恶意代码防范技术
2025-09-13 11:53:29 0 举报AI智能生成
恶意代码防范相关解释和技术原理
作者其他创作
大纲/内容
恶意代码
定义:是一种违背目标系统安全策略的程序代码
分类:
计算机病毒computer virus
特洛伊木马Trojan Horse
逻辑炸弹 Logic Bombs
细菌 Bacteria
恶意脚本Malicious Scripts
恶意ActiveX控件
间谍软件 Spyware
蠕虫Worms
攻击模型:1、侵入系统 2、维持或者提权 3、隐蔽 4、潜伏 5、破坏 6、重复前面几个步骤
生存技术
反跟踪技术
动态跟踪:指令流队列发和逆指令流法
静态跟踪:伪指令
加密技术:信息加密、数据加密、程序代码加密。大部分恶意代码都是对自身加密。
Cascade第一个采用加密的恶意代码,mad和Zombie是它的延伸,中国炸弹、幽灵病毒都是加密
模糊变换技术 :指令替换技术、指令压缩技术、指令扩展技术、伪指令技术、重编译技术
Tequtla第一例全球传播变形病毒
自动生产技术:多态发生器
保加利亚Dark Avenger
变形技术:重汇编技术、压缩技术、膨胀技术、伪指令、重编译技术
regswap寄存器互换的变形
三线程技术
中国黑客
进程注入技术
通信隐藏技术:端口定制、端口复用、通信加密、隐蔽通道技术
常见的有BO2K、Code Red II、Nimida 、Covert Tcp
内核级隐藏技术:LKM隐藏,内存映射隐藏
攻击技术
进程注入
超级管理
广外女生一个国产特洛伊木马。
端口反向链接
最早实现的是国外Boinet,网络神偷是国产最早实现的,灰鸽子大成者
缓冲区溢出
红色代码,利用iis上index缓冲区溢出进行攻击
分析技术
静态分析技术:
反恶习代码软件检测和分析、字符串分析、脚本分析、静态反编译、静态反汇编
动态分析技术
文件监测
工具:Trip wire 、AIDE
进程监测
Process Explorer
注册表监测
Regmon
网络监测
TCPVilew 实用L、W双端
Fport W系统专用
Nmap L、W通用
Nessus L、W通用
动态反汇编分析
同内存调试
仿真调试
计算机病毒
概念:计算机病毒是恶意代码的一种。是一组具有自我复制、传播能力的代码
计算机病毒特点:
隐蔽性
以电子邮件为载体,I love you 病毒和求职信病毒
传染性
计算机病毒与其他程序的本质区别就是病毒本身会传染,而其他程序不能
潜伏性
只有达到特定条件才会爆发,例如CIH病毒,爆发时间是4.26号
破坏性
常见计算机病毒类型
引导型:
磁盘杀手病毒、AniExe病毒
宏病毒:
office病毒、word病毒。默认normal.dot模板
多态病毒:
超过20亿呈现方式,比较难查杀。一般采取启发式分析方法来发现。有3个重要组成部分:杂乱的病毒体、解密例程、变化引擎。
隐蔽病毒:
隐蔽名称、日期、大小等
计算机防范策略与技术
查找病毒源:比较法、搜索法、特征字识别法、分析法
阻断计病毒传播路径:用户安全操作习惯、小区病毒载体、安全区域隔离
主动查杀病毒:定期主动查杀、安装防护软件
病毒应急响应和灾备:重要数据系统备份、数据修复、网络过滤、病毒应急响应预案。
病毒防护方案
基于单机计算机病毒防护
单机病毒防护是传统防御模式,是固守网络终端的最后防线。
基于网络计算机病毒防护
网管中心建立网络防病毒管理平台,实现集中管理和监控
基于网络分级病毒防护
基于三级管理模式:单机终端杀毒、局域网集中监控、广域网总部管理
基于邮件网关病毒防护
基于网关防护
网络蠕虫
具有自我复制、自我传播的恶意程序
组成分为4个功能模块
探测、传播、蠕虫引擎、负载
网络蠕虫扫描技术
顺序扫描
W32.Blaster典型的顺序扫描蠕虫
随机扫描
Slammer蠕虫随机扫描网段内ip,传染具有非确定性
选择性扫描
特洛伊木马
通过管理方式分为:本地特洛伊木马和网络特洛伊木马
木马攻击的五个步骤:寻找目标、搜集目标系统信息、植入木马、隐藏、攻击。
通过植入方式分为:
主动植入:My.DOOM木马通过邮件附件
被动植入:红色代码
细分主题 4
0 条评论
下一页
