计算机病毒防护幻灯片.ppt

五、恶意代码的分析 94 5 恶意代码的分析 1 环境的准备 2 代码分析 3 行为特征分析 95 5.1 环境的准备 硬件环境 内存 软件环境 虚拟机VMWARE 防火墙 96 5.2 信息获取工具 一、主机信息获取工具 内存信息 磁盘信息 文件系统信息 注册表信息 二、网络信息获取工具 Sniffer Ids Tcpview Netcat 97 5.3 文件监控 FileMon RegMon Winalysis 98 5.4 代码分析工具 文件格式处理工具 ––PEiD ––ProcDump 静态代码分析工具 ––UltraEdit ––IDA Pro 动态调试工具 ––SoftIce 组合调试工具 ––OllyDbg ––W32Dasm 99 课程总结 通过本课程的学习，了解到: 了解病毒、蠕虫、木马、恶意网页的原理 掌握病毒、蠕虫、木马、恶意网页的防范 了解恶意代码的分析方法 100 * 世界上第一个电脑病毒,1982年，elk cloner病毒出现在苹果电脑中，这个由rich skrenta编写的恶作剧程序,是世界上已知的第一个电脑病毒。当elk cloner发作时，电脑屏幕上会现出一段韵文 it will get on all your disks（它会占领你所有的磁盘） it will infiltrate your chips（潜入你的芯片） yes its cloner! （是的，它就是克隆病毒！） it will stick to you like glue（它会像胶水一样粘着你） it will modify ram too（也会修改你的内存） send in the cloner! （传播这个克隆病毒！） * 计算机病毒始祖,1982年，斯伦塔发布了首个真正意义上的计算机病毒——Elk Cloner，当时他只是一名15岁的匹兹堡9年级学生。该病毒针对当时的苹果操作系统，能够监控活动的软盘，一旦发现就会把自己复制到上面。除制造首个病毒之外，他还有很多身份，包括“开放目录项目”联合创始人和新闻网站Topix的联合创始人。 * 1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。 1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。它们仿佛是网络中的超级间谍，狡猾地不断截取用户口令等网络中的“机密文件”，利用这些口令欺骗网络中的“哨兵”，长驱直入互联网中的用户电脑。入侵得手，立即反客为主，并闪电般地自我复制，抢占地盘。 到11月3日清晨5点，当加州伯克利分校的专家找出阻止病毒蔓延的办法时，短短12小时内，已有6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难！ 当警方已侦破这一案件并认定莫里斯是闯下弥天大祸的“作者”时，纽约州法庭却迟迟难以对他定罪。在当时，对制造电脑病毒事件这类行为定罪，还是世界性的难题。前苏联在1987年曾发生过汽车厂的电脑人员用病毒破坏生产线的事件，法庭只能用“流氓罪”草草了事。 1990年5月5日，纽约地方法庭根据罗伯特·莫里斯设计病毒程序，造成包括国家航空和航天局、军事基地和主要大学的计算机停止运行的重大事故，判处莫里斯三年缓刑，罚款一万美金，义务为新区服务400小时。莫里斯事件震惊了美国社会乃至整个世界。而比事件影响更大、更深远的是：黑客从此真正变黑，黑客伦理失去约束，黑客传统开始中断。大众对黑客的印象永远不可能回复。而且，计算机病毒从此步入主流。  木马的基本特征（con.） 2、它具有自动运行性 3、具备自动恢复功能 4、能自动打开特别的端口 5、先发制人攻击杀毒软件 7、地下产业链已经形成 62 63 3.1 木马程序的生存方式 （1）直接伪装成合法程序； （2）包含在一个合法程序中，与合法程序绑定在 一起，在用户调用该合法程序时，木马程序也 被启动； （3）在一个合法程序中加入此非法程序执行代码， 该代码在用户调用合法程序时被执行。 64 3.2 五代木马技术发展 第一代木马是简单的具有口令窃取及发送 功能的木马程序。 （1）口令发送型木马 （2）键盘记录型木马 第二代木马在技术上有了很大的进步，是 最早的监视控制型木马。 65 第三代木马在数据传递技术上、木马程序隐藏 技术上又做了进一步的改进。 第四代木马在程序的隐身技术及植入