第九章+系统安全-恶意代码详解.pptxVIP

第九章 系统安全-恶意代码;;一、恶意代码类型;一、恶意代码 类型 ;恶意程序的术语;名称;;;;间谍软件;间谍软件的传播方式;发展趋势;间谍软件检测工具;间谍软件检测工具;Rootkit Rootkit作为一个名词最早出现于二十世纪90年代初。Rootkit是攻击者用来隐藏自己的踪迹和维持远程管理员访问权限的工具，而不是用来获得系统管理员访问权限的工具。一个典型Rootkit通常包括： 以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，例如inetd或者login，为攻击者提供后门。 隐藏攻击者的目录和进程的程序，例如ps、netstat、rshd和ls等。 日志清理工具. ;Rootkit技术 ;Rootkit技术 ;二、反病毒技术;（5）磁盘上的文件或程序丢失。 （6）磁盘读/写文件明显变慢，访问的时间加长。 （7）系统引导变慢或出现问题，有的出现“写保护错”提示。 （8）系统经常死机或出???异常的重启动现象。 （9）原来运行的程序突然不能运行，总是出现出错提示。 （10）连接的打印机不能正常启动。 观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和 清除做好准备。 ;2．检测的主要依据 （1）检查磁盘主引导扇区 （2）检查FAT表 （3）检查中断向量 （4）检查可执行文件 （5）检查内存空间 （6）检查特征串;3．计算机病毒的检测手段;（2）校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。 特征长度的对齐 优点：方法简单，能发现未知病毒、被查文件的细微变化也能发现。 缺点：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。;（3）行为监测法 利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。这些能够作为监测病毒的行为特征如下： A. 占有INT 13H B. 改DOS系统为数据区的内存总量 C. 对COM、EXE文件做写入动作 D. 病毒程序与宿主程序的切换 优点：可发现未知病毒、可相当准确地预报未知的多数病毒。 缺点：可能误报警、不能识别病毒名称、实现时有一定难度。;4.反病毒引擎框架;;;艾伦.所罗门引入了偏移量的概念，通过病毒入口直接跳转到恶意代码部分进行匹配，解决了全文匹配问题;;处置参数化;;;鉴定器;;归一化：将一批异构的复杂问题降维转化为同构的简单问题。;;;;;;三、僵尸网络;;僵尸网络特点;僵尸网络特点;僵尸网络发展;僵尸网络发展;僵尸网络工作过程;僵尸网络工作过程;僵尸网络分类;僵尸网络检测技术;;僵尸网络追踪技术;;僵尸网络测量技术;僵尸网络测量技术;僵尸网络预测;僵尸网络对抗技术;僵尸网络对抗技术; ;四、恶意代码的关键技术 ;四、恶意代码的关键技术 ;四、恶意代码的关键技术 ;五、恶意代码的防范 ;小 结