恶意代码技术分析与应急响应ppt课件.ppt

上传人：牧羊曲112

文档编号：1972135

上传时间：2022-12-29

格式：PPT

页数：68

大小：3.63MB

《恶意代码技术分析与应急响应ppt课件.ppt》由会员分享，可在线阅读，更多相关《恶意代码技术分析与应急响应ppt课件.ppt（68页珍藏版）》请在三一办公上搜索。

1、,恶意代码技术分析与应急响应,Zhenxiang CHEN ,2022/12/29,恶意代码技术分析及应急响应,2,提纲,恶意代码及其分类恶意代码技术的发展恶意代码分析与防范讨论,2022/12/29,恶意代码技术分析及应急响应,3,什么是恶意代码,代码计算机程序在一定的环境下可以执行恶意的行为在不为用户所知的情况下破坏侵入用户的计算机系统，破坏计算机系统、网络或信息的保密性、完整性、可用性恶意移动代码在计算机之间传播,2022/12/29,恶意代码技术分析及应急响应,4,常见的恶意代码,计算机病毒网络蠕虫木马/后门网页脚本流氓软件其他,2022/12/29,恶意代码技术分析及应急响应,5,计

2、算机病毒的主要特点,自我复制，非主动传播存储介质、电子邮件等寄生于宿主机或宿主程序不以文件形式存在隐蔽性和潜伏性感染后不一定立刻发作；依附于其他文件、程序、介质，不被发现可触发性触发条件：日期、时间、文件类型破坏性,2022/12/29,恶意代码技术分析及应急响应,6,最早的计算机病毒：磁芯对战（Core War ）,National Security Agency (NSA) ：Robert MorrisRedCode/PDP-1Core WarSimplest program:MOV 0，1,2022/12/29,恶意代码技术分析及应急响应,7,计算机病毒的分类,按攻击平台分类：DOS,

3、Win32，MAC，Unix按危害分类：良性、恶性按代码形式：源码、中间代码、目标码按宿主分类：引导型、文件型、其他分类方法.CARO（计算机反病毒研究组织）的命名方法： :/. virus:/W32/Beast.41472.A , WinCE/Duts.1520W32/Beast.41472.A , WM/Concept.B:Fr,2022/12/29,恶意代码技术分析及应急响应,8,网络蠕虫（Worm）,美国传统词典A program that replicates itself and interferes with software function or destroys store

4、d information.一种能够自我复制的计算机程序，它利用网络上计算机系统的漏洞自主的将自己复制到其它计算机上特点主动传播，不依赖用户的介入不依赖宿主程序，独立存在,2022/12/29,恶意代码技术分析及应急响应,9,蠕虫的历史回顾,Morris Worm， 1988年11月2日 Sadmind/IIS Worm2001年5月 CodeRed Worm，2001年7月19日/8月4日 Nimda Worm， 2001年9月18日Slapper蠕虫 2002年9月14日 Slammer，2003年1月25日Dvldr32， 2003年3月7日Blaster， 2003年8月12日Nach

5、i，2003年8月18日Santy2003Witty2004,2022/12/29,恶意代码技术分析及应急响应,10,特洛伊木马/后门,通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门没有主动传播的功能用户主动发送给其他人放到网站上由用户下载,2022/12/29,恶意代码技术分析及应急响应,11,常见木马程序,Back Orifice：击键记录、屏幕获取等冰河广外女生用于远程控制的商业软件,2022/12/29,恶意代码技术分析及应急响应,12,修改标题,修改起始页面，且禁止用户修改,2022/12/29,恶意代码技术分析及应急响应,13,钓鱼伪造的网页,2022/

6、12/29,恶意代码技术分析及应急响应,14,恶意代码的破坏性,没有破坏性，恶作剧破坏系统文件破坏用户数据消耗系统资源：CPU/内存/硬盘/外设消耗网络资源：网络拥塞/DDoS攻击窃取用户隐私信息有组织的网络犯罪,2022/12/29,恶意代码技术分析及应急响应,15,恶意移动代码发展趋势,各种手段的融合电子邮件应用网络文件共享利用系统漏洞P2P软件社会工程（social engineering )变种速度越来越快利益驱动的越来越多,2022/12/29,恶意代码技术分析及应急响应,16,Rise of Attacks - Attack Sophistication vs Intruder T

7、ech Knowledge,Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues. CERT Coordination Center. Nov. 2002,2022/12/29,恶意代码技术分析及应急响应,17,互联网所面临的风险越来越大,全球基础设施区域性网络多个网络单个网络单台计算机,攻击目标和破坏程度,First GenBoot viruses,Weeks,Second GenMacro virusesDenial of service,Days,Third GenDistrib

8、uted denial of serviceBlended threats,Minutes,Next GenFlash threatsMassive worm-driven DDoSDamaging payload worms,Seconds,1980s,1990s,Today,Future,2022/12/29,恶意代码技术分析及应急响应,18,提纲,恶意代码及其分类恶意代码技术的发展恶意代码分析与防范讨论,2022/12/29,恶意代码技术分析及应急响应,19,恶意代码技术发展,传播与感染技术隐藏技术与隐蔽通信代码的演化技术,2022/12/29,恶意代码技术分析及应急响应,20,恶意代码

9、的传播技术,引导记录传播移动介质（如U盘传播）可执行文件传播数据文件传播（宏）利用电子邮件传播通过文件共享传播网页脚本P2P文件共享即时通信软件（ICQ/MSN/QQ等）系统漏洞传播在内存中传播,2022/12/29,恶意代码技术分析及应急响应,21,引导型病毒引导记录,主引导记录（MBR）,A,2022/12/29,恶意代码技术分析及应急响应,22,引导型病毒感染与执行过程,系统引导区,引导正常执行,病毒,引导系统,病毒体,2022/12/29,恶意代码技术分析及应急响应,23,利用移动介质的自启动功能传播,autorun.inf icon OpenRECYCLER目录隐藏扩展名伪装成系统

10、图标,2022/12/29,恶意代码技术分析及应急响应,24,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,病毒程序,程序头,DOS下的EXE文件感染,2022/12/29,恶意代码技术分析及应急响应,25,感染数据文件的病毒-宏病毒,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,2022/12/29,恶意代码技术分析及应急响应,26,通过电子邮件传播,感染途径邮件附件：PIF，VBS, SCR, EXE, BAT, H

11、TML邮件中的链接系统漏洞，如Nimda所利用的MIME漏洞http:/,2022/12/29,恶意代码技术分析及应急响应,27,通过电子邮件传播,插入E-Mail附件SMTP 代理,2022/12/29,恶意代码技术分析及应急响应,28,利用社会工程传播的邮件病毒,2022/12/29,恶意代码技术分析及应急响应,29,利用网页脚本传播,Web 浏览器的客户端功能扩展Java AppletJava ScriptActiveXVBScript脚本的恶意功能读写文件修改注册表发送电子邮件, HELLOwsh.RegWrite(HKCUSoftwareMicrosoftInternet Explo

12、rerMainStart Page, http:/)Hello, Check your C:,2022/12/29,恶意代码技术分析及应急响应,30,利用系统漏洞传播,利用系统漏洞：exploit利用其他攻击留下的后门W32/Borm 利用BackorificeNimda 利用Code Red的后门,CodeRed II 留下的Web 日志2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/././winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 10.10.10.

13、10 - 10.20.20.20 80 GET /scripts/././winnt/system32/cmd.exe /c+dir+. 200 Nimda攻击形式 http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir,2022/12/29,恶意代码技术分析及应急响应,31,恶意代码自保护技术,反反汇编（Antidisassembly）多态病毒（Polymorphic Viruses ）变形病毒（Metamorphic Viruses）反跟踪（Antidebu

14、gging）反制病毒,2022/12/29,恶意代码技术分析及应急响应,32,反反汇编（Antidisassembly）,数据压缩数据加密Fix2001干扰代码,MOV CX, 100h ; this many bytesMOV AH, 40h ; to writeINT 21h ; use main DOS handler,MOV CX,003Fh ; CX=003FhINC CX ; CX=CX+1 (CX=0040h)XCHG CH,CL ; swap CH and CL (CX=4000h)XCHG AX,CX ; swap AX and CX (AX=4000h)MOV CX,010

15、0h ; CX=100hINT 21h,2022/12/29,恶意代码技术分析及应急响应,33,多态病毒（Polymorphic Viruses ）,在解密引擎（Engine）中插入大量的垃圾指令,2022/12/29,恶意代码技术分析及应急响应,34,变形病毒（Metamorphic Viruses）,“变形（metamorphic）是病毒体的多态”变形（metamorphic）病毒没有解密引擎，也没有不变的病毒体，但是却有能力制造看起来完全不同的病毒副本,2022/12/29,恶意代码技术分析及应急响应,35,简单的变形技术,置换寄存器,2022/12/29,恶意代码技术分析及应急响应,3

16、6,简单的变形技术,置换子程序BdyBoy病毒有8个子程序，因此有8!=40320个不同的病毒式样。W32/Ghost有10个子程序，因此有10!=3628800个不同的组合。,2022/12/29,恶意代码技术分析及应急响应,37,更复杂的变形和置换,指令级置换,2022/12/29,恶意代码技术分析及应急响应,38,反跟踪,接管 INT 1 (单步中断)和INT 3（断点中断）接管INT9 中断，让键盘失灵在代码执行过程中检测堆栈状态在WIN32环境下使用API函数IsDebuggerPresent() 查找注册表检测调试工具,MOV BP,SP ; 获取堆栈指针PUSH AX ; 将AX

17、的数据保存的堆栈中POP AX ; 从堆栈中取出刚刚保存的数据CMP WORD PTR BP-2, AX ; 和堆栈中的数据进行比较JNE DEBUG ; 检测到有调试器!,2022/12/29,恶意代码技术分析及应急响应,39,反制病毒,监控进程的运行状态杀死防病毒软件方病毒软件的对策使防病毒软件不能更新C:Windowssystem32driversetchosts127.0.0.1 ,2022/12/29,恶意代码技术分析及应急响应,40,恶意代码进程隐藏,传统病毒修改系统程序伪装成系统程序相似的文件名: scvhost.exe, 相同的名字，不同的目录修改EnumProcessModu

18、les DLL与线程注入Rundll32.exe Svchost.exeExplorer.exe内存中传播，没有文件：CodeRed, Slammer,2022/12/29,恶意代码技术分析及应急响应,41,恶意代码隐蔽通信技术,反向连接常用端口ICMP通信加密通信隧道通信（ IP in IP, IPv6/IPv4）,2022/12/29,恶意代码技术分析及应急响应,42,网络代理木马,ARP欺骗，与ARP木马DHCP欺骗域名欺骗,2022/12/29,恶意代码技术分析及应急响应,43,ARP 欺骗,166.111.1.0/24,166.111.1.1,IP: 166.111.1.10MAC:

19、 AAAAAA,202.112.58.1,IP: 202.112.58.200MAC: CCCCCC,IP: 166.111.1.20MAC: BBBBBB,A ALL : Who has IP 166.111.1.1?B A : My MAC address is BBBBBB , ip=166.111.1.1,Router,A,B,C,2022/12/29,恶意代码技术分析及应急响应,44,DHCP Spoofing,DHCPServer,Attacker,Normal User,2022/12/29,恶意代码技术分析及应急响应,45,Virus Construction Kits(VCK

20、),NGVCK (Next Generation Virus Creation Kit,2022/12/29,恶意代码技术分析及应急响应,46,僵尸网络（Botnet）,2022/12/29,恶意代码技术分析及应急响应,47,恶意代码的交互：进化,2022/12/29,恶意代码技术分析及应急响应,48,提纲,恶意代码及其分类恶意代码技术的发展恶意代码分析与防范讨论,2022/12/29,恶意代码技术分析及应急响应,49,恶意代码分析与防范,分析静态分析动态分析网络特征提取检测基于主机检测网络检测：IDS等控制基于主机的控制基于网络的控制：Firewall，路由和域名控制,2022/12/29,

21、恶意代码技术分析及应急响应,50,文件结构的静态分析,2022/12/29,恶意代码技术分析及应急响应,51,静态分析工具IDA Pro,2022/12/29,恶意代码技术分析及应急响应,52,启发式（Heuristic）检测,启发式指运用某种经验或知识去判定未知事物的方法静态启发式检测：检查文件结构的异常变化DOS EXAMPLE1. COM 12345 01-01-1995 12:02:62EXAMPLE2. COM 12345 01-01-2095 12:01:36Windows PE 文件结构 E.g pedump calc.exe,2022/12/29,恶意代码技术分析及应急响应

22、,53,动态分析,调试运行SoftIce虚拟环境运行VMWareVirtual PCPowerShadowSand-Box代码仿真,2022/12/29,恶意代码技术分析及应急响应,54,代码仿真/模拟（Code Emulation ）,在构造的虚拟机里模拟运行病毒代码对付加密病毒、多态病毒比较有效,typedef struct byte ah,al,bh,bl,ch,cl,dh,dl; word si,di,sp,bp,cs,ds,es,ss,ip; Emulator_Registers_t;typedef struct byte c,z,p,s,o,d,i,t,a; Emulator_Fl

23、ags_t;,2022/12/29,恶意代码技术分析及应急响应,55,代码仿真技术检测多态病毒,软件模拟执行病毒的解密引擎总是存在一个时刻，可以拿到解密后的完整病毒体由于完全解密时间太长，可以部分解密,2022/12/29,恶意代码技术分析及应急响应,56,个人防范恶意代码的几项措施,安装安全的操作系统启动防火墙系统更新与补丁管理帐号与口令防病毒系统注册表管理IE浏览器安全问题检查本地木马程序使用常用的安全工具,2022/12/29,恶意代码技术分析及应急响应,57,注册表管理,注册表是系统配置数据库，常用工具Regedit超级兔子（注册表监视与清理）Regsnap （注册表监视）regCl

24、eaner （注册表清理）Registry Toolkit （注册表编辑器）RegWorkshop （注册表编辑器）,2022/12/29,恶意代码技术分析及应急响应,58,注册表管理,使用注册表管理器在开始-运行里输入regedit然后回车导入和导出注册表备份修改或删除注册表键值使用查找功能使用收藏功能使用记事本编辑.reg文件,2022/12/29,恶意代码技术分析及应急响应,59,IE插件（加载项）,2022/12/29,恶意代码技术分析及应急响应,60,浏览器的恢复,修改IE默认页HKEYCURRENTUSERSoftwareMicrosoftInternet ExplorerMain

25、HKEYLOCALMACHINESoftwareMicrosoftInternet ExplorerMain修改键值DefaultPageURL/ Start IE默认主页修改权限的操作HKEYCURRENTUSERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel修改键值HomePage，1,2022/12/29,恶意代码技术分析及应急响应,61,2022/12/29,恶意代码技术分析及应急响应,62,本地病毒木马程序检查,检查发现系统运行突然变慢杀毒软件查出病毒,但是无法清除也无法隔离启动系统后不做任何网络操作,在命令行执行net

26、stat an命令启动系统后不做任何网络操作几分钟后运行netstat s命令查看系统进程中是否有可疑进程(例如Svohost.exe之类的)查看系统启动项里是否有可疑进程,2022/12/29,恶意代码技术分析及应急响应,63,本地病毒木马程序检查,查找相关木马程序所在位置:直接使用杀毒软件查杀将可疑进程的名字到google上去查找看是否有相关资料自己使用netstat ano(winxp以上版本)或者fport.exe(win2000及以下版本)软件查看到注册表里去查找使用一些其他的进程查看软件,2022/12/29,恶意代码技术分析及应急响应,64,本地病毒木马程序检查,手动清除的基本过

27、程:关闭系统还原功能重新启动系统到安全模式下(启动时按F8)找到相应文件删除掉修改相应的注册表值,2022/12/29,恶意代码技术分析及应急响应,65,本地病毒木马程序检查,修改注册表,恢复系统查看隐藏文件的功能:HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN将CheckedValue的值改为2HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSH

28、OWALL将CheckedValue的值改为1,2022/12/29,恶意代码技术分析及应急响应,66,本地病毒木马程序检查,到C:/windows/system32下去找到刚才注册表里查看的KB896588M.LOG,删除掉它修改注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows的AppInitDLLs 值改为空重新启动系统,并及时安装杀毒软件,进行全面杀毒,2022/12/29,恶意代码技术分析及应急响应,67,提纲,恶意代码及其分类恶意代码技术的发展恶意代码分析与防范讨论回答问题：你觉得恶意代码技术的发展对计算机网络相关技术和领域的发展起了哪些作用？,2022/12/29,恶意代码技术分析及应急响应,68,Thanks, See you later,