000/XP/2003

2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。

熊猫烧香病毒特点湖北省公安厅2007年2月12日宣布，根据统一部署，湖北省网监在多个省市公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊（男，２５岁，武汉新洲区人）。病毒制造者被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。蠕虫概念一类特殊的恶意代码，可以在计算机系统或网络中繁殖，由于不依附于其他程序，这种繁殖使它们看上去是在内存、磁盘或网络中移动。特征不用计算机使用者干预即可运行的攻击程序或代码；它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点。蠕虫的特征蠕虫主要特征解释主动攻击从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本是全自动。造成网络拥塞1.传播的过程中，蠕虫需要判断感染条件的存在。2.同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量。消耗系统资源搜索目标主机、漏洞、感染其它主机需要消耗资源；许多蠕虫本身就会恶意耗费系统的资源。反复性即使清除了蠕虫，如果没有修补计算机系统漏洞，网络中的计算机还是会被重新感染。破坏性现在蠕虫开始包含其它种类恶意代码，破坏被攻击的计算机系统，而且造成的损失越来越大。蠕虫工作机制29信息收集攻击渗透现场处理

按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。蠕虫工作机制信息收集攻击渗透现场处理通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。

按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。蠕虫工作机制31信息收集攻击渗透现场处理通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。

按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。攻击成功后，要对被攻击的主机进行一些处理，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任何动作，如恶意占用CPU资源等。网络蠕虫传播模型慢速发展阶段快速发展阶段缓慢消失阶段

漏洞被蠕虫设计者发现，并利用漏洞设计蠕虫发布于互联网，大部分用户还没有通过服务器下载补丁，网络蠕虫只是感染了少量的网络中的主机。

如果每个感染蠕虫的可以扫描并感染的主机数为W，N为感染的次数，那么感染主机数扩展速度为WN，感染蠕虫的机器成指数幂急剧增长。随着网络蠕虫的爆发和流行，人们通过分析蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少。网游大盗木马盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失概念木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码和记录键盘等的特殊功能的后门程序。特洛伊木马木马的组成结构木马程序Server端木马程序Clint端被攻击者攻击者打开特定的端口取得连接客户端：安装在攻击者机器上的部分。服务端：通过各种手段植入目标机器的部分。木马的特征木马主要特征解释隐蔽性隐蔽性是木马的首要特征。木马类软件的服务端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。自动运行性木马程序通过修改系统配置文件，在目标主机系统启动时自动运行或加载。欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防用户发现。自动恢复性很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复，只删除某一个木马文件来进行清除是无法清除干净的。破坏或信息收集木马通常具有搜索Cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。木马的自动恢复性木马-“聪明基因”植入系统后，生成以下三个文件：C:\windows\MBBManager.exeC:\windows\Explore32.exeC:\windows\system\editor.exe用的都是HTML文件图标关联：

MBBManager.exe在启动时加载

Explore32.exe关联HLP文件（Windows帮助文件）

Editor.exe关联TXT文件机理

当MBBManager.exe被发现删除，只要打开HLP文件或文本文件，Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。木马与病毒、蠕虫的区别是否主动传播是否独立存在木马否是病毒否否蠕虫是是木马与远程控制软件的区别远程控制“善意”的控制，不具有隐蔽性和破坏性木马“恶意”的控制，对目标系统执行恶意操作或窃取信息木马与病毒、蠕虫和远程控制软件的区别木马的欺骗技术木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有：伪装成其它类型的文件，可执行文件需要伪装其它文件。如伪装成图片文件。合并程序欺骗。插入其它文件内部。伪装成应用程序扩展组件。把木马程序和其它常用程序利用WinRar捆绑在一起，将其制作成自释放文件。在Word文档中加入木马文件。35木马的欺骗技术

例如：著名的木马黑洞2001的服务端程序用的就是文件夹的图标，如果你以为它是文件夹而去单击那你就错了，它是个不折不扣的EXE文件。此木马就把自己伪装成文件夹图标。实施过程：先用IconChanger把文件的图标更换为“文件夹”图标，再把它放进几层新建的文件夹中即可。例如：有的木马把名字改为window.exe，还有的就是更改一些后缀名，比如把dll改为d11等(注意看是数字“11”而非英文字母“ll")，如不仔细看的话，很难发现。如下图所示，把Rundll.dll伪装成Rundll.d11，explorer.exe伪装成exp1orer.exe。木马程序入侵并且控制计算机的过程向目标主机植入木马启动和隐藏木马植入者远程控制被植入木马的主机植入者达到其攻击的目的木马植入技术植入技术，木马植入技术可以大概分为主动植入与被动植入两类。主动植入：就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机，这个行为过程完全由攻击者主动掌握。被动植入：是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。如何远程植入程序直接攻击电子邮件文件下载浏览网页+合并文件经过伪装的木马被植入目标机器木马植入技术（实例）最后，把生成的BMP文件放进网页中（支持ASP格式），只要有人浏览了该网页，木马就会自动运行。木马的自动加载技术修改系统文件系统注册表文件打开关联任务计划组策略替换系统自动运行的文件系统DLL

其它作为服务启动利用AppInit_DLLs注入针对Windows系统，木马的自动加载主要有以下方法：修改文件关联正常情况下文件的打开方式为文件，一旦中了文件关联木马，则文件打开方式就会被修改为用木马程序打开。例如：冰河木马通过修改注册表[HKEY_CLASSES_ROOT\textfile\shell\open\command]下的键值C:/windows/notepad.exe%1C:/windows/system/Sysexplr.exe%1

一旦双击一个txt文件原本应用notepad打开该文件的，现在却变成启动木马程序了。这仅仅是txt文件的关联，如htm、exe、zip、com都是木马的目标。40木马隐藏技术木马隐藏技术主要分为两类：主机隐藏和通信隐藏。主机隐藏主要指在主机系统上表现为正常的进程。主要有文件隐藏、进程隐藏等。文件隐藏主要有两种方式采用欺骗的方式伪装成其它文件伪装成系统文件进程隐藏动态链接库注入技术，将“木马”程序做成一个DLL文件，并将调用动态链接库函数的语句插入到目标进程，这个函数类似于普通程序中的入口程序。HookingAPI技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。45提纲恶意代码概述1计算机病毒2蠕虫3特洛伊木马410总结6恶意代码防御52024/3/31恶意代码技术分析及应急响应49恶意代码分析与防范分析基于代码特征的分析方法；基于代码语义的分析方法；基于代码行为的分析方法；检测基于特征码的检测法启发式检测法基于行为的检测法等完整性验证法控制基于主机的控制基于网络的控制：Firewall，路由和域名控制50文件结构的静态分析51静态分析工具IDAPro52启发式（Heuristic）检测启发式指运用某种经验或知识去判定未知事物的方法静态启发式检测：检查文件结构的异常变化DOSEXAMPLE1.COM1234501-01-199512:02:62

EXAMPLE2.COM1234501-01-209512:01:36WindowsPE文件结构

E.gpedumpcalc.exe53动态分析调试运行SoftIce虚拟环境运行VMWareVirtualPCPowerShadowSand-Box代码仿真提纲恶意代码概述1计算机病毒2蠕虫3特洛伊木马410总结6恶意代码防御5网络恶意代码的运行周期寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身保存线触发线寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身寻找目标本地文件（.exe,.scr,.doc,vbs…）可移动存储设备电子邮件地址远程计算机系统……寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身主动型—程序自身实现病毒，蠕虫被动型-人为实现物理接触植入入侵之后手工植入用户自己下载（姜太公钓鱼）访问恶意网站……多用于木马，后门，Rootkit…寻找目标在目标之中将自身保存