第2讲 恶意代码检测与防范

主动攻击
造成网络拥塞 消耗系统资源
反复性
破坏性
蠕虫工作机制
信息收集 攻击渗透 现场处理
按照一定的策 略搜索网络中存活 的主机，收集目标 主机的信息，并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机，否则 放弃攻击。
23
蠕虫工作机制
信息收集 攻击渗透 现场处理
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
蠕虫
概念 一类特殊的恶意代码，可以在计算机系统或网络 中繁殖，由于不依附于其他程序，这种繁殖使它 们看上去是在内存、磁盘或网络中移动。 特征 不用计算机使用者干预即可运行的攻击程序或代 码； 它会扫描和攻击网络上存在系统漏洞的节点主机 ，通过网络从一个节点传播到另外一个节点。
漏洞被蠕虫设计 者发现，并利用漏洞 设计蠕虫发布于互联 网，大部分用户还没 有通过服务器下载补 丁，网络蠕虫只是感 染了少量的网络中的 主机。
快速发展阶段
如果每个感染蠕 虫的可以扫描并感染 的主机数为W，N为感 染的次数，那么感染 主机数扩展速度为WN， 感染蠕虫的机器成指 数幂急剧增长。
缓慢消失阶段
计算机病毒的特征
病毒主要特征 解释
病毒具有把自身复制到其它程序中的特性。
传染性
隐蔽性 破坏性
通过隐蔽技术使宿主程序的大小没有改变，以至 于很难被发现。 计算机所有资源包括硬件资源和软件资源，软件 所能接触的地方均可能受到计算机病毒的破坏 长期隐藏在系统中，只有在满足特定条件时，才 启动其破坏模块。
通过收集的漏洞 信息尝试攻击，一 旦攻击成功，则获 得控制该主机的权 限，将蠕虫代码渗 透到被攻击主机。
蠕虫扫描策略
随机选取某一段IP地址，然后对这一地址段上的主机扫描。
缺点：
1.由于不知道哪些主机已经感染蠕虫，很多扫描是无用的。 2. 这一方法的蠕虫传播速度较慢。 但是随着蠕虫的扩散，网络上存在大量的蠕虫时，蠕虫造成 的网络流量就变得非常巨大。
—来源: 冯登国，赵险峰《信息安全概论》
恶意代码是指没有作用却会带来危险的代码。
—来源:
恶意代码是经过存储介质和网络进行传播，从一 台计算机系统到另外一台计算机系统，未经授权 认证破坏计算机系统完整性的程序或代码.
—来源:
常见的恶意代码种类
恶意代码类型 主要特点
潜伏
扫描
计算机病毒 蠕虫
特洛伊木马 逻辑炸弹
随着网络蠕虫的 爆发和流行，人们通 过分析蠕虫的传播机 制，采取一定措施及 时更新补丁包，并采 取措删除本机存在的 蠕虫，感染蠕虫数量 开始缓慢减少。
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
30
特洛伊木马
概念 木马是指隐藏在正常程序中的一段具有特殊功 能的恶意代码，是具备破坏和删除文件、发送 密码和记录键盘等的特殊功能的后门程序。 木马的组成结构
• 破坏机制
–良性病毒表现为占用内存或硬盘资源。 –恶性病毒则会对目标主机系统或信息产生严重破坏。
病毒传播的两种方式
被动传播 用户在进行复制磁盘或文件时，把病毒由一个 载体复制到另一个载体上，或者通过网络把一 个病毒程序从一方传递到另一方。 主动传播 计算机病毒以计算机系统的运行及病毒程序处于 激活状态为先决条件，在病毒处于激活状态下， 只要传播条件满足，病毒程序能主动把病毒自身 传播给另一个载体或另一个系统。
启动和隐藏 木马
植入者达到 其攻击的目的
植入者远程控制 被植入木马的主机
木马植入技术
植入技术，木马植入技术可以大概分为主动植入 与被动植入两类。 主动植入：就是攻击者利用网络攻击技术通过 网络将木马程序植入到远程目标主机，这个行 为过程完全由攻击者主动掌握。 被动植入：是指攻击者预先设置某种环境，然 后被动等待目标系统用户的某种可能的操作， 只有这种操作执行，木马程序才有可能植入目 标系统。
木马植入技术
主动植入技术主要包括 ： 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马
被动植入主要包括： 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播
木马的自动加载技术
针对Windows系统，木马的自动加载主要有以下方法：
蠕虫扫描策略
选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描 的地址空间。所选的目标地址按照一定的算法随机生成。
特点：
1.选择性随机扫描算法简单，容易实现。 2.若与本地优先原则结合则能达到更好的传播效果。 红色代码和“Slammer”的传播采用了选择性随机扫描策
略。
27
蠕虫扫描策略
顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地 址进行传播，根据本地优先原则，网络地址段顺序递增。
潜伏性
其它
取得系统控制权和不可预见等特征。
计算机病毒的基本机制
计算机病毒的基本机制 传染机制、触发机制、破坏机制
• 传染机制
–指计算机病毒由一个宿主传播到另一个宿主程序，由一个 系统进入另一个系统的过程。
• 触发机制
–计算机病毒在传染和发作之前，要判断某些特定条件是否 满足，这个条件就是计算机病毒的触发条件。
手机骷髅
手机病毒
手机病毒的定义是：
“手机病毒和计算机病毒一样，以手机为感染对象，
以手机网络和计算机网络为平台，通过病毒短信等形 式，对手机进行攻击，从而造成手机异常的一种新型 病毒。”
另一个声音：
2009.3，易安信CTO王伟：“手机病毒纯属忽悠，目前 并没有真正意义的手机病毒。 ” 2009.9，360 CEO周鸿袆 (YI)，“手机病毒是个伪概 念 ”
蠕虫的特征
蠕虫主要特征 解释
从搜索漏洞，到利用搜索结果攻击系统，到攻击 成功后复制副本是全自动。
1.传播的过程中，蠕虫需要判断感染条件的存在。 2.同时出于攻击网络的需要，蠕虫也可以产生大 量恶意流量。 搜索目标主机、漏洞、感染其它主机需要消耗资 源；许多蠕虫本身就会恶意耗费系统的资源。 即使清除了蠕虫，如果没有修补计算机系统漏洞， 网络中的计算机还是会被重新感染。 现在蠕虫开始包含其它种类恶意代码，破坏被攻 击的计算机系统，而且造成的损失越来越大。
客户端：安装在攻击者机器上的部分。 服务端：通过各种手段植入目标机器的部分。
木马的特征
木马主要特征
隐蔽性
解释
隐蔽性是木马的首要特征。木马类软件的服务端程序 在被控主机系统上运行时，会使用各种方法来隐藏自 己。
自动运行性
欺骗性
木马程序通过修改系统配置文件，在目标主机系统启 动时自动运行或加载。
隐藏在主机上的所有活动 监视键盘 删除敏感信息
收集你的相关信息
窃取文件 开启后门（肉鸡） 诱骗访问恶意网站 作为网络传播的起点
恶意代码的危害
恶意代码的危害
攻击系统，造成系统瘫痪或操作异常； 危害数据文件的安全存储和使用； 泄露文件、配置或隐私信息； 肆意占用资源，影响系统或网络的性能； 攻击应用程序，如影响邮件的收发。
攻击成功后，要对 被攻击的主机进行 一些处理，将攻击 代码隐藏，为了能 使被攻击主机运行 蠕虫代码，还要通 过注册表将蠕虫程 序设为自启动状态； 可以完成它想完成 的任何动作，如恶 意占用CPU资源等。
25
按照一定的策 略搜索网络中存活 的主机，收集目标 主机的信息，并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机，否则 放弃攻击。
伪装成其它类型的文件，可执行文件需要伪装其它文 件。如伪装成图片文件。 合并程序欺骗。 插入其它文件内部。 伪装成应用程序扩展组件。 把木马程序和其它常用程序利用WinRar捆绑在一起， 将其制作成自释放文件。 在Word文档中加入木马文件。
35
木马程序入侵并且控制计算机的过程 向目标主机 植入木马
木马与病毒、蠕虫和远程控制软件的区别
木马与病毒、蠕虫的区别
是否主动传播 木马 病毒 蠕虫
否 否 是
是否独立存在
是 否 是
木马与远程控制软件的区别 远程控制 木马
“善意”的控制，不具有隐蔽性和破坏性 “恶意”的控制，对目标系统执行恶意 操作或窃取信息
木马的欺骗技术
木马欺骗技术是木马欺骗用户安装、欺骗用户运 行以及隐藏自己的关键技术。 木马欺骗技术主要有 ：
传染
攻击
破坏
扩散
欺骗 潜伏
隐藏 破坏
信息窃取
5
恶意代码的发展历史
恶意代码的特征
恶意代码的特性 一类程序，由人编制，而非在计算环境或系统中 自生的； 对系统具有破坏性或威胁性，这是它们与普通程 序最大的区别； 按照种类，不同恶意代码具有潜伏性、传染性、 依附性等性质。
恶意代码的主要功能
蠕虫扫描策略
从DNS服务器获取IP地址来建立目标地址库。
优点：
获得的IP地址块针对性强和可用性高。
关键问题：
如何从DNS服务器得到网络主机地址，以及DNS服务器是 否存在足够的网络主机地址。
蠕虫扫描策略
基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标 列表，搜寻感染目标。
网络蠕虫传播模型
慢速发展阶段
LOGO
恶意代码检测与防范
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
什么是恶意代码？
恶意代码（Malicious Code）：主要是指以危害 信息安全等不良意图为目的的程序，它们一般潜 伏在受害计算机系统中实施破坏或窃取信息。
• • • • • 系统文件 系统注册表 文件打开关联 任务计划 组策略
提纲
1 2 3 4 5 恶意代码概述 计算机病毒 蠕虫
特洛伊木马
总结
10
计算机病毒
计算机病毒 计算机病毒能够寻找宿主对象，并且依附于宿 主，是一类具有传染、隐蔽、破坏等能力的恶 意代码， 本质特征：传染性和依附性 分类 按传播媒介分类 单机病毒和网络病毒 按传播方式分类 引导型病毒、文件型病毒和混合型病毒 „„
• Word文档是交流最广的文件类型。人们大多对来自百度文库来 的文档文件基本是直接浏览使用，这给Word宏病毒 传播带来很多便利。
制作、变种方便
• Word使用宏语言WordBasic来编写宏指令。用户很 方便就可以看到这种宏病毒的全部面目。 • 把宏病毒稍微加以改变，立即就生产出了一种新的 宏病毒.
破坏性大
按照一定的策 略搜索网络中存活 的主机，收集目标 主机的信息，并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机，否则 放弃攻击。
通过收集的漏洞 信息尝试攻击，一 旦攻击成功，则获 得控制该主机的权 限，将蠕虫代码渗 透到被攻击主机。
蠕虫工作机制
信息收集 攻击渗透 现场处理
自动恢复性
破坏或信息收集
木马的自动恢复性
木马-“聪明基因”
植入系统后，生成以下三个文件： C:\windows\MBBManager.exe C:\windows\Explore32.exe C:\windows\system\editor.exe
用的都是 HTML文 件图标
关联： MBBManager.exe在启动时加载 Explore32.exe关联HLP文件（ Windows帮助文件） Editor.exe关联TXT文件 机理 当MBBManager.exe被发现删除，只要打开HLP文件 或文本文件，Explore32.exe和Editor.exe就被激活并 再次生成MBBManager.exe。
宏病毒
宏病毒 使用宏语言编写的程序，可以在一些数据处 理系统中运行，存在于字处理文档、数据表 格、数据库、演示文档等数据文件中。
宏病毒
感染过程
激活autoopen宏 有毒文件.doc 写入 Normal.dot
启动 激活病毒 无毒文件.doc Normal.dot
宏病毒的特点
宏病毒具有如下特点 传播快
木马程序要达到其长期隐蔽的目的，就必需借助系统 中已有的文件，以防用户发现。 很多的木马程序中的功能模块已不再是由单一的文件 组成，而是具有多重备份，可以相互恢复，只删除某 一个木马文件来进行清除是无法清除干净的。 木马通常具有搜索Cache中的口令、设置口令、扫描 目标机器的IP地址、进行键盘记录、远程注册表的操 作、以及锁定鼠标等功能。