中科院《入侵检测技术》课件----第5节课要点.ppt

攻击者创建一个用户samy，在samy的自定义网页中插入XSS攻击脚本。 当用户访问samy的网页时，恶意脚本会将自身（javascript攻击代码）插入到访问用户的自定义网页中。 这样访问被感染用户的网页的用户又会被感染。 攻击者只干了两件事 在每个感染用户的网页中加上samy is my hero 自动将samy加为好友 * Bad web site Home router User configure router send forged request visit site receive malicious page 1 2 3 4 Virus Backdoor Trojan horse Rootkit Scareware Adware Worm Botnet Malware Infected host Executable Packer Payload 用户态rootkits 内核态rootkits Mbr rootkits 虚拟机rootkits 硬件rootkits PS KERNEL Hardware : HD, keyboard, mouse, NIC, GPU P1 P2 P3 P3 rootkit BIOS MBR VBS NT Boot Sector BOOTMGR.EXE WINLOAD.EXE Windows 7 kernel HAL.DLL Target OS Hardware App App Virtual machine monitor Host OS Rogue app * * 网络病毒经历了三个阶段：病毒，蠕虫和木马 目前统计病毒数量的方法是统计病毒的样本数， 但是由于混淆和加密技术的使用，一个病毒可以产生成千上万个不同的样本，这样统计的数量就有很大的误差，而且基本上不可能通过两个样本来判断出它们是否来自于一个generator. symentec和mcAfee都开发了基于reputation的技术来检测病毒EXE，Quorum和Artemis，它们都基于这样的原理，对于每一个网上的可执行代码，该技术计算它的signature，然后统计它的reputation，所有用户都可以共享这一数据，如果发现一个可执行代码的reputation很高，那么它就可以下载并运行，否则禁止运行。 * * VBS : volume boot sector MBR: master boot record white unknown green - 16 bits red 32 bits blue 64 bits Blue pill (Joanna) injection method using raw disk access from user mode patched need a signed driver * * 网络病毒经历了三个阶段：病毒，蠕虫和木马 目前统计病毒数量的方法是统计病毒的样本数， 但是由于混淆和加密技术的使用，一个病毒可以产生成千上万个不同的样本，这样统计的数量就有很大的误差，而且基本上不可能通过两个样本来判断出它们是否来自于一个generator. symentec和mcAfee都开发了基于reputation的技术来检测病毒EXE，Quorum和Artemis，它们都基于这样的原理，对于每一个网上的可执行代码，该技术计算它的signature，然后统计它的reputation，所有用户都可以共享这一数据，如果发现一个可执行代码的reputation很高，那么它就可以下载并运行，否则禁止运行。 * * VBS : volume boot sector MBR: master boot record white unknown green - 16 bits red 32 bits blue 64 bits Blue pill (Joanna) injection method using raw disk access from user mode patched need a signed driver