第1章 概论与基础.ppt

* * 1.6 恶意代码 1.6.1 恶意代码概述 定义——法律中的计算机病毒 我国的计算机病毒定义 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 摘自《中国人民共和国计算机信息系统安全保护条例》第２８条 * * 1.6 恶意代码 1.6.1 恶意代码概述 特征 非授权可执行性 隐蔽性 传染性 潜伏性 表现性或破坏性 可触发性 * * 1.6 恶意代码 1.6.1 恶意代码概述 恶意代码的分类 计算机病毒 通过自我复制传播，带有不同程度的破坏性 后门 通过特殊手段植入或预留，用以绕开正常的访问控制机制进入系统 特洛伊木马 通过特殊手段植入，用以进行远程控制 逻辑炸弹 通过特殊手段植入，用以耗尽目标系统资源 * * 1.6 恶意代码 1.6.1 恶意代码概述 制作恶意代码的目的 自我表现 版权保护 发泄报复 特殊目的 * * 1.6 恶意代码 1.6.1 恶意代码概述 恶意代码的危害 消耗资源 干扰输出 干扰输入 破坏信息 泄漏信息 破坏系统 心理影响 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 侦测手段 代码特征检测 宿主特征检测 虚拟机检测 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 代码特征检测 恶意代码首先是一段代码。要完成特定的功能，这段代码必定有有别于其它代码的特征。 代码特征检测是恶意代码侦测的一种主要的手段。在这一点上，恶意代码的检测和入侵检测有很多相像的地方。 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 代码特征检测 恶意代码只有处于特定类型的文件之中才能产生危害 因此通过对所有有可能携带恶意代码的那些类型的文件进行代码特征扫描，就能够把携带恶意代码的文件准确地查找出来 但是，文件系统越大，做这件事情就越花费时间 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 代码特征检测 随着网络的发展，黑客手段和恶意代码的结合更加紧密，代码特征检测和入侵检测有日益融合的趋势。这一点在红色代码和尼姆达病毒的检测过程中得到了充分的体现。 目前针对代码特征的恶意代码检测手段基本上是对付已知的恶意代码的。 新的恶意代码一出来，检测软件马上要跟着升级，否则就难以适应 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 代码特征检测 为了提高效率，可以把这件事情“增量化” 假设原来系统是干净的，用户自己又不制造恶意代码，那么恶意代码一定是通过某个输入信道从外面进来的，比如读软盘、读光盘、通过网络流入等等 不管是哪种情况，输入字符流中一定会流过符合恶意代码特征的字符，这时就可以启动报警、拦截等手段 这种手段还可以放到局域网网关上去，为整个网络范围提供恶意代码检测服务，这时的代码特征检测就更像入侵检测了 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 宿主特征检测 被感染的宿主程序在感染前后的变化，一定会反映为某种特征的取值变化，比如文件的最近修改日期，文件的大小等。 由于关注点在宿主的特征变化上，它的使用范围不限于已知的恶意代码。 但是，造成宿主特征变化的原因有很多，不见得一定是恶意代码。所以，这种手段可能造成误报。 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 虚拟机检测 在计算机中虚拟地构造出一台计算机来，每一文件都在构造出的虚拟计算机中运行一遍，通过对这个文件运行的特征来判断此文件是否携带恶意代码 比如恶意代码要利用自己的代码来改写其他文件，在虚拟机中，文件不会被真的改写，但这个意图会被发现并作为恶意代码的证据 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 虚拟机检测 由于不需要事先知道恶意代码的文字特征，因此它就能够检测出一些未知的恶意代码 同样，这种方法也有一些问题，比如它容易误报某某文件中含有某种恶意代码，而此文件仅仅是运行特征与该种恶意代码有些相似，但它实际上并非恶意代码 * * 1.6 恶意代码 1.6.2 恶意代码的侦测 综合集成 为了达到更好的侦测效果，可以采用把几种方法综合集成起来的做法 为了逃避侦测，恶意代码的制造者们也在“与时俱进”，研究新的更隐蔽的携带恶意代码的方式，比如某种加密手段等 * * 1.6 恶意代码 1.6.3 恶意代码的清杀 清杀恶意代码的步骤 用干净的系统盘启动系统 把恶意代码从宿主程序中剪除出去，恢复正常的宿主程序 把本身就是恶意代码的文件删除掉 把与恶意代码相关的项目从注册表中删除掉 重新启动系统 CIH病毒的清杀涉及到BIOS，特殊处理 * * 1.6 恶意代码 1.6.3 恶意代码的清杀 如果杀不掉 有些病毒已经对宿主程序造成了不可挽回的破坏，即使杀掉病毒，宿主也回不到原来的样子了 如果被破坏的是系统文件，可以重新安装系统