网络安全技术及应用第五章.ppt
《网络安全技术及应用第五章.ppt》由会员分享,可在线阅读,更多相关《网络安全技术及应用第五章.ppt(72页珍藏版)》请在三一文库上搜索。
1、2019/2/24,1,第五章 计算机病毒及恶意代码,本章学习重点掌握内容: 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络,2019/2/24,2,第五章 计算机病毒及恶意代码,5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件,2019/2/24,3,5.1计算机病毒概述,5.1.1 计算机病毒的定义 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,2019/2/
2、24,4,5.1计算机病毒概述,5.1.2计算机病毒历史 1977年,美国著名的贝尔实验室中设计磁芯大战(Core War)的游戏,第一步将计算机病毒感染性的概念体现出来 第一个具备完整特征的计算机病毒出现于1987年,病毒C-BRAIN,由一对巴基斯坦兄弟:Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。,2019/2/24,5,5.1.2计算机病毒历史,DOS病毒,破坏表现:唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等 。 基于Windows运
3、行环境的病毒,随着微软Office软件的普及,出现了宏病毒,各种脚本病毒也日益增多著名病毒如 CIH病毒等。 网络时代病毒已经突破了传统病毒的技术,融合许多网络攻击技术,如蠕虫技术、木马技术、流氓软件、网络钓鱼等,。,2019/2/24,6,5.1计算机病毒概述,5.1.3 计算机病毒特征 破坏性 计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏 隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。 潜伏性 长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。 传染性 指病毒具有把自身复制到其它程序中的特性,2019/2/24,7,5.1.
4、3 计算机病毒特征,网络病毒又增加很多新的特点 主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多,容易编写,并且很容易被修改,生成很多病毒变种 融合多种网络技术,并被黑客所使用,2019/2/24,8,5.2 传统的计算机病毒,5.2.1 计算机病毒的基本机制 分为三大模块:传染机制、破坏机制、触发机制。 计算机病毒的传染机制 指计算机病毒由一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。 触发机制 计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。 3、破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统
5、或信息产生严重破坏。,2019/2/24,9,5.2 传统的计算机病毒,5.2.2 病毒分析 Windows环境下,主要病毒有文件型病毒、引导性病毒和宏病毒等 文件型病毒 文件型病毒主要感染可执行文件,Windows环境下主要为.EXE文件,为PE格式文件 PE是 Win32环境自身所带的执行体文件格式。,2019/2/24,10,5.2.2 病毒分析,PE文件结构如图5-1所示,2019/2/24,11,5.2.2 病毒分析,当运行一个PE可执行文件时 当PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则跳转到 PE header。 P
6、E装载器检查 PE header 的有效性。如果有效,就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中的节信息,并采用文件映射方法将这些节映射到内存,同时附上节表里指定的节属性。 PE文件映射入内存后,PE装载器将处理PE文件中类似 import table(引入表)逻辑部分。,2019/2/24,12,5.2.2 病毒分析,感染PE文件,必须满足两个基本条件: 是能够在宿主程序中被调用,获得运行权限;主要采用重定位的方法,改PE文件在系统运行PE文件时,病毒代码可以获取控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码。方法有: 可以修
7、改文件头中代码开始执行位置(AddressOfEntryPoint) 在PE文件中添加一个新节 病毒进行各种操作时需调用API函数 ,有两种解决方案。 在感染PE文件的时候,可以搜索宿主的引入函数节的相关地址。 解析导出函数节,尤其是Kernel32.DLL,2019/2/24,13,5.2.2 病毒分析,宏病毒 就是使用宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件中 感染过程 改写Word宏 改写文档自动执行宏,如AutoOpen、FileSave FilePrint等等,2019/2/24,14,5.2.2 病毒分析,转换成文档模板
8、的宏 当宏病毒获得运行权限之后,把所关联的宿主文档转换成模板格式,然后把所有宏病毒复制到该模板之中 感染其它Word文档 当其它的Word文件打开时,由于自动调用该模板因而会自动运行宏病毒,2019/2/24,15,5.2.2 病毒分析,宏病毒具有如下特点 传播快 Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。 制作、变种方便 Word使用宏语言WordBasic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变,立即就生产出了一种新的宏病毒. 破坏性大,2019/2/24,16,5.2 传统的计算机
9、病毒,5.2.3 传统计算机病毒防御 文件型病毒一般采用以下一些方法 安装最新版本、有实时监控文件系统功能的防病毒软件。 及时更新病毒引擎,最好每周更新一次,并在有病毒突发事件时立即更新。 经常使用防毒软件对系统进行病毒检查。 对关键文件,如系统文件、重要数据等,在无毒环境下备份。 在不影响系统正常工作的情况下对系统文件设置最低的访问权限。,2019/2/24,17,5.2.3 传统计算机病毒防御,宏病毒的预防与清除 找到一个无毒的Normal.dot 文件的备份,将位于“MSOffice Template ”文件夹下的通用模板Normal.dot文件替换掉; 对于已染病毒的文件,先打开一个无
10、毒Word文件,按照以下菜单打开对话框:工具-宏-安全性,设置安全性为高,2019/2/24,18,5.3 脚本病毒,5.3.1 脚本病毒概述 脚本病毒依赖一种特殊的脚本语言(如:VBScript、JavaScript等)起作用,同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令,脚本病毒可以在多个产品环境中进行。 脚本病毒具有如下特征 编写简单。由于脚本的简单性,使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。 病毒源码容易被获取、变种多。其源代码可读性非常强,2019/2/24,19,5.3.1 脚本病毒概述,感染力强。采用脚本高级语言可以实现多种复杂操作,感染其它文件
11、或直接自动运行。 破坏力强。 脚本病毒可以寄生于HTML或邮件通过网络传播,其传播速度非常快。脚本病毒不但能够攻击被感染的主机,获取敏感信息,删除关键文件;更可以攻击网络或者服务器,造成拒绝服务攻击,产生严重破坏。 传播范围广。这类病毒通过HTML文档,Email附件或其它方式,可以在很短时间内传遍世界各地。 采用多种欺骗手段。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,,2019/2/24,20,5.3 脚本病毒,5.3.2 脚本病毒原理 脚本病毒的传播分析 脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其它同类程序中间: 脚本病毒通过网络
12、传播的几种方式 通过电子邮件传播 通过局域网共享传播 感染HTML、ASP、JSP、PHP等网页通过浏览器传播 通过U盘自动运行传播 其它的传播方式,2019/2/24,21,5.3.2 脚本病毒原理,脚本病毒的获得控制权的方法分析 修改注册表项 修改自动加载项 通过映射文件执行方式 欺骗用户,让用户自己执行 desktop.ini和folder.htt互相配合 如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发folder.htt中的病毒代码。 直接复制和调用可执行文件,2019/2/24,22,5.3 脚本病毒,5.3.3 脚本病毒防御 脚本病毒要求被感染系统具有如下支持能力:
13、VBScript代码是通过Windows Script Host来解释执行的,wscript.exe就是该功能的相关支持程序。 绝大部分VBS脚本病毒运行的时候需要对象FileSystemObject的支持。 通过网页传播的病毒需要ActiveX的支持 通过Email传播的病毒需要邮件软件的自动发送功能支持。,2019/2/24,23,5.3.3 脚本病毒防御,因此可以采用以下方法防御脚本病毒 可以通过打开“我的计算机”,依次点击查看文件夹选项文件类型在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。 在IE设置中
14、将ActiveX插件和控件以及Java相关的组件全部禁止,可以避免一些恶意代码的攻击。方法是:打开IE,点击“工具”“Internet选项”“安全”“自定义级别”,在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。 禁用文件系统对象FileSystemObject, 用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。 禁止邮件软件的自动收发邮件功能 Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。 选择一款好的防病毒软件并做好及时升级。,2019/2/24,24,5.4网络蠕
15、虫,5.4.1 网络蠕虫概述 网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术,不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点。,2019/2/24,25,5.4.1 网络蠕虫概述,网络蠕虫具有以下特征 主动攻击。从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本,整个流程全由蠕虫自身主动完成。 利用软件漏洞。蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。 造成网络拥塞。在传播的过程中,蠕虫需要判断其它计算机是否存活;判断特定应用服务是否存在;判断漏洞是
16、否存在等等,这将产生大量的网络数据流量。同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量,当大量的机器感染蠕虫时,就会产生巨大的网络流量,导致整个网络瘫痪。 消耗系统资源。蠕虫入侵到计算机系统之后,一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源;另一方面,许多蠕虫会恶意耗费系统的资源。,2019/2/24,26,5.4.1 网络蠕虫概述,留下安全隐患。大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等),并在系统中留下后门。 行踪隐蔽。蠕虫的传播过程中,不需要用户的辅助工作,其传播的过程中用户基本上不可察觉。 反复性。即使清除了蠕虫留下的任何痕迹,如果没有修补计算机系统漏
17、洞,网络中的计算机还是会被重新感染。 破坏性:越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越来越大,见表5-3。,2019/2/24,27,蠕虫造成的损失对照表,2019/2/24,28,5.4网络蠕虫,5.4.2 网络蠕虫工作机制 网络蠕虫的工作机制分为3个阶段:信息收集、攻击渗透、现场处理 信息收集。按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。 攻击渗透。通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。 现
18、场处理。当攻击成功后,开始对被攻击的主机进行一些处理工作,将攻击代码隐藏,为了能使被攻击主机运行蠕虫代码,还要通过注册表将蠕虫程序设为自启动状态;可以完成它想完成的任何动作,如恶意占用CPU资源;收集被攻击主机的敏感信息,可以危害被感染的主机,删除关键文件。,2019/2/24,29,5.4网络蠕虫,5.4.3 网络蠕虫扫描策略 网络蠕虫扫描越是能够尽快地发现被感染主机,那么网络蠕虫的传播速度就越快。 随机扫描。随机选取某一段IP地址,然后对这一地址段上的主机扫描。由于不知道哪些主机已经感染蠕虫,很多扫描是无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散,网络上存在大量的蠕虫时,蠕虫造成
19、的网络流量就变得非常巨大。 选择扫描。选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。选择性随机扫描算法简单,容易实现,若与本地优先原则结合则能达到更好的传播效果。红色代码和“Slammer”的传播采用了选择性随机扫描策略。,2019/2/24,30,5.4.3 网络蠕虫扫描策略,顺序扫描。顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地址进行传播,根据本地优先原则,网络地址段顺序递增。 基于目标列表的扫描。 基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表,搜寻感染目标,。 基于DNS扫描。 从DNS服务器获取IP地址来建立目标
20、地址库,优点在于获得的IP地址块针对性强和可用性高。关键问题是如何从DNS服务器得到网络主机地址,以及DNS服务器是否存在足够的网络主机地址。,2019/2/24,31,5.4网络蠕虫,扫描策略设计的原则有三点 尽量减少重复的扫描,使扫描发送的数据包尽量是没有被感染蠕虫的机器; 保证扫描覆盖到尽量大的可用地址段,包括尽量大的范围,扫描的地址段为互联网上的有效地址段; 处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。,2019/2/24,32,5.4网络蠕虫,5.4.4 网络蠕虫传播模型 分为3个阶段 慢速发展阶段,漏洞被蠕虫设计者发现,并利用漏洞设计蠕虫发布于互联网,大部分用户还没有通
21、过服务器下载补丁,网络蠕虫只是感染了少量的网络中的主机。 快速发展阶段,如果每个感染蠕虫的可以扫描并感染的主机数为W,n为感染的次数,那么感染主机数扩展速度为Wn,感染蠕虫的机器成指数幂急剧增长。 缓慢消失阶段,随着网络蠕虫的爆发和流行,人们通过分析蠕虫的传播机制,采取一定措施及时更新补丁包,并采取措删除本机存在的蠕虫,感染蠕虫数量开始缓慢减少。,2019/2/24,33,5.4网络蠕虫,5.4.5 网络蠕虫防御和清除 给系统漏洞打补丁。蠕虫病毒大多数都是利用系统漏洞进行传播的,因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。 清除正在运行的蠕虫进程。每个进入内存的蠕虫一般会以进程
22、的形式存在,只要清除了该进程,就可以使蠕虫失效。 删除蠕虫病毒的自启动项,感染蠕虫主机用户一般不可能启动蠕虫病毒,蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。,2019/2/24,34,5.4.5 网络蠕虫防御和清除,删除蠕虫文件。可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置,对于那些正在运行或被调用的文件无法直接删除,可以借助于相关工具删除。 利用自动防护工具,如个人防火墙软件。通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有那些恶意的流量。,2019/2/24,35,5.5木马技术,5.5.1 木马技术概述 指隐藏在正常程序中的一段具有特殊功
23、能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现。这与战争中的木马战术十分相似,因而得名木马程序。,2019/2/24,36,5.5.1 木马技术概述,木马的发展历程 第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,这种木马通过伪装成一个合法的程序诱骗用户上当。第一代木马还不具有传染性,在隐藏和通信方面也均无特别之处。 第二代木马在技术上有了很大的进步,它使用标准的C/S架构,提供远程文件管理、屏幕监视等功能,在隐
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 安全技术 应用 第五
链接地址:https://www.31doc.com/p-2159442.html