【网络通信安全管理员认证－中级】第六章恶意代码分析与防范.ppt

计算机病毒的命名 8．破坏性程序病毒 ?　破坏性程序病毒的前缀是：Harm 9．玩笑病毒 ?　玩笑病毒的前缀是：Joke。 10．捆绑机病毒 ?　　捆绑机病毒的前缀是：Binder 计算机病毒的命名 DoS：会针对某台主机或者服务器进行DoS攻击； Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人 计算机病毒的生命周期 4、发作阶段 1、潜伏阶段 2、传染阶段 3、触发阶段 网络恶意代码的运行周期 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 保存线 触发线 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 寻找目标 本地文件（.exe,.scr,.doc,vbs…） 可移动存储设备 电子邮件地址 远程计算机系统 …… 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 主动型—程序自身实现 病毒，蠕虫 被动型-人为实现 物理接触植入 入侵之后手工植入 用户自己下载（姜太公钓鱼） 访问恶意网站 …… 多用于木马，后门，Rootkit… 寻找目标 在目标之中 将自身保存 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 恶意代码执行 目标系统中的 触发 目标系统之中 长期存活于 让自身 主动触发 蠕虫 各种漏洞（如缓冲区溢出） 恶意网站 网页木马 被动触发 初次人为触发 双击执行，或命令行运行 打开可移动存储设备… 打开本地磁盘 …… 系统重启后的触发 各种启动项（如注册表，启动文件…） 网络通信安全管理员认证恶意代码分析与防范 Copyright ? 2010 Mazhao 请先思考以下3个问题 什么是上网安全意识？ 恶意代码如何进入我们的计算机？ 恶意代码以什么形式存在于我们的计算机中？ 一个每天都要遇到的操作1 可移动存储设备的使用 演示U盘的使用过程 一个每天都要遇到的操作2 一个通过QQ的病毒用来扩散恶意代码，以创建一个IRC僵尸网络（感染了60,000台主机）。 请访问： W W 一个每天都要遇到的操作3 如果您的电脑配有摄像头，在您使用完摄像头之后，您会：（ ） 拔掉摄像头，或者将摄像头扭转方向 （546人，44.1%） 无所谓 （693人，55.9%） 一个每天都要遇到的操作4 还有什么？ 下载软件的来源： Office文档、图片、视频： 设置密码： 恶意代码的基本概念 恶意代码，又称Malicious Code，或MalCode,MalWare。 其是设计目的是用来实现某些恶意功能的代码或程序。 发展及特征 长期存在的根源 计算机病毒概念 ≠臭虫（bug) ≠生物学中的病毒 真的完全不等于吗? 它是计算机上的野生动物 什么是计算机病毒 Virus,拉丁文:毒药 就是一段特殊的小程序, 由于具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等)，所以人们就用生物学上的病毒来称呼它。 美国计算机安全专家是这样定义计 算机病毒的：”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中，从而感染它们”。 病毒的广义和狭义定义 狭义: 我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下：“计算机病毒是指编制、或者在计算机程序中插入的，破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序片段代码。” 广义: 能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。 恶意代码 网络恶意代码的分类 计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。 如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose… 网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。 其通过不断搜索和侵入具有漏洞的主机来自动传播。 利用系统漏洞（病毒不需要漏洞） 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波… 特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。 如冰河、网络神