6.恶意代码及其分析技术.pptxVIP

项目6恶意代码及其分析技术主讲XXX

目录2小任务1一个恶意代码实例4321小任务2静态分析技术：canyoucrackme？小任务3如何召唤神龙？小任务4浑水好摸鱼：代码被加壳

小任务1一个恶意代码实例3什么样的代码是恶意代码？病毒都“长成什么样”呢？中毒后会有什么症状？通过本任务的实践，你将对这些问题有一个简单的认识。任务描述

小任务1一个恶意代码实例4了解恶意代码概念，熟悉常见的恶意代码种类熟悉恶意代码的命名及常见的恶意代码前缀了解恶意代码的检测技术熟悉常见的杀毒软件产品

1.恶意代码（MaliciousCode或Malware）恶意代码是本身没有作用却会带来危险的一种程序广义上说凡是不必要的代码都是恶意代码，包括所有可能与某个组织安全策略相冲突的程序恶意代码可能会破坏数据、运行具有入侵性或破坏性的程序，从而破坏计算机的安全性和完整性。最简单的恶意代码：%0|%0，将该代码保存为批处理文件并在命令提示符里执行，计算机将会很快耗光资源。5知识储备

61.恶意代码（MaliciousCode或Malware）知识储备病毒是一种能自我复制的很小的应用程序或一串代主要通过感染文件或磁盘引导扇区进行传播一般需要宿主程序被执行或人为交互才能运行WannaCry勒索病毒、AV终结者、CIH病毒毒(Virus)后门（BackDoor）蠕虫(Worm)特洛伊木马(Trojan)

71.恶意代码（MaliciousCode或Malware）知识储备分类：引导型病毒、文件型病毒、混合型病毒和宏病毒等引导型病毒会改写磁盘上的引导扇区，它先于操作系统运行，依托于BIOS中断服务程序，如大麻、小球等病毒文件型病毒也叫寄生病毒，主要感染扩展名为EXE、COM、BAT等的可执行文件，使其成为新的带毒文件，如流行于90年代的CIH病毒(Virus)后门（BackDoor）蠕虫(Worm)特洛伊木马(Trojan)

81.恶意代码（MaliciousCode或Malware）知识储备混合型病毒具有文件型病毒和引导型病毒的特征，这类病毒具有极强的感染性，很难彻底清除宏病毒一般用VBA语言编写而成，并寄生在微软Office文档上，当打开该文档启用了宏时，宏病毒将被激活，如梅丽莎（Melissa）、台湾NO.1B就是宏病毒(Virus)后门（BackDoor）蠕虫(Worm)特洛伊木马(Trojan)

91.恶意代码（MaliciousCode或Malware）知识储备蠕虫像病毒那样可以扩散蠕虫可以自我复制，不需要借助其他宿主通过主动扫描并攻击网络服务漏洞或电子邮件地址簿得以网络传播和自动复制如Nimda（尼姆达）、Codered（红色代码）、Blaster（冲击波）、Sasser（震荡波）、爱虫、熊猫烧香毒(Virus)后门（BackDoor）蠕虫(Worm)特洛伊木马(Trojan)

101.恶意代码（MaliciousCode或Malware）知识储备后门是指一类能够绕过正常的安全控制机制，为攻击者提供访问途径的一类恶意代码如Netcat、冰河毒(Virus)后门（BackDoor）蠕虫(Worm)特洛伊木马(Trojan)

111.恶意代码（MaliciousCode或Malware）知识储备特洛伊木马(TrojanHorses)伪装成有用程序，隐藏其恶意目的，欺骗用户安装执行木马具有隐蔽性、欺骗性、自恢复性等特点常见的木马类型有远程控制木马、键盘记录木马、网页木马等如灰鸽子、网银大盗毒(Virus)后门（BackDoor）蠕虫(Worm)特洛伊木马(Trojan)

121.恶意代码（MaliciousCode或Malware）知识储备僵尸网络（Botnet）是攻击者出于恶意目的，传播僵尸程序（Bot）控制大量主机（俗称肉鸡），通过一对多的命令与控制信道所组成的攻击网络攻击者利用僵尸网络可发起大规模的网络攻击，如DDoS、海量垃圾邮件等僵尸计算机上的机密信息如银行卡账号和口令也可被攻击者轻松获取如Phatbot、Grum、Storm、Zeus僵尸程序（Bot）逻辑炸弹(LogicBombs)Rootkit流氓软件（Spyware、Adware）

131.恶意代码（MaliciousCode或Malware）知识储备Rootkit是攻击者用来隐藏自己的踪迹和保留root访