《信息安全理论与技术》课件第7章 恶意代码及防范技术

第七章恶意代码及防范技术第七章恶意代码及防范技术7.1恶意代码的概念7.2恶意代码的生存原理7.3恶意代码的分析与检测技术7.4恶意代码的清除与预防技术7.1恶意代码的概念7.1.1常见名词举例7.1.2恶意代码的危害7.1.3恶意代码的命名规则7.1.1恶意代码常见名词举例计算机病毒：是一种计算机程序代码，它递归地复制自己或其演化体。病毒感染宿主文件或者某个系统区域，或者仅仅是修改这些对象的引用，来获得控制权并不断地繁殖来产生新的病毒体蠕虫病毒：主要在网络上进行复制逻辑炸弹：通常是合法的应用程序，在编程时写入一些“恶意功能”7.1.1恶意代码常见名词举例特洛伊木马：隐藏在一个合法的躯壳下的恶意代码漏洞利用：漏洞利用代码（exploitcode）针对某一特定漏洞或一组漏洞下载器：通过破坏杀毒软件，然后再从指定的地址下载大量其他病毒、木马进入用户电脑玩笑程序7.1.2恶意代码的危害破坏数据占用磁盘存储空间抢占系统资源影响计算机运行速度7.1.3恶意代码的命名规则<病毒前缀>.<病毒名>.<病毒后缀>。病毒前缀是指一个病毒的种类病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的7.2恶意代码的生存原理7.2.1恶意代码的生命周期7.2.2恶意代码的传播机制7.2.3恶意代码的感染机制7.2.4恶意代码的触发机制7.2.1恶意代码的生命周期设计期：用编程语言制造一个恶意代码传播期：通过不同的途径散布和侵入受害系统中感染期：找到自己依附或隐藏的宿主，并实施依附或隐藏触发期：满足触发条件时，恶意代码进入运行期运行期：恶意代码的恶意目的得以展现消亡期：恶意代码被检测出来，并应用相应的手段进行处理7.2.2恶意代码的传播机制恶意代码传播主要是通过复制文件、传送文件、运行程序等方式进行。主要传播机制：互联网局域网移动存储设备无线设备和点对点通信系统7.2.3恶意代码的感染机制感染执行文件主要感染.exe和.dll等可执行文件和动态连接库文件根据恶意代码感染文件的方式不同，可以分为外壳型恶意代码、嵌入型恶意代码、源代码型恶意代码、覆盖型恶意代码和填充型恶意代码等感染引导区如果恶意代码感染了引导区，开机后，它被读入内存时，杀毒软件还没有读入内存，恶意代码就获得了系统控制权，改写操作系统文件，隐藏自己7.2.3恶意代码的感染机制感染结构化文档宏病毒是一种寄存在文档或模板的宏中的恶意代码。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上7.2.4恶意代码的触发机制恶意代码在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作日期触发时间触发键盘触发感染触发启动触发7.2.4恶意代码的触发机制访问磁盘次数触发调用中断功能触发CPU型号/主板型号触发被恶意代码使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组合起来的触发条件7.3恶意代码的分析与检测技术7.3.1恶意代码的分析方法7.3.2恶意代码的检测方法7.3.1恶意代码的分析方法静态分析法:在不执行恶意代码的情况下进行分析。可以分为源代码分析、反汇编分析、二进制统计分析三种情况动态分析法:通过检测恶意代码执行的过程，分析执行过程中的操作进行分析7.3.1恶意代码的分析方法在实际应用中，一般将恶意代码分析方法分成三类：基于代码特征的分析方法基于代码语义的分析方法基于代码行为的分析方法。7.3.1恶意代码的分析方法基于代码特征的分析方法首先，获取一个病毒程序的长度，根据长度可以将文件分为几份然后，每份中选取通常为16或32个字节长的特征串最后，将选取出来的几段特征码及它们的偏移量存入病毒库，标示出病毒的名称7.3.1恶意代码的分析方法基于代码语义的分析方法通过各种渠道收集到最新的未知恶意代码样本时，进行文件格式分析对样本文件的属性进行查看分析对样本的行为进行分析，分析它的本地感染行为，以及网络传播行为通过静态反汇编工具（IDA等）对的恶意代码程序的PE文件进行反汇编通过动态调试对恶意代码加载调试，进一步分析代码的操作7.3.1恶意代码的分析方法基于代码行为的分析方法。基于代码行为的分析方法是基于以下理论展开的：软件行为=API+参数六大类常见软件恶意行为：修改注册表启动项修改关键文件控制进程访问网络资源修改系统服务控制窗口7.3.2恶意代码的检测方法基于特征码的检测法启发式检测法基于行为的检测法完整性验证法基于特征函数的检测方法7.4恶意代码的清除与预防技术7.4.1恶意代码的清除技术7.4.2恶意代码的预防技术7.4.1恶意代码的清除技术选择适当的封锁策略鉴别和隔离被感染主机阻塞发送出的访问关闭邮件服务器断开局域网与因特