恶意代码与安全漏洞PPT课件
合集下载
恶意代码PPT演示文稿
手动执行:这种类型的触发机制是指由受害者直接执行 恶意软件
半自动执行:这种类型的触发机制最初由受害者启动, 之后则自动执行
自动执行:这种类型的触发机制根本无须手动执行 定时炸弹:这种类型的触发机制在一段时间之后执行操
作 触发条件:这种类型的触发机制使用某个预先确定的条
件作为触发器来传递其负载
息的负载,它通过提供一种将信息传回恶意软件作恶者的机制窃 取信息 拒绝服务 (DoS):可以传递的一种最简单的负载类型是拒绝服务攻 击 分布式拒绝服务 (DDoS):DDoS 攻击是一种拒绝服务攻击,其中 攻击者使用各种计算机上安装的恶意代码来攻击单个目标
第8页
8
2.2 恶意软件的特征
触发机制:触发机制是恶意软件的一个特征,恶意 软件使用此机制启动复制或负载传递
器、电子表格或数据库应用程序)的宏脚本语言的文 件 启动扇区:计算机磁盘(硬盘和可启动的可移动媒体) 上的特定区域。
此外,有的病毒能同时将文件和启动扇区作为感 染目标和携带者。
第6页
6
2.2 恶意软件的特征
传输机制:攻击可以使用一个或多个不同方法在 计算机系统之间传播和复制。
可移动媒体:计算机病毒和其他恶意软件最初的、并 且可能也是最多产的传送器(至少到当前为止)是文 件传输。
特洛伊木马 :该程序看上去有用或无害,但包含 了旨在利用或损坏运行该程序的系统的隐藏代码;
蠕虫:蠕虫是能够自行传播的恶意代码,它可以 通过网络连接自动将其自身从一台计算机分发到 另一台计算机上。
病毒:病毒将其自身附加到宿主程序,在计算机 之间进行传播。宿主程序执行时,病毒代码也随 之运行,并会感染新的宿主,条件满足时执行恶 意破坏任务。
寡态:此特征的恶意软件使用加密防护机制进行自身防 护,并且可以将加密例程更改为只能使用固定的次数 (通常数目很小)。
半自动执行:这种类型的触发机制最初由受害者启动, 之后则自动执行
自动执行:这种类型的触发机制根本无须手动执行 定时炸弹:这种类型的触发机制在一段时间之后执行操
作 触发条件:这种类型的触发机制使用某个预先确定的条
件作为触发器来传递其负载
息的负载,它通过提供一种将信息传回恶意软件作恶者的机制窃 取信息 拒绝服务 (DoS):可以传递的一种最简单的负载类型是拒绝服务攻 击 分布式拒绝服务 (DDoS):DDoS 攻击是一种拒绝服务攻击,其中 攻击者使用各种计算机上安装的恶意代码来攻击单个目标
第8页
8
2.2 恶意软件的特征
触发机制:触发机制是恶意软件的一个特征,恶意 软件使用此机制启动复制或负载传递
器、电子表格或数据库应用程序)的宏脚本语言的文 件 启动扇区:计算机磁盘(硬盘和可启动的可移动媒体) 上的特定区域。
此外,有的病毒能同时将文件和启动扇区作为感 染目标和携带者。
第6页
6
2.2 恶意软件的特征
传输机制:攻击可以使用一个或多个不同方法在 计算机系统之间传播和复制。
可移动媒体:计算机病毒和其他恶意软件最初的、并 且可能也是最多产的传送器(至少到当前为止)是文 件传输。
特洛伊木马 :该程序看上去有用或无害,但包含 了旨在利用或损坏运行该程序的系统的隐藏代码;
蠕虫:蠕虫是能够自行传播的恶意代码,它可以 通过网络连接自动将其自身从一台计算机分发到 另一台计算机上。
病毒:病毒将其自身附加到宿主程序,在计算机 之间进行传播。宿主程序执行时,病毒代码也随 之运行,并会感染新的宿主,条件满足时执行恶 意破坏任务。
寡态:此特征的恶意软件使用加密防护机制进行自身防 护,并且可以将加密例程更改为只能使用固定的次数 (通常数目很小)。
《信息安全理论与技术》课件第7章 恶意代码及防范技术
是使用上面所述的某一个条件,而是使用由多个条件组合 起来的触发条件
7.3恶意代码的分析与检测技术
7.3.1恶意代码的分析方法 7.3.2 恶意代码的检测方法
7.3.1恶意代码的分析方法
静态分析法:
在不执行恶意代码的情况下进行分析。 可以分为源代码分析、反汇编分析、二进制统计分析三种情况
7.1.3恶意代码的命名规则
<病毒前缀>.<病毒名>.<病毒后缀> 。 病毒前缀是指一个病毒的种类 病毒名是指一个病毒的家族特征,是用来区别和标识病毒
家族的 病毒后缀是指一个病毒的变种特征,是用来区别具体某个
家族病毒的某个变种的
7.2恶意代码的生存原理
7.2.1恶意代码的生命周期 7.2.2恶意代码的传播机制 7.2.3恶意代码的感染机制 7.2.4恶意代码的触发机制
特洛伊木马:
隐藏it code)针对某一特定 漏洞或一组漏洞
下载器:
通过破坏杀毒软件,然后再从指定的地址下载大量其他病毒、木 马进入用户电脑
玩笑程序
7.1.2恶意代码的危害
破坏数据 占用磁盘存储空间 抢占系统资源 影响计算机运行速度
第七章 恶意代码及防范技术
第七章 恶意代码及防范技术
7.1恶意代码的概念 7.2恶意代码的生存原理 7.3恶意代码的分析与检测技术 7.4恶意代码的清除与预防技术
7.1恶意代码的概念
7.1.1常见名词举例 7.1.2恶意代码的危害 7.1.3恶意代码的命名规则
7.1.1恶意代码常见名词举例
7.2.1恶意代码的生命周期
设计期:用编程语言制造一个恶意代码 传播期:通过不同的途径散布和侵入受害系统中 感染期:找到自己依附或隐藏的宿主,并实施依附或隐藏 触发期:满足触发条件时,恶意代码进入运行期 运行期:恶意代码的恶意目的得以展现 消亡期:恶意代码被检测出来,并应用相应的手段进行处
7.3恶意代码的分析与检测技术
7.3.1恶意代码的分析方法 7.3.2 恶意代码的检测方法
7.3.1恶意代码的分析方法
静态分析法:
在不执行恶意代码的情况下进行分析。 可以分为源代码分析、反汇编分析、二进制统计分析三种情况
7.1.3恶意代码的命名规则
<病毒前缀>.<病毒名>.<病毒后缀> 。 病毒前缀是指一个病毒的种类 病毒名是指一个病毒的家族特征,是用来区别和标识病毒
家族的 病毒后缀是指一个病毒的变种特征,是用来区别具体某个
家族病毒的某个变种的
7.2恶意代码的生存原理
7.2.1恶意代码的生命周期 7.2.2恶意代码的传播机制 7.2.3恶意代码的感染机制 7.2.4恶意代码的触发机制
特洛伊木马:
隐藏it code)针对某一特定 漏洞或一组漏洞
下载器:
通过破坏杀毒软件,然后再从指定的地址下载大量其他病毒、木 马进入用户电脑
玩笑程序
7.1.2恶意代码的危害
破坏数据 占用磁盘存储空间 抢占系统资源 影响计算机运行速度
第七章 恶意代码及防范技术
第七章 恶意代码及防范技术
7.1恶意代码的概念 7.2恶意代码的生存原理 7.3恶意代码的分析与检测技术 7.4恶意代码的清除与预防技术
7.1恶意代码的概念
7.1.1常见名词举例 7.1.2恶意代码的危害 7.1.3恶意代码的命名规则
7.1.1恶意代码常见名词举例
7.2.1恶意代码的生命周期
设计期:用编程语言制造一个恶意代码 传播期:通过不同的途径散布和侵入受害系统中 感染期:找到自己依附或隐藏的宿主,并实施依附或隐藏 触发期:满足触发条件时,恶意代码进入运行期 运行期:恶意代码的恶意目的得以展现 消亡期:恶意代码被检测出来,并应用相应的手段进行处
《恶意代码》课件
实际案例分析
WannaCry勒索软件
WannaCry勒索软件于2017年肆虐全球,通过利用系统漏洞进行传播,并勒索用户的数据。
NotPetya病毒攻击
NotPetya病毒于2017年造成了广泛的破坏,瘫痪了许多企业和机构的计算机系统。
Mirai僵尸网络攻击
Mirai僵尸网络攻击于2016年发生,通过攻击物联网设备形成大规模的攻击力。
恶意代码的传播途径
恶意代码可以通过电子邮件、网络下载、恶意 链接等多种途径传播。
恶意代码的种类
恶意代码的种类多种多样,包括病毒、蠕虫、 木马、间谍软件等。
恶意代码的危害
恶意代码可能导致数据丢失、系统崩溃、个人 隐私泄露等严重后果。
常见恶意代码
病毒
病毒是一种可以自我复制和传播的恶意代码,可以 通过感染文件、网络或外部存储设备传播。
蠕虫
蠕虫是一种能够自动复制和传播的恶意代码,可以 通过网络和系统漏洞进行传播。
木马
木马是一种表面上看起来无害的程序,但实际上会 在用户不知情的情况下执行恶意操作。
间谍软件
间谍软件是一种能够搜集用户个人信息并发送给攻 击者的恶意代码。
恶意代码的防范措施
1 安装杀毒软件
及时安装并定期更新杀毒 软件是防范恶意代码的基 本措施。
总结
恶意代码的威胁
恶意代码对个人和组织的信息安全和网络安全构成了严重威胁。
增强网络安全意识的必要性
加强网络安全教育,提高用户和企业的安全意识,是防范恶意代码的重要手段。
恶意代码防范的重要性
采取有效的恶意代码防范措施,可以避免数据损失、系统崩溃和个人隐私泄露。
《恶意代码》PPT课件
在这个《恶意代码》PPT课件中,我们将介绍恶意代码的概念、种类、传播途 径和危害,以及常见恶意代码如病毒、蠕虫、木马和间谍软件的特点和危害。 我们还会讨论恶意代码的防范措施和一些实际案例分析。
恶意代码检测与防范技术ppt课件
恶意代码刚出现时发展较慢,但是随着网络飞速发展,Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年,不断涌现的 恶意代码,证实了这一点。 3)从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
网络攻防技术课件第6章恶意代码第2-3节
16
6.2 恶意代码的关键技术
一个例子
17
6.2 恶意代码的关键技术
typedef struct SystemServiceDescriptorTable {
UINT *ServiceTableBase; //address of the SSDT UINT *ServiceCounterTableBase; //not used UINT NumberOfService; //number of system calls UCHAR *ParameterTableBase; //byte array }SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;
6.2 恶意代码的关键技术
进程隐藏
• 使用隐蔽性、欺骗性强的进程名称 • 使用动态链接库 • 在其它进程空间中插入代码 • 过滤进程信息
6.2 恶意代码的关键技术
DLL木马 • 硬性-替换系统DLL • 软性-DLL注入
– 安装系统钩子 – 远程线程插入 – 借壳-svchost服务
6.2 恶意代码的关键技术
6.2 恶意代码的关键技术
修改系统配置文件
SYSTEM.INI——Windows目录下 语法 [boot] Shell=Explorer.exe trojan.exe
6.2 恶意代码的关键技术
修改系统配置文件
WIN.INI——Windows目录下 语法 [windows] load=trojan.exe run=trojan.exe
如果木马把自己注册成系统服务,并设置成自动启 用模式,那么它将随系统开机而启动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe t\Services\] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Ser vices\] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Ser vices\]
6.2 恶意代码的关键技术
一个例子
17
6.2 恶意代码的关键技术
typedef struct SystemServiceDescriptorTable {
UINT *ServiceTableBase; //address of the SSDT UINT *ServiceCounterTableBase; //not used UINT NumberOfService; //number of system calls UCHAR *ParameterTableBase; //byte array }SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;
6.2 恶意代码的关键技术
进程隐藏
• 使用隐蔽性、欺骗性强的进程名称 • 使用动态链接库 • 在其它进程空间中插入代码 • 过滤进程信息
6.2 恶意代码的关键技术
DLL木马 • 硬性-替换系统DLL • 软性-DLL注入
– 安装系统钩子 – 远程线程插入 – 借壳-svchost服务
6.2 恶意代码的关键技术
6.2 恶意代码的关键技术
修改系统配置文件
SYSTEM.INI——Windows目录下 语法 [boot] Shell=Explorer.exe trojan.exe
6.2 恶意代码的关键技术
修改系统配置文件
WIN.INI——Windows目录下 语法 [windows] load=trojan.exe run=trojan.exe
如果木马把自己注册成系统服务,并设置成自动启 用模式,那么它将随系统开机而启动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe t\Services\] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Ser vices\] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Ser vices\]
恶意代码防治ppt
THANKS
谢谢您的观看
该方法的优点是简单易用,对于已知的恶意代码样本具有良 好的检测效果。但是,由于恶意代码的不断演变和变异,该 方法也容易出现误报和漏报。
基于行为的检测技术
基于行为的检测技术是一种通过对系统进行监控,实时检 测恶意行为的方法。它的基本原理是,通过对系统进行监 控,捕捉恶意行为,如文件读写、网络连接等,从而检测 出未知的恶意代码。
建立漏洞修补机制
制定漏洞修补流程,及时对发现的安全漏洞进行修补,并对系统进行重新测 试,确保系统安全。
安全软件部署
部署防病毒软件
选择可靠的防病毒软件,及时更新病毒库,全面监控和检测系统中的病毒、木马 等恶意代码。
安装防火墙
配置合理的防火墙规则,限制未授权的网络访问,防止外部攻击。
安全审计和监控
建立安全审计机制
将受感染的计算机与其他网络隔离,防止恶意代码扩散
详细描述
当发现计算机感染了恶意代码时,及时将其与其他网络隔离是防止恶意代码扩散的有效手段。可以使用各种网 络安全设备和技术手段实现网络隔离,如防火墙、入侵检测系统等。同时,也需要对隔离区内的计算机进行彻 底检查和清理,确保其不存在其他潜在的安全威胁。
06
总结词
清理注册表中的恶意代码键值,恢复系统正常配置
详细描述
恶意代码常常会修改注册表中的某些键值来实现其持久化存在和功能实现。因此,在清除恶意代码时 ,可以使用注册表清理工具或手动定位并删除相关键值。在清理注册表时,需要特别注意不要随意删 除与系统正常运行相关的键值,以免导致系统异常。
网络隔离
总结词
恶意代码防治ppt
xx年xx月xx日
目 录
• 恶意代码概述 • 恶意代码的传播途径 • 恶意代码的防范措施 • 恶意代码的检测技术 • 恶意代码的清除方法 • 恶意代码防治的未来展望
3-3恶意代码分析-PPT课件
一恶意软件的威胁方法恶意软件可以通过许多方法来损害目标下面是最容易受到恶意软件攻击的区域?外部网络?来宾客户端?可执行文件?文档?电子邮件?可移动媒体二深层防护安全模型在发现并记录了组织所面临的风险后下一步就是检查和组织将用来提供防病毒解决方案的防护措施
恶意代码分析与深层防护安全模型
虽然许多组织已经开发了防病毒软件,
3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的 系统文件名,但将该文件置于其他文件夹 中,以免被 Windows 文件保护服务检测到。 例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到,因此必须检查完整路径和文件名。
以保护系统免受最新漏洞的攻击。
6、使用最少特权策略
在客户端防护中不应忽视的是在正常 操作下分配给用户的特权。Microsoft 建议 采用这样的策略:提供最少可能的特权, 以便使得受到因利用用户特权的恶意软件
的影响减到最小。对于通常具有本地管理
特权的用户,这样的策略尤其重要。
7、限制未授权的应用程序
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别 各种异常行为。使用事件查看器管理控制 台将每种类型的事件日志文件(应用程序、 安全和系统)保存到可移动媒体,以便进 一步分析。默认情况下,这些文件存储在 C:\Winnt\System32\Config\ 目录中,并分 别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而,当系统处于活动状 态时,这些文件将被锁定,因此应使用事 件查看器管理工具导出。
恶意代码分析与深层防护安全模型
虽然许多组织已经开发了防病毒软件,
3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的 系统文件名,但将该文件置于其他文件夹 中,以免被 Windows 文件保护服务检测到。 例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到,因此必须检查完整路径和文件名。
以保护系统免受最新漏洞的攻击。
6、使用最少特权策略
在客户端防护中不应忽视的是在正常 操作下分配给用户的特权。Microsoft 建议 采用这样的策略:提供最少可能的特权, 以便使得受到因利用用户特权的恶意软件
的影响减到最小。对于通常具有本地管理
特权的用户,这样的策略尤其重要。
7、限制未授权的应用程序
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别 各种异常行为。使用事件查看器管理控制 台将每种类型的事件日志文件(应用程序、 安全和系统)保存到可移动媒体,以便进 一步分析。默认情况下,这些文件存储在 C:\Winnt\System32\Config\ 目录中,并分 别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而,当系统处于活动状 态时,这些文件将被锁定,因此应使用事 件查看器管理工具导出。
《CISM培训课件》——恶意代码与安全攻防
初露峥嵘
1986年—第一个PC病毒:Brain virus 1988年—Morris Internet worm—6000 多台
群雄逐鹿
1990年—第一个多态病毒 1991年—virus construction set-病 毒生产机 1994年—Good Times(joys) 1995年—首次发现macro virus
恶意代码类型
二进制代码 二进制文件 脚本语言 宏语言 „„
3
恶意代码发展史
孕育和诞生
1949:冯·诺依曼在《复杂自动机组织论》提出概念 1960:生命游戏(约翰·康维 ) 磁芯大战(贝尔实验室三名程序员 ) 1983:真正的恶意代码在实验室产生
4
恶意代码发展史
设计出适合中国大 庆的设备,在我国 设备采购中中标!
32
公开信息收集范例
信息时代的范例:影星的住址
背景:
• 明星家庭住址是明星隐私,她们都不愿意透露 ,微博时代,明星也爱玩微博
微博信息
• 13:50:四环堵死了,我联排要迟到了? • 在北京工作这么久,都没在北京中心地带买一 套房子 • 光顾着看围脖,忘记给老爸指路,都开到中关 村了
36
系统信息收集-TCP/IP协议栈检测
原理
不同厂商对IP协议 栈实现之间存在许 多细微的差别,通 过这些差别就能对 目标系统的操作系 统加以猜测。
检测方法
主动检测 被动检测
5
罗伯特.莫里斯
恶意代码发展史
巅峰时刻
1996年—netcat的UNIX版发布(nc) 1998年—第一个Java virus(StrangeBrew) 1998年—netcat的Windows版发布(nc) 1998年—back orifice(BO)/CIH 1999年—melissa/worm(macrovirus by email) 1999年—back orifice(BO) for WIN2k 1999年—DOS/DDOS-Denial of Service TFT/ trin00 1999年—knark内核级rootkit(linux)运行状态的 保护技术
1986年—第一个PC病毒:Brain virus 1988年—Morris Internet worm—6000 多台
群雄逐鹿
1990年—第一个多态病毒 1991年—virus construction set-病 毒生产机 1994年—Good Times(joys) 1995年—首次发现macro virus
恶意代码类型
二进制代码 二进制文件 脚本语言 宏语言 „„
3
恶意代码发展史
孕育和诞生
1949:冯·诺依曼在《复杂自动机组织论》提出概念 1960:生命游戏(约翰·康维 ) 磁芯大战(贝尔实验室三名程序员 ) 1983:真正的恶意代码在实验室产生
4
恶意代码发展史
设计出适合中国大 庆的设备,在我国 设备采购中中标!
32
公开信息收集范例
信息时代的范例:影星的住址
背景:
• 明星家庭住址是明星隐私,她们都不愿意透露 ,微博时代,明星也爱玩微博
微博信息
• 13:50:四环堵死了,我联排要迟到了? • 在北京工作这么久,都没在北京中心地带买一 套房子 • 光顾着看围脖,忘记给老爸指路,都开到中关 村了
36
系统信息收集-TCP/IP协议栈检测
原理
不同厂商对IP协议 栈实现之间存在许 多细微的差别,通 过这些差别就能对 目标系统的操作系 统加以猜测。
检测方法
主动检测 被动检测
5
罗伯特.莫里斯
恶意代码发展史
巅峰时刻
1996年—netcat的UNIX版发布(nc) 1998年—第一个Java virus(StrangeBrew) 1998年—netcat的Windows版发布(nc) 1998年—back orifice(BO)/CIH 1999年—melissa/worm(macrovirus by email) 1999年—back orifice(BO) for WIN2k 1999年—DOS/DDOS-Denial of Service TFT/ trin00 1999年—knark内核级rootkit(linux)运行状态的 保护技术
防范信息系统恶意攻击PPT课件
• 作为个人,应增强信息安全意识, 安全规范地使用信息系统, 做好数据备份, 避免因人为因素带来的信息安全风险。
20
1
安全管理需要的机构、制度和人员三要素缺一不可。
21
讨论1 个人信息被泄露的渠道有哪些?
网络运营商、银行、中介机构、房地产开发商、保险公司、航空公司以及 各类零售商等各种企业、机构出于经营需要,逐渐形成并积累了各自的用 户或者消费者信息数据库;
2
• 恶意代码是指在未经授权的情况下,在信息系统中安 装、执行以达到不正当目的的代码。
• 最常见的计算机恶意代码有木马、僵尸程序、蠕虫和 病毒等。
2
木马
僵尸程序
蠕虫
病毒
木马是以盗取用户个人信息, 僵尸程序是用于构建大规模 甚至是远程控制用户计算机 攻击平台的恶意代码。按照 为主要目的的恶意代码。 使用的通信协议,僵尸程序 按功能,木马可分为:盗号 可进一步分为:IRC僵尸程 木马、网银木马、窃密木马、 序、HTTP僵尸程序、P2P 远程控制木马、流量劫持木 僵尸程序和其他僵尸程序。 马、下载者木马和其他木马, 甚至多功能的木马。
过度收集个人信 息。有关机构超出所办理业务的需要,收集大量非必要或 完全无关的个人信息;
擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要 限度披露他人个人信息;
擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将 所掌握的个人信息提供给其他机构。
2
1、定期查杀病毒、修复漏洞并及时更新
4、发现可疑情况及时更换密码
5
尝试下载并使用一款免费的密码管理软件, 将你生成的密码与其他同学一起比较,看看谁 的更好?
任务 2 掌握常用信息安全技术
1
①静态密码 验证
20
1
安全管理需要的机构、制度和人员三要素缺一不可。
21
讨论1 个人信息被泄露的渠道有哪些?
网络运营商、银行、中介机构、房地产开发商、保险公司、航空公司以及 各类零售商等各种企业、机构出于经营需要,逐渐形成并积累了各自的用 户或者消费者信息数据库;
2
• 恶意代码是指在未经授权的情况下,在信息系统中安 装、执行以达到不正当目的的代码。
• 最常见的计算机恶意代码有木马、僵尸程序、蠕虫和 病毒等。
2
木马
僵尸程序
蠕虫
病毒
木马是以盗取用户个人信息, 僵尸程序是用于构建大规模 甚至是远程控制用户计算机 攻击平台的恶意代码。按照 为主要目的的恶意代码。 使用的通信协议,僵尸程序 按功能,木马可分为:盗号 可进一步分为:IRC僵尸程 木马、网银木马、窃密木马、 序、HTTP僵尸程序、P2P 远程控制木马、流量劫持木 僵尸程序和其他僵尸程序。 马、下载者木马和其他木马, 甚至多功能的木马。
过度收集个人信 息。有关机构超出所办理业务的需要,收集大量非必要或 完全无关的个人信息;
擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要 限度披露他人个人信息;
擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将 所掌握的个人信息提供给其他机构。
2
1、定期查杀病毒、修复漏洞并及时更新
4、发现可疑情况及时更换密码
5
尝试下载并使用一款免费的密码管理软件, 将你生成的密码与其他同学一起比较,看看谁 的更好?
任务 2 掌握常用信息安全技术
1
①静态密码 验证
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020年9月28日
4
恶意代码发展史
❖ 1949:冯·诺依曼在《复杂自动机组织论》提出概念 ❖ 1960:生命游戏(约翰·康维 )
磁芯大战(道格拉斯.麦耀莱、维特.维索斯基 、 罗伯.莫里斯 ) ❖ 1973:真正的恶意代码在实验室产生 ❖ 1981年-1982年:在APPLE-II的计算机游戏中发现Elk cloner
2020年9月28日
17
恶意代码实现关键技术
❖ 恶意代码生存技术 ❖ 恶意代码隐蔽技术 ❖ 恶意代码攻击技术及植入手段
2020年9月28日
18
恶意代码关键技术
❖ 一个好的恶意代码,首先必须具有强大的生存能 力和良好好隐蔽性,不能轻松被杀毒软件、安全 工具或者用户察觉。然后,必须具有良好的攻击 性,即能将自己植入到目标系统。
2020年9月28日
6
恶意代码发展史
❖ 1998年—netcat的Windows版发布(nc) ❖1998年—back orifice(BO)/CIH 破坏硬件 ❖1999年—melissa/worm(macrovirus by email) ❖1999年—back orifice(BO) for WIN2k ❖1999年—DOS/DDOS-Denial of Service TFT/
▪ 禁止跟踪中断。 ▪ 封锁键盘输入和屏幕显示,破坏各种跟踪调试工具
运行的必需环境; ▪ 检测跟踪法。 ▪ 其它反跟踪技术。
2020年9月28日
22
反跟踪技术-反静态分析技术
❖ 反静态分析技术主要包括两方面内容:
▪ 对程序代码分块加密执行 ▪ 伪指令法(Junk Code)
❖ 关键技术:
▪ 恶意代码生存技术 ▪ 恶意代码隐蔽技术 ▪ 恶意代码攻击技术及植入手段
2020年9月28日
19
恶意代码生存技术
❖ 生存技术主要包括4方面:
▪ 反跟踪技术 ▪ 加密技术 ▪ 模糊变换技术 ▪ 自动生产技术
❖ 反跟踪技术可以减少被发现的可能性,加密技术 是恶意代码自身保护的重要机制。
trin00 ❖ 1999年—knark内核级rootkit(linux) ❖2000年—love Bug(VBScript) ❖2001年—Code Red –worm(overflow for IIS) ❖2001年—Nimda-worm(IIS/ web browser/
2020年9月28日
7
2020年9月28日
5
恶意代码发展史
❖1986年—第一个PC病毒:Brain virus ❖1988年—Morris Internet worm—6000多台 ❖ 1990年—第一个多态病毒 ❖1991年—virus construction set-病毒生产
机 ❖1994年—Good Times(joys) ❖1995年—首次发现macro virus ❖1996年—netcat的UNIX版发布(nc) 罗伯特.莫里斯 ❖1998年—第一个Java virus(StrangeBrew)
16
木马的危害
❖ 监视用户的操作
▪ 包括:用户主机的进程、服务、桌面,键盘操作、 摄像头等等
❖ 窃取用户隐私
▪ 包括:浏览的网页,聊天记录,输入的银行帐户密 码,游戏帐户密码,窃取用户敏感文件
❖ 让用户主机执行任意指令
▪ 使用户主机沦为傀儡主机,接受并执行控制主机的 指令
❖ 你能做到的木马都有可能做到
2020年9月28日
20
恶意代码生存技术-反跟踪技术
❖ 恶意代码采用反跟踪技术可以提高自身的伪装能 力和防破译能力,增加检测与清除恶意代码的难 度。
❖ 目前常用的反跟踪技术有两类
▪ 反动态跟踪技术 ▪ 反静态分析技术。
2020年9月28日
21
反跟踪技术-反动态跟踪技术
❖ 反动态跟踪技术主要包括4方面内容:
恶意代码与安全漏洞
1 2020年9月28日
课程内容
2020年9月28日
2
知识域:恶意代码
❖ 知识子域:恶意代码基本概念原理
▪ 了解恶意代码的历史和发展趋势 ▪ 理解常见恶意代码病毒、蠕虫、木马传播方式和危
害的特点 ▪ 了解常见恶意代码变形、Rootkit等技术的原理
2020年9月28日
3
恶意代码的历史与发展趋势
击
❖ 危害个人信息安全
▪ 泄露个人隐私
2020年9月28日
15
木马的传播方式
❖ 漏洞传播
▪ 系统漏洞; ▪ 浏览器漏洞(网页木马); ▪ 其他应用软件漏洞(PDF、DOC etc)
❖ 伪装传播
▪ 捆绑; ▪ 伪装成图片、文本等; ▪ 合法软件
❖ 社会工程
▪ 电子邮件 ▪ 论坛 ▪ SNS聊天软件
2020年9月28日
恶意代码发展史
❖outlook/ etc.)
❖ 2002年—setiri后门
❖2002年—SQL slammer(sqlserver)
❖ 2003年—hydan的steganography工具
❖2003年—MSBlaster/ Nachi
❖2004年—MyDoom/ Sasser
❖ ……
❖ 2006年—熊猫烧香
网络应用的恶意代码越来越多
2020年9月28日
9
恶意代码分类
2020年9月28日
10
常见恶意代码传播方式及危害
2020年9月28日
11
病毒的传播方式
2020年9月28日
12
病毒的危害
2020年9月28日
13
蠕虫的传播方式
2020年9月28日
14
蠕虫的危害
Байду номын сангаас❖ 严重威胁网络安全
▪ 蠕虫爆发占用大量网络资源,导致网络瘫痪 ▪ 形成危害严重的僵尸网络,被作者用来发动任何攻
❖恶意代码(Unwanted Code,Malicious Software,Malware,Malicous code)是指没有作 用却会带来危险的代码。
❖ 通常把未经授权便干扰或破坏计算机系统/网络功 能的程序或代码(一组指令)称之为恶意程序。 一组指令可能包括:二进制文件、脚本语言或宏 语言等。
❖ ……
❖ 2010年—Stuxnet(工业蠕虫)
2020年9月28日
8
恶意代码的发展趋势
❖ 种类越来越模糊不清 ❖ 传播采用多种模式或者利用多个漏洞 ❖ 多平台、多应用软件 ❖ 服务端和客户端都遭受攻击,利用客户端软件传
播的恶意代码越来越多 ❖ 目的性、功利性更为突出 ❖ 攻击者越来越小心、恶意代码隐蔽性越来越强 ❖ 新的应用衍生出新的恶意代码,针对手机、新型