恶意软件与防护(第五章).pptVIP

网 络 安 全 主 讲：符天 电子邮箱：network@mail.hnspi.net 第五章 恶意软件与防护 第五章 对 学 生 的 要 求 掌握恶意软件的工作原理 掌握恶意软件的处理策略 教学重点：恶意软件的工作原理 教学难点：恶意软件的处理策略 恶意软件简介 恶意软件（Malware）是指在未明确提示用户或未经用户许可的情况下，在用户计算机或终端上安装运行侵害用户合法权益的软件，但不包含我国法律规定的计算机病毒。一般具有下列特征之一的软件可以被认为是恶意软件： 　　 ①强制安装：未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为； 　　 ②难以卸载：未提供通用的卸载方式，或在不受其他软件影响以及人为破坏的情况下，卸载后仍然有程序活动的行为； 　　 ③浏览器劫持：未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为； 　　 ④广告弹出：未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为； 恶意软件简介 ⑤恶意收集用户信息：未明确提示用户或未经用户许可，恶意收集用户信息的行为； 　⑥恶意卸载：未明确提示用户或未经用户许可，误导、欺骗用户卸载其他软件的行为； 　 ⑦恶意捆绑：在可供下载的软件中捆绑已被认定为恶意软件的行为； 　 ⑧其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。 恶意软件发展过程 恶意网页代码 恶意网页代码是指使用Script语言编写的一些恶意代码，当用户浏览含有恶意网页代码的网页时，恶意网页代码利用浏览器的漏洞对系统资源进行破坏。网页恶意代码的技术基础是WSH（Windows Scripting Host ,Windows 脚本宿主），用户打开网页时自动执行或通过用户双击执行，然后调用程序Wscript.exe（命令行为Cscript.exe）来对它进行解释并执行，这个程序就是WSH。 恶意网页代码 2001年，某些色情网站和中小网站通过“修改用户浏览器主页”的方法提高网站访问量，这一做法在当时非常流行。随后，不少中小网站开始采用更加恶劣的方法，通过恶意网页代码直接对用户计算机的注册表进行修改，对一些系统功能进行限制。 插件推广 北京3721科技有限公司(阿里巴巴)在国内首创流氓插件，它可以不知不觉的潜入用户的电脑，添加按钮，修改IE工具条和菜单项等内容，修改注册表为开机自动启动。更令人深恶痛绝的是它还干扰其他软件运行，并且无法彻底卸载。诡异的流氓行为，使得3721短时间内迅速取得了巨大的成绩，几乎所有的网民都曾经被其流氓过。 由于3721和中搜等“中文上网”取得的巨大经济收益，促使其它大大小小的互联网厂商也相继推出了各自具有类似功能的插件。随着这种情况愈演愈烈，用户开始控诉此类插件，并形象地将这些不请自来的软件称之为“流氓软件”。 插件推广 软件捆绑 在众多反流氓软件产品的打击下，一些互联网厂商被迫寻找新的推广方式，于是他们开始尝试用共享软件捆绑的方式，向用户的电脑中安插流氓软件。这些厂商网罗了多种知名的共享软件，将自身的产品与共享软件捆绑，并支付一定费用，曾经出现过一个共享软件捆绑安装十余个流氓软件的情况。 由于广告厂商看到通过流氓软件弹出广告覆盖面广、营销对象确定、利润来源稳定，也开始给流氓软件发布者投放可观的广告费，这使得整个流氓软件形成了完整的产业链条。 流氓软件病毒化 迫于强大的舆论压力，流氓软件厂商开始两极分化，一些大牌厂商彻底告别了流氓软件，也有一些厂商逐渐“洗白”，将软件的流氓程度降低。然而，由于很多中小厂商是靠流氓软件起家的，通过流氓软件进行广告推广已经成为其公司的主要甚至是唯一的经济来源。 为了防止被杀毒软件或流氓软件卸载工具发现，一些流氓软件采用了病毒技术进行自我保护，更有一些流氓软件开始使用电脑病毒来隐藏自身、进行快速传播和对抗用户的清除，流氓软件和病毒之间的界限已变得越来越模糊。 恶意软件防范 恶意软件的处理策略 (1)免费查杀工具 瑞星上网卡卡3.0助手：使用碎甲技术彻底铲除流氓软件，可和杀毒软件配合彻底清除那些以往难以清除的恶性病毒。如果某些流氓软件拒绝被用户卸载，“瑞星卡卡”会把它们当作病毒一样彻底清除。 windows流氓清理软件：能够检测、清理已知的大多数广告软件、工具条和流氓软件同时还有注册表清理、垃圾文件的清理功能，而且具有注册表压缩优化功能。 超级兔子软件：具有IE修复、IE保护、恶意程序检测及清除工能，防止其它人浏览网站，阻挡色情网站，端口过滤，清理