3 恶意代码.ppt

病毒的传播途径 病毒的存在形式 静态存储： 寄生在可执行文件中 单独文件（exe,scr,pif,bat,vbs,dll,sys…） 通常存储在system32中 启动项： 注册表键值、启动文件、服务… 动态： 进程、远程线程 端口通信 … 反病毒的方法 理想的解决病毒威胁的方法是预防：首先就是不允许病毒进入系统。这个目标通常不可能实现，尽管必要的防护措施可以在一定程度上降低病毒成功攻击的次数。其次就是能够执行如下操作： 检测: 一旦病毒感染系统，系统就应该 确定这一事实并对病毒进行定位。 * 反病毒的方法 识别：检测到病毒后， 应该能够识别被感染的程序中的病毒类型 清除: 病毒被识别后，对病毒所感染的程序中所有可能发生的变化进行检查，清除病毒并使程序还原到感染前的状态， 并清除所有系统中被感染的病毒从而使其无法继续传播。 * 反病毒的方法 将反病毒软件划分为四代： 第一代: 简单扫描器； 第二代:启发式扫描器； 第三代: 活动陷阱； 第四代: 全功能防护。 * 反病毒的方法 第一代扫描器 需要病毒特征码作为识别病毒的依据。病毒可能包含一些 “通配符” 。但是在该病毒的所有副本中，通配符具有本质上相同的结构和比特模式。这些指定特征码的扫描器只能检测到已知类型的病毒。 第二代扫描器 不再依赖特定的病毒特征码，而是，利用启发式规则有哪些信誉好的足球投注网站可能的病毒感染。 这类扫描器之一就通过搜寻经常与病毒相关联的代码段确定病毒。 * 反病毒的方法 第二代扫描器采用的另一种方法是完整性校验。 这种方法对每一个程序计算校验和，并将校验和添加到程序中。 如果某个病毒感染程序而没有改变校验和，那么完整性校验将会捕获这个变化。 第三代反病毒程序是内存驻留型程序，它通过病毒在感染程序中的行为而不是结构进行识别。 第四代 产品综合运用了多种不同的反病毒技术软件包其中包括扫描、活动陷阱等组件。另外，这种软件包还包含访问控制功能，它限制病毒渗透系统的能力，也由此限制病毒为不断感染而改写文件的能力。 * 清除方式 运行中的病毒： 结束相关进程、线程（卸载dll）… 病毒没有运行则不需要此操作 删除相关文件 删除或还原被修改的启动项(注册表键值…) 被感染的文件： 建议采用杀毒软件或专杀程序清除 手工清除需要事先弄清楚其感染原理 木马、后门 木马通常用来控制目标主机，通常由两端组 成。 服务端 用来响应控制端发出的指令、执行实际的任务（如 文件浏览、上传、下载、执行命令、屏幕监控、摄 像头/录音开启及监控…） 控制端 方便用来对被控制主机进行操控、发送指令，并显 示指令执行的返回结果 通常是图形化控制界面 2.2 木马、后门 后门是一个允许攻击者绕过系统中常规安全 控制机制的程序，他按照攻击者自己的意图 提供通道。 后门的重点在于为攻击者提供进入目标计算 机的通道。 后门 后门也称为陷门，是程序的秘密入口点， 它使得知情者可以绕开正常的安全访问机制而直接访问程序。 * 后门 后门已被用于合法多年来程序员调试和测试程序。当程序开发者在设计一个包含认证机制的应用或者一个要求用户输入多个不同的值才能够运行的程序时，为避开这些繁琐的认证机制以便调试顺利进行，程序设计者往往会设置这样的后门。 * 后门 当后门被某些恶意程序员利用，作为获取未经授权的访问权限的工具时，它便成为一种安全威胁。 通过操作系统实现对后门的控制很困难。 应对后门的安全措施必须重点关注程序开发过程和软件更新活动。 * 木马、后门的安装 自己植入（物理接触或入侵之后） 通过病毒、蠕虫和恶意移动代码 欺骗受害者自己安装 Email 远程共享 BT下载 …… 后门 VS 特洛伊木马 如果一个程序仅仅提供远程访问，那么它只 是一个后门。 如果攻击者将这些后门伪装成某些其他良性 程序，那么那就变成真正的特洛伊木马。 木马是披着羊皮的狼！！它对用户个人隐私 造成极大威胁。 如何防御木马、后门 培养良好的安全意识和习惯。 使用网络防火墙封锁与端口的连接。 仅允许最少数量的端口通信通过防火墙 经常利用端口扫描器扫描主机或端口查看工具查找 本地端口监听程序。 2.4 间谍软件、广告软件、流氓软件 间谍软件：以主动收集用户个人信息、相关机密文件或隐私数 据为主，搜集到的数据会主动传送到指定服务器。 广告软件：未经用户允许,下载并安装或与其他软件捆绑通过弹 出式广告或以其他形式进行商业广告宣传的程序。 流氓软件：具有一定的实用价值但具备电脑病毒和黑客软件的 部分特征的软件（特别是难以卸载）；它处在合法软件和电脑 病毒之间的灰色地带，同样极大地侵害着电脑用户的权益。也 称为灰色软件。 发展趋势 逐渐融合了各种病毒、蠕虫、木马、甚至 Rootkit的技术和特点，无处不在，危害特 别巨大。 其会变得越来越普遍，越来越复