恶意代码检测与防范技术复习
第一章
传统计算机病毒定义:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒的特征:非授权可执行性、隐蔽性、潜伏性、破坏性、可触发性。
恶意代码:在未被授权的情况下,以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。
一个软件被看作是恶意代码主要是依据创作者的意图,而不是恶意代码本身的特征。
恶意代码的特征:目的性、传播性、破坏性
第二章
病毒伪代码的共同性质:
- 对于每个程序,都存在该程序相应的感染形式。也就是,可以把病毒看作是一个程序到一个被感染程序的映射。
- 每一个被感染程序在每个输入(可访问信息,例如,用户输入, 系统时钟,数据或程序文件等)上形成如下3个选择:
- 破坏(Injure):不执行原先的功能,而去完成其它功能。何种输入导致破坏以及破坏的形式都与被感染的程序无关,而只与病毒本身有关。
- 传染(Infect):执行原先的功能,并且,如果程序能终止,则传染程序。对于除程序以外的其它可访问信息(如时钟、用户/程序间的通信)的处理, 同感染前的原程序一样。另外,不管被感染的程序其原先功能如何(文本编辑或编译器等),它传染其它程序时,其结果是一样的。也就是说,一个程序被感染的形式与感染它的程序无关。
- 模仿(Imitate):既不破坏也不传染,不加修改地执行原先的功能。这也可看作是传染的一个特例,其中被传染的程序的个数为零。
4个计算模型:基于图灵机的模型、随机访问计算机模型、随机访问存储程序计算机模型、带后台存储的随机访问存储程序计算机模型
蠕虫的工作方式:
- 随机产生一个IP地址
- 判断对应此IP地址的计算机是否被感染
- 如果可被感染,则感染之
- 重复1-3步骤m次,m为蠕虫产生的繁殖副本数量
“四模型”理论:
- 基本隔离模型(杀毒软件):该模型的主要思想是取消信息共享,将系统隔离开来,使得计算机病毒既不能从外部入侵进来,也不可能把系统内部的病毒扩散出去。
- 分隔模型(虚拟子网划分):将用户群分割为不可能相互传递信息的若干封闭子集。由于信息处理流的控制,使得这些子集可被看作是系统被分割成的相互独立的子系统,使得计算机病毒只能感染整个系统中的某个子系统,而不会在子系统之间进行相互传播。
- 流模型:对共享的信息流通过的距离设定一个阈值,使得一定量的信息处理只能在一定的区域内流动,若该信息的使用超过设定的阈值,则可能存在某种危险。
- 限制解释模型:即限制兼容,采用固定的解释模式,就有可能不被计算机病毒感染。有些病毒会利用WSH进行启动和运行。如果将WSH禁用,隐藏在VB脚本中的病毒就无法被激活了。
计算机病毒的结构:
四大模块:感染模块、触发模块、破坏模块(表现模块)、引导模块(主控模块)
两个状态:静态、动态
第三章
Windows操作系统的保护模式将指令执行分为4个特权级:Ring0、Ring1、Ring2、Ring3。Windows只使用其中的两个级别RING0和RING3。RING0层拥有最高的权限,RING3层拥有最低的权限。应用程序工作在RING3层,只能访问RING3层的数据,操作系统工作在RING0层,可以访问所有层的数据,而其他驱动程序位于RING1、 RING2层,每一层只能访问本层以及权限更低层的数据。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。
宏病毒:定义、不同点、特点
定义:宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用, 并能通过文档及模板进行自我复制及传播。
宏病毒与普通病毒的不同点:
- 它不感染EXE文件和COM文件,而只感染文档文件
- 宏病毒作者只需要懂得一种宏语言;
要达到宏病毒传染的目的,系统须具备以下特性:
- 可以把特定的宏命令代码附加在指定文件上
- 可以实现宏命令在不同文件之间的共享和传递
- 可以在未经使用者许可的情况下获取某种控制权。
宏病毒的特点:传播极快,制作、变种方便,破坏可能性极大,多平台交叉感染,地域性问题
宏病毒的共性:
- 宏病毒会感染DOC文档文件和DOT模板文件。
- 打开时激活,通过Normal模板传播。
- 通过AutoOpen,AutoClose,AutoNew和AutoExit等自动宏获得控制权。
- 病毒宏中必然含有对文档读写操作的宏指令。
第四章
Linux公共误区
- 一个最大的误区就是很多高性能的安全操作系统可以预防计算机病毒。
- 另一个误区就是认为Linux系统尤其可以防止病毒的感染,因为Linux的程序都由源代码直接编译,不是二进制格式。
- 第三个误区就是认为Linux系统是绝对安全的,因为它具有很多不同的平台,而且每个版本的Linux系统有很大的不一样。
linux病毒分类
第一种: Shell脚本病毒
- 最大技术难题是如何传播(平台兼容性) 不同Linux下Shell差别小
第二种: 蠕虫病毒(Morris)
- 利用程序漏洞获取管理员控制权
- 跨平台性弱、时效性差
第三种: 欺骗库函数
- 利用LD_PRELoad环境变量把标准库函数替换成病毒程序
第四种: 与平台兼容的病毒
- C来编写的恶意代码(gcc)
- 汇编实现的代码(ELF)
无关ELF格式感染方法:简单感染
- 覆盖式感染
- 追加式感染
相关ELF格式感染方法:复杂感染
- 文本段之后填充感染
- 数据段之后插入感染
- 文本段之前插入感染
- 函数对齐填充区感染
- 利用NOTE段的感染
高级感染技术
第五章(重点)
特洛伊木马:是寄宿在计算机里的一种非授权的远程控制程序,通过网络控制用户计算机系统,窃取用户私密信息并反馈给攻击者,造成用户的信息损失、系统损坏甚至瘫痪。
木马的组成:
- 硬件部分:控制端、服务端、Internet
- 软件部分:控制端程序、木马程序、木马配置程序
- 连接部分:控制端与服务端的IP和端口Port
基本特征:
- 隐蔽性(首要的特征):是木马和远程控制软件的最主要区别,体现在:
- 不在任务栏产生图标
- 不出现在任务管理器中
- 自动运行性:潜入启动文件、启动组、注册表中
- 欺骗性:
- 命名方式: 字母“l”与数字“1”、字母“o”与数字“0”
- 相同系统文件名但不同路径
- 常用图标:Zip;文件扩展名:dll、sys
- 具备自动恢复功能(高级技术)
- 功能的特殊性: 搜索缓存中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能
分类:
- 远程控制型木马(最流行的木马):在宿主计算机上做任何事情(BO和冰河)
- 发送密码型木马: 获得缓存的密码,发送到特定的E-mail地址
- 键盘记录型木马: 记录键盘的敲击,在日志文件中检查密码
- 破坏型木马: 唯一功能是毁坏和删除文件,例如dll、exe等
- FTP型木马: 打开21号端口,让任何有FTP客户软件的人都可以在没有密码的情况下自由上传和下载文件。
远程控制、木马与病毒的区别(主观题)
木马和控制软件
- 目的不同
- 有些木马具有控制软件的所有功能
- 是否隐藏(最大区别)
木马和普通病毒
- 传播性(木马不如病毒,不能自行传播)
- 两者相互融合
- 木马程序YAI采用了病毒技术
- “红色代码”病毒已经具有木马的远程控制功能
常用植入技术:
- 邮件植入:木马被放在邮件的附件中发给受害者,当下载并运行了该附件便中了木马。
- IM传播:通过微信等IM将木马与可执行文件绑定。
- 网站(网页)植入:网站挂马是传播木马的最佳途径之一。 把木马连接潜入到网站上,当用户访问该网站时,把木马自动种植到用户的计算机上。在辅助以附加手段的前提下,该方法也可以实现定点植入。
- 漏洞植入:木马通过操作系统的漏洞直接传播给计算机,其中间桥梁是诸如局域网、Internet、WiFi、蓝牙、红外等网络连接。
- U盘植入:木马先寄宿在计算机或U盘上。当U盘和计算机连接时,相互传播。该方法利用了U盘介质的移动性。
首次运行(以诱导或欺骗方式):
- 冒充图像文件
- 程序绑定欺骗
- 伪装成应用程序扩展组件
网页挂马的关键技术
- 框架挂马
- js挂马
- 图片伪装挂马
- 网络钓鱼挂马
- 伪装挂马
反弹式木马:利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。
反弹式木马访问客户端的80端口,防火墙无法限制。
第六章
手机病毒的定义: 手机病毒和计算机病毒一样,以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信等形式, 对手机进行攻击,从而造成手机异常的一种新型病毒。
移动终端恶意代码是对移动终端各种病毒的广义称呼,它包括以移动终端为感染对象而设计的普通病毒、木马等。移动终端恶意代码以移动终端为感染对象,以移动终端网络和计算机网络为平台,通过无线或有线通讯等方式,对移动终端进行攻击,从而造成移动终端异常的各种不良程序代码。
常见手机操作系统:Android、IOS、Windows Phone、Symbian、Linux、Webos、BlackBerry
第七章
蠕虫(Worm)是恶意代码的一种,是可以自我复制的代码,它的传播通常不需要所谓的激活。它通过分布式媒介散布特定信息或错误,进而造成网络服务遭到拒绝并发生锁死。
分布式媒介包括:网络、电子邮件、系统漏洞
蠕虫强调的是传播方式。
与传统病毒的联系
- 不采取利用PE格式插入文件的方法,蠕虫复制自身并在网络中传播
- 普通病毒的传染只针对计算机内的文件系统,蠕虫传染目标是网络中的所有计算机
- 蠕虫利用局域网环境下的共享文件夹、电子邮件、网络中的恶意网页、存在漏洞的服务器
具有病毒共性:如传播性、隐蔽性、破坏性等
独有的性质:不利用文件寄生,对网络造成拒绝服务, 以及和黑客技术相结合等
蠕虫和传统病毒的区别
| 比较项目 | 传统病毒 | 蠕虫 |
|---|---|---|
| 存在形式 | 寄存文件 | 独立程序 |
| 传染机制 | 宿主程序运行 | 主动攻击 |
| 传染对象 | 本地文件 | 网络计算机 |
与特洛伊木马的联系
- 具有木马共性:如自我传播、不感染文件等
- 独有的性质:自我复制
与木马病毒的区别
传播特性:(1)木马需要用户上当受骗(2)蠕虫包含自我复制程序,利用所在系统传播
破坏目的:(1)蠕虫的破坏目的纯粹是破坏,如耗费网络资源、删除用户信息。(2)木马的破坏目的是窃取用户信息
蠕虫的分类
- 面向企业和局域网:
- 利用系统漏洞,主动进行攻击,造成网络瘫痪
- 具有很大的主动攻击性,爆发具有一定的突然性
- 面向个人用户:
- 通过网络(主要是电子邮件、恶意网页形式)迅速传播
- 传播方式复杂多样,少数利用应用程序漏洞
蠕虫的特征: 自我复制能力、很强的传播性、一定的潜伏性、特定的触发性、很大的破坏性
- 利用漏洞直接攻击
- 与传统黑客技术相结合
- 传染方式多
- 传播速度快
- 清除难度大
- 破坏性强
从编程的角度,蠕虫由两部分组成:主程序、引导程序
- 主程序一旦在计算机中建立,就开始收集与当前机器联网的其他机器的信息,检测计算机的联网状态信息,利用漏洞在远程机上建立引导程序。
- 引导程序把“蠕虫”病毒带入了它所感染的每一台机器中。
主程序中最重要的是传播模块,实现自动入侵功能,分为扫描、攻击和复制三个步骤/模块
- 扫描: 主要负责探测远程主机的漏洞,模拟了攻防的Scan过程,当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后,就得到一个潜在的传播对象。
- 攻击:按特定漏洞的攻击方法对潜在的传播对象进行自动攻击,取得该主机的合适权限,为后续做准备。
- 复制:在特定权限下,实现蠕虫引导程序的远程建立,即把引导程序复制到攻击对象。
入侵模块:进行入侵
隐藏模块: 侵入主机后,负责隐藏蠕虫程序
目的功能模块: 实现对计算机的控制、监视或破坏等
第八章
勒索型恶意代码:一种以勒索为目的的恶意软件,黑客使用技术手段劫持用户设备或数据资产,并以此为条件向用户勒索钱财的一种恶意攻击手段。
勒索软件:典型的勒索型恶意代码,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。
数据资产:文档、邮件、数据库、源代码、图片等
赎金形式:真实货币、比特币或其他虚拟货币
勒索软件的两种形式:
- 数据加密:最常见的形式,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的虚拟货币才能恢复数据,并承诺受害者缴纳赎金后会协助其将数据恢复,否则会被销毁数据。
- 限制访问:不影响设备上的数据,阻挠受害者访问设备,并向受害者索要赎金,并显示在屏幕上。
预防措施
- 增强安全意识
- 使用防护攻击:对电子邮件进行病毒扫描、系统杀毒、更新补丁等
- 慎重下载:不随意下载不可信资源、不打开垃圾邮件、不轻信社交平台上的链接
- 备份重要文件
- 备份是唯一有效的方法
- 同时要注重备份数据存储设备的防护
- 流量检测
- 网络隔离措施
- 更新软件和补丁
第九章
流氓软件
第一个定义:流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带,他会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害。
第二个定义:流氓软件是介于病毒和正规软件之间的软件,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。它们往往采用特殊手段频繁弹出广告窗口,危及用户隐私,严重干扰用户的日常工作、数据安全和个人隐私。
流氓软件是对网络上散播的符合如下条件的软件的一种称呼:
- 采用多种社会和技术手段,强行或者秘密安装,并抵制卸载;
- 强行修改用户软件设置,如浏览器主页,软件自动启动选项, 安全选项;
- 强行弹出广告,或者其他干扰用户占用系统资源行为;
- 有侵害用户信息和财产安全的潜在因素或者隐患;
- 未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私。
- 捆绑安装
流氓软件的主要特征:
- 强迫性安装
- 无法卸载
- 干扰正常使用
- 具有病毒和黑客特征
邮件病毒
利用outlook漏洞编写的病毒:“爱虫(ILoveYou)”、“美丽杀(Melissa)”—宏病毒、“主页(HomePage)”、“欢乐时光(HappyTime)”
邮件病毒分类:
- 附件方式:病毒的主要部分就隐藏在附件中。
- 邮件本身:病毒并不置身于附件,而是藏身于邮件体之中。
- 嵌入方式:病毒仅仅把电子邮件作为其传播手段。
僵尸网络
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被 感染主机之间所形成的一个可一对多控制的网络。
工作原理及特点
- 分布性的、可控制的、逻辑网络
- 这个网络采用了一定的恶意传播手段形成(漏洞攻击、 恶意邮件)
- 可以一对多控制地执行相同的恶意行为(如DDoS攻击, 最主要的特点)
工作过程:传播、加入、控制
主要危害:DDOS攻击、发送垃圾邮件、窃取私人秘密、滥用资源
RootKit
Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具(比木马更隐蔽)。
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、 后门等其他恶意程序结合使用。持久并毫无察觉地驻留在目标计算机中,对系统进行操纵、并通过隐秘渠道收集数据的程序。Rootkit的三要素就是: 隐藏、操纵、收集数据。
rootkit组成部分
- 网络嗅探程序:获取网络传输中的用户名和密码
- 特洛伊木马程序:为攻击者提供后门
- 隐藏攻击者的目录和进程的程序:隐藏攻击者痕迹
- 日志清理工具:清理行踪
- FIX程序:安装Rootkit前伪造替代程序的属性
- 其他工具,例如提供telnet、shell和finger等服务
APT攻击
apt本质
从本质上讲,APT攻击并没有任何崭新的攻击手段。APT中运用的攻击手段,例如0 Day漏洞、 钓鱼邮件、社会工程、木马和DDOS等,都是存在已久的攻击手段。APT只是多种攻击手段的综合利用而已。因此,在业界里有一种看法是APT应该是国与国之间,组织与组织之间网络战的一种具体表现形式,而不是一种可供炒作的黑客入侵手段。
攻击过程
特征:
- 高级
- 信息收集手段高级
- 威胁高级的数据
- 高级的攻击手段
- 持续
- 持续潜伏
- 持续攻击
- 持续欺骗
- 持续控制
第十章
防范思路层次结构
- 检测:判定恶意代码的技术
- 清除
- 预防:防止恶意代码对系统进行传染和破坏(被动防治)
- 免疫(主动防治)
- 数据备份及恢复
- 计算机病毒防范策略:管理手段
恶意代码的检测按照是否执行代码包括静态检测和动态检测。
静态检测:不运行目标程序的情况下进行检测。包括:特征码扫描技术、启发式扫描技术、完整性分析技术、基于语义的检测技术。
动态检测: 运行目标程序时,通过监测程序的行为、比较运行环境变化来确定目标程序是否包含恶意行为。包括行为监控分析、代码仿真分析。
特征码扫描法组成部分
- 特征码库:各种恶意代码的特征码集合
- 扫描算法:当前特征码与库中特征码进行对比
优点:
- 当特征码选择得很好时,病毒检测软件让计算机用户使用起来方便快速,对病毒了解不多的人也能用它来发现病毒。
- 不用专门软件,用编辑软件也能用特征串扫描法去检测特定病毒。
- 可识别病毒的名称。
- 误报警率低。
- 依据检测结果,可做杀毒处理。
缺点:
- 当被扫描的文件很长时,扫描所花时间也较多。
- 不容易选出合适的特征码,有时会发出假警报。
- 新病毒的特征码未加入病毒代码库时,老版本的扫毒程序无法识别出新病毒。
- 怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的能力。
- 容易产生误警报。只要正常程序内带有某种病毒的特征串,即使该代码段已不可能被执行,而只是被杀死的病毒体残余,扫描程序仍会报警。
- 不易识别变异类病毒。
- 搜集已知病毒的特征代码,费用开销大。
- 在网络上使用效率低。
启发式扫描技术了解一下
病毒清除(引导型、文件型、交叉感染的)
清除恶意代码:将感染病毒的文件中的病毒模块摘除, 并使之恢复为可以正常使用的文件的过程称为恶意代码清除。
清除的方法分类:引导型病毒的清除原理、文件型病毒的清除原理、特殊病毒的清除原理
手动自动清除的优缺点
- 手动清除
- 优点: 可以处理新病毒或疑难病毒(Worm等)
- 缺点:需要高技术,复杂
- 自动清除:
- 优点: 方便,易于普及
- 缺点: 滞后、不能完全奏效
预防、免疫概念
预防技术:计算机监控技术、监控病毒源技术、个人防火墙技术、云查杀技术
免疫技术:基于感染标识、基于完整性检查
数据备份重要性、技术
三种备份方案:完全备份、增量备份、差分备份
第十一章
杀毒软件必备功能
- 病毒查杀能力
- 漏报率
- 误报率
- 清除能力
- 自我保护能力
- 对新病毒的反应能力
- 软件供应商的病毒信息收集网络
- 病毒代码的更新周期
- 供应商对用户发现的新病毒的反应周期
- 对文件的备份和恢复能力
- 实时监控功能
- 及时有效的升级功能
- 智能安装、远程识别功能
- 界面友好、易于操作
- 对现有资源的占用情况
- 系统兼容性
- 软件的价格
- 软件商的实力
第十二章
为什么需要策略?
- 技术不能完全解决问题
- 策略是对技术的补充
- 策略可以使有限技术发挥最大限度的作用
单机用户和企业用户的策略
单机用户:
- 经常从软件供应商那边下载、安装安全补丁程序和升级杀毒软件。
- 新购置的计算机和新安装的系统,一定要进行系统升级,保证修补所有已知的安全漏洞。
- 使用高强度的口令。
- 经常备份重要数据。特别是要做到经常性地对不易复得数据(个人文档、程序源代码等等)完全备份。
- 选择并安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
- 安装防火墙(软件防火墙),提高系统的安全性。
- 当计算机不使用时,不要接入互联网,一定要断掉连接。
- 不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自于熟人的邮件附件。
- 正确配置、使用病毒防治产品。
- 正确配置计算机系统,减少病毒侵害事件。充分利用系统提供的安全机制,提高系统防范病毒的能力。
- 定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
企业用户:
- 开发和实现一个防御计划
- 使用一个好的反病毒扫描程序
- 加固每个单独系统的安全
- 配置额外的防御工具
反病毒扫描引擎何时扫描?
- 实时扫描因为任何原因访问到的文件
- 定时扫描
- 按需扫描
- 只扫描进入的新文件