恶意代码分析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用程序层上的第一道防护是减小计 算机的攻击面。应在计算机上删除或禁用 所有不需要的应用程序或服务,最大限度 地减少攻击者可以利用系统的方法数。
恶意代码分析
2、应用安全更新 可能连接到组织网络的客户端计算机
数量很大,而且种类很多,仅这一点就可 以导致很难提供快速而可靠的安全更新管 理服务。Microsoft 和其他软件公司已经开 发了许多可用来帮助解决此问题的工具。
恶意代码分析
§3 深层恶意代码防护
许多组织在安装了防病毒软件后 仍然感染了病毒。与网络安全设计一 样,设计防病毒解决方案时采用深层 防护方法,了解防护模型的每个层以 及对应于每个层的特定威胁,以便在 实施自己的防病毒措施时使用此信息, 确保在设计时采用的安全措施将得到 可能的维护。
恶可以通过许多方法来损害目标,
恶意代码分析
3、启用基于主机的防火墙
基于主机的防火墙或个人防火墙是应 该启用的重要客户端防护层。Windows XP 包括名为“Internet 连接防火墙”(ICF) 的简 单个人防火墙。ICF 在被启用后将监视通 过它的通信的所有方面。ICF 还检查它处 理的每个数据包的源地址和目标地址,以 确保每个通信都是允许的通信。强烈建议 启用ICF。 恶意代码分析
恶意代码分析
3、检查常用的隐藏区域
某些恶意软件攻击已经使用了有效的 系统文件名,但将该文件置于其他文件夹 中,以免被 Windows 文件保护服务检测到。 例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到,因此必须检查完整路径和文件名。
4、安装防病毒软件 许多公司推出防病毒应用程序,其中
的大多数在提供此保护方面都是很有效的, 但是它们都要求经常更新以应对新的恶意 软件。
恶意代码分析
5、测试漏洞扫描程序 在配置系统之后,应该定期检查它
以确保没有留下安全漏洞。许多扫描软件 来查找恶意软件和黑客可能试图利用的漏 洞,其中的多数工具更新自己的扫描例程 以保护系统免受最新漏洞的攻击。
恶意代码分析
2、桌面应用程序 随着桌面办公应用程序的日益强大,
它们也成为恶意软件的攻击目标。宏病毒 使用字处理器、电子表格或其他支持宏的 应用程序创建的文件复制自身。应该尽可 能采取措施,以确保在环境中处理这些文 件的所有应用程序上启用最合适的安全设 置。
恶意代码分析
6、使用最少特权策略 在客户端防护中不应忽视的是在正常
操作下分配给用户的特权。Microsoft 建议 采用这样的策略:提供最少可能的特权, 以便使得受到因利用用户特权的恶意软件 的影响减到最小。对于通常具有本地管理 特权的用户,这样的策略尤其重要。
恶意代码分析
7、限制未授权的应用程序 如果应用程序为网络提供一种服务,
恶意代码分析
恶意代码分析
(1)数据层
攻击者有可能利用它们获得对配 置数据、组织数据或组织所用设备独 有的任何数据的访问。
(2)应用程序层
攻击者有可能利用它们访问运行 的应用程序。恶意软件编写者可以在 操作系统之外打包的任何可执行代码 都可能用来攻击系统。
恶意代码分析
(3)主机层 该层上的风险源自利用主机或服务中漏
恶意代码分析
七、检查共享文件夹 恶意软件的另一个常见症状是使用共享文件夹传
播感染。使用计算机管理 MMC 管理单元,或通过命 令行使用 NetShare 命令检查受感染系统上的共享文 件夹的状态。 八、 检查打开的网络端口
许多恶意软件一个常使用的技术是打开主机上的 网络端口,使用这些端口获取该主机的访问。
(6)物理安全层
物理层上的风险源自可以物理访 问物理资产的攻击者。
恶意代码分析
(7)策略、过程和意识层 围绕安全模型所有层的是为满足和
支持每个级别的要求所制定的策略和过程。 提高组织中对所有相关方的安全意识很重 要,许多情况下,忽视风险可以导致安全 违反。因此,培训也应该是任何安全模型 的不可缺少的部分。
特征,来尝试检测新形式和已知形式 的恶意软件。此技术的主要优点是, 它并不依赖于签名文件来识别和应对 恶意软件。
恶意代码分析
启发式扫描的问题: (1)错误警报。 (2)慢速扫描。 (3)新特征可能被遗漏。 3、行为阻止
着重于恶意软件攻击的行为,而 不是代码本身。
恶意代码分析
§2 恶意软件分析
对恶意软件进行分析,了解其工作方式可以 确保系统已被清理干净并减少再次感染和攻击的 可能性。 一、 检查活动进程和服务 二、 检查启动文件夹
恶意代码分析
• •
细 安根 化 全据 的 模实 深 型际 层 细需 病 化要 毒 。, 防可 护将 视深 图层 :防
护
恶意代码分析
• 可以将数据层、应用程序层和主机层防护策略组 合,作为客户端和服务器防护策略。虽然这些防 护共享许多公共策略,但是实施客户端和服务器 防护方面还是有一定的差异的。因此,应将客户 端和服务器防护策略分开考虑和实施。
恶意代码分析
五、 检查恶意软件和损坏的文件
1、对比
大多数恶意软件将修改计算机硬盘上的一 个或多个文件,而查找已受到影响的文件可能 是一个很困难的过程。如果通过映像创建了系 统,则可以将受到感染的系统直接与通过该映 像创建的全新系统进行比较。
2、搜索
可以使用 Windows 搜索工具,对自从恶 意软件首次引入系统时更改的所有文件进行系 统范围的搜索,以确定哪些文件已被更改。
服务器级别上的病毒防护,则可以进行一些配 置以便为电子邮件客户端提供额外保护。
通常,用户打开电子邮件的附件是恶意软 件在客户端上传播是主要方式之一。因此,可 电子邮件客户端必须配置额外的步骤,用户将 必须执行这些步骤才能打开附件。
恶意代码分析
例如,在 Microsoft Outlook 和 Outlook Express 中可以: ①使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。 ②启用一项设置以便用户只能以纯文本格式 查看电子邮件。 ③阻止程序在未经特定用户确认的情况下发 送电子邮件。 ④阻止不安全的电子邮件附件。
如 Microsoft Instant Messenger 或 Web 服 务,则在理论上它可能成为恶意软件攻击 的目标。
恶意代码分析
四、 客户端应用程序的防护 这里提供恶意软件可能作为攻击
目标的特定客户端应用程序的配置准 则。
恶意代码分析
1、电子邮件客户端 如果恶意软件设法通过了网络和电子邮件
恶意代码分析
二 、恶意软件的特征
– 1、目标环境 (1)设备。 (2)操作系统。 (3)应用程序。
– 2、携带者对象 (1)可执行文件。 (2)脚本。 (3)宏。 (4)启动扇区。恶意代码分析
– 3、传输机制 (1)可移动媒体。 (2)网络共享。 (3)网络扫描。 (4)对等 (P2P) 网络。 (5)电子邮件。 (6)远程利用。
下面是最容易受到恶意软件攻击的区域: • 外部网络 • 来宾客户端 • 可执行文件 • 文档 • 电子邮件 • 可移动媒体
恶意代码分析
二、深层防护安全模型 在发现并记录了组织所面临的风险后,
下一步就是检查和组织将用来提供防病毒 解决方案的防护措施。深层防护安全模型 是此过程的极好起点。此模型识别出七级 安全防护,它们旨在确保损害组织安全的 尝试将遇到一组强大的防护措施。每组防 护措施都能够阻挡多种不同级别的攻击。 图所示为深层防护安全模型定义的各层。
恶意代码分析
– 4、负载
一旦恶意软件通过传输到达了宿主计 算机,它通常会执行一个称为“负载”的操作, 负载可以采用许多形式。常见负载类型包 括: (1)后门。 (2)数据损坏或删除。 (3)信息窃取。 (4)拒绝服务 (DoS)
恶意代码分析
– 5、触发机制
触发机制是恶意软件的一个特征, 恶意软件使用此机制启动复制或负载传递。 典型的触发机制包括以下内容: (1)手动执行。 (2)社会工程。 (3)半自动执行。 (4)自动执行。 (5)定时炸弹。 (6)条件。
Netstat -an 九、 使用网络协议分析器
网络协议分析器工具可用于创建受感染主机传入 和传出的数据的网络流量日志。
恶意代码分析
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别 各种异常行为。使用事件查看器管理控制 台将每种类型的事件日志文件(应用程序、 安全和系统)保存到可移动媒体,以便进 一步分析。默认情况下,这些文件存储在 C:\Winnt\System32\Config\ 目录中,并分 别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而,当系统处于活动状 态时,这些文件将被锁定,因此应使用事 件查看器管理工具导出。
• 内部网络层和外围层也可以组合到一个公共网络 防护策略中,因为这两个层所涉及的技术是相同 的。每个层中的实施细节将是不同的,具体取决 于组织基础结构中的设备位置和技术。
恶意代码分析
三、客户端防护 假定恶意软件已经通过前面的所有防
护层,当其到达主机时,防护系统必须集 中于保护主机系统及其数据,并停止感染 的传播。 1、减小攻击面
恶意代码分析
– 6、防护机制
许多恶意软件示例使用某种类型的 防护机制,来降低被发现和删除的可能性。 以下列表提供了一些已被使用的技术的示 例: (1)装甲。 (2)窃取 (3)加密。 (4)寡态。 (5)多态。 恶意代码分析
三、防病毒软件原理 防病毒软件专门用于防护系统,
使其免受来自任何形式的恶意软件 (而不仅仅是病毒)的侵害。防病毒 软件可以使用许多技术来检测恶意软 件。其技术工作原理包括:
恶意代码分析
1、签名扫描 搜索目标来查找表示恶意软件的模式。
这些模式通常存储在被称为“签名文件”的文 件中,签名文件由软件供应商定期更新, 以确保防病毒扫描器能够尽可能多地识别 已知的恶意软件攻击。
主要问题:防病毒软件必须已更新为 应对恶意软件。
恶意代码分析
2、启发式扫描 此技术通过查找通用的恶意软件
恶意代码分析
恶意软件攻击用于放置和修改文 件的某些常见目标区域包括:
%Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。
恶意代码分析
六、检查用户和组
某些恶意软件攻击将尝试评估系统上 现有用户的特权,或在拥有管理员特权的 组中添加新新帐户。检查以下异常设置: • 旧用户帐户和组。 • 不适合的用户名。 • 包含无效用户成员身份的组。 • 无效的用户权限。 • 最近提升的任何用户或组帐户的特权。 • 确认所有管理器组成员均有效。
恶意软件可以尝试通过修改系统的启动文件 夹来自行启动。检查每个启动文件夹中的条目, 以确保在系统启动过程中没有恶意软件尝试启动。
恶意代码分析
三、检查计划的应用程序 恶意软件还可能(但很少见)尝试使用
Windows 计划程序服务启动未授权的应用 程序。 四、分析本地注册表
备份和恢复注册表。成功备份注册表后, 在以下区域中检查任何异常的文件引用。 (参见书上示例)
恶意代码分析与深层防护安全模型
虽然许多组织已经开发了防病毒软件, 但恶意软件(病毒、蠕虫和特洛伊木马)仍 在继续感染着世界各地的计算机系统。这表 明,在每台计算机上部署防病毒软件的标准 方法可能不足以应对恶意软件。
恶意代码分析
§1 恶意软件
一、 什么是恶意软件
“恶意软件” 指故意在计算机系统上执行 恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 (1)远程访问特洛伊 (2)Rootkit 2、蠕虫 3、病毒
洞的攻击者。攻击者以各种方式利用这些漏 洞向系统发动攻击。例如:缓冲区溢出。 Service Pack 和修复程序通常是针对此层。 (4)内部网络层
内部网络所面临的风险主要与通过网络 传输的敏感数据有关。
恶意代码分析
(5)外围网络层
与外围网络层(也称为 DMZ)关 联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。 模型此层上的主要风险集中于网络可 以使用的传输控制协议 (TCP) 和用户 数据报协议 (UDP) 端口。
恶意代码分析
2、应用安全更新 可能连接到组织网络的客户端计算机
数量很大,而且种类很多,仅这一点就可 以导致很难提供快速而可靠的安全更新管 理服务。Microsoft 和其他软件公司已经开 发了许多可用来帮助解决此问题的工具。
恶意代码分析
§3 深层恶意代码防护
许多组织在安装了防病毒软件后 仍然感染了病毒。与网络安全设计一 样,设计防病毒解决方案时采用深层 防护方法,了解防护模型的每个层以 及对应于每个层的特定威胁,以便在 实施自己的防病毒措施时使用此信息, 确保在设计时采用的安全措施将得到 可能的维护。
恶可以通过许多方法来损害目标,
恶意代码分析
3、启用基于主机的防火墙
基于主机的防火墙或个人防火墙是应 该启用的重要客户端防护层。Windows XP 包括名为“Internet 连接防火墙”(ICF) 的简 单个人防火墙。ICF 在被启用后将监视通 过它的通信的所有方面。ICF 还检查它处 理的每个数据包的源地址和目标地址,以 确保每个通信都是允许的通信。强烈建议 启用ICF。 恶意代码分析
恶意代码分析
3、检查常用的隐藏区域
某些恶意软件攻击已经使用了有效的 系统文件名,但将该文件置于其他文件夹 中,以免被 Windows 文件保护服务检测到。 例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到,因此必须检查完整路径和文件名。
4、安装防病毒软件 许多公司推出防病毒应用程序,其中
的大多数在提供此保护方面都是很有效的, 但是它们都要求经常更新以应对新的恶意 软件。
恶意代码分析
5、测试漏洞扫描程序 在配置系统之后,应该定期检查它
以确保没有留下安全漏洞。许多扫描软件 来查找恶意软件和黑客可能试图利用的漏 洞,其中的多数工具更新自己的扫描例程 以保护系统免受最新漏洞的攻击。
恶意代码分析
2、桌面应用程序 随着桌面办公应用程序的日益强大,
它们也成为恶意软件的攻击目标。宏病毒 使用字处理器、电子表格或其他支持宏的 应用程序创建的文件复制自身。应该尽可 能采取措施,以确保在环境中处理这些文 件的所有应用程序上启用最合适的安全设 置。
恶意代码分析
6、使用最少特权策略 在客户端防护中不应忽视的是在正常
操作下分配给用户的特权。Microsoft 建议 采用这样的策略:提供最少可能的特权, 以便使得受到因利用用户特权的恶意软件 的影响减到最小。对于通常具有本地管理 特权的用户,这样的策略尤其重要。
恶意代码分析
7、限制未授权的应用程序 如果应用程序为网络提供一种服务,
恶意代码分析
恶意代码分析
(1)数据层
攻击者有可能利用它们获得对配 置数据、组织数据或组织所用设备独 有的任何数据的访问。
(2)应用程序层
攻击者有可能利用它们访问运行 的应用程序。恶意软件编写者可以在 操作系统之外打包的任何可执行代码 都可能用来攻击系统。
恶意代码分析
(3)主机层 该层上的风险源自利用主机或服务中漏
恶意代码分析
七、检查共享文件夹 恶意软件的另一个常见症状是使用共享文件夹传
播感染。使用计算机管理 MMC 管理单元,或通过命 令行使用 NetShare 命令检查受感染系统上的共享文 件夹的状态。 八、 检查打开的网络端口
许多恶意软件一个常使用的技术是打开主机上的 网络端口,使用这些端口获取该主机的访问。
(6)物理安全层
物理层上的风险源自可以物理访 问物理资产的攻击者。
恶意代码分析
(7)策略、过程和意识层 围绕安全模型所有层的是为满足和
支持每个级别的要求所制定的策略和过程。 提高组织中对所有相关方的安全意识很重 要,许多情况下,忽视风险可以导致安全 违反。因此,培训也应该是任何安全模型 的不可缺少的部分。
特征,来尝试检测新形式和已知形式 的恶意软件。此技术的主要优点是, 它并不依赖于签名文件来识别和应对 恶意软件。
恶意代码分析
启发式扫描的问题: (1)错误警报。 (2)慢速扫描。 (3)新特征可能被遗漏。 3、行为阻止
着重于恶意软件攻击的行为,而 不是代码本身。
恶意代码分析
§2 恶意软件分析
对恶意软件进行分析,了解其工作方式可以 确保系统已被清理干净并减少再次感染和攻击的 可能性。 一、 检查活动进程和服务 二、 检查启动文件夹
恶意代码分析
• •
细 安根 化 全据 的 模实 深 型际 层 细需 病 化要 毒 。, 防可 护将 视深 图层 :防
护
恶意代码分析
• 可以将数据层、应用程序层和主机层防护策略组 合,作为客户端和服务器防护策略。虽然这些防 护共享许多公共策略,但是实施客户端和服务器 防护方面还是有一定的差异的。因此,应将客户 端和服务器防护策略分开考虑和实施。
恶意代码分析
五、 检查恶意软件和损坏的文件
1、对比
大多数恶意软件将修改计算机硬盘上的一 个或多个文件,而查找已受到影响的文件可能 是一个很困难的过程。如果通过映像创建了系 统,则可以将受到感染的系统直接与通过该映 像创建的全新系统进行比较。
2、搜索
可以使用 Windows 搜索工具,对自从恶 意软件首次引入系统时更改的所有文件进行系 统范围的搜索,以确定哪些文件已被更改。
服务器级别上的病毒防护,则可以进行一些配 置以便为电子邮件客户端提供额外保护。
通常,用户打开电子邮件的附件是恶意软 件在客户端上传播是主要方式之一。因此,可 电子邮件客户端必须配置额外的步骤,用户将 必须执行这些步骤才能打开附件。
恶意代码分析
例如,在 Microsoft Outlook 和 Outlook Express 中可以: ①使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。 ②启用一项设置以便用户只能以纯文本格式 查看电子邮件。 ③阻止程序在未经特定用户确认的情况下发 送电子邮件。 ④阻止不安全的电子邮件附件。
如 Microsoft Instant Messenger 或 Web 服 务,则在理论上它可能成为恶意软件攻击 的目标。
恶意代码分析
四、 客户端应用程序的防护 这里提供恶意软件可能作为攻击
目标的特定客户端应用程序的配置准 则。
恶意代码分析
1、电子邮件客户端 如果恶意软件设法通过了网络和电子邮件
恶意代码分析
二 、恶意软件的特征
– 1、目标环境 (1)设备。 (2)操作系统。 (3)应用程序。
– 2、携带者对象 (1)可执行文件。 (2)脚本。 (3)宏。 (4)启动扇区。恶意代码分析
– 3、传输机制 (1)可移动媒体。 (2)网络共享。 (3)网络扫描。 (4)对等 (P2P) 网络。 (5)电子邮件。 (6)远程利用。
下面是最容易受到恶意软件攻击的区域: • 外部网络 • 来宾客户端 • 可执行文件 • 文档 • 电子邮件 • 可移动媒体
恶意代码分析
二、深层防护安全模型 在发现并记录了组织所面临的风险后,
下一步就是检查和组织将用来提供防病毒 解决方案的防护措施。深层防护安全模型 是此过程的极好起点。此模型识别出七级 安全防护,它们旨在确保损害组织安全的 尝试将遇到一组强大的防护措施。每组防 护措施都能够阻挡多种不同级别的攻击。 图所示为深层防护安全模型定义的各层。
恶意代码分析
– 4、负载
一旦恶意软件通过传输到达了宿主计 算机,它通常会执行一个称为“负载”的操作, 负载可以采用许多形式。常见负载类型包 括: (1)后门。 (2)数据损坏或删除。 (3)信息窃取。 (4)拒绝服务 (DoS)
恶意代码分析
– 5、触发机制
触发机制是恶意软件的一个特征, 恶意软件使用此机制启动复制或负载传递。 典型的触发机制包括以下内容: (1)手动执行。 (2)社会工程。 (3)半自动执行。 (4)自动执行。 (5)定时炸弹。 (6)条件。
Netstat -an 九、 使用网络协议分析器
网络协议分析器工具可用于创建受感染主机传入 和传出的数据的网络流量日志。
恶意代码分析
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别 各种异常行为。使用事件查看器管理控制 台将每种类型的事件日志文件(应用程序、 安全和系统)保存到可移动媒体,以便进 一步分析。默认情况下,这些文件存储在 C:\Winnt\System32\Config\ 目录中,并分 别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而,当系统处于活动状 态时,这些文件将被锁定,因此应使用事 件查看器管理工具导出。
• 内部网络层和外围层也可以组合到一个公共网络 防护策略中,因为这两个层所涉及的技术是相同 的。每个层中的实施细节将是不同的,具体取决 于组织基础结构中的设备位置和技术。
恶意代码分析
三、客户端防护 假定恶意软件已经通过前面的所有防
护层,当其到达主机时,防护系统必须集 中于保护主机系统及其数据,并停止感染 的传播。 1、减小攻击面
恶意代码分析
– 6、防护机制
许多恶意软件示例使用某种类型的 防护机制,来降低被发现和删除的可能性。 以下列表提供了一些已被使用的技术的示 例: (1)装甲。 (2)窃取 (3)加密。 (4)寡态。 (5)多态。 恶意代码分析
三、防病毒软件原理 防病毒软件专门用于防护系统,
使其免受来自任何形式的恶意软件 (而不仅仅是病毒)的侵害。防病毒 软件可以使用许多技术来检测恶意软 件。其技术工作原理包括:
恶意代码分析
1、签名扫描 搜索目标来查找表示恶意软件的模式。
这些模式通常存储在被称为“签名文件”的文 件中,签名文件由软件供应商定期更新, 以确保防病毒扫描器能够尽可能多地识别 已知的恶意软件攻击。
主要问题:防病毒软件必须已更新为 应对恶意软件。
恶意代码分析
2、启发式扫描 此技术通过查找通用的恶意软件
恶意代码分析
恶意软件攻击用于放置和修改文 件的某些常见目标区域包括:
%Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。
恶意代码分析
六、检查用户和组
某些恶意软件攻击将尝试评估系统上 现有用户的特权,或在拥有管理员特权的 组中添加新新帐户。检查以下异常设置: • 旧用户帐户和组。 • 不适合的用户名。 • 包含无效用户成员身份的组。 • 无效的用户权限。 • 最近提升的任何用户或组帐户的特权。 • 确认所有管理器组成员均有效。
恶意软件可以尝试通过修改系统的启动文件 夹来自行启动。检查每个启动文件夹中的条目, 以确保在系统启动过程中没有恶意软件尝试启动。
恶意代码分析
三、检查计划的应用程序 恶意软件还可能(但很少见)尝试使用
Windows 计划程序服务启动未授权的应用 程序。 四、分析本地注册表
备份和恢复注册表。成功备份注册表后, 在以下区域中检查任何异常的文件引用。 (参见书上示例)
恶意代码分析与深层防护安全模型
虽然许多组织已经开发了防病毒软件, 但恶意软件(病毒、蠕虫和特洛伊木马)仍 在继续感染着世界各地的计算机系统。这表 明,在每台计算机上部署防病毒软件的标准 方法可能不足以应对恶意软件。
恶意代码分析
§1 恶意软件
一、 什么是恶意软件
“恶意软件” 指故意在计算机系统上执行 恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 (1)远程访问特洛伊 (2)Rootkit 2、蠕虫 3、病毒
洞的攻击者。攻击者以各种方式利用这些漏 洞向系统发动攻击。例如:缓冲区溢出。 Service Pack 和修复程序通常是针对此层。 (4)内部网络层
内部网络所面临的风险主要与通过网络 传输的敏感数据有关。
恶意代码分析
(5)外围网络层
与外围网络层(也称为 DMZ)关 联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。 模型此层上的主要风险集中于网络可 以使用的传输控制协议 (TCP) 和用户 数据报协议 (UDP) 端口。