第四讲 恶意软件及其防护要点课件.ppt
《第四讲 恶意软件及其防护要点课件.ppt》由会员分享,可在线阅读,更多相关《第四讲 恶意软件及其防护要点课件.ppt(39页珍藏版)》请在三一办公上搜索。
1、第四讲 恶意软件及其防护,第四讲 恶意软件及其防护,恶意病毒病毒对抗措施木马的工作原理及其检测流氓软件和不良信息过滤,4.1 恶意病毒,病毒发展史1949年,John Von Neumann在复杂自动机组织论勾勒了病毒程序的蓝图20世纪50年代末60年代初,Core War磁芯大战,后续有Darwin(物竞天择,适者生存)70年代上半叶,Creeper(爬行者)和收割者(Reeper)Dwarf(侏儒)、Germini(双子星)1975年,John BrunnerShock Wave Rider,计算机病毒概念萌芽1977年,Thomas. J.RyanThe Adolescence of P
2、-1,计算机病毒概念提出1983年11月,Fred Cohen和Len Adleman在实验上验证了计算机病毒的存在1986年,Basit和Amjad编写了Pakistan病毒1988年3月,苹果机上出现病毒1988年11月,Morris病毒发作1991年海湾战争中,美军第一次将是计算机病毒用于实战1997年,Macro Virus年1998年,CIH年1999年,Melissa病毒、Nimda病毒、Red Code病毒,4.1 恶意病毒,恶意软件及其威胁病毒的本质病毒生命周期休眠期传播期触发期执行期,4.1 恶意病毒,病毒程序的结构,4.1 恶意病毒,压缩病毒程序,4.1 恶意病毒,病毒类型
3、寄生病毒:感染可执行文件内存驻留病毒:感染所执行的一切程序引导扇区病毒:感染引导记录隐秘病毒:反杀毒软件检测多态病毒:利用随机数加密宏病毒与系统平台无关感染目标是文档传播更加简单电子邮件病毒电子邮件病毒归类为病毒电子邮件病毒搜寻本用户通信簿的地址列表,把自身发送到列表中的每一个地址病毒对计算机系统进行某种破坏,MS word中的三种可自动执行的宏自动执行宏(存在于normal.dot)自动宏(事先定义操作事件后执行)命令宏(用户调用命令是会被执行),4.1 恶意病毒,计算机病毒的传播途径计算机病毒存储于磁盘中,激活时驻留在内存中。一般对磁盘进行病毒检测时,要求内存中不带病毒。4096病毒:当它
4、在内存中时,查看被感染文件的长度,不会发现长度已经发生变化;当它不在内存中时,才会发现长度已经增长什么情况可保证内存中不带毒?从原始的、未受感染的系统盘启动系统盘本省写保护操作系统版本类型应等于或高于硬盘内相应系统的版本号要保证能够访问硬盘上的所有分区,即使用相应的磁盘管理软件启动是上电启动而不是软启动,4.1 恶意病毒,计算机病毒的检测方法比较法:用原始备份与被检测的引导扇区或被检测的文件进行比较debug d命令、DOS diskcomp命令或PCTOOlS工具Checksum法:根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将该码附于程序后面,现在多采用加密MD5值
5、的方法特征字串搜索法:用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描,看是否匹配该串,从而确定是否含有病毒病毒代码库和扫描程序如何选择合适的代码串?有何弊端?(耗时、特征串选择本省不易、老版本无法识别新病毒、病毒变种、误报滥报、不易识别多维变形病毒),4.1 恶意病毒,计算机病毒的检测方法虚拟机查毒:对付多态病毒。仿真CPU,在Virtual Machine下伪执行可疑计算机程序,安全解密,再加以扫描陷阱技术人工智能陷阱:归纳并学习计算机病毒行为,一旦发现内存中有任何不当行为,系统就会有所警告宏病毒陷阱:将宏与文件分开防病毒技术人员使用的分析法(静态分析:反汇编技术动态分析:用de
6、bug动态跟踪先知扫描(Virus Instruction Code Emulation):利用软件仿真技术,结合专家系统和病毒知识库,超前分析出新的计算机病毒代码,4.1 恶意病毒,反病毒软件的划分第一代:简单的病毒扫描器(检测方法1、3)第二代:启发式的病毒扫描器(检测方法2、5)第三代:主动的病毒活动陷阱(检测方法5、7)第四代:全面地多功能防护,4.1 恶意病毒,蠕虫网络蠕虫程序利用网络从一个系统传递到另外一个系统网络媒介包括:电子邮件设施:利用电子邮件,蠕虫可以将自身的副本传递给其它系统远程执行功能:利用此功能,蠕虫的副本可以在其它系统上远程运行远程登录功能:蠕虫可以作为一个用户登陆
7、远程系统,并使用相应的命令将自身从一个系统复制到另外的系统中,4.1 恶意病毒,蠕虫传播阶段主要执行如下功能:通过搜索已感染主机的地址簿或其它类似存放远程系统地址的相应文件,得到下一步要感染的目标建立与远程目标系统的连接将自身复制给远程目标系统,并执行该副本,4.1 恶意病毒,红色代码蠕虫(Red Code Worm)2001年7月16日发现,感染运行IIS4.0、5.0的Web Server利用了IIS目录服务的idq.dll文件的一个已知缓冲区溢出漏洞运行阶段传播期模式(每月119日):受感染计算机随机产生IP地址,并试图连接这些IP地址主机的HTTP端口(80)。若有一个IP主机连接上了
8、,并且有漏洞,将它发送HTTP的GET请求包,将蠕虫代码藏在其中传过去,破坏服务器上的网页。对Web Server的拒绝服务攻击模式(每月2027日):发送大量的泛洪般的数据包给一个已选定的IP地址的主机的HTTP端口。休眠期(每月28日至月末):蠕虫驻留在存储器中,不被激活。,红色代码蠕虫第1阶段感染与传播,红色代码蠕虫第1阶段感染与传播,红色代码蠕虫第2阶段对白宫Web Server的拒绝服务攻击模拟,4.2 病毒对抗措施,单机下的病毒防范选择一款功能完善的单机版防杀计算机病毒软件计算机病毒检测扫描器实时监控程序未知计算机病毒检测压缩文件内部检测文件下载监视清除病毒能力病毒特征代码库自动升
9、级重要数据备份定时扫描支持多种分区格式关机时检查软件注重计算机病毒检测率(流行病毒100%,非流行病毒90%),4.2 病毒对抗措施,单机下的主要防护工作检查BIOS设置,引导顺序是硬盘先启动关闭BIOS中的软件升级安装防杀毒软件,保持最新的计算机病毒特征代码库备份系统中重要的数据和文件打开office中的“宏病毒防护”选项normal.dot为只读属性设置合适的Internet安全级别,防范来自Active X和JAVA Applet的恶意代码对抗病毒的方法:检测定位、识别、清除、恢复,4.2 病毒对抗措施,小型局域网防范简单的对等网络防范Windows网络的防毒UNIX/Linux网络的防
10、毒大型网络病毒防范在Internet入口安装网络型计算机病毒防治产品在外网单独设立一台服务器,安装服务器版的网络防杀病毒软件,并对整个网络进行实时监控内网应参照小型局域网防范要点布防建立严格的规章制度,定期检查各项防范工作状态,4.2 病毒对抗措施,高级防病毒技术通用解密(Generic Decryption)CPU仿真诱饵:一个基于软件的虚拟计算机。可执行程序的指令由CPU模拟器来解释执行,而不是由真正的底层处理器执行。病毒特征码扫描器:一个对目标代码进行扫描,以寻找已知病毒特征码的模块。仿真诱饵控制模块:该模块控制目标代码的执行,对目标代码的指令进行一次一条地解释(interpreting
11、)。数字免疫系统(Digital Immune System),4.2 病毒对抗措施,高级防病毒技术行为阻止软件(Behavior-Blocking Software)在监测到恶意的程序行为之后,行为阻止软件将在恶意行为对实际主机系统产生危害之前就阻止这些行为。要监控的计算机内部的行为包括以下几类:(1)试图打开、浏览、删除、修改文件;(2)试图格式化磁盘或者执行其它不可恢复的磁盘操作;(3)试图修改可执行文件的运行逻辑,以及对宏的脚本进行修改;(4)试图修改重要的计算机系统设置,如启动设置等;(5)电子邮件和即时聊天等客户的脚本试图发送可执行的内容;(6)计算机内自动地启动向外网络的可疑连接
12、通信(如木马)。,4.3 木马的工作原理及其检测,计算机木马的概念特洛伊木马(Trojan Horse)源于古希腊士兵藏在木马内进入敌城特洛伊,占领敌城的故事计算机木马指黑客在可供网络应用程序或网络游戏中,添加可以控制用户计算机系统的程序,可能造成用户系统被破坏、账户被窃取、财产损失木马不具有传染性和自我复制能力计算机木马的工作原理木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端木马设计者采用多种手段隐藏木马当服务端在被感染的机器上成功运行后,就会有一个或几个端口被打开,设计者就可使用客户端与服务端建立连接,并进一步控制被感染机器,4.3 木马的工作原理及其检测,木
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第四讲 恶意软件及其防护要点课件 第四 恶意 软件 及其 防护 要点 课件
链接地址:https://www.31ppt.com/p-1548783.html