9恶意代码检测与防范课件.pptVIP

  1. 1、本文档共24页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
恶意代码检测与防范 主要内容 常见的恶意代码 恶意代码机理 恶意代码检测 恶意代码清除与预防 常见的恶意代码 恶意代码 主要是指以危害信息的安全等不良意图为目的的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马 恶意代码主要危害 攻击系统,造成系统瘫痪或操作异常 危害数据文件的安全存储和使用 泄露文件、配置或隐秘信息 肆意占用资源,影响系统或网络性能 恶意代码的基本特征 都是人为编制的程序 对系统具有破坏性或威胁性 往往具有传染性、潜伏性、非授权执行性 根据种类不同还具有寄生性、欺骗性、针对性等 恶意代码的发展趋势 网络成为计算机病毒传播的主要载体 网络蠕虫成为最主要和破坏力最大的病毒类型 与黑客技术相结合,出现带有明显病毒特征的木马或木马特征的病毒 出现手机病毒、信息家电病毒 病毒制造传播目的由以表现破坏为主转向以获利为主,木马病毒成为当前主流病毒 计算机病毒 计算机病毒是一类具有寄生性、传染性、破坏性的程序代码,寄生性和传染性是病毒区别于其他恶意代码的本质特征 计算机病毒代码不能独立存在,必须插入到其他序或文件中,并随着其他文件的运行而被激活,然后驻留在内存以便进一步感染或者破坏 可分为引导型、文件型、混合型病毒 如CIH病毒,宏病毒等 计算机病毒传染传播 病毒的两种存在状态 静态:仅存在于文件中 激活:驻留内存,可以感染其他文件或磁盘 仅感染本机的文件 随感染文件的传播而传播 传播方式 软盘、移动硬盘、U盘、光盘等,特别是盗版光盘 文件共享、电子邮件、网页浏览、文件下载 蠕虫 不依附其他程序,而是一段独立的程序 通过网络把自身的拷贝传播给其它计算机 可以修改删除其他程序,也可能通过反复自我复制占尽网络或系统资源,造成拒绝服务 具备病毒复制和入侵攻击双重特点 利用漏洞自主传播 如: 红色代码、冲击波等 蠕虫 蠕虫程序的传播过程 (1)扫描:蠕虫的扫描功能模块负责探测存在漏洞的主机,以便得到一个可传染的对象。 (2)攻击:攻击模块自动攻击找到的可传染对象,取得该主机的权限,获得一个shell。 (3)复制:复制模块通过两主机的交互将蠕虫程序复制到目标主机并启动。 可见,传播模块实现的是自动入侵的功能。蠕虫的传播技术是蠕虫技术的首要技术。 木马 木马是一种程序,它能提供一些有用的或者令人感兴趣的功能,但是还具有用户不知道的其它功能。 木马不具有传染性,不能自我复制,通常不被当成病毒 典型木马如冰河、灰鸽子、Bo2K等 木马 特洛伊木马的分类 远程访问型 密码发送型 键盘记录型 破坏型 FTP型 DoS攻击型 代理型 木马程序构成 1、木马服务程序:也称服务器端,是指被控制电脑内被种植且被运行的木马程序,接受控制指令,执行监控功能 2、木马配置程序:设置木马的参数,如端口号、木马文件名称、启动方式等 3、木马控制程序:也称控制端,是指进行操控和监视的电脑内运行的程序,用以连接到服务程序,发出控制指令,并接收服务程序传送来的数据。 有时配置程序和控制程序集成在一起,统称控制端程序。 木马的基本原理 配置木马:设置木马参数,实现伪装和信息反馈 传播木马:如通过帮定程序将木马帮定到某个合法或有用软件,通过诱骗等方式传播到用户系统 运行木马:用户运行捆绑木马的软件而安装木马,将木马文件复制到系统,并设置触发条件,以后可自动运行 信息反馈:木马收集系统信息发送给控制端攻击者 建立连接:控制程序扫描运行了木马的主机(开放特定端口),添加到主机列表,并在特定端口建立连接 实施监控:实现远程控制,如同本地操作 木马的传播方式 (1)以邮件附件的形式传播: (2)将木马程序捆绑在软件安装程序上,通过网络下载传播。 (3)通过聊天工具如QQ等传送文件传播 (4)通过蠕虫程序植入。 (5)通过交互脚本或网页植入 (6)通过系统漏洞直接种植 (7)通过各种介质交换文件传播 木马的自加载运行技术 和应用程序捆绑 修改Windows系统注册表 例如:下面注册表中的某些键值 HLM\Software\Microsoft\Windows\CurrentVersion\Run HLM\Software\Microsoft\Windows\CurrentVersion\RunService HLM\software\microsoft\windows\currentversion\runonce HCU\software\microsoft\windows\currentversion\run 修改文件关联 如冰河木马修改文本文件关联 HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值Notepad.exe 1%改为Sysexplr.exe 1% 恶意代码防治 恶意代码防范

文档评论(0)

mwk365 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档