《计算机网络安全原理》第14章 恶意代码.pptxVIP

本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发 本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！ 本PPT可免费使用、修改，使用时请保留此页。;;内容提纲;一、定义;2000年以前：病毒时代 背景：DOS退场，Windows 9x / NT广泛应用，促进了网络应用进入日常生活中 在DOS时代，感染式病毒（Virus）、蠕虫（Worm）和特洛伊木马（Trojan），都是相对窄带而互斥的技术概念：Virus是主流;类型;2000~2005：蠕虫大爆发时代 Happy99蠕虫利用劫持电子邮件的方式传播并快速流行，拉开了蠕虫时代大幕 2011年：红色代码（CodeRed）及其变种“红色代码II”（CodeRed II）大爆发：扫描溢出型蠕虫的典型代表 ;2005~2010：木马泛滥时代 随着端系统的安全性的提高（DEP、ALSR等技术的应用），蠕虫的影响开始减弱 2005年，以灰鸽子、冰河为代表的远程控制程序在技术上趋于成熟，感染数量持续增加 2007~2009：地下经济运作日趋“成熟”，基于木马的黑色产业链 2007年上半年：毒王“AV终结者”;2010~2020：虚拟货币和隐秘网络带动的勒索新对抗 2013年开始，勒索软件、挖矿木马逐步泛滥 2016：Mirai爆发，致瘫Dyn 2017：WannaCry全球大爆发 2019：WannaMine挖矿木马爆发;恶意代码;恶意代码;恶意代码;恶意代码;;;蠕虫：主要利用网络系统漏洞自动传播;木马编写者;RFC1244 (1/2);RFC1244 (2/2);大多数安全专家对特洛伊木马的定义;木马的危害;木马的危害;;;;二、木马分类;木马的分类;木马的分类;木马的分类;木马的分类;(1) 破坏型;(2) 密码发送型;(3) 远程访问型;(4) 键盘记录木马;(5) DoS攻击木马;(6) 代理木马;(7) 程序杀手木马;(8) 反弹端口型木马;（8）反弹端口型木马;三、木马特点;木马的特点;有效性;隐蔽性;顽固性 ;易植入性;其它特点：自动运行;其它特点：欺骗性;2020/7/28;其它特点：功能的特殊性;其它特点;内容提纲;远程控制木马;远程控制木马的运行步骤;远程控制木马的运行步骤;通过???种传播方式散播木马（往往结合病毒的传播手段，如电子邮件，网络下载等等）;;;58;远程控制木马的反弹技术;一、木马植入技术;植入技术;主动植入 ;主动植入;主动植入--本地安装;主动植入--远程安装;利用系统自身漏洞植入;利用第三方软件漏洞植入;被动植入 ;网页浏览植入;水坑攻击（Watering hole）： 在受害者必经之路设置一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”;2020.2.19：黑客利用后门对香港iOS用户发起水坑攻击;威瑞森的报告显示，94%的恶意软件通过电子邮件传播，排名第一的社会工程攻击是网络钓鱼;利用电子邮件植入;;;网络下载植入;利用即时通工具植入;与其它程序捆绑;例：图片木马;利用移动存储设备植入;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;“摆渡”木马的运行;2015.12.2夜间：安天监控预警体系感知到如下线索：某知名作家在新浪微博发布消息，曝光有人以发送“采访提纲”为借口，利用微博私信功能，发送恶意代码链接。;2015.12.2夜间：安天监控预警体系感知到如下线索：某知名作家在新浪微博发布消息，曝光有人以发送“采访提纲”为借口，利用微博私信功能，发送恶意代码链接。;;无论是原始微博截图中的头像、微博两条有哪些信誉好的足球投注网站结果显示的图像，还是百度网盘的头像，相似度都非常高，让人真假难辨。;幸运的是，没有微博名人中招！;社会工程学;;二、木马自动加载技术;自动加载技术;自动加载技术;(1) 修改系统文件;(2) 修改系统注册表;(2) 修改系统注册表;(2) 修改系统注册表;(3) 添加系统服务;(4) 修改文件打开关联属性;例：冰河的自动加载方法;修改文件打开关联;(5)　修改任务计划;(6)　修改组策略;修改组策略;(7)　修改启动文件夹;(8)　利用系统自动运行的程序;(9) 替换系统DLL;有些木马需要系统重启后运行或提升权限，如何做到？;三、木马隐藏技术;木马的隐藏技术;隐藏技术;隐藏技术;设置窗口不可见;把木马程序注册为服务;欺骗查看进程的函数;替