恶意代码检测与防范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防范体系 – 管理体系 – 技术体系
防治策略 – 主动预防为主、被动处理为辅 – 预防、检测、清除相结合
16
一般预防措施
• 及时备份重要数据和系统数据 • 关注漏洞公告,及时更新系统或安装补丁程序 • 新购置的机器、磁盘、软件使用前进行病毒检测 • 不要下载或使用来历不明的软件 • 外用的磁盘尽量要写保护,外来的磁盘要检毒 • 安装具有实时防病毒功能的防病毒软件,并及时
3. 修改文件关联 如冰河木马修改文本文件关联 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下的键值Notepad.exe 1%改为Sysexplr.exe 1%
15
Байду номын сангаас 恶意代码防治
恶意代码防范,是指通过建立合理的病毒防范体系和 制度,及时发现计算机病毒侵入,并采取有效的手 段阻止计算机病毒的传播和破坏,从计算机中清除 病毒代码,恢复受影响的计算机系统和数据。
马或木马特征的病毒 • 出现手机病毒、信息家电病毒 • 病毒制造传播目的由以表现破坏为主转向以获利
为主,木马病毒成为当前主流病毒
5
计算机病毒
▪ 计算机病毒是一类具有寄生性、传染性、破坏性 的程序代码,寄生性和传染性是病毒区别于其他 恶意代码的本质特征
▪ 计算机病毒代码不能独立存在,必须插入到其他 序或文件中,并随着其他文件的运行而被激活, 然后驻留在内存以便进一步感染或者破坏
升级更新,定期检测系统 • 打开防病毒软件的实时监控功能 • 建立严密的病毒监测体系,及早发现病毒,及时
清除病毒
17
常用检测方法
1) 外观检测法
– 病毒侵入系统后会是系统表现出一些异常现象 – 根据异常现象判断病毒的存在
2) 特征代码法
– 病毒特征码是从病毒体内抽取的代表病毒特征的 唯一代码串
13
木马的传播方式
(1)以邮件附件的形式传播: (2)将木马程序捆绑在软件安装程序上,通过网络
下载传播。 (3)通过聊天工具如QQ等传送文件传播 (4)通过蠕虫程序植入。 (5)通过交互脚本或网页植入 (6)通过系统漏洞直接种植 (7)通过各种介质交换文件传播
14
木马的自加载运行技术
1. 和应用程序捆绑 2. 修改Windows系统注册表
3
恶意代码的基本特征
▪ 都是人为编制的程序 ▪ 对系统具有破坏性或威胁性 ▪ 往往具有传染性、潜伏性、非授权执行性 ▪ 根据种类不同还具有寄生性、欺骗性、针对性等
4
恶意代码的发展趋势
• 网络成为计算机病毒传播的主要载体 • 网络蠕虫成为最主要和破坏力最大的病毒类型 • 与黑客技术相结合,出现带有明显病毒特征的木
例如:下面注册表中的某些键值
HLM\Software\Microsoft\Windows\CurrentVersion\Run HLM\Software\Microsoft\Windows\CurrentVersion\RunService HLM\software\microsoft\windows\currentversion\runonce HCU\software\microsoft\windows\currentversion\run
恶意代码检测与防范
主要内容
▪ 常见的恶意代码 ▪ 恶意代码机理 ▪ 恶意代码检测 ▪ 恶意代码清除与预防
2
常见的恶意代码
• 恶意代码 主要是指以危害信息的安全等不良意图为目的的 程序,它们一般潜伏在受害计算机系统中实施破 坏或窃取信息。主要有计算机病毒、蠕虫、木马
• 恶意代码主要危害
– 攻击系统,造成系统瘫痪或操作异常 – 危害数据文件的安全存储和使用 – 泄露文件、配置或隐秘信息 – 肆意占用资源,影响系统或网络性能
9
木马
木马是一种程序,它能提供一些有用的或者令人 感兴趣的功能,但是还具有用户不知道的其它功 能。 木马不具有传染性,不能自我复制,通常不被当 成病毒 典型木马如冰河、灰鸽子、Bo2K等
10
特洛伊木马的分类
–远程访问型 –密码发送型 –键盘记录型 –破坏型 –FTP型 –DoS攻击型 –代理型
木马
11
木马程序构成
1、木马服务程序:也称服务器端,是指被控制电脑内被 种植且被运行的木马程序,接受控制指令,执行监控 功能
2、木马配置程序:设置木马的参数,如端口号、木马文 件名称、启动方式等
3、木马控制程序:也称控制端,是指进行操控和监视的 电脑内运行的程序,用以连接到服务程序,发出控制 指令,并接收服务程序传送来的数据。
7
蠕虫
–不依附其他程序,而是一段独立的程序 –通过网络把自身的拷贝传播给其它计算机 –可以修改删除其他程序,也可能通过反复自我复
制占尽网络或系统资源,造成拒绝服务 –具备病毒复制和入侵攻击双重特点 –利用漏洞自主传播
如:
–红色代码、冲击波等
8
蠕虫
蠕虫程序的传播过程 (1)扫描:蠕虫的扫描功能模块负责探测存在漏 洞的主机,以便得到一个可传染的对象。 (2)攻击:攻击模块自动攻击找到的可传染对象, 取得该主机的权限,获得一个shell。 (3)复制:复制模块通过两主机的交互将蠕虫程 序复制到目标主机并启动。 可见,传播模块实现的是自动入侵的功能。蠕虫的 传播技术是蠕虫技术的首要技术。
▪ 可分为引导型、文件型、混合型病毒 ▪ 如CIH病毒,宏病毒等
6
计算机病毒传染传播
▪ 病毒的两种存在状态
▪ 静态:仅存在于文件中 ▪ 激活:驻留内存,可以感染其他文件或磁盘
▪ 仅感染本机的文件 ▪ 随感染文件的传播而传播 ▪ 传播方式
– 软盘、移动硬盘、U盘、光盘等,特别是盗版光 盘
– 文件共享、电子邮件、网页浏览、文件下载
有时配置程序和控制程序集成在一起,统称控制端程序。
12
木马的基本原理
1. 配置木马:设置木马参数,实现伪装和信息反馈 2. 传播木马:如通过帮定程序将木马帮定到某个合法或
有用软件,通过诱骗等方式传播到用户系统 3. 运行木马:用户运行捆绑木马的软件而安装木马,将
木马文件复制到系统,并设置触发条件,以后可自动 运行 4. 信息反馈:木马收集系统信息发送给控制端攻击者 5. 建立连接:控制程序扫描运行了木马的主机(开放特 定端口),添加到主机列表,并在特定端口建立连接 6. 实施监控:实现远程控制,如同本地操作
防治策略 – 主动预防为主、被动处理为辅 – 预防、检测、清除相结合
16
一般预防措施
• 及时备份重要数据和系统数据 • 关注漏洞公告,及时更新系统或安装补丁程序 • 新购置的机器、磁盘、软件使用前进行病毒检测 • 不要下载或使用来历不明的软件 • 外用的磁盘尽量要写保护,外来的磁盘要检毒 • 安装具有实时防病毒功能的防病毒软件,并及时
3. 修改文件关联 如冰河木马修改文本文件关联 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下的键值Notepad.exe 1%改为Sysexplr.exe 1%
15
Байду номын сангаас 恶意代码防治
恶意代码防范,是指通过建立合理的病毒防范体系和 制度,及时发现计算机病毒侵入,并采取有效的手 段阻止计算机病毒的传播和破坏,从计算机中清除 病毒代码,恢复受影响的计算机系统和数据。
马或木马特征的病毒 • 出现手机病毒、信息家电病毒 • 病毒制造传播目的由以表现破坏为主转向以获利
为主,木马病毒成为当前主流病毒
5
计算机病毒
▪ 计算机病毒是一类具有寄生性、传染性、破坏性 的程序代码,寄生性和传染性是病毒区别于其他 恶意代码的本质特征
▪ 计算机病毒代码不能独立存在,必须插入到其他 序或文件中,并随着其他文件的运行而被激活, 然后驻留在内存以便进一步感染或者破坏
升级更新,定期检测系统 • 打开防病毒软件的实时监控功能 • 建立严密的病毒监测体系,及早发现病毒,及时
清除病毒
17
常用检测方法
1) 外观检测法
– 病毒侵入系统后会是系统表现出一些异常现象 – 根据异常现象判断病毒的存在
2) 特征代码法
– 病毒特征码是从病毒体内抽取的代表病毒特征的 唯一代码串
13
木马的传播方式
(1)以邮件附件的形式传播: (2)将木马程序捆绑在软件安装程序上,通过网络
下载传播。 (3)通过聊天工具如QQ等传送文件传播 (4)通过蠕虫程序植入。 (5)通过交互脚本或网页植入 (6)通过系统漏洞直接种植 (7)通过各种介质交换文件传播
14
木马的自加载运行技术
1. 和应用程序捆绑 2. 修改Windows系统注册表
3
恶意代码的基本特征
▪ 都是人为编制的程序 ▪ 对系统具有破坏性或威胁性 ▪ 往往具有传染性、潜伏性、非授权执行性 ▪ 根据种类不同还具有寄生性、欺骗性、针对性等
4
恶意代码的发展趋势
• 网络成为计算机病毒传播的主要载体 • 网络蠕虫成为最主要和破坏力最大的病毒类型 • 与黑客技术相结合,出现带有明显病毒特征的木
例如:下面注册表中的某些键值
HLM\Software\Microsoft\Windows\CurrentVersion\Run HLM\Software\Microsoft\Windows\CurrentVersion\RunService HLM\software\microsoft\windows\currentversion\runonce HCU\software\microsoft\windows\currentversion\run
恶意代码检测与防范
主要内容
▪ 常见的恶意代码 ▪ 恶意代码机理 ▪ 恶意代码检测 ▪ 恶意代码清除与预防
2
常见的恶意代码
• 恶意代码 主要是指以危害信息的安全等不良意图为目的的 程序,它们一般潜伏在受害计算机系统中实施破 坏或窃取信息。主要有计算机病毒、蠕虫、木马
• 恶意代码主要危害
– 攻击系统,造成系统瘫痪或操作异常 – 危害数据文件的安全存储和使用 – 泄露文件、配置或隐秘信息 – 肆意占用资源,影响系统或网络性能
9
木马
木马是一种程序,它能提供一些有用的或者令人 感兴趣的功能,但是还具有用户不知道的其它功 能。 木马不具有传染性,不能自我复制,通常不被当 成病毒 典型木马如冰河、灰鸽子、Bo2K等
10
特洛伊木马的分类
–远程访问型 –密码发送型 –键盘记录型 –破坏型 –FTP型 –DoS攻击型 –代理型
木马
11
木马程序构成
1、木马服务程序:也称服务器端,是指被控制电脑内被 种植且被运行的木马程序,接受控制指令,执行监控 功能
2、木马配置程序:设置木马的参数,如端口号、木马文 件名称、启动方式等
3、木马控制程序:也称控制端,是指进行操控和监视的 电脑内运行的程序,用以连接到服务程序,发出控制 指令,并接收服务程序传送来的数据。
7
蠕虫
–不依附其他程序,而是一段独立的程序 –通过网络把自身的拷贝传播给其它计算机 –可以修改删除其他程序,也可能通过反复自我复
制占尽网络或系统资源,造成拒绝服务 –具备病毒复制和入侵攻击双重特点 –利用漏洞自主传播
如:
–红色代码、冲击波等
8
蠕虫
蠕虫程序的传播过程 (1)扫描:蠕虫的扫描功能模块负责探测存在漏 洞的主机,以便得到一个可传染的对象。 (2)攻击:攻击模块自动攻击找到的可传染对象, 取得该主机的权限,获得一个shell。 (3)复制:复制模块通过两主机的交互将蠕虫程 序复制到目标主机并启动。 可见,传播模块实现的是自动入侵的功能。蠕虫的 传播技术是蠕虫技术的首要技术。
▪ 可分为引导型、文件型、混合型病毒 ▪ 如CIH病毒,宏病毒等
6
计算机病毒传染传播
▪ 病毒的两种存在状态
▪ 静态:仅存在于文件中 ▪ 激活:驻留内存,可以感染其他文件或磁盘
▪ 仅感染本机的文件 ▪ 随感染文件的传播而传播 ▪ 传播方式
– 软盘、移动硬盘、U盘、光盘等,特别是盗版光 盘
– 文件共享、电子邮件、网页浏览、文件下载
有时配置程序和控制程序集成在一起,统称控制端程序。
12
木马的基本原理
1. 配置木马:设置木马参数,实现伪装和信息反馈 2. 传播木马:如通过帮定程序将木马帮定到某个合法或
有用软件,通过诱骗等方式传播到用户系统 3. 运行木马:用户运行捆绑木马的软件而安装木马,将
木马文件复制到系统,并设置触发条件,以后可自动 运行 4. 信息反馈:木马收集系统信息发送给控制端攻击者 5. 建立连接:控制程序扫描运行了木马的主机(开放特 定端口),添加到主机列表,并在特定端口建立连接 6. 实施监控:实现远程控制,如同本地操作