恶意代码与防范分析报告.ppt

网络通信安全管理员认证恶意代码分析与防范 请先思考以下3个问题 什么是上网安全意识？ 恶意代码如何进入我们的计算机？ 恶意代码以什么形式存在于我们的计算机中？ 一个每天都要遇到的操作1 可移动存储设备的使用 文件密，MD5密码 演示U盘的使用过程 一个每天都要遇到的操作2 一个每天都要遇到的操作3 如果您的电脑配有摄像头，在您使用完摄像头之后，您会：（ ） 拔掉摄像头，或者将摄像头扭转方向 （546人，44.1%） 无所谓 （693人，55.9%） 一个每天都要遇到的操作4 还有什么？ 下载软件的来源： Office文档、图片、视频： 设置密码： 恶意代码的基本概念 恶意代码，又称Malicious Code，或MalCode,MalWare。 其是设计目的是用来实现某些恶意功能的代码或程序。 发展及特征 长期存在的根源 计算机病毒概念 ≠臭虫（bug) ≠生物学中的病毒 真的完全不等于吗? 它是计算机上的野生动物 什么是计算机病毒 Virus,拉丁文:毒药 就是一段特殊的小程序, 由于具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等)，所以人们就用生物学上的病毒来称呼它。 美国计算机安全专家是这样定义计 算机病毒的：”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中，从而感染它们”。 病毒的广义和狭义定义 狭义: 我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下：“计算机病毒是指编制、或者在计算机程序中插入的，破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序片段代码。” 广义: 能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。 恶意代码 网络恶意代码的分类 计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。 如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose… 网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。 其通过不断有哪些信誉好的足球投注网站和侵入具有漏洞的主机来自动传播。 利用系统漏洞（病毒不需要漏洞） 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波… 特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。 如冰河、网络神偷、灰鸽子…… 网络恶意代码的分类（续） 后门：使得攻击者可以对系统进行非授权访问的一类程序。 如Bits、WinEggDrop、Tini… RootKit：通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。 如RootKit、Hkdef、ByShell… 拒绝服务程序，黑客工具，广告软件，间谍软件…… 流氓软件…… 几个容易混淆的分类 计算机病毒VS网络蠕虫 木马VS后门 后门 VS 特洛伊木马 如果一个程序仅仅提供远程访问，那么它只是一个后门。 如果攻击者将这些后门伪装成某些其他良性程序，那么那就变成真正的特洛伊木马。 木马是披着羊皮的狼！！它对用户个人隐私造成极大威胁。 病毒程序与正常程序的比较 病毒起源探究 1949年，冯·诺伊曼文章《复杂自动装置的理论及组织的行为》中提出一种会自我繁殖的程序的可能，但没引起注意 ?1960年，美国的约翰·康维在编写生命游戏程序时，首先实现了程序自我复制技术。 1977，科幻小说《p-1的青春》 贝尔实验室，磁芯大战,达尔文游戏 提示:一般认为，计算机病毒的发源地在美国。 计算机病毒的发展 DOS阶段 视窗阶段 宏病毒阶段 (演示) 互连网阶段 网络、蠕虫阶段 Java、邮件炸弹、木马阶段 计算机病毒的特性 传染性 隐藏性 潜伏性 可触发性 破坏性 不可预见性 非授权性 计算机病毒的分类 按存在的媒体：网络型、文件型、引导型 按传染方式：驻留型、非驻留型 按破坏能力：良性（徐明莫言英）、恶性、极恶性 按算法：伴随型、蠕虫型、寄生型、诡秘型、变型 按入侵方式：源代码嵌入攻击、代码取代攻击、系统修改型、外壳附加型 按传播媒介：单机、网络 计算机病毒的命名 DOS病毒命名(一日丧命散、含笑半步颠) 1.按病毒发作症状命名：小球 熊猫烧香 花屏病毒 步行者病毒 武汉男孩 2.按病毒发作的时间命名 ：黑色星期五 ； 3.按病毒自身包含的标志命名 ：CIH （不是HIV) 按病毒发现地命名：如“黑色星期五”又称Jurusalem(耶路撒冷)病毒 计算机病毒的命名 4.按病毒发现地命名 ：Jurusalem(耶路撒冷)病毒，Vienna(维也纳)病毒 5.按病毒的字节长度命名： 以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名，如1575、2153、170