恶意代码简介讲述.ppt

* * The End * * 考试题型 1、选择题(20) 2、填空题(20) 3、简答题(30) 4、问答题(30) * 南京邮电大学信息安全系 * * * 第17章 恶意代码 广州大学华软软件学院软件工程系 《网络信息安全》课程组 * * 课程内容 恶意代码概述 计算机病毒 特洛伊木马 蠕虫 4 1 2 3 17.1.恶意代码概述 恶意代码泛指所有恶意的程序代码，是一种可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性，违背目标系统安全策略的程序代码。 包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）和逻辑炸弹（Logic Bomb）等 恶意代码的特征包括三个方面： 带有恶意的目的 本身是计算机程序 一般通过执行来发挥作用 17.1.1恶意代码的发展史 早在1949年，计算机的先驱者约翰·冯·诺依曼在他的论文《自我繁衍的自动机理论》中已把病毒的蓝图勾勒出来 短短十年之后，磁芯大战(core war)在贝尔实验室中诞生，使他的设想成为事实。 例如有个叫爬行者的程序（Creeper），每一次执行都会自动生成一个副本，很快计算机中原有资料就会被这些爬行者侵蚀掉； “侏儒”（Dwarf）程序在记忆系统中行进，每到第五个“地址”（address）便把那里所储存的东西变为零，这会使原本的程序严重破坏； 恶意代码的历史 第一次关于计算机病毒的报道发生在1981年，在计算机游戏中发现了ELK Cloner病毒。 1986年，第一个PC病毒Brain Virus感染了Microsoft的DOS操作系统 1995年，首次发现宏病毒 1998年，CIH病毒造成数千万台计算机硬件受到破坏 2007年1月，“熊猫烧香”病毒爆发 恶意代码经过三十多年的发展，破坏性、种类和感染性都得到了增强，特别僵尸网络、木马威胁、高级可持续威胁（APT）非常严重 恶意代码的分类 后门 进入系统或程序的一个秘密入口 逻辑炸弹 一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为 特洛伊木马 一段吸引人而不为人警惕的程序，但它们可以执行某些秘密任务 病毒 附着在其他程序上的可以进行自我繁殖的代码 蠕虫 一种具有自我复制和传播能力、可独立自动运行的恶意程序 * * 课程内容 恶意代码概述 计算机病毒 特洛伊木马 蠕虫 4 1 2 3 17.2计算机病毒 严格地从概念上讲，计算机病毒只是恶意代码的一种。实际上，目前发现的恶意代码几乎都是混合型的计算机病毒 美国计算机研究专家最早提出了“计算机病毒”的概念：计算机病毒是一段人为编制的计算机程序代码。 1994年2月28日，我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下：“计算机病毒是指编制或者在计算机程序中插入的、破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码” 计算机病毒的结构 潜伏机制 包括初始化、隐藏和捕捉 传染机制 包括判断和感染。先是判断候选感染目标是否已被感染，可以通过感染标记来判断候选感染目标是否已被感染。 表现机制 包括判断和表现。表现机制首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现 典型的病毒代码结构 计算机病毒的特点 传染性 通过各种渠道从已被感染的计算机扩散到未被感染的计算机。 隐蔽性 病毒一般是具有很高编程技巧的、短小精悍的一段代码，躲在合法程序当中。 潜伏性 病毒进入系统之后一般不会马上发作 多态性 病毒试图在每一次感染时改变它的形态 破坏性 造成系统或数据的损伤甚至毁灭 计算机病毒的分类 按照计算机病毒攻击的操作系统 攻击DOS系统 攻击Windows系统 攻击Unix、Linux系统 攻击Mactonish系统 按寄生方式 引导型病毒 文件型病毒 混合型病毒 按破坏性 良性病毒 恶性病毒 计算机病毒的防范 养成良好的安全习惯 安装防火墙和专业的杀毒软件进行全面监控 经常升级操作系统的安全补丁 迅速隔离受感染的计算机 及时备份计算机中有价值的信息 * * 课程内容 恶意代码概述 计算机病毒 特洛伊木马 蠕虫 4 1 2 3 17.3特洛伊木马 特洛伊木马的故事来自古希腊传说 在信息安全领域，特洛伊木马是一种恶意代码，也称为木马 指那些表面上是有用的或必需的，而实际目的却是完成一些不为人知的功能，危害计算机安全并导致严重破坏的计算机程序 具有隐蔽性和非授权性的特点，因此和希腊传说的特洛伊木马很相似。 木马泛滥 三方面原因： 一是经济利益驱使，黑客编写一个木马程序非法牟利十几万元的事情并不少见 二是木马程序很容易改写更新，而杀毒软件采用的传统的特征码查毒属于静态识别技术，对于木马程序的不断更新其适应性不强； 三是“木马技术”