1、系統安全漏洞與惡意代碼介紹課程內容2安全漏洞、惡意代碼與攻防知識體知識域安全漏洞惡意代碼的產生與發展惡意代碼的實現技術惡意代碼的防御技術惡意代碼安全漏洞的發現與修復安全漏洞的產生與發展知識子域知識域：安全漏洞知識子域：安全漏洞的產生與發展了解安全漏洞的含義了解安全漏洞產生的原因了解國內外常見安全漏洞分類了解安全漏洞的發展趨勢知識子域：安全漏洞的發現與修復了解安全漏洞的靜態與動態挖掘方法的基本原理了解補丁分類及修復時應注意的問題3漏洞的概念漏洞概念的提出漏洞（Vulnerability）又叫脆弱性，這一概念早在1947年馮諾依曼建立計算機系統結構理論時就有涉及，他認為計算機的發展和自然生命有相似

2、性，一個計算機系統也有天生的類似基因的缺陷，也可能在使用和發展過程中產生意想不到的問題。學者們對漏洞的定義從訪問控制角度定義（學者 Denning 做出的定義）從風險管理角度的定義（學者Longstaff的定義）使用狀態空間描述的方法給出的定義（ 學者Bishop的定義）4標準機構的定義1999年，ISO/IEC15408（GB/T18336）定義：漏洞是存在于評估對象（TOE）中的，在一定的環境條件下可能違反安全功能要求的弱點；2006年，美國NIST信息安全關鍵術語詞匯表定義：漏洞是指存在于信息系統、系統安全過程、內部控制或實現中的，可被威脅源攻擊或觸發的弱點；2006年，ISO/IEC

3、SC 27SD6：IT安全術語詞匯表定義：漏洞是一個或多個威脅可以利用的一個或一組資產的弱點；是違反某些環境中安全功能要求的TOE中的弱點；是在信息系統（包括其安全控制）或其環境的設計及實施中的缺陷、弱點或特性。 5漏洞的理解信息安全漏洞是信息技術、信息產品、信息系統在需求、設計、實現、配置、維護和使用等過程中，有意或無意產生的缺陷，這些缺陷一旦被惡意主體所利用，就會造成對信息產品或系統的安全損害，從而影響構建于信息產品或系統之上正常服務的運行，危害信息產品或系統及信息的安全屬性。錯誤、缺陷、弱點和故障并不等于漏洞。6漏洞產生的原因技術原因軟件系統復雜性提高，質量難于控制，安全性降低公用模塊的

4、使用引發了安全問題經濟原因“檸檬市場”效應環境原因從傳統的封閉、靜態和可控變為開放、動態和難控攻易守難安全缺陷安全性缺陷是信息系統或產品自身“與生俱來”的特征，是其的固有成分7漏洞的分類分類的目的從各個方面來描述漏洞，如從漏洞的成因、利用漏洞的技術、漏洞的作用范圍等；用一個分類屬性來表達漏洞的一個本質特征，而為漏洞的每個屬性賦值的過程，就是給漏洞在該維屬性上分類的過程；分類原則：可接受性、易于理解性、完備性、確定性、互斥性、可重復性、可用性；8NVD漏洞分類代碼注入（Code Injection）緩沖錯誤（Buffer Errors）跨站腳本（Cross-Site Scripting（XSS）

5、權限許可和訪問控制（Permissions，Privileges，and Access Control）配置（Configuration）路徑遍歷（Path Traversal）數字錯誤（Numeric Error）SQL注入（SQL Injection）輸入驗證（Input validation）授權問題（Authentication Issues跨站請求偽造（Cross-Site Request Forgery（CSRF）資源管理錯誤（Resource Management Errors）信任管理（Credentials Management）加密問題（Cryptographic Issu

6、es）信息泄露（Information Leak/Disclosure）競爭條件（Race Condition）后置鏈接（Link Following）格式化字符串（Format String Vulnerability）操作系統OS命令注入（OS Command Injections）設計錯誤（Design Error）資料不足（Insufficient Information）。中國的漏洞發布公布 cnnvdCve是世界著名的漏洞發布公布 平臺 。烏云 是中國最近較火的涔涔發布公布平臺 。9漏洞的危害漏洞是信息安全的核心漏洞無處不在攻擊者對漏洞的利用研究不斷進步漏洞的利用速度也越來越快10

7、為什么需要研究安全漏洞漏洞客觀存在現實緊迫性漏洞是一種戰略資源數量、種類、分布對網絡安全影響非常重要地下經濟的源點 11知識域：安全漏洞知識子域：安全漏洞的發現與修復了解安全漏洞的靜態與動態挖掘方法的基本原理了解補丁分類及修復時應注意的問題12漏洞的發現從人工發現階段發展到了依靠自動分析工具輔助的半自動化階段漏洞發現方法靜態漏洞檢測動態漏洞檢測13靜態漏洞檢測不運行代碼而直接對代碼進行漏洞挖掘的方法適用對象完整的或不完整的源代碼二進制代碼中間代碼片段方法原理流分析符號執行模型檢測14流分析控制流分析代碼中控制流走向的信息，獲得控制流圖(CFG)，即代碼的控制結構信息。控制流圖是對代碼執行時可能

8、經過的所有路徑的圖形化表示，通過對代碼中的分支、循環等關系的分析來獲得代碼的結構關系。數據流數據流分析是要得出程序中數據流動的信息，也就是程序中變量的相關信息，比如，可到達的變量定義，可用的表達式，別名信息，變量的使用及取值情況等15符號執行符號執行的目標是把程序轉化成一組約束，同時檢查程序模擬執行過程中的狀態是否出錯。這組約束中既包含程序中的路徑條件，也包含要求程序滿足的正確性條件或者程序員給出的斷言。符號執行的方法也是在程序的CFG上使用WorkList算法進行遍歷。16模型檢測模型檢測是給定被測系統的模型和目標屬性的描述之后，可自動地對被測系統的狀態空間進行窮盡搜索，以檢測目標屬性是否被

9、滿足。度量指標：可靠性被檢測為真的任何屬性，都確實為真，即無誤報；完備性所有確實為真的屬性，必然可被檢測出為真，即無漏報。17動態漏洞檢測在代碼運行的狀態下，通過監測代碼的運行狀態或根據測試用例結果來挖掘漏洞的方法特點與靜態分析方法相比，動態分析方法的最大優勢在于其分析結果的精確，即誤報率較低方法模糊測試滲透測試軟件監測18模糊測試在程序外部提供非預期輸入，并監控程序對輸入的反應，從而發現程序內部故障，廣泛應用于軟件安全測試發展階段：第一代主要用于健壯性和可靠性測試。第二代主要用于發現系統的漏洞。第三代智能模糊測試側重于更合理的測試數據集的構造。19動態污染傳播在程序運行時，標記某些信息，例如

10、變量、存儲單位、寄存器的值等，從而跟蹤攻擊路徑，獲取漏洞信息步驟標識污點源，如不可信文件、不可信網絡、各種輸入分析污染源的傳播根據觸發機制，對具有污染標識的數據、內存等進行檢查，從而發現可能的安全問題20滲透測試滲透測試的概念滲透測試是通過模擬攻擊方法，來評估對象（系統或產品）安全的一種方法。滲透測試的優勢測試是基于軟件運行的最后環境，因此，除了可以發現軟件本身的安全問題外，更重要的是還可以發現一些關于環境和配置的安全問題。21滲透測試的方法及步驟授權與鑒別安全分析非法操作分析管理架構安全分析規則有效性分析性能隱患分析核心安全功能強度分析隱通道分析22安全漏洞的修復安裝補丁是漏洞消減的技術手段

11、之一。數據顯示，及時安裝有效補丁可避免約95%的信息安全損失補丁修復中存在的兩難問題：打什么樣的補丁？補丁質量問題如何打補丁？操作方式問題什么時間打補丁？修復時機問題23補丁分類從文件類型以源代碼形式存在以二進制形式存在從內存角度文件補丁（冷補丁）內存補丁（熱補丁）24補丁安裝時應注意的問題補丁安裝部署之前需要經過必要的測試需要從可靠來源不斷獲取最新補丁信息安裝補丁時需要做好備份和相應的應急措施25安全漏洞的修復標準化的安全配置2002年，美國率先在軍隊推行標準化的安全配置與核查（IAVA）根據漏洞分析和風險評估的安全加固傳統的安全加固手段越來越難以應付日益復雜的攻擊行為，漏洞信息的及時披露和

12、分發越來越重要。 加固核查與問責通過安全審計核實漏洞消除情況和效果。 26知識域：惡意代碼知識子域：惡意代碼的產生與發展了解惡意代碼的發展歷史及趨勢了解惡意代碼的類型理解惡意代碼的傳播方式27什么是惡意代碼沒有有效作用、干擾或破壞計算機系統/網絡功能的程序或代碼（一組指令）指令類型二進制代碼腳本語言宏語言表現形式病毒、蠕蟲、后門程序、木馬、流氓軟件、邏輯炸彈等28惡意代碼的危害29網絡擁塞蠕蟲傳播或爆發占用大量網絡資源，導致網絡癱瘓系統控制形成危害嚴重的僵尸網絡，被作者用來發動任何攻擊信息泄露監視用戶操作，竊取個人隱私破壞系統及數據它已經成為網絡犯罪的主要工具，也是國家、組織之間網絡戰的主要武

13、器惡意代碼發展孕育和誕生1949：馮諾依曼在復雜自動機組織論提出概念1960：生命游戲（約翰康維 ） 磁芯大戰（貝爾實驗室三名程序員 ）1977年科幻小說P-1的青春使得惡意程序有了計算機病毒的名稱1983：真正的惡意代碼在實驗室產生30惡意代碼發展1986年第一個PC病毒：Brain virus1988年Morris Internet worm6000多臺1990年第一個多態病毒1991年virus construction set-病毒生產機1991年 DIR2病毒1994年Good Times(joys)1995年首次發現macro virus31羅伯特.莫里斯惡意代碼發展1996年ne

14、tcat的UNIX版發布（nc）1998年第一個Java virus(StrangeBrew)1998年netcat的Windows版發布（nc）1998年back orifice(BO)/CIH1999年melissa/worm(macrovirus by email)1999年back orifice(BO) for WIN2k1999年DOS/DDOS-Denial of Service TFT/ trin001999年knark內核級rootkit(linux)32惡意代碼發展2000年love Bug(VBScript)2001年Code Red worm(overflow for

15、IIS)2001年Nimda-worm(IIS/ web browser/outlook/file share etc.)2002年SQL slammer(sqlserver)2003年MSBlaster/ Nachi2003年中文上網2004年MyDoom/ Sasser2006年熊貓燒香33惡意代碼發展2010年Stuxnet(工業蠕蟲)2012年火焰病毒34各種蠕蟲、木馬悄悄的潛伏在計算機中，竊取信息惡意代碼的發展趨勢從傳播速度上來看，惡意代碼爆發和傳播速度越來越快從攻擊意圖來看，惡意代碼的開發者越來越專業化，其意圖也從游戲、炫耀專向為惡意牟利從功能上來看，惡意代碼的分工越來越細從實現技

16、術來看，惡意代碼實現的關鍵技術不斷變化從傳播范圍來看，惡意代碼呈現多平臺傳播的特征35惡意代碼分類36照惡意代碼運行平臺按照惡意代碼傳播方式按照惡意代碼的工作機制按照惡意代碼危害分類蠕蟲病毒后門木馬有害工具流氓軟件風險程序其他惡意代碼分類37不傳染的依附型惡意代碼流氓軟件、邏輯炸彈、惡意腳本不傳染的獨立型惡意代碼木馬、rootkit、風險程序傳染的依附型惡意代碼傳統的病毒（CIH等）傳染的獨立型惡意代碼蠕蟲病毒可以不依附于所謂的數組而獨立存在。蠕蟲一定經過網絡傳播。傳染的獨立型惡意代碼是信息系統目前最大的威脅！惡意代碼的傳播方式38移動存儲文件傳播軟件捆綁網絡傳播網頁電子郵件即時通訊共享主動放

17、置AutoRunOPEN=Autorun.exeICON=icon.ico惡意代碼傳播方式-移動存儲39自動播放功能Windows默認自動執行autorun.inf指定的文件設置組策略編輯器惡意代碼傳播方式-軟件捆綁強制安裝在安裝其他軟件時被強制安裝上默認安裝在安裝其他軟件是被默認安裝上40惡意代碼傳播方式-網頁41將木馬偽裝為頁面元素利用腳本運行的漏洞偽裝為缺失的組件通過腳本運行調用某些com組件在渲染頁面內容的過程中利用格式溢出釋放或下載木馬惡意代碼傳播方式-郵件42社會工程學欺騙性標題吸引人的標題I love you病毒庫娃等利用系統及郵件客戶端漏洞尼姆達（畸形郵件MIME頭漏洞）惡意代

18、碼傳播方式-通訊與數據傳播即時通訊偽裝即時通訊中的用戶向其聯系人發送消息。使用欺騙性或誘惑性的字眼P2P下載偽造有效資源進行傳播43惡意代碼傳播方式-共享共享44管理共享C盤、D盤Windows安裝目錄用戶共享用戶設置的共享典型病毒LovegateSpybotSdbot惡意代碼傳播方式-主動放置獲得上傳文件權限，上傳木馬程序Web方式計劃任務注冊表攻擊者被攻擊者45惡意代碼傳播方式-漏洞利用各種系統漏洞緩沖區溢出：沖擊波、振蕩波利用服務漏洞IIS的unicode解碼漏洞：紅色代碼46知識域：惡意代碼知識子域：惡意代碼的實現技術理解惡意代碼修改配置文件、修改注冊表、設置系統服務等加載方式理解惡意

19、代碼進程、網絡及系統隱藏技術理解惡意代碼進程保護和檢測對抗自我保護技術47惡意代碼加載方式隨系統啟動而加載開始菜單中的啟動項啟動配置文件注冊表啟動項系統服務組策略隨文件執行加載感染/文件捆綁瀏覽器插件修改文件關聯其他48隨系統啟動加載方式-啟動配置開始菜單啟動項啟動配置文件Autorun.batWin.iniSystem.ini已經很少有病毒采用過于明顯用戶登錄后才能啟動49隨系統啟動加載方式-注冊表注冊表啟動項：HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsloadHKEY_LOCAL_MACHINESoft

20、wareMicrosoftWindows NTCurrentVersionWinlogonUserinitHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce50優勢隱蔽性強方式多樣加載位置Load鍵值Userinit鍵值RunRunServicesOnceRunServicesRunOnce隨系統啟動加載方式-服務51優勢隱蔽性強無需用戶登錄權限較高加載方式

21、單獨服務替換系統服務程序隨系統啟動加載方式-組策略優勢類似啟動項，但隱蔽性更高不足需要用戶登錄52隨文件執行加載方式-感染/文件合并傳統病毒宏病毒程序合并53隨文件執行加載方式-瀏覽器插件優勢隱蔽性強清理困難54隨文件執行加載方式-修改文件關聯55原理正常情況下文本文件（.txt）關聯到記事本notepad.exe打開病毒修改文本文件（.txt）關聯到病毒文件打開優勢隱蔽性強，可關聯任意類型文件，甚至可以關聯目錄操作惡意代碼隱藏技術進程隱藏進程迷惑DLL注入網絡隱藏端口復用無端口反向端口系統隱藏隱藏、系統文件流文件隱藏Hook技術56惡意代碼進程隱藏技術-進程迷惑隨機進程名每次啟動生成不一樣的

22、進程名，退出后無法查找系統進程類命名Windows.exeSystem1.exeKernel.exe相似進程名同名不同路徑的進程 c:windowssystem32iexplore.exe(trojan) c:Program FilesInternet Exploreriexplore.exe(right)名稱相近的程序 svchost.exe(right) svch0st.exe(trojan)57惡意代碼進程隱藏技術-DLL注入動態鏈接庫文件 （DLL）概念什么是DLL注入DLL注入技術是惡意代碼將DLL文件放進某個進程的地址空間里，讓它成為那個進程的一部分DLL注入的優勢無進程隱蔽性強清

23、除難度大58惡意代碼網絡隱藏技術-端口復用/無端口端口復用技術重復利用系統網絡打開的端口（如25、80、135和139等常用端口）傳送數據，這樣既可以欺騙防火墻，又可以少開新端口端口復用是在保證端口默認服務正常工作的條件下用，具有很強的欺騙性無端口使用無端口的協議59icmphttp服務器客戶機80應用服務惡意代碼網絡隱藏技術-反彈端口端口反向連接技術，系指惡意代碼攻擊的服務端（被控制端）主動連接客戶端（控制端）。60連接請求80連接請求攻擊者受害者受害者攻擊者惡意代碼隱藏技術-系統隱藏默認情況下，windows不顯示隱藏文件和系統文件，惡意代碼將自身屬性設置為隱藏和系統文件以實現隱藏61惡意

24、代碼系統隱藏技術-流文件62ADS(Alternate Data Streams)交換數據流NTFS 文件系統下，每個文件都可以有多個數據流一個文件以流的形式附加到另一個文件（載體）中，流文件對explorer.exe等文件管理軟件不可見，病毒可以利用此方式進行隱藏62惡意代碼系統隱藏技術-hook技術Hook（系統鉤子）鉤子機制允許應用程序截獲處理window消息或特定事件。在目標窗口處理消息前處理它63設置系統鉤子，勾取對文件及目錄操作獲得文件列表存放內存地址獲取文件列表結果將病毒文件自身從列表結構中刪除惡意代碼自我保護進程保護進程守護超級權限檢測對抗反動態調試反靜態調試64惡意代碼進程保

25、護-進程守護主程序被停止，重新啟動主程序重新啟動主進程65惡意代碼主程序實現惡意代碼主功能守護程序監視并保護主進程正常運行阻止主程序的退出重啟主程序從備份中還原主程序從網絡中重新下載主程序從備份中還原惡意代碼進程保護-超級權限什么是超級權限技術惡意代碼通過將自身注冊成為設備驅動，從而獲得較高權限，阻止反病毒軟件對它的查殺并干擾反惡意代碼軟件的正常運行超級權限技術特點非常高的權限安全模式下可工作無法直接查殺66惡意代碼檢測對抗技術-反跟蹤為什么需要反跟蹤反跟蹤技術可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。常用的反跟蹤技術有兩類反動態跟蹤技術反靜態分析技術。 67惡意代碼反

26、調試技術-反動態調試通過禁止跟蹤中斷、封鎖鍵盤輸入和屏幕顯示等方法，防止調試工具分析惡意代碼主要包括：禁止跟蹤中斷封鎖鍵盤輸入和屏幕顯示檢查運行環境，破壞調試工具運行68惡意代碼反調試技術-反靜態調試通過加殼、加密、變形以及代碼混淆等技術，加大惡意代碼自身的復雜性，增加調試分析的難度主要方法加殼：對惡意代碼的可執行二進制程序進行壓縮，使其執行流程發生變化加密：隨著加密密鑰的變化，惡意代碼會產生不同的表現形式，進一步提高了其抗靜態分析的能力代碼混淆：通過插入偽指令、混淆程序數據和控制流等方法，防止靜態分析和檢測69知識域：惡意代碼知識子域：惡意代碼的防御技術理解惡意代碼預防方法：減少漏洞、減輕威

27、脅等理解惡意代碼特征碼掃描、行為檢測等檢測方法理解惡意代碼靜態與動態分析方法理解不同類型惡意代碼的清除方法70惡意代碼的預防技術增強安全策略與意識減少漏洞補丁管理主機加固減輕威脅防病毒軟件間諜軟件檢測和刪除工具入侵檢測/入侵防御系統防火墻路由器、應用安全設置等71惡意代碼檢測技術特征碼掃描校驗和行為監測72特征碼掃描工作機制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優勢準確(誤報率低)易于管理不足效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要更新特征庫）73應用最廣泛的惡意代碼檢測技術惡意代碼檢測技術-沙箱技術74工作機制將惡意代碼放入虛擬機中執行，其執行的所有操作都被虛擬化重定向，不改變實際操作系統優勢優點能較好的解決變形代碼的檢測惡意代碼檢測技術-行為檢測工作機制：基于統計數據惡意代碼行為有哪些行為符合度優勢能檢測到未知病毒不足誤報率高難點：病毒不可判定原則75惡意代碼分析技術靜態分析需