怎样做一个简单的网站,vue 微信公众号开发,wordpress更换域名重定向,深圳网站建设总部信息安全#xff1a;恶意代码防范技术原理.
恶意代码的英文是 Malicious Code, 它是一种违背目标系统安全策略的程序代码#xff0c;会造成目标系统信息泄露、资源滥用#xff0c;破坏系统的完整性及可用性。 目录#xff1a;
恶意代码概述#xff1a;
#xff08;1恶意代码防范技术原理.
恶意代码的英文是 Malicious Code, 它是一种违背目标系统安全策略的程序代码会造成目标系统信息泄露、资源滥用破坏系统的完整性及可用性。 目录
恶意代码概述
1恶意代码分类
2恶意代码攻市模型
3恶意代码生存技术
4恶意代码攻击技术
5恶意代码分析技术
6恶意代码防范策略
计算机病毒分析与防护
1计算机病毒概念与特性
2计算机病毒组成与运行机制
3计算机病毒常见类型与技术
4计算机病拆防范策略与技术
5计算机病毒防护方案
特洛伊木马分析与防护
1特洛伊木马概念与特性
2特洛伊木马分类 3特洛伊木马运行机制
4特洛伊木马植人技术
5特洛伊木马隐藏技术
6特洛伊木马存活技术
7特洛伊木马防范技术
网络蠕虫分析与防护
1网络蠕虫概念与特性
2网络蠕虫组成与运行机制
3网络蠕虫常用技术
4网络蠕虫防范技术
僵尸网络分析与防护
1僵尸网络概念与特性
2僵尸网络运行机制与技术
3僵尸网络防范技术
其他恶意代码分析与防护
1逻辑炸弹
2陷门
3细菌
4问谍软件
恶意代码防护主要产品与技术指标
1恶意代码防护主要产品
2恶意代码防护主要技术指标
恶意代码防护技术应用
1终端防护
2APT 防护 恶意代码概述
1恶意代码分类 恶意代码的种类主要包括计算机病毒 、蠕虫、特洛伊木马逻辑炸弹细菌恶意脚本和恶意ActiveX 控件、间谍软件 等。 根据恶意代码的传播特性可以将恶意代码分为两大类 2恶意代码攻市模型 第一步侵入系统。恶意代码实现其恶意目的第一步就是要侵入系统。恶意代码入侵有许多途径如从互联网下载的程序其自身也许就带有恶意代码接收了已被恶意感染的电子邮件通过光盘或软盘在系统上安装的软件攻击者故意植入系统的恶意代码等。 第二步维持或提升已有的权限。恶意代码的传播与破坏需要建立在盗用用户或者进程的合法权限的基础之上。 第三步隐蔽。为了隐蔽已经侵入系统的恶意代码可能会采取对恶意代码改名、删除源文件或者修改系统的安全策略等方式。 第四步潜伏。恶意代码侵入系统后在具有足够的权限并满足某些条件时就会发作同时进行破坏活动。 第五步破坏。恶意代码具有破坏性的本质为的是造成信息丢失、泄密系统完整性被破坏等。 第六步重复前面5步对新的目标实施攻击过程。 3恶意代码生存技术 1. 反跟踪技术 恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力使检测与清除恶意代码的难度大大增加。 反跟踪技术大致可以分为两大类反动态跟踪技术和反静态分析技术。 ① 反动态跟踪技术禁止跟踪中断检测跟踪法其他反跟踪技术 ② 反静态分析技术对程序代码分块加密执行伪指令法 2. 加密技术 从加密的内容上划分加密手段有三种即信息加密、数据加密和程序代码加密。 3. 模糊变换技术 恶意代码每感染一个客体对象时都会利用模糊变换技术使潜入宿主程序的代码不尽相同。 模糊变换技术主要分为以下几种指令替换技术指令压缩技术指令扩展技术伪指令技术重编译技术 4. 自动生产技术 普通病毒能够利用“多态性发生器”编译成具有多态性的病毒。多态变换引擎能够让程序代码本身产生改变但却可以保持原有功能。例如保加利亚的 “Dark Avenger, 变换引擎每产生一个恶意代码其程序体都会发生变化反恶意代码软件若只是采用基于特征的扫描技术则无法检测和清除这种恶意代码。 5. 变形技术 具体同一功能不同特征码的恶意代码 恶意代码变形技术包括如下几个方面重汇编技术压缩技术膨胀技术重编译技术 6. 三线程技术 恶意代码中应用 线程技术是为了防止恶意代码被外部操作停止运行。 线程技术的工作原理是 个恶意代码进程同时开启了三个线程其中一个为负责远程控制工作的主线程另外两个为用来监视线程负责检查恶意代码程序是否被删除或被停止自启动的监视线程和守护线程。注入其他可执行文件内的守护线程同步于恶意代码进程。只要进程被停止它就会重新启动该进程同时向主线程提供必要的数据这样就使得恶意代码可以待续运行。“中国黑客” 就是采用这种技术的恶意代码。 7. 进程注入技术 在系统启动时操作系统的系统服务和网络服务一般能够自动加载。恶意代码程序为了实现隐藏和启动的目的把自身嵌入与这些服务有关的进程中。这类恶意代码只需要安装一次就能被服务加载到系统中运行并且可以一直处于活跃状态。 8. 通信隐藏技术 实现恶意代码的通信隐藏技术一般有四类端口定制技术、端口复用技术、通信加密技术、隐蔽通道技术。 9. 内核级隐藏技术 LKM 隐藏LKM 是可加载内核模块用来扩展 Linux 的内核功能。 LKM 能够在不用重新编译内核的情况下把动态加载到内存中。 内存映射隐藏内存映射是指由一个文件到一块内存的映射。内存映射可以将硬盘上的内容映射至内存中用户可以通过内存指令读写文件。使用内存映射避免了多次调用 I / O 操作的行为减少了不必要的资源浪费。 4恶意代码攻击技术 1. 进程注入技术 系统服务和网络服务在操作系统中当系统启动时被自动加载。 2. 超级管理技术 部分恶意代码能够攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击阻碍反恶意代码软件的正常运行。例如 “广外女生”是一个国产特洛伊木马对“金山毒霸”和“天网防火墙”采用超级管理技术进行拒绝服务攻击。 3. 端口反向连接技术 指令恶意代码使用端口反向连接技术使攻击的服务端被控制端主动连接客户端控制端端口 “网络神偷”是我国最早实现端口反向连接技术的恶意代码。 “灰鸽子”则是这项技术的集大成者它内置 FTP 、域名、服务端主动连接这一种服务端在线通知功能。 4. 缓冲区溢出攻击技术 恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码攻击代码以一定的权限运行有缓冲区溢出漏洞的程序来获得被攻击主机的控制权。例如红色代码。 5恶意代码分析技术 恶意代码的分析方法由静态分析方法和动态分析方法两部分构成。 6恶意代码防范策略 做好恶意代码的防范从管理上和技术上进行加强 计算机病毒分析与防护 1计算机病毒概念与特性 计算机病毒的名称由来借用了生物学上的病毒概念它是一组具有自我复制、传播能力的程序代码。 计算机病毒都具有以下四个基本特点隐蔽性传染性潜伏性破坏性 2计算机病毒组成与运行机制 计算机病毒由三部分组成复制传染部件、隐藏部件 、破坏部件。复制传染部件的功能是控制病毒向其他文件的传染隐藏部件的功能是防止病毒被检测到破坏部件则用在当病毒符合激活条件后执行破坏操作。计算机病毒将上述三个部分综合在一起然后病毒实现者用当前反病毒软件不能检测到的病毒感染系统此后病毒就逐渐开始传播。 计算机病毒的生命周期主要有两个阶段第一阶段计算机病毒的复制传播阶段第二阶段计算机病毒的激活阶段 3计算机病毒常见类型与技术 1. 引导型病毒引导型病毒通过感染计算机系统的引导区而控制系统病毒将真实的引导区内容修改或替换当病毒程序执行后才启动操作系统。引导型病毒通常都是内存驻留的典型的引导型病毒如磁盘杀手病毒、 AntiExe 病毒等。 2. 宏病毒它能够感染任何运行 Office 的计算机 3. 多态病毒多态病毒每次感染新的对象后通过更换加密算法改变其存在形式。 4. 隐蔽病毒隐蔽病毒试图将自身的存在形式进行隐藏使得操作系统和反病毒软件不能发现。 4计算机病拆防范策略与技术 1. 查找计算机病毒源
2. 阻断计算机病毒传播途径
3. 主动查杀计算机病毒
4. 计算机病毒应急响应和灾备 5计算机病毒防护方案
1. 基于单机计算机病毒防护
2. 基于网络计算机病毒防护
3. 基于网络分级病毒防护
4. 基于邮件网关病毒防护
5. 基于网关防护 特洛伊木马分析与防护
1特洛伊木马概念与特性
特洛伊木马 (Trojan Horse, 简称木马其名称取自古希腊神话特洛伊战争的特洛伊木马 它是具有伪装能力、隐蔽执行非法功能的恶意程序而受害用户表面上看到的是合法功能的执行。
它通过伪装成合法程序或文件植入系统对网络系统安全构成严重威胁。 同计算机病毒、网络蠕虫相比较特洛伊木马不具有自我传播能力而是通过其他的传播机制来实现。受到特洛伊木马侵害的计算机攻击者可不同程度地远程控制受害计算机例如访问受害计算机、在受害计算机上执行命令或利用受害计算机进行 DDoS 攻击。 2特洛伊木马分类 根据特洛伊木马的管理方式可以将特洛伊木马分为本地特洛伊木马和网络特洛伊木马。
本地特洛伊木马是最早期的一类木马其特点是木马只运行在本地的单台主机木马没有远程通信功能木马的攻击环境是多用户的 UNIX 系统典型例子就是盗用口令的木马。 网络特洛伊木马是指具有网络通信连接及服务功能的一类木马简称网络木马。 3特洛伊木马运行机制 整个木马攻击过程主要分为五个部分① 寻找攻击目标② 收集目标系统的信息 ③ 将木马植入目标系统④ 木马隐藏⑤ 攻击意图实现 4特洛伊木马植人技术 特洛伊木马的植入方法可以分为两大类即被动植入和主动植入 被动植入是指通过人工干预方式才能将木马程序安装到目标系统中植入过程必须依赖千受害用户的手工操作 ① 文件捆绑法将木马捆绑到 些常用的应用软件包中当用户安装该软件包时木马就在用户毫无察觉的情况下被植入系统中。 ② 邮件附件木马设计者将木马程序伪装成邮件附件然后发送给目标用户若用户执行邮件附件就将木马植入该系统中。 ③ Web 网页木马程序隐藏在 html 文件中当受害用户点击该网页时就将木马植入目标系统中。 主动植入则是指主动攻击方法将木马程序通过程序自动安装到目标系统中植入过程无须受害用户的操作。 5特洛伊木马隐藏技术 1. 本地活动行为隐藏技术文件隐藏进程隐藏通信连接隐藏 2. 远程通信过程隐藏技术通信内容加密技术通信端口复用技术网络隐蔽通道 6特洛伊木马存活技术 特洛伊木马的存活能力取决于网络木马逃避安全监测的能力一些网络木马侵入目标系统时采用反监测技术甚至中断反网络木马程序运行。 一些高级木马常具有端口反向连接功能 例如 “Boinet“ 网络神偷”“灰鸽子”等木马。端口反向连接技术是指由木马代理在目标系统主动连接外部网的远程木马控制端以逃避防火墙的限制。 7特洛伊木马防范技术 1. 基于查看开放端口检测特洛伊木马技术 2. 基于重要系统文件检测特洛伊木马技术 3. 基于系统注册表检测特洛伊木马技术 4. 检测具有隐藏能力的特洛伊木马技术 5. 基于网络检测特洛伊木马技术 6. 基于网络阻断特洛伊木马技术 7. 清除特洛伊木马技术 网络蠕虫分析与防护 1网络蠕虫概念与特性 网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序。 2网络蠕虫组成与运行机制 网络蠕虫由四个功能模块构成探测模块、传播模块、蠕虫引擎模块和负载模块 探测模块完成对特定主机的脆弱性检测决定采用何种攻击渗透方式。 传播模块该模块可以采用各种形式生成各种形态的蠕虫副本在不同主机间完成蠕虫副本传递。 蠕虫引擎模块该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。 负载模块也就是网络蠕虫内部的实现伪代码。 3网络蠕虫常用技术 1. 网络蠕虫扫描技术将网络蠕虫的传播方法分成三类即随机扫描、顺序扫描、选择性扫描. 2. 网络蠕虫漏洞利用技术主机之间的信任关系漏洞目标主机的程序漏洞目标主机的默认用户和口令漏洞目标主机的用户安全意识薄弱漏洞目标主机的客户端程序配置漏洞 4网络蠕虫防范技术 网络蠕虫已经成为网络系统的极大威胁防范网络蠕虫需要多种技术综合应用包括网络蠕虫监测与预警、网络蠕虫传播抑制、网络蠕虫漏洞自动修复、网络蠕虫阻断等下面将说明近几年的网络蠕虫检测防御的主要技术。 僵尸网络分析与防护 1僵尸网络概念与特性 僵尸网络是指攻击者利用入侵手段将僵尸程序植入目标计算机上进而操纵受害机执行恶意活动的网络 僵尸网络的构建方式主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等 2僵尸网络运行机制与技术 僵尸网络的运行机制主要由三个基本环节构成。 第一步僵尸程序的传播。通过利用计算机网络系统的漏洞、社会工程学、犯罪工具包等方式传播僵尸程序到目标网络的计算机上。 第二步对僵尸程序进行远程命令操作和控制将受害目标机组成 个网络。僵尸网络可分为集中式和分布式僵尸程序和控制端的通信协议方式有 IRC HTTP 。 第三步攻击者通过僵尸网络的控制服务器给僵尸程序发送攻击指令执行攻击活动如发送垃圾电子邮件、 DDoS攻击等。 僵尸网络为保护自身安全其控制服务器和僵尸程序的通信使用加密机制并把通信内容嵌入正常的 HTTP 流量中以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制以防范控制消息伪造和篡改。 3僵尸网络防范技术 1. 僵尸网络威胁监测 2. 僵尸网络检测 3. 僵尸网络主动遏制 4. 僵尸程序查杀 其他恶意代码分析与防护 1逻辑炸弹 逻辑炸弹是一段依附在其他软件中并具有触发执行破坏能力的程序代码。逻辑炸弹的触发条件具有多种方式包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等。逻辑炸弹只在触发条件满足后才开始执行逻辑炸弹的破坏功能 逻辑炸弹一旦触发有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身不能感染其他程序。 2陷门 陷门是软件系统里的一段代码允许用户避开系统安全机制而访问系统。陷门由专门的命令激活一般不容易发现。陷门通常是软件开发商为调试程序、维护系统而设定的功能。陷门不具有自动传播和自我复制功能。 3细菌 细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件但是它通过复制本身来消耗系统资源 4问谍软件 间谍软件通常指那些在用户不知情的情况下被安装在计算机中的各种软件执行用户非期望的功能。这些软件可以产生弹出广告重定向用户浏览器到陌生的网站。 同时间谍软件还具有收集信息的能力可记录用户的击键情况、浏览习惯甚至会窃取用户的个人信息如用户账号和口令、信用卡号然后经因特网传送给攻击者。一般来说间谍软件不具备自我复制功能。 恶意代码防护主要产品与技术指标 1恶意代码防护主要产品 1. 终端防护产品 2. 安全网关产品 3. 恶意代码监测产品 4. 恶意代码防护产品补丁管理系统 5. 恶意代码应急晌应 2恶意代码防护主要技术指标 1. 恶意代码检测能力 2. 恶蔥代码检测准确性 3. 恶意代码阻断能力 恶意代码防护技术应用 1终端防护 终端防护通常是在终端上安装一个恶意代码防护代理程序该代理程序按照终端管理中心下发的安全策略进行安全控制。 2APT 防护 高级持续威胁简称 APT) 通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中然后把它发送到目标人群诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范恶意代码将会安装在其计算机中从而远程控制收件人的计算机进而逐步渗透到收件人所在网络实现其攻击意图。 学习书籍信息安全工程师教程.
