网络安全技术及应用第五章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
破坏性 计算机所有资源包括硬件资源和软件资源, 软件所能接触的地方均可能受到计算机病毒的破坏
隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变, 以至于很难被发现。
潜伏性 长期隐藏在系统中,只有在满足特定条件时, 才启动其破坏模块。
传染性 指病毒具有把自身复制到其它程序中的特性
2020/4/2
6
基于Windows运行环境的病毒,随着微软Office 软件的普及,出现了宏病毒,各种脚本病毒也日益 增多著名病毒如 CIH病毒等。
网络时代病毒已经突破了传统病毒的技术,融合许 多网络攻击技术,如蠕虫技术、木马技术、流氓软 件、网络钓鱼等,。
2020/4/2
5
5.1计算机病毒概述
5.1.3 计算机病毒特征
计算机病毒的传染机制
指计算机病毒由一个宿主传播到另一个宿主程序,由一个 系统进入另一个系统的过程。
触发机制
计算机病毒在传染和发作之前,要判断某些特定条件是否 满足,这个条件就是计算机病毒的触发条件。
3、破坏机制
良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目 标主机系统或信息产生严重破坏。
宏病毒
就是使用宏语言编写的程序,可以在一些数据处 理系统中运行,存在于字处理文档、数据表格、 数据库、演示文档等数据文件中
感染过程
改写Word宏
改写文档自动执行宏,如AutoOpen、FileSave FilePrint等等
2020/4/2
13
5.2.2 病毒分析
转换成文档模板的宏
当宏病毒获得运行权限之后,把所关 联的宿主文档转换成模板格式,然后 把所有宏病毒复制到该模板之中
第五章 计算机病毒及恶意代码
本章学习重点掌握内容: 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络
2020/4/2
1
第五章 计算机病毒及恶意代码
5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件
9
5.2.2 病毒分析
PE文件结构如图5-1所示
MS-DOS头部 MS-DOS实模式残余程序 PE文件标志”PE\0\0” (4字节)
PE文件头(14H字节) PE文件可选头
Section table(节表) Section1 Section2 Section3 ……
2020/4/2
10
5.2.2 病毒分析
2020/4/2
2
5.1计算机病毒概述
5.1.1 计算机病毒的定义 计算机病毒,是指编制或者在计算机程序中插入
的破坏计算机功能或者毁坏数据,影响计算机 使用,并能自我复制的一组计算机指令或者程 序代码。”
2020/4/2
3
5.1计算机病毒概述
5.1.2计算机病毒历史
1977年,美国著名的贝尔实验室中设计磁芯大战 (Core War)的游戏,第一步将计算机病毒感染 性的概念体现出来
2020/4/2
14
5.2.2 病毒分析
宏病毒具有如下特点
传播快
Word文档是交流最广的文件类型。人们大多对外来的文 档文件基本是直接浏览使用,这给Word宏病毒传播带来 很多便利。
2020/4/2
8
5.2 传统的计算机病毒
5.2.2 病毒分析 Windows环境下,主要病毒有文件型病毒、引
导性病毒和宏病毒等 文件型病毒
文件型病毒主要感染可执行文件,Windows环境 下主要为.EXE文件,为PE格式文件
PE是 Win32环境自身所带的执行体文件格式。
2020/4/2
可以修改文件头中代码开始执行位置(AddressOfEntryPoint) 在PE文件中添加一个新节
病毒进行各种操作时需调用API函数Βιβλιοθήκη Baidu,有两种解决方案。
在感染PE文件的时候,可以搜索宿主的引入函数节的相关地址。 解析导出函数节,尤其是Kernel32.DLL
2020/4/2
12
5.2.2 病毒分析
当运行一个PE可执行文件时
当PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则 跳转到 PE header。
PE装载器检查 PE header 的有效性。如果有效, 就跳转到PE header的尾部。
紧跟 PE header 的是节表。PE装载器读取其中 的节信息,并采用文件映射方法将这些节映射到 内存,同时附上节表里指定的节属性。
第一个具备完整特征的计算机病毒出现于1987年, 病毒C-BRAIN,由一对巴基斯坦兄弟:Basit和 Amjad所写。目的是防止他们的软件被任意盗拷。 只要有人盗拷他们的软件,C-BRAIN就会发作,将 盗拷者的硬盘剩余空间给吃掉。
2020/4/2
4
5.1.2计算机病毒历史
DOS病毒,破坏表现:唱歌、删除文件、格式化硬 盘、屏幕上显出各式各样的图形与音效。主要病毒 如耶路撒冷、米开朗基罗、猴子病毒等 。
感染其它Word文档
当其它的Word文件打开时,由于自 动调用该模板因而会自动运行宏病毒
Word AutoOpen AutoClose AutoExec AutoExit AutoNew
Excel Auto_Open Auto_Close
Auto_Activate Auto_Deactivate
PE文件映射入内存后,PE装载器将处理PE文件中 类似 import table(引入表)逻辑部分。
2020/4/2
11
5.2.2 病毒分析
感染PE文件,必须满足两个基本条件:
是能够在宿主程序中被调用,获得运行权限;主要采用重定 位的方法,改PE文件在系统运行PE文件时,病毒代码可以获 取控制权,在执行完感染或破坏代码后,再将控制权转移给 正常的程序代码。方法有:
5.1.3 计算机病毒特征
网络病毒又增加很多新的特点
主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多,容易编写,并且很容易被修改,生成很多
病毒变种 融合多种网络技术,并被黑客所使用
2020/4/2
7
5.2 传统的计算机病毒
5.2.1 计算机病毒的基本机制 分为三大模块:传染机制、破坏机制、触发机制。
隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变, 以至于很难被发现。
潜伏性 长期隐藏在系统中,只有在满足特定条件时, 才启动其破坏模块。
传染性 指病毒具有把自身复制到其它程序中的特性
2020/4/2
6
基于Windows运行环境的病毒,随着微软Office 软件的普及,出现了宏病毒,各种脚本病毒也日益 增多著名病毒如 CIH病毒等。
网络时代病毒已经突破了传统病毒的技术,融合许 多网络攻击技术,如蠕虫技术、木马技术、流氓软 件、网络钓鱼等,。
2020/4/2
5
5.1计算机病毒概述
5.1.3 计算机病毒特征
计算机病毒的传染机制
指计算机病毒由一个宿主传播到另一个宿主程序,由一个 系统进入另一个系统的过程。
触发机制
计算机病毒在传染和发作之前,要判断某些特定条件是否 满足,这个条件就是计算机病毒的触发条件。
3、破坏机制
良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目 标主机系统或信息产生严重破坏。
宏病毒
就是使用宏语言编写的程序,可以在一些数据处 理系统中运行,存在于字处理文档、数据表格、 数据库、演示文档等数据文件中
感染过程
改写Word宏
改写文档自动执行宏,如AutoOpen、FileSave FilePrint等等
2020/4/2
13
5.2.2 病毒分析
转换成文档模板的宏
当宏病毒获得运行权限之后,把所关 联的宿主文档转换成模板格式,然后 把所有宏病毒复制到该模板之中
第五章 计算机病毒及恶意代码
本章学习重点掌握内容: 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络
2020/4/2
1
第五章 计算机病毒及恶意代码
5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件
9
5.2.2 病毒分析
PE文件结构如图5-1所示
MS-DOS头部 MS-DOS实模式残余程序 PE文件标志”PE\0\0” (4字节)
PE文件头(14H字节) PE文件可选头
Section table(节表) Section1 Section2 Section3 ……
2020/4/2
10
5.2.2 病毒分析
2020/4/2
2
5.1计算机病毒概述
5.1.1 计算机病毒的定义 计算机病毒,是指编制或者在计算机程序中插入
的破坏计算机功能或者毁坏数据,影响计算机 使用,并能自我复制的一组计算机指令或者程 序代码。”
2020/4/2
3
5.1计算机病毒概述
5.1.2计算机病毒历史
1977年,美国著名的贝尔实验室中设计磁芯大战 (Core War)的游戏,第一步将计算机病毒感染 性的概念体现出来
2020/4/2
14
5.2.2 病毒分析
宏病毒具有如下特点
传播快
Word文档是交流最广的文件类型。人们大多对外来的文 档文件基本是直接浏览使用,这给Word宏病毒传播带来 很多便利。
2020/4/2
8
5.2 传统的计算机病毒
5.2.2 病毒分析 Windows环境下,主要病毒有文件型病毒、引
导性病毒和宏病毒等 文件型病毒
文件型病毒主要感染可执行文件,Windows环境 下主要为.EXE文件,为PE格式文件
PE是 Win32环境自身所带的执行体文件格式。
2020/4/2
可以修改文件头中代码开始执行位置(AddressOfEntryPoint) 在PE文件中添加一个新节
病毒进行各种操作时需调用API函数Βιβλιοθήκη Baidu,有两种解决方案。
在感染PE文件的时候,可以搜索宿主的引入函数节的相关地址。 解析导出函数节,尤其是Kernel32.DLL
2020/4/2
12
5.2.2 病毒分析
当运行一个PE可执行文件时
当PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则 跳转到 PE header。
PE装载器检查 PE header 的有效性。如果有效, 就跳转到PE header的尾部。
紧跟 PE header 的是节表。PE装载器读取其中 的节信息,并采用文件映射方法将这些节映射到 内存,同时附上节表里指定的节属性。
第一个具备完整特征的计算机病毒出现于1987年, 病毒C-BRAIN,由一对巴基斯坦兄弟:Basit和 Amjad所写。目的是防止他们的软件被任意盗拷。 只要有人盗拷他们的软件,C-BRAIN就会发作,将 盗拷者的硬盘剩余空间给吃掉。
2020/4/2
4
5.1.2计算机病毒历史
DOS病毒,破坏表现:唱歌、删除文件、格式化硬 盘、屏幕上显出各式各样的图形与音效。主要病毒 如耶路撒冷、米开朗基罗、猴子病毒等 。
感染其它Word文档
当其它的Word文件打开时,由于自 动调用该模板因而会自动运行宏病毒
Word AutoOpen AutoClose AutoExec AutoExit AutoNew
Excel Auto_Open Auto_Close
Auto_Activate Auto_Deactivate
PE文件映射入内存后,PE装载器将处理PE文件中 类似 import table(引入表)逻辑部分。
2020/4/2
11
5.2.2 病毒分析
感染PE文件,必须满足两个基本条件:
是能够在宿主程序中被调用,获得运行权限;主要采用重定 位的方法,改PE文件在系统运行PE文件时,病毒代码可以获 取控制权,在执行完感染或破坏代码后,再将控制权转移给 正常的程序代码。方法有:
5.1.3 计算机病毒特征
网络病毒又增加很多新的特点
主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多,容易编写,并且很容易被修改,生成很多
病毒变种 融合多种网络技术,并被黑客所使用
2020/4/2
7
5.2 传统的计算机病毒
5.2.1 计算机病毒的基本机制 分为三大模块:传染机制、破坏机制、触发机制。