计算机病毒及其防治 信息安全概论课件与复习提纲.pptVIP

（2）. 三线程技术 在Windows 操作系统中引入了线程的概念，一个进程可以同时拥有多个并发线程。三线程技术就是指一个恶意代码进程同时开启了三个线程，其中一个为主线程，负责远程控制的工作。另外两个辅助线程是监视线程和守护线程，监视线程负责检查恶意代码程序是否被删除或被停止自启动。 守护线程注入其它可执行文件内，与恶意代码进程同步，一旦进程被停止，它就会重新启动该进程，并向主线程提供必要的数据，这样就能保证恶意代码运行的可持续性。 （3）. 端口复用技术 端口复用技术，系指重复利用系统网络打开的端口（如25、80、135和139等常用端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下复用，具有很强的欺骗性。 （4）. 超级管理技术 一些恶意代码还具有攻击反恶意代码软件的能力。为了对抗反恶意代码软件，恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，使反恶意代码软件无法正常运行。 （5）. 端口反向连接技术 防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略，但对于从内网到外网的数据却疏于防范。端口反向连接技术，系指令恶意代码攻击的服务端（被控制端）主动连接客户端（控制端）。 （6）. 缓冲区溢出攻击技术 缓冲区溢出漏洞攻击占远程网络攻击的80％，这种攻击可以使一个匿名的Internet 用户有机会获得一台主机的部分或全部的控制权，代表了一类严重的安全威胁。恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码，攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而获得被攻击主机的控制权。 缓冲区溢出攻击成为恶意代码从被动式传播转为主动式传播的主要途径。例如，“红色代码”利用IIS Server 上Indexing Service 的缓冲区溢出漏洞完成攻击、传播和破坏等恶意目的。 3 恶意代码的隐蔽技术 隐藏通常包括本地隐藏和通信隐藏 其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等 网络隐藏主要包括通信内容隐藏和传输通道隐藏。 计算机病毒及其防治 一、恶意代码概述 二、恶意代码实现关键技术 三、恶意代码防范方法：基于主机的检测方法和基于网络的检测方法 三 恶意代码防范方法 目前，恶意代码防范方法主要分为两方面： 1 基于主机的恶意代码防范方法 2 基于网络的恶意代码防范方法。 1 基于主机的恶意代码防范方法 主要包括： 基于特征的扫描技术 校验和 沙箱技术 （1）基于特征的扫描技术 主要源于模式匹配的思想。扫描程序工作之前，必须先建立恶意代码的特征文件，根据特征文件中的特征串，在扫描文件中进行匹配查找。用户通过更新特征文件更新扫描软件，查找必威体育精装版的恶意代码版本。这种技术广泛地应用于目前的反病毒引擎中 （2）校验和 校验和是一种保护信息资源完整性的控制技术，例如Hash 值和循环冗余码等。只要文件内部有一个比特发生了变化，校验和值就会改变。未被恶意代码感染的系统首先会生成检测数据，然后周期性地使用校验和法检测文件的改变情况。 （3）沙箱技术 沙箱技术指根据系统中每一个可执行程序的访问资源，以及系统赋予的权限建立应用程序的“沙箱”，限制恶意代码的运行。每个应用程序都运行在自己的且受保护的“沙箱”之中，不能影响其它程序的运行。同样，这些程序的运行也不能影响操作系统的正常运行，操作系统与驱动程序也存活在自己的“沙箱”之中。美国加州大学Berkeley 实验室开发了基于Solaris 操作系统的沙箱系统，应用程序经过系统底层调用解释执行，系统自动判断应用程序调用的底层函数是否符合系统的安全要求，并决定是否执行。 2 基于网络的恶意代码防范方法 由于恶意代码具有相当的复杂性和行为不确定性，恶意代码的防范需要多种技术综合应用，包括恶意代码监测与预警、恶意代码传播抑制、恶意代码漏洞自动修复、恶意代码阻断等。 常见的恶意代码检测防御包括： 基于GrIDS的恶意代码检测 基于PLD硬件的检测防御 基于HoneyPot的检测防御 基于CCDC的检测防御。 * U盘病毒 病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。 混合型、自动的攻击 Workstation Via Email File Server Workstation Mail Server Internet 混合型攻击:蠕虫 Web Server Via Web Page Workstation Web Server Mail Gateway 防病毒 防火墙 入侵检测 风险管理 攻击的发展趋势 3 震荡波 一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里