信息安全-第十四章-恶意代码防范技术

恶意代码防范技术原理

恶意代码的英文是 Malicious Code,是一种违背目标系统安全策略的程序代码，破坏系统的完整性、机密性、可用性。

恶意代码的发展与分类

恶意代码种类主要包括：

• 计算机病毒
• 蠕虫
• 特洛伊木马
• 逻辑炸弹
• 细菌
• 恶意脚本
• 恶意ActiveX控件
• 间谍软件

根据恶意代码的传播特性可以分为两类：
被动传播：

• 计算机病毒
• 特洛伊木马
• 间谍软件
• 逻辑炸弹

主动传播：

• 网络蠕虫
• 其他

著名恶意代码安全事件：
1988年，Morris,小莫里斯病毒。

恶意代码攻击模型

1. 侵入系统
2. 维持或提升权限
3. 隐蔽
4. 潜伏
5. 破坏
6. 重复前述步骤

恶意代码生存技术

• 反跟踪技术，反动态跟踪、反静态分析
• 加密技术，信息加密、数据加密、程序代码加密
• 模糊变换技术
• 自动生产技术
• 变形技术
• 三线程技术
• 进程注入技术
• 通信隐藏技术
• 内核级隐藏技术

恶意代码攻击技术

• 进程注入技术
• 超级管理技术
• 端口反向连接技术
• 缓冲区溢出

计算机病毒

计算机病毒是恶意代码的一种类型，是一组具有自我复制、传播能力的程序代码。
特点：

• 隐蔽性
• 传染性
• 潜伏性
• 破坏性

计算机病毒由复制传染部件、隐藏部件、破坏部件组成。
计算机病毒先进行复制传播，持续时间长，然后计算机激活阶段，大规模实施攻击计算机系统。
常见计算机病毒类型：

• 引导型病毒，感染计算机系统引导区控制系统进行攻击
• 宏病毒，word宏病毒，通过文档嵌入方式进行内部传播攻击
• 多态病毒，自动加密传输，升级的不固定特征病毒。
• 隐蔽病毒

计算机病毒防范：

• 查找病毒源
• 阻断计算机病毒传播
• 主动查杀计算机病毒
• 应急响应和备份

计算机防护类型：

• 单机防护
• 网络防护
• 网络分级
• 病毒防护网关

特洛伊木马

特洛伊木马具有伪装能力、隐蔽执行的恶意程序。特洛伊木马不具有自我传播能力，具有远程控制能力。
分为本地特洛伊木马和网络特洛伊木马。

运行机制：

1. 寻找攻击目标
2. 收集目标系统信息
3. 木马植入
4. 木马隐藏
5. 激活木马，实施攻击

木马植入技术：
文件捆绑
邮件附件
Web网页

特洛伊木马隐藏技术：
本地活动隐藏：

• 文件隐藏
• 进程隐藏
• 通信连接隐藏

远程通信隐藏：

• 通信内容加密
• 通信端口复用
• 网络隐蔽通道

特洛伊木马防护技术：

• 基于开放端口检测木马技术
• 基于重要文件系统检测特洛伊木马
• 基于系统注册表检测特洛伊木马
• 检测具有隐藏能力的特洛伊木马技术
• 基于网络检测木马技术
• 基于网络阻断检测技术
• 清除特洛伊木马技术，专用特洛伊木马清除工具

网络蠕虫

网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序。
模块构成：探测模块、传播模块、蠕虫引擎模块、负载模块。

蠕虫常见技术
扫描技术：通过网络地址扫描发现可感染主机。

• 随机扫描
• 顺序扫描
• 选择性扫描

漏洞利用技术，通过扫描到主机进行主机信息收集，系统楼、程序漏洞、端口开放、用户密码脆弱性等

• 主机间信任关系漏洞
• 目标系统的程序漏洞
• 默认用户和口令漏洞
• 用户安全意识薄弱
• 程序配置漏洞

僵尸网络

僵尸网络是指攻击者利用入侵手段将僵尸程序植入目标计算机进行操控执行恶意活动。
僵尸网络主要构建方式有：远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等。
分三步进行攻击：
利用计算机网络系统、社会工程学、犯罪工具包进行传播
执行远程命令控制
进行集中式或分布式攻击

僵尸网络攻击防范：
僵尸网络威胁监测
僵尸网络检测
僵尸网络主动扼制
僵尸程序查杀

其他恶意代码

逻辑炸弹：是一段依附在其它软件中，具有触发执行能力的程序代码，触发条件有计数器触发、时间触发、文件触发等满足条件之后执行指定的操作攻击。
陷门：后门程序，软件系统的一段代码，允许避开系统安全机制访问系统。
细菌：自我复制功能的独立程序，不会直接攻击但是会通过占用系统资源进行攻击。
间谍软件通常指在用户不知情情况下安装在计算机中的各种软件，执行用户非期望的功能。