恶意代码防范和检测.pdf

恶意代码防范与检测恶意代码防范与检测恶意代码防范与检测恶意代码防范与检测 原理篇原理篇原理篇原理篇 姓名：朱 强 学号：S309060140 恶意代码恶意代码恶意代码恶意代码 什么是恶意代码？什么是恶意代码？ 恶意代码（Malicious Code）主要是指以危害信息的安全等不 良意图为目的的程序，它们一般潜伏在受害计算机系统中实施 破坏或窃取信息破坏或窃取信息。 常见的恶意代码包括计算机病毒、蠕虫（Worm ）和特洛伊木 马马 （（TrojanTrojan HorseHorse））等等。 恶意代码的危害恶意代码的危害恶意代码的危害恶意代码的危害 1.攻击系统，造成系统瘫痪或操作异常； 22.危害数据文件的安全存储和使用危害数据文件的安全存储和使用； 3.泄露文件、配置或隐私信息； 4.肆意占用资源，影响系统或网络的性能； 5.攻击应用程序，如影响邮件的收发。 恶意代码恶意代码恶意代码恶意代码 计算机病毒计算机病毒 计算机病毒能够寻找宿主对象，并且依附于宿主，是 一类具有传染、隐蔽、破坏等能力的恶意代码。 本质特征：传染性、依附性 蠕虫蠕虫蠕虫蠕虫 蠕虫是蠕虫是一类特殊的恶意代码类特殊的恶意代码，他们可以在计算机系统他们可以在计算机系统 或网络中繁殖，由于不依附于其他程序，这种繁殖使 它们看上去是在内存它们看上去是在内存、磁盘或网络中移动磁盘或网络中移动。 独立的程序 特洛伊木马特洛伊木马特洛伊木马特洛伊木马 特洛伊木马特洛伊木马是隐藏在系统中的用以完成未授权功能的是隐藏在系统中的用以完成未授权功能的 非法程序非法程序非法程序非法程序。。 木马与病毒的区别: 木马与远程控制软件的区别: 病毒主要特殊性是能自我复 远程控制软件是在被控制的 制制，具有传染性和破坏性具有传染性和破坏性。病毒病毒 目标系统目标系统知道和允许知道和允许的情况下对的情况下对 的传染是没有可控性的传染，即 目标系统进行远程控制的客户/服 使是病毒编制者也可能无法对其 务器软件，控制通常不具有隐蔽 进行控制进行控制，它以自我复制的方式它以自我复制的方式 性和破坏性性和破坏性，，而木马恰恰相反而木马恰恰相反。。 进行繁殖和感染文件。 远程控制软件是“善意”的 木马的特殊性是木马攻击者 控制，是为管理或应用服务的。 能够对木马实施能够对木马实施控制控制，具有具有可控控 而木马则是而木马则是 ““恶意恶意””的控制的控制，目目 性。 的是对目标系统执行恶意操作或 窃取信息。 特洛伊木马特洛伊木马特洛伊木马特洛伊木马 特洛伊木马的结构特洛伊木马的结构 客户端：客户端：安装在攻击者机器上的部分安装在攻击者机器上的部分 服服务务务务器器端端端端：：通通过各种过各种过各种过各种手段手段植入植入植入植入目目标机标机标机标机器器的部分的部分的部分的部分 特洛伊木马特洛伊木马特洛伊木马特洛伊木马 特洛伊木马的基本特性特洛伊木马的基本特性–– 隐蔽性隐蔽性 特洛伊木马特洛伊木马特洛伊木马特洛伊木马 特洛伊木马的植入手段特洛伊木马的植入手段 1.1. 欺骗用户下载执行。欺骗用户下载执行。 2.2. 通过电子邮件来