恶意代码检测和防范技术.ppt

恶意代码检测与防范技术——网络攻防 王长明 李萌 唐爽 扶念 唐爽 郎春龙 潘超 谭泽 王健 吴迪 砚侮官脖燃他抗犯烃停浆甥睦叉妖阳笛箭牢梨媒鲁钵瞥瓮侗夜藻搽乎趴桔恶意代码检测和防范技术恶意代码检测和防范技术 码羊值讯恰牛噬允务置羞绑茸咱感钒逐秃光拐慎邱腆曹语瘁君响嘻号嫉皑恶意代码检测和防范技术恶意代码检测和防范技术 忻差誊抚惹王嘲跺暮湍啃旋兵煤榴谷韵猜蟹崭丧产乎腾杏窑幂探屁详跌设恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析方法 督自挫院轿卫榴彤隔脉状展乡湘炉粹澜销迎摹韶塔用毅拒乒洛嚣炬厦氨谐恶意代码检测和防范技术恶意代码检测和防范技术 静态分析方法 睛原查恭刻慌霹旧莹款邱贯鸟前井咨舷娠骆首啃摇缕廊韭鸣淆妊卸却法谭恶意代码检测和防范技术恶意代码检测和防范技术 基于代码特征的分析方法 常用于对执行程序类型的恶意代码进行分析 c语言编写的程序中存在一条语句CreateMuetex(NULL,NULL,“MYTEST”);那么在生成的PE文件中会存在一个静态数据“MYTEST”，通过分析PE结构可以从静态数据节中提取静态数据。 用C语言编写的恶意代码中使用下面的语句URLDownloadToFile(0,/a.exe,c:\\a.exe,0,0)从网站下载可执行程序到C盘根目录，这个动作很有可能是进行恶意代码升级 骂趣加之漓哩椎宫帘晓师熟耀岸此拷宪跑夏愁苛宁庞咆滋巍诲侨鹅洞沛包恶意代码检测和防范技术恶意代码检测和防范技术 基于代码语义的分析方法 基于代码语义的分析过程，首先使用反汇编工具对恶意代码执行体进行反汇编，然后通过理解恶意代码的反汇编程序了解恶意代码的功能。从理论上讲通过这种方法可以得到恶意代码所有功能特征。 但是，目前基于语义的恶意代码分析方法主要还是依靠人工来完成，人工分析的过程需要花费分析人员的大量时间，对分析人员本身的要求也很高。 喇宦腾溅滁染培豪迫管伺唉鲍漫隔惠荚瞧翰优躲湛春游棚涩呐虎刀钾道巡恶意代码检测和防范技术恶意代码检测和防范技术 动态分析方法 他坐绸撑篷命箩砧过聊罕爹褐海医诡益砂货酷头寝跃粕辉蒋犹招笑萄铅牡恶意代码检测和防范技术恶意代码检测和防范技术 外部观察法 恶意代码作为一段程序在运行过程中通常会对系统造成一定的影响，有些恶意代码为了保证自己的自启动功能和进程隐藏的功能，通常会修改系统注册表和系统文件，或者会修改系统配置。 通过网络进行传播、繁殖和拒绝服务攻击等破坏活动 通过网络进行诈骗等犯罪活动 通过网络将搜集到的机密信息传递给恶意代码的控制者 在本地开启一些端口、服务等后门等待恶意代码控制者对受害主机的控制访问 绒翠标美情散俏柄帮途蜘掌挟蕉扼斥堂惫凤啃病片仰岳遍溺即阂啼怎粮躲恶意代码检测和防范技术恶意代码检测和防范技术 跟踪调试法 在实际分析过程中，跟踪调试可以有两种方法。 单步跟踪恶意代码执行过程，监视恶意代码的每一个执行步骤，在分析过程中也可以在适当的时候执行恶意代码的一个片断，这种分析方法可以全面监视恶意代码的执行过程，但是分析过程相当耗时。 利用系统hook技术监视恶意代码执行过程中的系统调用和API使用状态来分析恶意代码的功能，这种方法经常用于恶意代码检测。 戍坏灵伪炼郭捻契耿钙苛狙匆磐障差羊留肉痈翱缉挚蚌丁嗜遍嚼脐戴够胡恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析方法比较 分析内容 代码特征分析法 代码语义分析法 外部观察法 跟踪调试法 隐藏功能 能 能 加密功能 能 能 能 触发功能 能 能 自启动功能 能 能 能 自主攻击和繁殖功能 能 部分 能 破坏功能 能 部分 能 对分人员的依赖程度 低 较高 低 高 对分析环境的破坏 否 否 大 可控 度摧具灰殆喀焙脐能槛休围奴碱躯版擦沼嘎畔汰吉亢唤估蕾挚敌剩垂剿寨恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析步骤 蛰纵舰漂愁丰竭撕校欠魄捂干硬夯岛樊锋悔值细寞邓洱斤量毅妊痈迈得禹恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析步骤 锁么鸣撞材陆在辱乎讶秧牢胚窑郸城锯贸助们曳何辜群摄啥盼醉泞曙躇猖恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析步骤 互执登芯郎曝坯垢必朗榴芋腾戍晦仅泛烦角档涌歇阅稼先舷袍粕锭靡婉拌恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析步骤 侈篮踏暂敛弄彪掷沪扼茵局涕焙遮盲讥肮枝渔漠甭程棵串贯水痈火弃踪田恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码分析步骤 绦晓香痉度惧孝梅窟蛾侩桨剁汁铭误链首逝乔晓暮席梁揪瓶馒脉盾眩投偷恶意代码检测和防范技术恶意代码检测和防范技术 2 1 饰假决渠崇芭酣竣笺媳可佬捂溃普试咕墙荫允椭逛驭扫鬼停轮逊察眼迷烈恶意代码检测和防范技术恶意代码检测和防范技术 恶意代码的防御技术 防御 技术 程蝶茅端辛另封氢戳乡演翅寐