惡意代碼及防護(hù)技術(shù)(I)_第1頁(yè)
惡意代碼及防護(hù)技術(shù)(I)_第2頁(yè)
惡意代碼及防護(hù)技術(shù)(I)_第3頁(yè)
惡意代碼及防護(hù)技術(shù)(I)_第4頁(yè)
惡意代碼及防護(hù)技術(shù)(I)_第5頁(yè)
已閱讀5頁(yè),還剩24頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第11講惡意代碼及防護(hù)技術(shù)楊明紫金學(xué)院計(jì)算機(jī)系網(wǎng)絡(luò)信息安全2/5/2023內(nèi)容惡意代碼的概念計(jì)算機(jī)病毒反病毒技術(shù)網(wǎng)絡(luò)攻擊技術(shù)演變趨勢(shì)圖惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計(jì)算機(jī)系統(tǒng)中實(shí)施破壞或竊取信息分類依附性傳播方式自我復(fù)制惡意代碼的主要功能收集你的相關(guān)信息誘騙訪問(wèn)惡意網(wǎng)站刪除敏感信息監(jiān)視鍵盤竊取文件開啟后門(肉雞)作為網(wǎng)絡(luò)傳播的起點(diǎn)隱藏在主機(jī)上的所有活動(dòng)

常見的惡意代碼種類惡意代碼類型主要特點(diǎn)計(jì)算機(jī)病毒潛伏傳染破壞蠕蟲掃描攻擊擴(kuò)散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念2/5/2023惡意代碼的危害攻擊系統(tǒng),造成系統(tǒng)癱瘓或操作異常;危害數(shù)據(jù)文件的安全存儲(chǔ)和使用;泄露文件、配置或隱私信息;肆意占用資源,影響系統(tǒng)或網(wǎng)絡(luò)的性能;攻擊應(yīng)用程序,如影響郵件的收發(fā)。惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史2/5/2023計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒能夠?qū)ふ宜拗鲗?duì)象,并且依附于宿主,是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產(chǎn)生的根源炫耀、玩笑、惡作劇或是報(bào)復(fù)各種矛盾激化、經(jīng)濟(jì)利益驅(qū)使計(jì)算機(jī)系統(tǒng)的復(fù)雜性和脆弱性網(wǎng)絡(luò)戰(zhàn)“震網(wǎng)”病毒計(jì)算機(jī)病毒的特征主要特征宿主性:依附在另一個(gè)程序上隱蔽性:長(zhǎng)期隱藏,條件觸發(fā)傳染性:自我復(fù)制,感染其他程序破壞性:執(zhí)行惡意的破壞或惡作劇、消耗資源變異性:逃避反病毒程序的檢查計(jì)算機(jī)病毒的發(fā)展簡(jiǎn)史1998CIH病毒1998年盜版光盤破壞硬盤數(shù)據(jù)2000愛蟲病毒2000年電子郵件傳播自身并破壞數(shù)據(jù)文件2002SQL蠕蟲王2003年利用SQLserver2000遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞通過(guò)網(wǎng)絡(luò)傳播公用互聯(lián)網(wǎng)絡(luò)癱瘓20042004年利用windows的LSASS中存在一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播傳播自身,癱瘓網(wǎng)絡(luò),破壞計(jì)算機(jī)系統(tǒng)震蕩波20062006年利用所有成熟的網(wǎng)頁(yè)掛馬、U盤ARP欺騙、網(wǎng)絡(luò)共享傳播自身,破壞用戶數(shù)據(jù),組建僵尸網(wǎng)絡(luò)熊貓燒香20082008年利用flash漏洞等第三方應(yīng)用程序漏洞掛馬傳播傳播自身,攻擊安全軟件,組建僵尸網(wǎng)絡(luò),盜取賬號(hào)牟利木馬群宏病毒特點(diǎn)利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執(zhí)行程序宏病毒感染文檔,而不是可執(zhí)行代碼宏病毒是平臺(tái)無(wú)關(guān)的宏病毒容易傳染電子郵件不同類型的宏自動(dòng)執(zhí)行:normal.dot,啟動(dòng)自動(dòng)宏:打開/關(guān)閉文檔、創(chuàng)建、退出宏命令宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無(wú)毒文件.docNormal.dot啟動(dòng)激活病毒宏病毒的基本機(jī)制2/5/2023病毒的傳播途徑計(jì)算機(jī)病毒的工作原理計(jì)算機(jī)病毒的結(jié)構(gòu)引導(dǎo)模塊設(shè)法獲得被執(zhí)行的機(jī)會(huì),獲取系統(tǒng)的控制權(quán)以引導(dǎo)其他模塊進(jìn)行工作。傳染模塊完成計(jì)算機(jī)病毒的繁殖和傳播觸發(fā)模塊是毒破壞行動(dòng)是否執(zhí)行的決定者破壞模塊具體負(fù)責(zé)破壞活動(dòng)的執(zhí)行病毒的基本工作機(jī)制被感染程序執(zhí)行計(jì)算機(jī)病毒的引導(dǎo)機(jī)制基本方法主動(dòng)型(也稱為隱蔽型或技術(shù)型)被動(dòng)型(也稱為公開型或欺騙型)計(jì)算機(jī)病毒的引導(dǎo)過(guò)程駐留內(nèi)存:病毒若要發(fā)揮其破壞作用,一般要駐留內(nèi)存。有的病毒不駐留內(nèi)存。竊取系統(tǒng)控制權(quán):病毒駐留內(nèi)存后,必須取代或擴(kuò)充系統(tǒng)的原有功能,并竊取系統(tǒng)的控制權(quán)。隱蔽等待觸發(fā):此后病毒隱蔽自己,等待時(shí)機(jī),在條件成熟時(shí),再進(jìn)行傳染和破壞。計(jì)算機(jī)病毒的寄生對(duì)象計(jì)算機(jī)病毒的寄生對(duì)象磁盤的引導(dǎo)扇區(qū)和特定文件(EXE、COM等可執(zhí)行程序DLL、DOC、HTML等經(jīng)常使用的文件中常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導(dǎo)扇區(qū)或者文件中的原有內(nèi)容。鏈接法病毒程序?qū)⒆陨聿迦氲皆袃?nèi)容的首部、尾部或者中間,和原有內(nèi)容鏈接為一個(gè)整體。病毒的活動(dòng)過(guò)程潛伏階段病毒是空閑的觸發(fā)階段病毒被某個(gè)事件激活包括日期、某個(gè)程序運(yùn)行、中斷調(diào)用、啟動(dòng)次數(shù)等繁殖階段復(fù)制病毒、傳染其他程序執(zhí)行階段執(zhí)行某種有害或無(wú)害的功能盜竊、破壞數(shù)據(jù)信息、破壞硬件設(shè)備、耗費(fèi)系統(tǒng)資源、產(chǎn)生視覺/聽覺效果等計(jì)算機(jī)病毒的過(guò)去與現(xiàn)在自我復(fù)制和傳播,破壞電腦功能和數(shù)據(jù),甚至破壞硬件,影響電腦正常使用病毒技術(shù)本身沒有突破,和以前的病毒沒有本質(zhì)區(qū)別技術(shù)目的從炫技、惡作劇、仇視破壞到貪婪依托互聯(lián)網(wǎng),集團(tuán)化運(yùn)作,以經(jīng)濟(jì)利益作為唯一目標(biāo)通過(guò)磁盤、光盤、電子郵件、網(wǎng)絡(luò)共享等方式傳播危害的表象:一個(gè)電腦病毒感染數(shù)千萬(wàn)臺(tái)電腦,橫行全球,破壞用戶系統(tǒng)(CIH、梅麗莎、沖擊波、尼姆達(dá)等等)生產(chǎn)、傳播、破壞的流程完全互聯(lián)網(wǎng)化,組成分工明確、日趨成熟的病毒產(chǎn)業(yè)鏈;各種基礎(chǔ)互聯(lián)網(wǎng)應(yīng)用都成為病毒入侵通道,其中“網(wǎng)頁(yè)掛馬”最常見,占總量90%以上。傳播途徑計(jì)算機(jī)病毒的防護(hù)病毒的預(yù)防病毒的檢測(cè)病毒的清除病毒的防范病毒的防范預(yù)防為主、治療為輔防范措施安裝真正有效的防殺計(jì)算機(jī)病毒軟件不要隨便直接運(yùn)行或直接打開電子函件中夾帶的附件文件安裝網(wǎng)絡(luò)服務(wù)器時(shí)應(yīng)保證沒有計(jì)算機(jī)病毒存在一定要用硬盤啟動(dòng)網(wǎng)絡(luò)服務(wù)器病毒的防范注意病毒傳入途徑終端漏洞導(dǎo)致病毒傳播郵件接收導(dǎo)致病毒傳播外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播內(nèi)部用戶繞過(guò)邊界防護(hù)措施,直接接入因特網(wǎng)導(dǎo)致病毒被引入網(wǎng)頁(yè)中的惡意代碼傳入反病毒技術(shù)特征掃描的方法根據(jù)提取的病毒特征,查找計(jì)算機(jī)中是否有文件存在相同的感染特征。內(nèi)存掃描程序盡管病毒可以毫無(wú)覺察的把自己隱藏在程序和文件中,但病毒不能在內(nèi)存中隱藏自己。內(nèi)存掃描程序可以直接搜索內(nèi)存,查找病毒代碼。完整性檢查器

記錄計(jì)算機(jī)在未感染狀態(tài)可執(zhí)行文件和引導(dǎo)記錄的信息指紋,將這一信息存放在硬盤的數(shù)據(jù)庫(kù)中,并根據(jù)需要進(jìn)行匹配測(cè)試,判斷文件是否被病毒感染。反病毒技術(shù)行為監(jiān)視器

行為監(jiān)視器又叫行為監(jiān)視程序,它是內(nèi)存駐留程序,這種程序靜靜地在后臺(tái)工作,等待病毒或其他有惡意的損害活動(dòng)。如果行為監(jiān)視程序檢測(cè)到這類活動(dòng),它就會(huì)通知用戶,并且讓用戶決定這一類活動(dòng)是否繼續(xù)。CPU仿真器或虛擬機(jī)一個(gè)可執(zhí)行文件中的指令先由仿真器來(lái)解釋,而不是直接由底層的處理器解釋。使用虛擬機(jī)技術(shù),是目前較為前沿的一種反病毒技術(shù)。以程序在執(zhí)行過(guò)程是否具有感染行為作為依據(jù)來(lái)判斷該程序是否是病毒,查毒準(zhǔn)確率幾乎可達(dá)100%。防病毒軟件防病毒軟件瑞星、360安全衛(wèi)士、趨勢(shì)、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山防病毒網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)保護(hù)郵件器的防病毒網(wǎng)關(guān)反病毒產(chǎn)品發(fā)展180s末-90s初,病毒數(shù)量激增,硬件防病毒卡出現(xiàn)290s中殺防集成化

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論