第6章攻击与防范幻灯片.ppt

第6章 攻击与防范 曹天杰 tjcao@ 中国矿业大学计算机科学与技术学院 6.1 恶意代码 恶意代码也称为恶意软件，是攻击者植入受害者系统的一段代码，使得攻击者可以在受害者毫不知情的状况下控制对方的系统、网络以及数据。 它通过把代码在不被察觉的情况下嵌入到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 6.1.1 病毒 计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。 同时，它们还可以把自己的副本分发到其他文件、程序或电脑中去。当被感染文件执行操作的时候（例如：打开一个文件，运行一个程序，点击邮件的附件等），病毒程序会进行自我复制。 如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose… 计算机病毒的特征 非授权可执行性 感染性 寄生性 隐蔽性 潜伏性 可触发性 破坏性 主动攻击性 非授权可执行性 计算机病毒与其它合法的程序一样，是一段可执行程序，但它又不是一个完整的程序，而是寄生在其他可执行文件上的程序，因此它拥有一切程序所能得到的权利。 当病毒运行时，便于合法程序争夺系统的控制权，往往会造成系统崩溃，导致计算机瘫痪。计算机病毒只有在计算机内得以运行时，才具有感染性和破坏性。 感染性 计算机病毒能够将自身的复制品或变种感染到其他程序中。这是计算机病毒的根本特定，它使得计算机病毒得以从被感染的计算机扩散到未被感染的计算机中。 计算机一旦感染病毒，如果不及时处理，那么病毒会在这台计算机上迅速扩散，其中大量的文件（主要是可执行文件）会被感染。而被感染的计算机文件又成了新的感染源，可通过各种可能的渠道，如软盘、U盘和计算机网络等去感染其他的计算机。 寄生性 计算机病毒程序是嵌入到宿主程序的，依赖宿主程序的存在而生存，病毒程序侵入到宿主程序以后，一般对宿主程序进行一定的修改，当病毒激活条件一旦满足，病毒程序就被激活，从而可以进行自我复制 。 隐蔽性 计算机病毒一般都是具有很高编程技巧的程序员编写的短小精悍的程序，通常附着在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现他的存在。 如果不经过代码分析，病毒程序与正常程序是不容易区分开来的。而且受到感染后，计算机系统通常仍能正常运行，使用户不会感到异常。 计算机病毒的隐蔽性表现在两个方面： 一是传染过程隐蔽。大部分病毒传染速度快，传染时不具有外表表现，不易被人发觉。 二是病毒程序隐蔽，一般病毒程序嵌入在正常程序中，很难被发现。病毒一般只有几百或几千字节，而现在普通PC机的存取速度都是以MB/S为单位，所以病毒在瞬间就可以将其程序附着在正常程序中，使其不容易被察觉。 潜伏性 大部分病毒在感染系统后，一般不会马上发作，它可长期隐藏在系统中。除了传染外，不表现出破坏性，只有在满足其特定条件是才启动其表现破坏性的模块，显示发作信息或进行系统破坏，只有这样它才可以进行广泛地传播。 可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染；或者激活病毒的表现部分或破坏部分。 触发的实质是一种条件的控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。 使计算机病毒发作的触发条件通常有以下几种：利用系统时钟提供的时间作为触发器，这种触发机制被大量的病毒使用；利用病毒体自带的计数器作为触发器；利用计算机内执行的某些特定操作作为触发器。 破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源（如占用内存空间,占用磁盘存储空间以及系统运行时间等）。 根据这些特点，可以将病毒分为良性病毒和恶性病毒：良性病毒程序可能显示一些文字或图像、播放音乐等没有太大的破坏作用。而恶性病毒将影响系统的正常运行，这些病毒程序删除文件，加密磁盘中的数据，甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。 主动攻击性 病毒对系统攻击是主动的。从一定程度上讲，计算机系统很难彻底地排除病毒对系统的攻击，而保护措施充其量是一种防御的手段。 6.1.2 蠕虫 蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。 如：红色代码、SQL蠕虫王、冲击波、震荡波、极速波… 蠕虫不修改文件，而是常驻在内存里并复制自己。蠕虫使用操作系统的一部分，这部分对于用户来说是自动且无形的。 蠕虫的自我复制不像其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。 计算机病毒与蠕虫的区别 1、蠕虫是一个可以独立运行的程序。但病毒不能独立存在，必须将自身的代码附着在其他程序中，其程序的激活依赖与宿主程序的执行。 2、蠕虫可以自动通