补充-恶意代码防护技术.pptVIP

第6章 恶意代码分析与防治 内容提要 恶意代码的发展史及长期存在的原因 恶意代码实现机理、定义以及攻击方法 恶意代码生存技术、隐藏技术 恶意代码防范方法：基于主机的检测方法和基于网络的检测方法 1 恶意代码概述 代码是指计算机程序代码，可以被执行完成特定功能。任何事物都有正反两面，人类发明的所有工具既可造福也可作孽，这完全取决于使用工具的人。 计算机程序也不例外，软件工程师们编写了大量的有用的软件（操作系统，应用系统和数据库系统等）的同时，黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码（Malicious Codes）。 1 恶意代码概述 研究恶意代码的必要性 在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。与此同时，恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。 恶意代码攻击成为信息战、网络战最重要的入侵手段之一。一个典型的例子是在电影《独立日》中，美国空军对外星飞船进行核轰炸没有效果，最后给敌人飞船系统注入恶意代码，使敌人飞船的保护层失效，从而拯救了地球，从中可以看出恶意代码研究的重要性。 1 恶意代码概述 恶意代码的发展史 恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。 1988 年11 月泛滥的Morris蠕虫，顷刻之间使得6000 多台计算机（占当时Internet 上计算机总数的10%多）瘫痪，造成严重的后果，并因此引起世界范围内关注。 1998 年CIH病毒造成数十万台计算机受到破坏。1999 年Happy 99、Melissa 病毒大爆发，Melissa 病毒通过E-mail 附件快速传播而使E-mail 服务器和网络负载过重，它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。 2000 年5 月爆发的“爱虫”病毒及其以后出现的50 多个变种病毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感染了4000 多万台计算机，造成大约86 亿美元的经济损失。 1 恶意代码概述 恶意代码的发展史 2001 年，国信安办与公安部共同主办了我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达63％，其中，感染三次以上的用户又占59％多，网络安全存在大量隐患。 2001 年8月，“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播蠕虫，在互联网上大规模泛滥。 2003 年，SLammer 蠕虫在10 分钟内导致互联网90％脆弱主机受到感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球电脑用户损失高达20亿美元之多。 2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造成了巨大的经济损失。 目前，恶意代码问题成为信息安全需要解决的，迫在眉睫的、刻不容缓的安全问题。 1 恶意代码概述 恶意代码的发展 1 恶意代码概述 恶意代码3个主要特征(从80 年代发展至今体现)： ①恶意代码日趋复杂和完善：从非常简单的，感染游戏的Apple II 病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。 ②恶意代码编制方法及发布速度更快：恶意代码刚出现时发展较慢，但是随着网络飞速发展，Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年，不断涌现的恶意代码，证实了这一点。 ③从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码：恶意代码的早期，大多数攻击行为是由病毒和受感染的可执行文件引起的。然而，在过去5 年，利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。 1 恶意代码概述 恶意代码长期存在的原因 计算机技术飞速发展的同时并未使系统的安全性得到增强。技术进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来的安全威胁的增长程度。不但如此，计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。 恶意代码的一个主要特征是其针对性（针对特定的脆弱点），这种针对性充分说明了恶意代码正是利用软件的脆弱性实现其恶意目的的。造成广泛影响的1988年Morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。 2 恶意代码实现机理 早期恶意代码的主要形式是计算机