- 1、本文档共53页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第八章 恶意软件防范 四道防线 第一道防线:网络与系统接入控制 防止 第二道防线:用户管理与资源访问/数据存取控制 阻止 第三道防线:病毒防范与动态安全管理。 检测 第四道防线:灾难预防与系统恢复(备份)。 纠正 一、 基本概念 恶意软件:执行非法命令的程序或程序片段,通常带有恶意。 恶意代码:包含恶意软件逻辑的程序代码。 恶意软件载荷:恶意软件想要实现的恶意行为。 分类 按照如何执行恶意行为和如何自我传播分 1 病毒的概念 计算机病毒是一种特殊的计算机程序,它可以隐藏在看起来无害的程序中,也可以生成自身的拷贝并插入到其他程序中。病毒通常会进行一些恶意的破坏活动或恶作剧,使用户的网络或信息系统遭受浩劫。 病毒是可以插入正常程序的可执行代码中的代码序列。 2 蠕虫 一种进行自我复制的程序 1988蠕虫(unix)、SQL Slammer、nimda、code red 通过永久性网络连接或拨号网络进行自身复制的程序。 典型的蠕虫程序只会在内存中维持一个活动副本 有两种不同的变形: 只会在一台计算机上运行 使用网络连接作为神经系统:章鱼 3 僵尸 秘密获取因特网联网计算机控制权的程序,它利用被感染的计算机发起攻击,很难追溯到僵尸的制造者。 常用于拒绝服务攻击 分布式拒绝服务攻击 Trinoo…… 4 木马 它是一个独立的应用程序,用以执行未授权行为的恶意软件 完成一种用户不了解,可能也不许可的活动。 木马不是病毒,无法自我复制。 可以损害系统 可以引发未预期的系统行为 可以突破系统安全措施 “特洛伊” 木马的种类 远程访问木马RAT 反防护软件木马 破坏型木马 数据发送型木马 拒绝服务攻击木马DoS---DDoS 代理型木马 拒绝服务攻击p8 分类: 攻击方法 软件漏洞利用 洪泛攻击 从攻击位置或观察者的角度看 单源攻击(单个僵尸) 多源攻击DDoS 5 逻辑炸弹 编程代码,有意或无意植入,特定条件下执行。 基于事件的病毒或木马 时间炸弹 耶路撒冷(Jerusalem)别称叫做“黑色星期五”。每逢十三号又是星期五的日子,这个病毒就会发作。而发作时将会终止所有使用者所执行的程序,症状相当凶狠。 米开朗基罗(Michelangelo) 每年到了3月6日米开朗基罗生日时,这个病毒就会以Format硬盘来为这位大师祝寿。 6 陷门 一种秘密的程序入口,绕过访问控制规程,获得访问权。 打开一个端口 提供命令行环境 二、病毒分析 1 病毒的根本原理 计算机系统的冯·诺伊曼体系结构决定了计算机软件的特征,也从根本上决定了计算机病毒的存在。 软件是: 工具; 资源; 知识产品; 社会进步的标志; 具有威慑力的武器; 信息阐述和交流的工具; 特定装置转换成逻辑装置的手段; 2 病毒的发展史 (1)计算机病毒出现之前的情况 冯·诺伊曼(John Von Neumann)其论文《复杂自动装置的理论及组识的进行》里已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的专家都无法想像会有这种能自我繁殖的程序。 (2)第一个真正的计算机病毒 1987年,第一个计算机病毒C-BRAIN诞生了。 (3)DOS时代的著名病毒: (4)基于Windows环境的病毒:宏病毒 (5)Internet时代,网络病毒的崛起 经由网络广泛传播是第二代病毒的特征 3 病毒的特点 传染性 破坏性 隐蔽性 潜伏性 不可预见性 未经授权而执行 变异性 进化性 传染性 这是病毒的基本特征。病毒一旦侵入系统,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。 破坏性 任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。 由此特性可将病毒分为良性病毒与恶性病毒。 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。 通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。 目的是不让用户发现它的存在。 系统被感染病毒后一般情况下用户是感觉不到它的存在的,只有在其发作,出现不正常反映时用户才知道。 潜伏性 大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。 不可预见性 从对病毒的检测方面来看,病毒还有不可预见性。 由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。 病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。 未经授权而执行 一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。 病毒具有正常程序的一
文档评论(0)