恶意代码简介精讲

计算机病毒的特点
传染性 通过各种渠道从已被感染的计算机扩散到未被感染的计 算机。 隐蔽性 病毒一般是具有很高编程技巧的、短小精悍的一段代码， 躲在合法程序当中。 潜伏性 病毒进入系统之后一般不会马上发作 多态性 病毒试图在每一次感染时改变它的形态 破坏性 造成系统或数据的损伤甚至毁灭
影响比较严重的蠕虫病毒
莫里斯蠕虫：1988年，22岁的康奈尔大学研究生罗伯特莫 里斯通过网络发送了一种专为攻击UNIX系统缺陷、名为莫 里斯蠕虫的病毒。蠕虫造成了6000个系统瘫痪，直接经济 损失达9600万美元； 美丽杀手：1999年 政府部门和一些大公司紧急关闭了网络 服务器，经济损失超过12亿美元； 爱虫病毒：2000年5月至今 众多用户计算机被感染，损失 超过100亿美元以上； 红色代码：2001年7月网络瘫痪，直接经济损失很大； 求职信：2001年12月大量病毒邮件堵塞服务器，损失达数 百亿美元； SQL蠕虫王：2003年1月 26日，一种名为“2003蠕虫王”的 蠕虫病毒迅速传播并袭击了全球，致使互联网严重堵塞
木马的防范技术
利用工具查杀木马 查看系统注册表 检查网络通信状态 查看目前的运行任务 查看系统启动项 使用内存检测工具检查 用户安全意识策略 纵深防御保护系统安全
课程内容
1马 蠕虫
23
2018/10/10
17.4蠕虫
蠕虫病毒是一种常见的计算机病毒。它的传染机 理是利用网络进行复制和传播，传染途径是通过 网络和电子邮件。 最初的蠕虫病毒定义是因为在DOS环境下，病毒发 作时会在屏幕上出现一条类似虫子的东西，胡乱 吞吃屏幕上的字母并将其改形 蠕虫具有病毒的一些共性，如传染性、隐蔽性和 破坏性等 蠕虫与病毒的区别在于“附着”。蠕虫不需要宿 主，是一段完整的独立代码
蠕虫的特点
独立性 蠕虫病毒不需要宿主程序，它是完整的、独立 的代码 利用漏洞主动攻击 传播方式多样 伪装和隐藏方式好 采用的技术更先进 —些蠕虫病毒与网页的脚本相结合，利用VB Script、java、ActiveX等技术隐藏在HTML页面 里。
蠕虫的防范技术
加强网络管理员的安全管理水平，提高用户的安 全意识。 建立安全检测系统 从网络整体考虑，建立相对完善的检测系统， 能够在第一时间内检测到网络异常和病毒攻击 利用蠕虫免疫技术防范蠕虫攻击 建立应急响应系统，将风险减少到最小 灾难备份系统。对于数据库和数据系统，必须 采用定期备份 对于局域网而言可以采用安装防火墙式、计算机 防病毒的产品，对邮件服务器进行监控…
计算机病毒的分类
按照计算机病毒攻击的操 作系统
攻击DOS系统 攻击Windows系统 攻击Unix、Linux系统 攻击Mactonish系统
按寄生方式
引导型病毒 文件型病毒 混合型病毒
按破坏性
良性病毒 恶性病毒
计算机病毒的防范
养成良好的安全习惯 安装防火墙和专业的杀毒软件进行全面监控 经常升级操作系统的安全补丁 迅速隔离受感染的计算机 及时备份计算机中有价值的信息
木马植入手段
下载植入木马 木马程序通常伪装成优秀的工具或游戏 通过电子邮件来传播 木马程序隐藏在一些具有恶意目的的网站中 利用系统的一些漏洞植入 如微软著名的IIS漏洞 攻击者成功入侵目标系统后，把木马植入目标系 统
木马的特点
隐蔽性。隐蔽性是木马程序与远程控制程序的主 要区别 欺骗性。为了达到隐蔽目的，木马常常使用和系 统相关的一些文件名来隐蔽自身。 顽固性。很多木马的功能模块已不再是由单一的 文件组成，而是具有多重备份 危害性。攻击者可以通过客户端强大的控制和破 坏力对主机进行操作。 潜伏性。木马种植到系统后一般不会马上发作， 而是要等到与控制端连接之后才会接受指令而动 作。
木马的分类
远程控制型木马 可以让攻击者完全控制被感染的计算机 密码发送型木马 专门为了盗取被感染主机上的密码 破坏型木马 破坏被感染主机上的文件系统 键盘记录型木马 记录受害者的键盘敲击 拒绝服务攻击木马 反弹端口型木马 服务端（被控制端）使用主动端口，客户端(控制端)使用被动端口 代理木马 变为攻击者发动攻击的跳板
恶意代码的历史
第一次关于计算机病毒的报道发生在1981年，在 计算机游戏中发现了ELK Cloner病毒。 1986年，第一个PC病毒Brain Virus感染了 Microsoft的DOS操作系统 1995年，首次发现宏病毒 1998年，CIH病毒造成数千万台计算机硬件受到 破坏 2007年1月，“熊猫烧香”病毒爆发 恶意代码经过三十多年的发展，破坏性、种类和 感染性都得到了增强，特别僵尸网络、木马威胁、 高级可持续威胁（APT）非常严重
计算机病毒的结构
潜伏机制 包括初始化、隐藏和捕捉 传染机制 包括判断和感染。先是判断候选感染目标是否 已被感染，可以通过感染标记来判断候选感染 目标是否已被感染。 表现机制 包括判断和表现。表现机制首先对触发条件进 行判断，然后根据不同的条件决定什么时候表 现、如何表现
典型的病毒代码结构
木马泛滥
三方面原因： 一是经济利益驱使，黑客编写一个木马程序非 法牟利十几万元的事情并不少见 二是木马程序很容易改写更新，而杀毒软件采 用的传统的特征码查毒属于静态识别技术，对 于木马程序的不断更新其适应性不强； 三是“木马技术”具有不可判定性 据2013年第二季度360互联网安全中心发布的报告 显示，二季度国内新出现木马病毒5.27亿个， 1.57亿网民遭遇攻击，约占国内计算机用户数量 的三成
木马的结构和原理
木马程序一般包括控制端和服务端两部分 控制端程序用于攻击者远程控制木马 服务器端程序即木马程序 进行攻击时，第一步要进行特洛伊木马的植入， 这是攻击目标最关键的一步 被动植入 主动植入
木马隐藏技术
启动隐藏 指目标机自动加载运行木马程序，而不被用户发现 进程隐藏 使用户不能发现当前运行着的木马进程 文件/目录隐藏 通过伪装，或隐藏木马文件和目录自身 内核模块隐藏 内核级木马对自身加载模块信息的隐藏 始分发隐藏 软件开发商可以在软件的原始分发中植入木马 通信隐藏 包括通信内容、状态和流量等方面的隐藏
恶意代码的分类
后门 进入系统或程序的一个秘密入口 逻辑炸弹 一段具有破坏性的代码，事先预置于较大的程序中，等 待某扳机事件发生触发其破坏行为 特洛伊木马 一段吸引人而不为人警惕的程序，但它们可以执行某些 秘密任务 病毒 附着在其他程序上的可以进行自我繁殖的代码 蠕虫 一种具有自我复制和传播能力、可独立自动运行的恶意 程序
蠕虫的结构
基本程序结构为传播模块、隐藏模块和目的功能 模块 传播模块又可以分为扫描、攻击和复制三个基 本模块 利用系统漏洞进行传播主要有以下三个阶段 第一阶段要进行主机探测，已经感染蠕虫的主 机在网络上搜索易感染的目标主机。 第二阶段已经感染蠕虫的主机把蠕虫代码传送 到易感染的目标主机上。 第三阶段易感染的目标主机执行蠕虫代码，感 染目标主机系统。
病毒、木马、蠕虫的区别
病
存在形式 传播途径 传播速度 攻击目标 触发机制 防治方法 寄生 通过宿主程序运行 慢 本地文件 计算机操作者 从宿主文件中摘除
毒
木
独立个体
马
蠕
独立个体
虫
植入目标主机 最慢 本地文件和系统、 网络上的其他主机 计算机操作者 停止并删除计算机 木马服务程序 计算机使用者和防 病毒供应商、网络 管理者
课程内容
1 2 3 4 恶意代码概述
计算机病毒
特洛伊木马 蠕虫
14
2018/10/10
17.3特洛伊木马
特洛伊木马的故事来自古希腊传说 在信息安全领域，特洛伊木马是一种恶意代码， 也称为木马 指那些表面上是有用的或必需的，而实际目的 却是完成一些不为人知的功能，危害计算机安 全并导致严重破坏的计算机程序 具有隐蔽性和非授权性的特点，因此和希腊传 说的特洛伊木马很相似。
17.1.1恶意代码的发展史
早在1949年，计算机的先驱者约翰·冯·诺依曼 在他的论文《自我繁衍的自动机理论》中已把病 毒的蓝图勾勒出来 短短十年之后，磁芯大战(core war)在贝尔实验 室中诞生，使他的设想成为事实。 例如有个叫爬行者的程序（Creeper），每一次 执行都会自动生成一个副本，很快计算机中原 有资料就会被这些爬行者侵蚀掉； “侏儒”（Dwarf）程序在记忆系统中行进，每 到第五个“地址”（address）便把那里所储存 的东西变为零，这会使原本的程序严重破坏；
通过系统存在的漏 洞 快 程序自身 程序自身 为系统打上补丁 计算机使用者、系 统软件供应商、网 络管理者
对抗主体
计算机使用者、反 病毒供应商
The End
2018/10/10
30
考试题型
1、选择题(20) 2、填空题(20) 3、简答题(30) 4、问答题(30)
2018/10/10
31
第17章 恶意代码
广州大学华软软件学院软件工程系 《网络信息安全》课程组
2018/10/10
1
课程内容
1 2 3 4 恶意代码概述
计算机病毒
特洛伊木马 蠕虫
2
2018/10/10
17.1.恶意代码概述
恶意代码泛指所有恶意的程序代码，是一种可造 成目标系统信息泄露和资源滥用，破坏系统的完 整性及可用性，违背目标系统安全策略的程序代 码。 包括计算机病毒（Virus）、蠕虫（Worm）、木马 程序（Trojan Horse）、后门程序（Backdoor） 和逻辑炸弹（Logic Bomb）等 恶意代码的特征包括三个方面： 带有恶意的目的 本身是计算机程序 一般通过执行来发挥作用
课程内容
1 2 3 4 恶意代码概述
计算机病毒
特洛伊木马 蠕虫
7
2018/10/10
17.2计算机病毒
严格地从概念上讲，计算机病毒只是恶意代码的 一种。实际上，目前发现的恶意代码几乎都是混 合型的计算机病毒 美国计算机研究专家最早提出了“计算机病毒” 的概念：计算机病毒是一段人为编制的计算机程 序代码。 1994年2月28日，我国出台的《中华人民共和国计 算机安全保护条例》对病毒的定义如下：“计算 机病毒是指编制或者在计算机程序中插入的、破 坏数据、影响计算机使用，并能自我复制的一组 计算机指令或者程序代码”