第11講惡意代碼及防護技術楊明紫金學院計算機系網絡信息安全2/5/2023內容惡意代碼的概念計算機病毒反病毒技術網絡攻擊技術演變趨勢圖惡意代碼的概念定義指以危害信息安全等不良意圖為目的程序或代碼潛伏在受害計算機系統中實施破壞或竊取信息分類依附性傳播方式自我復制惡意代碼的主要功能收集你的相關信息誘騙訪問惡意網站刪除敏感信息監視鍵盤竊取文件開啟后門（肉雞）作為網絡傳播的起點隱藏在主機上的所有活動

常見的惡意代碼種類惡意代碼類型主要特點計算機病毒潛伏傳染破壞蠕蟲掃描攻擊擴散特洛伊木馬欺騙隱藏信息竊取邏輯炸彈潛伏破壞惡意代碼的概念2/5/2023惡意代碼的危害攻擊系統，造成系統癱瘓或操作異常；危害數據文件的安全存儲和使用；泄露文件、配置或隱私信息；肆意占用資源，影響系統或網絡的性能；攻擊應用程序，如影響郵件的收發。惡意代碼的發展歷史惡意代碼的發展歷史2/5/2023計算機病毒定義計算機病毒能夠尋找宿主對象，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。產生的根源炫耀、玩笑、惡作劇或是報復各種矛盾激化、經濟利益驅使計算機系統的復雜性和脆弱性網絡戰“震網”病毒計算機病毒的特征主要特征宿主性：依附在另一個程序上隱蔽性：長期隱藏，條件觸發傳染性：自我復制，感染其他程序破壞性：執行惡意的破壞或惡作劇、消耗資源變異性：逃避反病毒程序的檢查計算機病毒的發展簡史1998CIH病毒1998年盜版光盤破壞硬盤數據2000愛蟲病毒2000年電子郵件傳播自身并破壞數據文件2002SQL蠕蟲王2003年利用SQLserver2000遠程堆棧緩沖區溢出漏洞通過網絡傳播公用互聯網絡癱瘓20042004年利用windows的LSASS中存在一個緩沖區溢出漏洞進行傳播傳播自身，癱瘓網絡，破壞計算機系統震蕩波20062006年利用所有成熟的網頁掛馬、U盤ARP欺騙、網絡共享傳播自身，破壞用戶數據，組建僵尸網絡熊貓燒香20082008年利用flash漏洞等第三方應用程序漏洞掛馬傳播傳播自身，攻擊安全軟件，組建僵尸網絡，盜取賬號牟利木馬群宏病毒特點利用word中的“宏”繁殖傳染宏是嵌入到字處理文檔中的一段可執行程序宏病毒感染文檔，而不是可執行代碼宏病毒是平臺無關的宏病毒容易傳染電子郵件不同類型的宏自動執行：normal.dot，啟動自動宏：打開/關閉文檔、創建、退出宏命令宏病毒有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒宏病毒的基本機制2/5/2023病毒的傳播途徑計算機病毒的工作原理計算機病毒的結構引導模塊設法獲得被執行的機會，獲取系統的控制權以引導其他模塊進行工作。傳染模塊完成計算機病毒的繁殖和傳播觸發模塊是毒破壞行動是否執行的決定者破壞模塊具體負責破壞活動的執行病毒的基本工作機制被感染程序執行計算機病毒的引導機制基本方法主動型（也稱為隱蔽型或技術型）被動型（也稱為公開型或欺騙型）計算機病毒的引導過程駐留內存：病毒若要發揮其破壞作用，一般要駐留內存。有的病毒不駐留內存。竊取系統控制權：病毒駐留內存后，必須取代或擴充系統的原有功能，并竊取系統的控制權。隱蔽等待觸發：此后病毒隱蔽自己，等待時機，在條件成熟時，再進行傳染和破壞。計算機病毒的寄生對象計算機病毒的寄生對象磁盤的引導扇區和特定文件（EXE、COM等可執行程序DLL、DOC、HTML等經常使用的文件中常用的寄生方式替代法病毒程序用自己的部分或全部代碼指令直接替換掉磁盤引導扇區或者文件中的原有內容。鏈接法病毒程序將自身插入到原有內容的首部、尾部或者中間，和原有內容鏈接為一個整體。病毒的活動過程潛伏階段病毒是空閑的觸發階段病毒被某個事件激活包括日期、某個程序運行、中斷調用、啟動次數等繁殖階段復制病毒、傳染其他程序執行階段執行某種有害或無害的功能盜竊、破壞數據信息、破壞硬件設備、耗費系統資源、產生視覺/聽覺效果等計算機病毒的過去與現在自我復制和傳播，破壞電腦功能和數據，甚至破壞硬件，影響電腦正常使用病毒技術本身沒有突破，和以前的病毒沒有本質區別技術目的從炫技、惡作劇、仇視破壞到貪婪依托互聯網，集團化運作，以經濟利益作為唯一目標通過磁盤、光盤、電子郵件、網絡共享等方式傳播危害的表象：一個電腦病毒感染數千萬臺電腦，橫行全球，破壞用戶系統(CIH、梅麗莎、沖擊波、尼姆達等等)生產、傳播、破壞的流程完全互聯網化，組成分工明確、日趨成熟的病毒產業鏈；各種基礎互聯網應用都成為病毒入侵通道，其中“網頁掛馬”最常見，占總量90%以上。傳播途徑計算機病毒的防護病毒的預防病毒的檢測病毒的清除病毒的防范病毒的防范預防為主、治療為輔防范措施安裝真正有效的防殺計算機病毒軟件不要隨便直接運行或直接打開電子函件中夾帶的附件文件安裝網絡服務器時應保證沒有計算機病毒存在一定要用硬盤啟動網絡服務器病毒的防范注意病毒傳入途徑終端漏洞導致病毒傳播郵件接收導致病毒傳播外部帶有病毒的介質直接接入網絡導致病毒傳播內部用戶繞過邊界防護措施，直接接入因特網導致病毒被引入網頁中的惡意代碼傳入反病毒技術特征掃描的方法根據提取的病毒特征，查找計算機中是否有文件存在相同的感染特征。內存掃描程序盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內存中隱藏自己。內存掃描程序可以直接搜索內存，查找病毒代碼。完整性檢查器

記錄計算機在未感染狀態可執行文件和引導記錄的信息指紋，將這一信息存放在硬盤的數據庫中，并根據需要進行匹配測試，判斷文件是否被病毒感染。反病毒技術行為監視器

行為監視器又叫行為監視程序，它是內存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續。CPU仿真器或虛擬機一個可執行文件中的指令先由仿真器來解釋，而不是直接由底層的處理器解釋。使用虛擬機技術，是目前較為前沿的一種反病毒技術。以程序在執行過程是否具有感染行為作為依據來判斷該程序是否是病毒，查毒準確率幾乎可達100％。防病毒軟件防病毒軟件瑞星、360安全衛士、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、金山防病毒網關保護網絡入口的防病毒網關保護郵件器的防病毒網關反病毒產品發展180s末－90s初，病毒數量激增，硬件防病毒卡出現290s中殺防集成化