第六章_恶意代码与防范要点分析.ppt

计算机病毒的命名 DoS：会针对某台主机或者服务器进行DoS攻击； Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人 计算机病毒的生命周期 4、发作阶段 1、潜伏阶段 2、传染阶段 3、触发阶段 网络恶意代码的运行周期 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 保存线 触发线 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 寻找目标 本地文件（.exe,.scr,.doc,vbs…） 可移动存储设备 电子邮件地址 远程计算机系统 …… 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 主动型—程序自身实现 病毒，蠕虫 被动型-人为实现 物理接触植入 入侵之后手工植入 用户自己下载（姜太公钓鱼） 访问恶意网站 …… 多用于木马，后门，Rootkit… 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 主动触发 蠕虫 各种漏洞（如缓冲区溢出） 恶意网站 网页木马 被动触发 初次人为触发 双击执行，或命令行运行 打开可移动存储设备… 打开本地磁盘 …… 系统重启后的触发 各种启动项（如注册表，启动文件…） 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 目标系统之中 长期存活于 让自身 静态存在形式 文件（Exe,Dll…） 启动项（修改注册表、各种启动文件…） …… 动态存在形式 进程（自创进程或插入到其他进程之中） 服务 端口（对外通信） …… 以上也是恶意代码检测的基础和依据所在； 而恶意代码本身也会对文件、启动项、进程、 端口、服务等进行隐藏--〉即RootKit。 上网安全意识—恶意代码篇 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 安装反病毒软件和防火墙 及时更新系统补丁、病毒库 不访问恶意网站 为系统设置系统密码 离开计算机时锁定计算机 不从不知名网站下载软件 拒绝各种诱惑（如色情） 移动存储设备的可写开关 …… 及时更新系统补丁、病毒库 对系统关键程序（如cmd.exe）作权限保护 不运行来历不明文件（包括数据文件） 养成安全的移动存储设备使用习惯 定期备份与还原系统 关注系统启动项和系统目录中的可执行文件 …… 安装杀毒软件，更新病毒库 定期备份与还原系统 清除异常系统启动项与系统目录异常文件 关注异常进程、端口、服务、网络流量… …… 保存线 触发线 存活线 计算机病毒的运行机制 三组件：复制传染、隐藏、破坏 运行阶段：复制传播+激活 特洛伊木马 木马全称是“特洛伊木马(Trojan Horse)”，原指古希腊人把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，木马指在可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，这些程序可能造成用户的系统被破坏，甚至瘫痪。 不可以自我复制，需要植入 特洛伊木马的分类及运行机制 本地木马（QQ盗号木马） 网络木马（远程控制-灰鸽子） 运行机制：书本+前述代码运行周期 网页挂马 网页挂马的种类：大家一起来试一下吧。。。（木马生成器、卡饭） 网页挂马的传播方式 网页挂马的运行方式 网页挂马的检测与防范 网页挂马加密！！！ 网络蠕虫 定义:智能化（网络攻击、密码学、病毒）、自动化（无需干预），扫描和攻击漏洞，端点到端点，内存到内存。 结构：主体功能模块+辅助功能模块 其他恶意代码 后门 逻辑炸弹 细菌 手机病毒和防范 概念：智能机 传播方式： 危害： 种类： 防范： 清除： 恶意代码的防范 基于主机的 基于网络的 * 恶意代码分析与防范 教师：魏先勇 请先思考以下3个问题 什么是上网安全意识？ 恶意代码如何进入我们的计算机？ 恶意代码以什么形式存在于我们的计算机中？ 一个每天都要遇到的操作1 可移动存储设备的使用 演示U盘的使用过程 一个每天都要遇到的