第6章-恶意代码.pptxVIP

第六章恶意代码;本章主要内容;6.1恶意代码概述;4;5;6;7;8;9;10;11;12;6.1恶意代码概述;（2）恶意代码的分类

包含了迄今为止的所有对计算机及网络系统构成威胁的程序，如病毒、木马、蠕虫、逻辑炸弹、网络钓鱼、勒索软件、BotNet、等。;计算机病毒是一种计算机程序，它递归地、明确地复制自已或其演化体。

--美.Cohen

编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

--《计算机信息系统安全保护条例》;病毒特点

可执行性

非授权性

自我复制性

破坏性;特洛伊木马（TrojanHorse）

来源于古希腊的神话故事“木马记”。;特洛伊木马是一种基于远程控制的黑客工具，它隐藏在目标系统中，能控制整个系统，并能和特定控制者进行信息交互的程序。;木马的特点

隐蔽性

非授权性

可控性

高效性

;木马功能;蠕虫

蠕虫是一种智能化、自动化的攻击程序或代码，它主动扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者互联网从一个节点传播到另外一个节点。;蠕虫工作流程;本章主要内容;6.2恶意代码的关键技术;利用移动介质植入

移动介质植入利用主机配置中存在的缺陷或者漏洞实现介质中的恶意代码的加载和复制。

例：

Autorun

Stuxnet

;邮件植入

攻击者将木马程序伪装之后添加到邮件的附件中发送给目标用户，并通过邮件的主题和内容诱骗用户打开附件。;利用漏洞进行植入

操作系统、应用软件在设计和实现时可能存在逻辑或编程漏洞，从而导致攻击者利用该漏洞获取目标系统的权限，继而通过创建通道植入木马。

;网页植入

将被挂马的网页以链接方式直接传播或植入第三方软件。

网页挂马：页面中加入恶意脚本或漏洞利用程序；

多媒体文件：在RM、RMVB、WMV中加入木马，播放文件时弹出页面进行植入；

电子书：电子书由多个网页文件组合而成，攻击者可将一个恶意网页加入到电子书中实现植入。

;下载植入

木马通过诱骗用户下载并安装至目标计算机的过程称为下载植入。

伪装

文件捆绑

;中间人攻击植入

???过在目标系统外连的链路上进行监听，利用软件自动更新植入木马。

;（2）木马的隐藏

文件隐藏

进程隐藏

通信隐藏

启动隐藏

;文件隐藏

骗骗菜鸟-设置文件为系统隐藏文件,伪装

高明一点-替换系统DLL

再高明一点-躲进回收站(autorun.inf)

更高级-写入固件

最好-木马运行期间没有文件

;进程隐藏

使用隐蔽性、欺骗性强的进程名称

使用动态链接库

在其它进程空间中插入代码

过滤进程信息;DLL木马

硬性-替换系统DLL

软性-DLL注入

安装系统钩子

远程线程插入

借壳-svchost服务;利用系统钩子

钩子（Hook）：是WindowsHook消息处理机制的一个平台，应用程序可以在上面设置子程序以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理之前处理它。钩子机制允许应用程序截获处理Windows消息或特定事件。;远程线程插入技术

在另一个合法进程中插入自己的代码

不会多出单独的进程;RootKit技术隐藏

挂接NtQuerySystemInformation函数

修改ActiveProcessLinks;38;39;typedefstructSystemServiceDescriptorTable

{

UINT*ServiceTableBase;//addressoftheSSDT

UINT*ServiceCounterTableBase;//notused

UINTNumberOfService;//numberofsystemcalls

UCHAR*ParameterTableBase;//bytearray

}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;;（3）通信隐藏

本地-端口隐藏

复用端口

修改系统关键数据

数据包隐藏

ICMP

UDP

HTTP隧道

不规则IP报文;42;43;（4）启动隐藏

明目张胆-系统启动目录

历史教训-系统启动配置文件

曾经辉煌-修改文件关联、映像劫持

屡试不爽-捆绑文件

瞒过菜鸟-修改注册表

经常采用-服务、借壳、替换系统DLL

隐蔽启动-驱动加载

查无可查-木马运行期间隐藏启动方式;启动目录

开始-程序-启动;系统启动配置文件

DOS–