软考14-恶意代码防范技术原理

恶意代码防范技术原理#

恶意代码概述#

恶意代码是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用、破坏系统的完整性及可用性。

恶意代码攻击模型#

1、入侵
2、维持或提升已有的权限
3、隐蔽
4、潜伏
5、破坏

恶意代码命名规则#

一般格式：恶意代码前缀.恶意代码名称.恶意代码后缀

常见前缀：

前缀	含义
Boot	引导区病毒
DOSCom	DOS病毒
Worm	蠕虫病毒
Trojan	木马
Backdoor	后门
Win32、PE、Win95、W32、W95	文件型病毒或系统病毒
Macro	宏病毒
Script、VBS、JS	脚本病毒
Harm	恶意程序
Joke	恶作剧程序
Binder	捆绑机病毒
Dropper	病毒种植程序病毒

恶意代码生存技术#

反跟踪、加密、模糊变换、自动生产、三线程、进程注入、通信隐藏

恶意代码攻击技术#

远程注入、超级管理、端口反向连接、缓冲区溢出攻击

恶意分析代码防范技术#

• 静态分析
  • 反恶意代码软件
  • 字符串分析
  • 脚本分析
  • 静态反编译分析
  • 静态反汇编分析
• 动态分析
  • 文件检测
  • 进程检测
  • 网络活动检测
  • 注册表检测
  • 动态反汇编分析

防范措施：
1、加强用户安全意识、进行安全操作
2、建设恶意代码安全管理组织、制度、流程，设置相关管理岗位
3、实施恶意代码防御

计算机病毒#

计算机病毒是附着在其它程序上的、可以自我繁殖的、有一定破坏能力的程序代码。

计算机病毒具有传染性、破坏性、隐蔽性、潜伏性、不可预见性、可触发性、非授权性等特点。

计算机病毒生命周期一般包括：潜伏、传播、触发、发作，可以简化为复制传播、激活两个阶段。

木马#

木马不会自我繁殖，也并不刻意地去感染其它文件，它通过伪装自己来吸引用户下载执行。

常见木马：正向连接木马和反向连接木马。

木马攻击过程：
1、寻找并确定目标
2、收集网络拓扑结构、操作系统类型、应用软件情况等
3、通过网页、钓鱼、邮件等方式植入木马
4、隐藏等待触发
5、攻击

APT#

情报收集、防线突破、通道建立、横向渗透、信息收集及外传