CISSP学习笔记-21（恶意代码和应用攻击）.pdf

CISSP学习笔记-21（恶意代码和应⽤攻击）

知识点

恶意软件

•计算机病毒和特洛伊⽊⻢，依靠⽤户对计算机的不当使⽤在系统间传播

•蠕⾍，则依靠⾃身的⼒量在脆弱的系统间传播

恶意代码的来源

⾼级持续性威胁(APT，Advanced Persistent Threat)：

是富有经验的对⼿，拥有先进的技术和雄厚的资⾦，这些袭击者通常是军事单位、情报机构，或可能⾪属于政府机构的影⼦团体

APT攻击和其他恶意软件作者之间的主要区别：

恶意软件：恶意软件开发⼈员通常掌握软件供应商不知道的零⽇漏洞因为供应商没有意识到漏洞，所以没有补丁，⽽且漏洞是⾮

常有效的

ATP：由APT构建的恶意软件具有⾼度针对性，旨在只影响少数的敌⽅系统（通常⼩到⼀个！），很难防御

病毒

计算机病毒有两个主要功能：传播和破坏

•传播功能，定义了病毒如何在系统之间扩散，从⽽感染每⼀台计算机

•破坏，病毒的有效载荷通过执⾏病毒作者预谋的恶意⾏为来释放它的破坏⼒，从⽽破坏系统或数据的必威体育官网网址性、完整性和可⽤性

病毒传播技术

主引导记录病毒

这些病毒攻击MBR——可启动介质，MBR 病毒将主要的代码保存在存储介质的其他部分系统读取受感染的MBR时，病毒会

引导系统读取并执⾏存储在其他地⽅的代码

⽂件感染病毒

可执⾏⽂件，在操作系统执⾏这些⽂件时被激活，如：.exe .com .msc

同伴病毒

利⽤与合法的操作系统⽂件类似⼜稍有不同的⽂件名来躲避检查

命令⾏⼯具中执⾏⽂件时要避免快捷⽅式并且使⽤具体的⽂件名

顺序添加到.com .exe .bat

宏病毒

通过限制不受信的宏在没有⽤户明确许可的情况下运⾏

服务注⼊病毒

将⾃⼰注⼊可信的系统进程中

保护系统免受服务注⼊的最佳实践：

确保浏览Web 内容的所有软件（如浏览器、媒体播放器、帮助应⽤程序）都打上必威体育精装版的安全补丁

容易受到病毒攻击的平台

Windows

反病毒机制

特征型反病毒软件：有效性只依赖于病毒库的有效性，需要经常更新病毒库

基于启发式的机制分析软件的⾏为，寻找病毒活动的迹象例如试图提⾼特权级别、掩盖电⼦踪迹，以及更改不相关的或操作系

统的⽂件

病毒技术

复合病毒

复合病毒使⽤多种传播技术试图渗透只防御其中⼀种⽅法的系统

隐形病毒

隐形病毒通过篡改操作系统欺骗反病毒软件，使其认为⼀切正常，从⽽将⾃⼰隐藏起来

多态病毒

在系统间传输时修改⾃身的代码，每次感染新的系统后，病毒的特征都略有改变多态病毒制造者就是希望通过连续改变特

征使基于特征的反病毒软件失效

加密病毒

加密病毒使⽤加密技术来躲避检测加密病毒不是通过改变代码来⽣成这些修改过的特征，⽽是修改在磁盘上的存储⽅式

病毒恶作剧-骗局(hoax)

逻辑炸弹

满⾜⼀个或多个条件前保持休眠的恶意代码

特洛伊⽊⻢

⽆害的⽊⻢

⽬的是通过访问web⻚⾯获得浏览量，获取⼴告收⼊

流氓杀毒软件

声称是反病毒软件，欺骗⽤户安装它，会窃取个⼈信息或提示⽤户付款以“更新“流氓杀毒软件“更新只是禁⽤⽊⻢

蠕⾍

不需要⼈为⼲预就可以⾃⼰传播

篡改、植⼊⽊⻢、植⼊逻辑炸弹、探测

应对⽅法：确保连在Internet 上的系统打了必威体育精装版的安全补丁

间谍软件和⼴告软件

间谍软件：会监控你的动作，并向暗中监视你活动的远程系统传送重要细节如⽤户名+密码、信⽤卡等

⼴告软件：使⽤多种技术在被感染的计算机上显示⼴告，最简单的⼴告软件会在你访问Web时在屏幕上弹出⼴告更恶毒的⼴告软

件则可能监控你的购物⾏为，并将你重定向⾄竞争者的Web站点

勒索软件

勒索软件是⼀种将密码学武器化的恶意软件 在通过许