1、信息安全理论与技术711恶意代码检测与防范恶意代码检测与防范恶意代码检测与防范恶意代码检测与防范信息安全理论与技术7提纲提纲提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马4总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7恶意代码的概念恶意代码的概念恶意代码的概念恶意代码的概念 代码是指计算机程序代码,可以被执行完代码是指计算机程序代码,可以被执行完成特定功能。成特定功能。恶意代码(恶意代码(Malicious CodesMalicious Codes)指的是黑客)指的是黑客们编写的扰乱社会和他人,起着破坏作用们编写的扰乱社会和他人,起着破坏作用的
2、计算机程序。的计算机程序。病毒病毒 木马木马 蠕虫蠕虫 间谍软件间谍软件 信息安全理论与技术7恶意代码的主要功能恶意代码的主要功能恶意代码的主要功能恶意代码的主要功能收集你的相关信息收集你的相关信息诱骗访问恶意网站诱骗访问恶意网站删除敏感信息删除敏感信息监视键盘监视键盘窃取文件窃取文件开启后门(肉鸡)开启后门(肉鸡)作为网络传播的起点作为网络传播的起点隐藏在主机上的所有活动隐藏在主机上的所有活动 信息安全理论与技术7恶意代码的危害恶意代码的危害恶意代码的危害恶意代码的危害攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪或操作异常;攻击系统,造成系统瘫痪
3、或操作异常;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;危害数据文件的安全存储和使用;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;泄露文件、配置或隐私信息;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;肆意占用资源,影响系统或网络的性能;攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。攻击应用程序,如影响邮件的收发。信息安全理论与技术7恶意代码的分类恶意代码的分类恶意代码的分类恶意代码的分类分类标准分类标准
4、需要宿主需要宿主无需宿主无需宿主不能自我复制不能自我复制不感染的依附性不感染的依附性恶意代码恶意代码不感染的独立性不感染的独立性恶意代码恶意代码能够自我复制能够自我复制可感染的依附性可感染的依附性恶意代码恶意代码可感染的独立性可感染的独立性恶意代码恶意代码特定的应用程序、工具程序或系统程序信息安全理论与技术7恶意代码的分类实例恶意代码的分类实例恶意代码的分类实例恶意代码的分类实例类别类别实例实例不感染的依附性不感染的依附性恶意代码恶意代码特洛伊木马(特洛伊木马(Trojan horseTrojan horse)逻辑炸弹(逻辑炸弹(Logic bombLogic bomb)后门(后门(Backd
5、oorBackdoor)或陷门()或陷门(TrapdoorTrapdoor)不感染的独立性不感染的独立性恶意代码恶意代码点滴器(点滴器(DropperDropper)繁殖器(繁殖器(GeneratorGenerator)恶作剧(恶作剧(HoaxHoax)可感染的依附性可感染的依附性恶意代码恶意代码病毒(病毒(VirusVirus)可感染的独立性可感染的独立性恶意代码恶意代码蠕虫(蠕虫(WormWorm)信息安全理论与技术7恶意代码的生命周期恶意代码的生命周期恶意代码的生命周期恶意代码的生命周期 每个恶意代码都拥有一个生命周期,从生每个恶意代码都拥有一个生命周期,从生成开始到完全消亡结束。恶意代
6、码的生命成开始到完全消亡结束。恶意代码的生命周期主要包括:程序设计周期主要包括:程序设计-传播传播-感染感染-触发触发-运行等环节。运行等环节。*信息安全理论与技术71 1、恶意代码的传播机制、恶意代码的传播机制、恶意代码的传播机制、恶意代码的传播机制 互联网互联网 局域网局域网 移动存储设备移动存储设备 无线设备和点对点通信系统无线设备和点对点通信系统2 2、恶意代码的感染机制、恶意代码的感染机制 感染执行文件感染执行文件 感染引导区感染引导区 感染结构化文档感染结构化文档信息安全理论与技术7 3 3、恶意代码的触发机制、恶意代码的触发机制(1 1).日期触日期触发发:(2 2).时间时间触
7、触发发:(3 3).键盘键盘触触发发:(4 4).感染触感染触发发:(5 5).启启动动触触发发:(6 6).访问访问磁磁盘盘次数触次数触发发:(7 7).调调用中断功能触用中断功能触发发:(8 8).CPU.CPU型号型号/主板型号触主板型号触发发:1010信息安全理论与技术7提纲提纲提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7冲击波病毒冲击波病毒冲击波病毒冲击波病毒暴发能暴发能2003年夏年夏全球损失几百亿美元全球损失几百亿美元信息安全理论与技术7 计算机病毒计算机病毒 计计算机病毒能算
8、机病毒能算机病毒能算机病毒能够寻够寻找宿主找宿主找宿主找宿主对对象,并且依附于宿象,并且依附于宿象,并且依附于宿象,并且依附于宿主,是一主,是一主,是一主,是一类类具有具有具有具有传传染、染、染、染、隐隐蔽、破坏等能力的蔽、破坏等能力的蔽、破坏等能力的蔽、破坏等能力的恶恶意代意代意代意代码码,本本本本质质特征:特征:特征:特征:传传染性染性染性染性和和和和依附性依附性依附性依附性 分类分类 按按按按传传播媒介分播媒介分播媒介分播媒介分类类 单单机病毒和网机病毒和网机病毒和网机病毒和网络络病毒病毒病毒病毒 按按按按传传播方式分播方式分播方式分播方式分类类 引引引引导导型病毒、文件型病毒和混合型病
9、毒型病毒、文件型病毒和混合型病毒型病毒、文件型病毒和混合型病毒型病毒、文件型病毒和混合型病毒 信息安全理论与技术7计算机病毒的特征计算机病毒的特征计算机病毒的特征计算机病毒的特征病毒主要特征病毒主要特征解释解释传染性传染性病毒具有把自身复制到其它程序中的特性。病毒具有把自身复制到其它程序中的特性。隐蔽性隐蔽性通过隐蔽技术使宿主程序的大小没有改变,以至通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。于很难被发现。破坏性破坏性计算机所有资源包括硬件资源和软件资源,软件计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏所能接触的地方均可能受到计算机病毒的破坏潜
10、伏性潜伏性长期隐藏在系统中,只有在满足特定条件时,才长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。启动其破坏模块。其它其它取得系统控制权和不可预见等特征。取得系统控制权和不可预见等特征。信息安全理论与技术7计算机病毒的基本机制计算机病毒的基本机制计算机病毒的基本机制计算机病毒的基本机制 传传染机制染机制染机制染机制 指指指指计计算机病毒由一个宿主算机病毒由一个宿主算机病毒由一个宿主算机病毒由一个宿主传传播到另一个宿主程序,由一个播到另一个宿主程序,由一个播到另一个宿主程序,由一个播到另一个宿主程序,由一个系系系系统进统进入另一个系入另一个系入另一个系入另一个系统统的的的的过过程。程
11、。程。程。v计算机病毒的基本机制计算机病毒的基本机制传染机制传染机制、触发机制触发机制、破坏机制破坏机制 触发机制触发机制计算机病毒在传染和发作之前,要判断某些特定条件是否计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。满足,这个条件就是计算机病毒的触发条件。破坏机制破坏机制 良性病毒表现为占用内存或硬盘资源。良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。恶性病毒则会对目标主机系统或信息产生严重破坏。信息安全理论与技术7病毒传播的两种方式病毒传播的两种方式病毒传播的两种方式病毒传播的两种方式 被动传播被动传播 用用用用
12、户户在在在在进进行复制磁行复制磁行复制磁行复制磁盘盘或文件或文件或文件或文件时时,把病毒由一个,把病毒由一个,把病毒由一个,把病毒由一个载载体复制到另一个体复制到另一个体复制到另一个体复制到另一个载载体上,或者通体上,或者通体上,或者通体上,或者通过过网网网网络络把一把一把一把一个病毒程序从一方个病毒程序从一方个病毒程序从一方个病毒程序从一方传递传递到另一方。到另一方。到另一方。到另一方。v主动传播主动传播计算机病毒以计算机系统的运行及病毒程序处于计算机病毒以计算机系统的运行及病毒程序处于激活状态为先决条件,在病毒处于激活状态下,激活状态为先决条件,在病毒处于激活状态下,只要传播条件满足,病毒
13、程序能主动把病毒自身只要传播条件满足,病毒程序能主动把病毒自身传播给另一个载体或另一个系统。传播给另一个载体或另一个系统。信息安全理论与技术7传染源传染源:病毒制造传染媒介传染媒介:计算机网络、可移动的存储介质病毒激活病毒激活:设置触发条件,条件成熟开始作用病毒表现病毒表现:凡是软件技术能够触发到的地方传染传染:病毒复制一个自身副本到传染对象中去病毒工作过程病毒工作过程存储介质存储介质:硬盘、程序、系统。信息安全理论与技术718引导型病毒引导型病毒引导型病毒引导型病毒引导记录引导记录引导记录引导记录 主引导记录(主引导记录(MBRMBR)55AA主引导程序(446字节)分区1(16 字节)主分
14、区表(64字节)分区2(16 字节)分区3(16 字节)分区4(16 字节)结束标记(2字节)引导代码及出错信息A信息安全理论与技术719引导型病毒引导型病毒引导型病毒引导型病毒感染与执行过程感染与执行过程感染与执行过程感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。信息安全理论与技术72024/3/31恶意代码技术分析及应急响应20利用移动介质的自启动功能传播利用移动介质的自启动功能传播利用移动介质的自启动功能传播利用移动介质的自启动功能传播 autorun.inf autorun.inf iconicon OpenOpen RECYCLERRECYCL
15、ER目录目录 隐藏扩展名隐藏扩展名 伪装成系统图标伪装成系统图标信息安全理论与技术721正常正常程序程序正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头程序头程序头
16、程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头DOSDOS下的下的下的下的EXEEXE文件感染文件感染文件感染文件感染信息安全理论与技术7宏病毒宏病毒宏病毒宏病毒 宏病
17、毒宏病毒 使用使用使用使用宏宏宏宏语语言言言言编编写的程序,可以在一些数据写的程序,可以在一些数据写的程序,可以在一些数据写的程序,可以在一些数据处处理理理理系系系系统统中运行,存在于字中运行,存在于字中运行,存在于字中运行,存在于字处处理文档、数据表格、理文档、数据表格、理文档、数据表格、理文档、数据表格、数据数据数据数据库库、演示文档等数据文件、演示文档等数据文件、演示文档等数据文件、演示文档等数据文件中。中。中。中。信息安全理论与技术7宏病毒的特点宏病毒的特点宏病毒的特点宏病毒的特点 宏病毒具有如下特点宏病毒具有如下特点 传传播快播快播快播快 WordWord文档是交流最广的文件文档是交
18、流最广的文件文档是交流最广的文件文档是交流最广的文件类类型。人型。人型。人型。人们们大多大多大多大多对对外外外外来的文档文件基本是直接来的文档文件基本是直接来的文档文件基本是直接来的文档文件基本是直接浏览浏览使用,使用,使用,使用,这给这给WordWord宏宏宏宏病毒病毒病毒病毒传传播播播播带带来很多便利。来很多便利。来很多便利。来很多便利。制作、制作、制作、制作、变变种方便种方便种方便种方便 WordWord使用宏使用宏使用宏使用宏语语言言言言WordBasicWordBasic来来来来编编写宏指令。用写宏指令。用写宏指令。用写宏指令。用户户很方便就可以看到很方便就可以看到很方便就可以看到很
19、方便就可以看到这这种宏病毒的全部面目种宏病毒的全部面目种宏病毒的全部面目种宏病毒的全部面目。把把把把宏病毒稍微加以改宏病毒稍微加以改宏病毒稍微加以改宏病毒稍微加以改变变,立即就生,立即就生,立即就生,立即就生产产出了一种新的出了一种新的出了一种新的出了一种新的宏病毒宏病毒宏病毒宏病毒.破坏性大破坏性大破坏性大破坏性大信息安全理论与技术7提纲提纲提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马4总结总结5信息安全理论与技术7熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点病毒名称 熊猫烧香 又称 尼姆亚、武汉男生、worm.whBoy.wor
20、m.whBoy.、worm.nimaya.worm.nimaya.病毒类型 蠕虫病毒危险级别 影响系统 Win 9X/ME/NT/2000/XP/2003Win 9X/ME/NT/2000/XP/20032006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。信息安全理论与技术7熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点熊猫烧香病毒特点湖北省公安厅2007年2月12日宣布,根据统一部署,湖
21、北省网监在多个省市公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,岁,武汉新洲区人)。病毒制造者被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。信息安全理论与技术7蠕虫蠕虫蠕虫蠕虫 概念概念 一一一一类类特殊的特殊的特殊的特殊的恶恶意代意代意代意代码码,可以在,可以在,可以在,可以在计计算机系算机系算机系算机系统统或网或网或网或网络络中繁殖,由于不依附于其他程序,中繁殖,由于不依附于其他程序,中繁殖,由于不依附于其他程序,中繁殖,由于不依附于其他程序,这这种繁殖使它种繁殖使它种繁殖使它种繁殖使它们们看上去是在内存、磁看上去是在内存、磁看上去是在内存
22、、磁看上去是在内存、磁盘盘或网或网或网或网络络中移中移中移中移动动。特征特征 不用不用不用不用计计算机使用者干算机使用者干算机使用者干算机使用者干预预即可运行的攻即可运行的攻即可运行的攻即可运行的攻击击程序或代程序或代程序或代程序或代码码;它会它会它会它会扫扫描和攻描和攻描和攻描和攻击击网网网网络络上存在系上存在系上存在系上存在系统统漏洞的漏洞的漏洞的漏洞的节节点主机,点主机,点主机,点主机,通通通通过过网网网网络络从一个从一个从一个从一个节节点点点点传传播到另外一个播到另外一个播到另外一个播到另外一个节节点。点。点。点。信息安全理论与技术7蠕虫的特征蠕虫的特征蠕虫的特征蠕虫的特征蠕虫主要特征
23、蠕虫主要特征解释解释主动攻击主动攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本是全自动。成功后复制副本是全自动。造成网络拥塞造成网络拥塞1.传播的过程中,蠕虫需要判断感染条件的存在。传播的过程中,蠕虫需要判断感染条件的存在。2.同时出于攻击网络的需要,蠕虫也可以产生大同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量。量恶意流量。消耗系统资源消耗系统资源搜索目标主机、漏洞、感染其它主机需要消耗资搜索目标主机、漏洞、感染其它主机需要消耗资源;许多蠕虫本身就会恶意耗费系统的资源。源;许多蠕虫本身就会恶意耗费系统的资源。反复性反复性即使清除了蠕
24、虫,如果没有修补计算机系统漏洞,即使清除了蠕虫,如果没有修补计算机系统漏洞,网络中的计算机还是会被重新感染。网络中的计算机还是会被重新感染。破坏性破坏性现在蠕虫开始包含其它种类恶意代码,破坏被攻现在蠕虫开始包含其它种类恶意代码,破坏被攻击的计算机系统,而且造成的损失越来越大。击的计算机系统,而且造成的损失越来越大。信息安全理论与技术7蠕虫工作机制蠕虫工作机制蠕虫工作机制蠕虫工作机制2929信息收集信息收集攻击渗透攻击渗透现场处理现场处理 按照一定的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析。程进行漏洞的分析。如
25、果目标主机上有如果目标主机上有可以利用的漏洞则可以利用的漏洞则确定为一个可以攻确定为一个可以攻击的主机,否则放击的主机,否则放弃攻击。弃攻击。信息安全理论与技术7蠕虫工作机制蠕虫工作机制蠕虫工作机制蠕虫工作机制信息收集信息收集攻击渗透攻击渗透现场处理现场处理通过收集的漏洞通过收集的漏洞信息尝试攻击,一信息尝试攻击,一旦攻击成功,则获旦攻击成功,则获得控制该主机的权得控制该主机的权限,将蠕虫代码渗限,将蠕虫代码渗透到被攻击主机。透到被攻击主机。按照一定的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析。程进行漏洞的分析
26、。如果目标主机上有如果目标主机上有可以利用的漏洞则可以利用的漏洞则确定为一个可以攻确定为一个可以攻击的主机,否则放击的主机,否则放弃攻击。弃攻击。信息安全理论与技术7蠕虫工作机制蠕虫工作机制蠕虫工作机制蠕虫工作机制3131信息收集信息收集攻击渗透攻击渗透现场处理现场处理通过收集的漏洞通过收集的漏洞信息尝试攻击,一信息尝试攻击,一旦攻击成功,则获旦攻击成功,则获得控制该主机的权得控制该主机的权限,将蠕虫代码渗限,将蠕虫代码渗透到被攻击主机。透到被攻击主机。按照一定的策按照一定的策略搜索网络中存活略搜索网络中存活的主机,收集目标的主机,收集目标主机的信息,并远主机的信息,并远程进行漏洞的分析。程进
27、行漏洞的分析。如果目标主机上有如果目标主机上有可以利用的漏洞则可以利用的漏洞则确定为一个可以攻确定为一个可以攻击的主机,否则放击的主机,否则放弃攻击。弃攻击。攻击成功后,要对攻击成功后,要对被攻击的主机进行被攻击的主机进行一些处理,将攻击一些处理,将攻击代码隐藏,为了能代码隐藏,为了能使被攻击主机运行使被攻击主机运行蠕虫代码,还要通蠕虫代码,还要通过注册表将蠕虫程过注册表将蠕虫程序设为自启动状态;序设为自启动状态;可以完成它想完成可以完成它想完成的任何动作,如恶的任何动作,如恶意占用意占用CPUCPU资源等。资源等。信息安全理论与技术7网络蠕虫传播模型网络蠕虫传播模型网络蠕虫传播模型网络蠕虫传
28、播模型慢速发展阶段慢速发展阶段快速发展阶段快速发展阶段缓慢消失阶段缓慢消失阶段 漏洞被蠕虫设计漏洞被蠕虫设计者发现,并利用漏洞者发现,并利用漏洞设计蠕虫发布于互联设计蠕虫发布于互联网,大部分用户还没网,大部分用户还没有通过服务器下载补有通过服务器下载补丁,网络蠕虫只是感丁,网络蠕虫只是感染了少量的网络中的染了少量的网络中的主机。主机。如果每个感染蠕如果每个感染蠕虫的可以扫描并感染虫的可以扫描并感染的主机数为的主机数为W,N为感为感染的次数,那么感染染的次数,那么感染主机数扩展速度为主机数扩展速度为WN,感染蠕虫的机器成,感染蠕虫的机器成指数幂急剧增长。指数幂急剧增长。随着网络蠕虫的随着网络蠕虫
29、的爆发和流行,人们通爆发和流行,人们通过分析蠕虫的传播机过分析蠕虫的传播机制,采取一定措施及制,采取一定措施及时更新补丁包,并采时更新补丁包,并采取措删除本机存在的取措删除本机存在的蠕虫,感染蠕虫数量蠕虫,感染蠕虫数量开始缓慢减少。开始缓慢减少。信息安全理论与技术7网游大盗木马网游大盗木马网游大盗木马网游大盗木马 盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码,并且会下载其它病毒到本地运行。玩家计算机一旦中毒,就可能导致游戏帐号、装备等丢失信息安全理论与技术7 概念概念 木木木木马马是指是指是指是指隐隐藏在正常程序中藏在正常程序中藏在正常程序中藏在正常程序中的一段具有
30、的一段具有的一段具有的一段具有特殊功能的特殊功能的特殊功能的特殊功能的恶恶意代意代意代意代码码,是具,是具,是具,是具备备破坏和破坏和破坏和破坏和删删除文件、除文件、除文件、除文件、发发送密送密送密送密码码和和和和记录键盘记录键盘等的特殊等的特殊等的特殊等的特殊功能的功能的功能的功能的后后后后门门程序程序程序程序。特洛伊木马特洛伊木马信息安全理论与技术7木马的组成结构木马的组成结构木马的组成结构木马的组成结构木马程序Server端木马程序Clint端被攻击者攻击者打开特定的端口取得连接客户端:客户端:安装在攻击者机器上的部分安装在攻击者机器上的部分。服务端:服务端:通通过各种手段植入目各种手段
31、植入目标机器的部分机器的部分。信息安全理论与技术7木马的特征木马的特征木马的特征木马的特征木马主要特征木马主要特征解释解释隐蔽性隐蔽性隐蔽性是木马的首要特征。木马类软件的服务端程序隐蔽性是木马的首要特征。木马类软件的服务端程序在被控主机系统上运行时,会使用各种方法来隐藏自在被控主机系统上运行时,会使用各种方法来隐藏自己。己。自动运行性自动运行性木马程序通过修改系统配置文件,在目标主机系统启木马程序通过修改系统配置文件,在目标主机系统启动时自动运行或加载。动时自动运行或加载。欺骗性欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防
32、用户发现。中已有的文件,以防用户发现。自动恢复性自动恢复性很多的木马程序中的功能模块已不再是由单一的文件很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复,只删除某组成,而是具有多重备份,可以相互恢复,只删除某一个木马文件来进行清除是无法清除干净的。一个木马文件来进行清除是无法清除干净的。破坏或信息收集破坏或信息收集木马通常具有搜索木马通常具有搜索Cache中的口令、设置口令、扫描中的口令、设置口令、扫描目标机器的目标机器的IP地址、进行键盘记录、远程注册表的操地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。作、以及锁定鼠标等功能。信息安全理论与技术7
33、木马的自动恢复性木马的自动恢复性木马的自动恢复性木马的自动恢复性 木马木马-“聪明基因聪明基因”植入系植入系植入系植入系统统后,生成以下三个文件:后,生成以下三个文件:后,生成以下三个文件:后,生成以下三个文件:C:windowsMBBManager.exe C:windowsMBBManager.exe C:windowsExplore32.exe C:windowsExplore32.exe C:windowssystemeditor.exe C:windowssystemeditor.exe用的都是用的都是HTML文文件图标件图标关联:MBBManager.exe在启动时加载 Explo
34、re32.exe关联HLP文件(Windows帮助文件帮助文件)Editor.exe关联TXT文件机理当MBBManager.exe被发现删除,只要打开HLP文件或文本文件,Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。信息安全理论与技术7木马与病毒、蠕虫的区别木马与病毒、蠕虫的区别是否主动传播是否独立存在木马否是病毒否否蠕虫是是木马与远程控制软件的区别木马与远程控制软件的区别远程控制“善意”的控制,不具有隐蔽性和破坏性木马“恶意”的控制,对目标系统执行恶意操作或窃取信息木马与病毒、蠕虫和远程控制软件的区别木马与病毒、蠕虫和远程控制软件的区别信
35、息安全理论与技术7木马的欺骗技术木马的欺骗技术木马的欺骗技术木马的欺骗技术 木木马马欺欺骗骗技技术术是是木木马马欺欺骗骗用用户户安安装装、欺欺骗骗用户运行以及隐藏自己的关键技术。用户运行以及隐藏自己的关键技术。木马欺骗技术主要有木马欺骗技术主要有 :伪伪装成其它装成其它装成其它装成其它类类型的文件,可型的文件,可型的文件,可型的文件,可执执行文件需要行文件需要行文件需要行文件需要伪伪装其它文装其它文装其它文装其它文件。如件。如件。如件。如伪伪装成装成装成装成图图片文件。片文件。片文件。片文件。合并程序欺合并程序欺合并程序欺合并程序欺骗骗。插入其它文件内部。插入其它文件内部。插入其它文件内部。插
36、入其它文件内部。伪伪装成装成装成装成应应用程序用程序用程序用程序扩扩展展展展组组件。件。件。件。把木把木把木把木马马程序和其它常用程序利用程序和其它常用程序利用程序和其它常用程序利用程序和其它常用程序利用WinRarWinRar捆捆捆捆绑绑在一起,在一起,在一起,在一起,将其制作成自将其制作成自将其制作成自将其制作成自释释放文件。放文件。放文件。放文件。在在在在WordWord文档中加入木文档中加入木文档中加入木文档中加入木马马文件。文件。文件。文件。3355信息安全理论与技术7木马的欺骗技术木马的欺骗技术木马的欺骗技术木马的欺骗技术 例如:例如:著名的木马黑洞著名的木马黑洞20012001的
37、服务端程序用的就是文件夹的图的服务端程序用的就是文件夹的图标,如果你以为它是文件夹而去单击那你就错了,它是个不标,如果你以为它是文件夹而去单击那你就错了,它是个不折不扣的折不扣的EXEEXE文件。此木马就把自己伪装成文件夹图标。文件。此木马就把自己伪装成文件夹图标。实施过程实施过程:先用IconChanger把文件的图标更换为“文件夹”图标 ,再把它放进几层新建的文件夹中即可。例如:例如:有的木马把名字改为有的木马把名字改为window.exe,还有的就是更改一些后,还有的就是更改一些后缀名,比如把缀名,比如把dll改为改为d11等等(注意看是数字注意看是数字“11”而非英文字母而非英文字母“
38、ll),如不仔细看的话,很难发现。如下图所示,把,如不仔细看的话,很难发现。如下图所示,把Rundll.dll伪装成伪装成Rundll.d11,explorer.exe伪装成伪装成exp1orer.exe。信息安全理论与技术7木马程序入侵并且控制计算木马程序入侵并且控制计算木马程序入侵并且控制计算木马程序入侵并且控制计算机的过程机的过程机的过程机的过程向目标主机向目标主机植入木马植入木马启动和隐藏启动和隐藏木马木马植入者远程控制植入者远程控制被植入木马的主机被植入木马的主机植入者达到植入者达到其攻击的目的其攻击的目的信息安全理论与技术7木马植入技术木马植入技术木马植入技术木马植入技术 植入技术
39、植入技术,木马植入技术可以大概分为,木马植入技术可以大概分为主主动植入动植入与与被动植入被动植入两类。两类。主动植入:主动植入:就是攻击者利用网络攻击技术通过就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机,网络将木马程序植入到远程目标主机,这个行这个行为过程完全由攻击者主动掌握。为过程完全由攻击者主动掌握。被动植入:被动植入:是指是指攻击者预先设置某种环境,然攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目只有这种操作执行,木马程序才有可能植入目标系统。标系统。信息安全理论与技术7如
40、何远程植入程序如何远程植入程序如何远程植入程序如何远程植入程序直接攻击直接攻击电子邮件电子邮件文件下载文件下载浏览网页浏览网页+合并文件合并文件经过伪装的木马经过伪装的木马被植入目标机器被植入目标机器信息安全理论与技术7木马植入技术(实例)木马植入技术(实例)木马植入技术(实例)木马植入技术(实例)最后,把生成的最后,把生成的BMP文件放进网页中(支持文件放进网页中(支持ASP格式),只要有人格式),只要有人浏览了该网页,木马就会自动运行。浏览了该网页,木马就会自动运行。信息安全理论与技术7木马的自动加载技术木马的自动加载技术木马的自动加载技术木马的自动加载技术系统文件系统文件系统注册表系统注
41、册表文件打开关联文件打开关联 任务计划任务计划组策略组策略 系系统自自动运行的文件运行的文件 系系统DLL 修改作作为服服务启启动 利用利用AppInit_DLLs 注入注入替换其它v针对针对Windows系统,木马的自动加载主要有以下方法:系统,木马的自动加载主要有以下方法:信息安全理论与技术7修改文件关联修改文件关联修改文件关联修改文件关联 正常情况下文件的打开方式为文件,一旦正常情况下文件的打开方式为文件,一旦中了文件关联木马,则文件打开方式就会中了文件关联木马,则文件打开方式就会被修改为用木马程序打开。被修改为用木马程序打开。v例如:例如:冰河木马通过修改注册表冰河木马通过修改注册表
42、HKEY_CLASSES_ROOTtextfileshellopencommand下的键值下的键值 C:/windows/notepad.exe%1 C:/windows/system/Sysexplr.exe%1v 一旦双击一个一旦双击一个txt文件原本应用文件原本应用notepad打开该文件的,打开该文件的,现在却变成启动木马程序了。现在却变成启动木马程序了。v这仅仅是这仅仅是txt文件的关联,如文件的关联,如htm、exe、zip、com都是都是木马的目标。木马的目标。40信息安全理论与技术7木马隐藏技术木马隐藏技术 v木马隐藏技术木马隐藏技术 主要分为两类主要分为两类:主机隐藏和通信隐
43、藏主机隐藏和通信隐藏。v主机隐藏主机隐藏主要指在主机系统上表现为正常的进程。主要指在主机系统上表现为正常的进程。主要有主要有文件隐藏、进程隐藏文件隐藏、进程隐藏等。等。文件隐藏文件隐藏主要有两种方式主要有两种方式采用欺骗的方式伪装成其它文件采用欺骗的方式伪装成其它文件伪装成系统文件伪装成系统文件进程隐藏进程隐藏 动态链接库注入技术动态链接库注入技术,将,将“木马木马”程序做成一个程序做成一个DLL文件,并将调用动态链接库函数的语句插入到文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序。目标进程,这个函数类似于普通程序中的入口程序。Hooking API技术。
44、技术。通过修改通过修改API函数的入口地函数的入口地址的方法来欺骗试图列举本地所有进程的程序。址的方法来欺骗试图列举本地所有进程的程序。45信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术72024/3/31恶意代码技术分析及应急响应49恶意代码分析与防范恶意代码分析与防范分析基于代码特征的分析方法;基于代码语义的分析方法;基于代码行为的分析方法;检测基于特征码的检测法启发式检测法基于行为的检测法等完整性验证法控制基于主机的控制基于网络的控制:Firewall,路由和域名控制信
45、息安全理论与技术750文件结构的静态分析文件结构的静态分析信息安全理论与技术751静态分析工具静态分析工具IDA Pro信息安全理论与技术752启发式(启发式(Heuristic)检测)检测启发式指 运用某种经验或知识去判定未知事物的方法 静态启发式检测:检查文件结构的异常变化DOSEXAMPLE1.COM1234501-01-199512:02:62EXAMPLE2.COM1234501-01-209512:01:36WindowsPE文件结构E.gpedumpcalc.exe信息安全理论与技术753动态分析动态分析调试运行SoftIce虚拟环境运行VMWareVirtualPCPowerS
46、hadowSand-Box代码仿真信息安全理论与技术7提纲提纲恶意代码概述恶意代码概述1计算机病毒计算机病毒2蠕虫蠕虫3特洛伊木马特洛伊木马410总结总结6恶意代码防御恶意代码防御5信息安全理论与技术7网络恶意代码的运行周期网络恶意代码的运行周期寻寻找找目目标标在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期期存存活活于于让让自自身身保存线保存线触发线触发线信息安全理论与技术7寻寻找找目目标标在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期
47、期存存活活于于让让自自身身寻寻找找目目标标在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期期存存活活于于让让自自身身寻找目标寻找目标本地文件(本地文件(.exe,.scr,.doc,vbs)可移动存储设备可移动存储设备电子邮件地址电子邮件地址远程计算机系统远程计算机系统信息安全理论与技术7寻寻找找目目标标在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期期存存活活于于让让自自身身在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行
48、目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期期存存活活于于让让自自身身主动型主动型程序自身实现程序自身实现病毒,蠕虫病毒,蠕虫被动型被动型-人为实现人为实现物理接触植入物理接触植入入侵之后手工植入入侵之后手工植入用户自己下载用户自己下载(姜太公钓鱼)(姜太公钓鱼)访问恶意网站访问恶意网站多用于木马,后门,多用于木马,后门,Rootkit信息安全理论与技术7寻寻找找目目标标在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期期存存活活于于让让自自身身恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发
49、目目标标系系统统之之中中长长期期存存活活于于让让自自身身主动触发主动触发蠕虫蠕虫各种漏洞(如缓冲区溢出)各种漏洞(如缓冲区溢出)恶意网站恶意网站网页木马网页木马被动触发被动触发初次人为触发初次人为触发双击执行,或命令行运行双击执行,或命令行运行打开可移动存储设备打开可移动存储设备打开本地磁盘打开本地磁盘系统重启后的触发系统重启后的触发各种启动项(如注册表,启动文件各种启动项(如注册表,启动文件)信息安全理论与技术7寻寻找找目目标标在在目目标标之之中中将将自自身身保保存存恶恶意意代代码码执执行行目目标标系系统统中中的的触触发发目目标标系系统统之之中中长长期期存存活活于于让让自自身身目目标标系系统
50、统之之中中长长期期存存活活于于让让自自身身静态存在形式静态存在形式文件(文件(Exe,Dll)启动项(修改注册表、各种启动文件启动项(修改注册表、各种启动文件)动态存在形式动态存在形式进程(自创进程或插入到其他进程之中)进程(自创进程或插入到其他进程之中)服务服务端口(对外通信)端口(对外通信)以上也是恶意代码检测的基础和依据所在;以上也是恶意代码检测的基础和依据所在;而恶意代码本身也会对文件、启动项、进程、而恶意代码本身也会对文件、启动项、进程、端口、服务等进行隐藏端口、服务等进行隐藏-即即RootKit。信息安全理论与技术7上网安全意识上网安全意识恶意代码预防恶意代码预防寻寻找找目目标标在
