网络安全理论与技术（第十八讲）.pptVIP

* 网络病毒在全球范围内高速扩散 2001年7月19日 20:15:00 2001年7月19日 01:05:00 第十四章 恶意代码与计算机病毒的防治 14.1 14.2 14.3 恶意代码 计算机病毒 防治措施 14.1 恶意代码 14.1.1 恶意代码的概念 代码是指计算机程序代码，可以被执行完成特定功 能。任何事物都有正反两面，人类发明的所有工具既可 造福也可作孽，这完全取决于使用工具的人。计算机程 序也不例外，在善良的软件工程师们编写了大量的有用 软件（操作系统、应用系统、数据库系统等）的同时， 黑客们却在编写着扰乱社会和他人，甚至起着破坏作用 的计算机程序，这就是恶意代码。 14.1.2 恶意代码的分类 恶意代码可以按照两种分类标准，从两个角度进行 直交分类。 一种分类标准是，恶意代码是否需要宿主，即特定 的应用程序、工具程序或系统程序。需要宿主的恶意代 码具有依附性，不能脱离宿主而独立运行；不需宿主的 恶意代码具有独立性，可不依赖宿主而独立运行。 另一种分类标准是，恶意代码是否能够自我复制。 不能自我复制的恶意代码是不感染的；能够自我复制的 恶意代码是可感染的。 由此，可以得出以下4大类恶意代码 分类标准 不能自我复制 能够自我复制 需要宿主 不感染的依附性恶意代码 可感染的依附性恶意代码 无需宿主 不感染的独立性恶意代码 可感染的独立性恶意代码 目前发现并命名的主要恶意代码按上 述分类方法的分类结果如下表所示。 类别 不感染的依附性恶意代码 不感染的独立性恶意代码 可感染的依附性恶意代码 可感染的独立性恶意代码 实例 特洛伊木马（Trojan horse） 逻辑炸弹（Logic bomb） 后门（Backdoor）或陷门（Trapdoor） 点滴器（Dropper） 繁殖器（Generator） 恶作剧（Hoax） 病毒（Virus） 蠕虫（Worm） 细菌（Germ） 1. 不感染的依附性恶意代码 特洛伊木马（Trojan Horse） 特洛伊木马程序并不是一种病毒，因为它不具 有病毒的可传染性、自我复制能力等特性，但是特 洛伊木马程序具有很大的破坏力和危害性。 在计算机领域，特洛伊木马是一段吸引人而不 为人警惕的程序，但它们可以执行某些秘密任务。 大多数安全专家统一认可的定义是：“特洛伊木马 是一段能实现有用的或必需的功能的程序，但是同 时还完成一些不为人知的功能，这些额外的功能往 往是有害的。” 特洛伊木马的来历 来源于希腊神话中的特洛伊战争 希腊人攻打特洛伊城十 年，始终未获成功，后来建 造了一个大木马，并假装撤 退，希腊将士却暗藏于马腹 中。特洛伊人以为希腊人已 走，就把木马当作是献给雅 典娜的礼物搬入城中。晚上， 木马中隐藏的希腊将士冲出 来打开城门，希腊将士里应 外合毁灭了特洛伊城。后来 我们把进入敌人内部攻破防 线的手段叫做木马计，木马 计中使用的里应外合的工具 叫做特洛伊木马 定义中有3点需要进一步解释： 第一，“有用的或必需的功能的程序”只是诱饵，就像典 故里的特洛伊木马，表面看上去很美但实际上暗 藏危机。 第二，“为人不知的功能”定义了其欺骗性，是危机所在 之处，为几乎所有的特洛伊木马所必备的特点。 第三，“往往是有害的”定义了其恶意性，恶意企图包括： （1）试图访问未授权资源（如盗取口令、个人隐私或企业机密）； （2）试图阻止正常访问（如拒绝服务攻击）； （3）试图更改或破坏数据和系统（如删除文件、创建后门等）。 特洛伊木马一般没有自我复制的机制，所以不会自 动复制自身。电子新闻组和电子邮件是特洛伊木马的主 要传播途径。特洛伊木马的欺骗性是其得以传播的根本 原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏 保、非法软件、色情资料等，上载到电子新闻组或通过 电子邮件直接传播，很容易被不知情的用户接收和继续 传播。 1997年4月，一伙人开发出一个名叫AOL4FREE.COM 的特洛伊木马，声称可以免费访问AOL，但它却损坏了 执行它的机器硬盘。 直接攻击 电子邮件 经过伪装的木马 被植入目标机器 文件下载 浏览网页 合并文件 + 特洛伊木马程序的位置和危险级别 特洛伊木马程序代表了一种很高级别的威胁 危险，主要是有以下几个原因。 （1）特洛伊木马程序很难被发现。 （2）在许多情况下，特洛伊木马程序是在二进制代码 中发现的，它们大多以无法阅读的形式存在。 （3）特洛伊木马程序可以作用于许多机器