1、2018/10/10,1,恶意软件(病毒)的分析与防范 Defence & analysis of malware,计算机学院 傅建明F,2018/10/10,2,恶意软件,开设本课程的目的是使学生了解并掌握计算机恶意代码所涉及的基本知识和防范技术,提高计算机安全保护意识,具备防范恶意代码的基本能力,2018/10/10,3,教学安排,恶意软件概述和基础知识 传统的计算机病毒 网络蠕虫 网页(移动)恶意代码(木马) 后门 木马 rootkit,2018/10/10,4,考核,讨论和课后的实践报告30% 期末考试70%,2018/10/10,5,参考资料,1、计算机病毒分析与对抗。傅建明、彭国军
2、、张焕国,武汉大学出版社,2004。 2、网络安全。黄传河等,武汉大学出版社,2004。 3、决战恶意代码。陈贵敏、候晓慧等译。电子工业出版社 ,2005。,2018/10/10,6,参考资料,1、安全焦点: 2、 3、cert/cc: 4、29A,LineZero,MetaPhase, 5、blackhat 6、defcon,2018/10/10,7,恶意软件概述,信息安全威胁 安全措施 恶意软件的定义 恶意软件的产生 恶意软件的类型 恶意软件的历史,2018/10/10,8,信息安全,信息安全:机密性、完整性、可用性、非否认性和可控性 机密性是指保护数据不受非法截获和未经授权浏览。这一点对
3、于敏感数据的传输尤为重要,同时也是通信网络中处理用户的私人信息所必须的。 完整性是指能够保障被传输、接收或存储的数据是完整的和未被篡改的。这一点对于保证一些重要数据的精确性尤为关键。 可用性是指尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等,但用户依然可得到或使用数据,服务也处于正常运转状态。,2018/10/10,9,信息安全,非否认性是指能够保证信息行为人不能否认其信息行为。这一点可以防止参与某次通信交换的一方事后否认本次交换曾经发生过。 可控性是指保证信息和信息系统的授权认证和监控管理。这一点可以确保某个实体(人或系统)的身份的真实性,也可以确保执政者对社会的执法管理行为。,2
4、018/10/10,10,信息安全发展的四个阶段,年代,通信安全发展时期,从有人类以来,60年代中期,计算机安全发展时期,80年代中期,信息安全发展时期,90年代中期,信息安全保障发展时期,安全保障能力,2018/10/10,11,我国未来可能面对的信息安全问题,在未来若干年里,有可能直接危害国家安危的信息安全问题有:网络及信息系统出现大面积瘫痪 网上内容与舆论失控 网上信息引发社会危机 有组织的网络犯罪,2018/10/10,12,CCERT/CC-2004年的调查,本次调查样本涉及16个城市: 北京、上海、广州、深圳、南京、沈阳、成都、济南、武汉、西安、郑州、太原、合肥、福州、长沙、大连
5、本次样本涉及8个行业: 政府、电信、金融、制造、财税、交通、教育、其他 设计样本总量约为2800个,2018/10/10,13,网络攻击类型和数量 by CCERT/CC,2018/10/10,14,带来损失的网络安全事件与 所发生的安全事件的对比,病毒、蠕虫或特洛伊木马,分别为75.3%和48.8%,2018/10/10,15,引发网络安全事件的主要原因分析,2018/10/10,16,信息安全关键技术,风险评估 信任体系 可信计算 访问控制 标识与鉴别 密码 内容安全(包括反垃圾邮件) 安全应用 防病毒 安全协议 恶意行为及恶意代码检测,实时监控 无线通信安全 检测与评估 嵌入式安全 新技
6、术: 量子密码生物密码信息伪装 其他,2018/10/10,17,2018/10/10,18,2018/10/10,19,保障信息安全的手段,法律 技术 管理 教育,2018/10/10,20,恶意软件的定义,恶意软件-Malicious Software,malware 把未经授权便干扰或破坏计算机系统/网络功能的程序或代码(一组指令)称之为恶意程序。 一组指令:可能是二进制文件,也可能是脚本语言/宏语言等。,2018/10/10,21,恶意软件的功能,删除敏感信息 作为网络传播的起点 监视键盘 收集你的相关信息,如常访问的站点/search的关键词/上网时间等 获取屏幕 在系统上执行指令/
7、程序,2018/10/10,22,恶意软件的功能,窃取文件,如私人/财务/技术/商业机密 开启后门,作为攻击其他计算机的起点/(肉鸡) 隐藏在你主机上的所有活动你能干什么,他就能干什么!,2018/10/10,23,恶意软件的产生,恶意软件也是软件 混合的数据和可执行指令 恶意的用户 同构计算环境 日益减少的信息孤岛 缺乏安全知识的用户群 我们的世界不是和平的世界,2018/10/10,24,恶意软件也是软件,与我们平时所使用的各种软件程序从本质上看并没有什么区别 它也是人们通过一定的语言编写出来的 正常的程序或软件是用来帮助人们解决某些问题的,而病毒程序是专门用来搞破坏的。 如何区分:结构特
8、征(静态)行为特性(动态),2018/10/10,25,混合的数据和可执行指令,冯.诺伊曼体系结构(数据和指令)关心各种信息的入口点filter 交互且动态的内容(酷)javascript/vbscript/activeX 各种扩展功能Macro Language/Postscript 市场占有率:Windows系列,2018/10/10,26,恶意的用户,2/8原则 一部分人挑战自己的智慧 一部分人获得财富(偷) 技术: 各种弱口令/配置 缓冲区溢出SQL注入,2018/10/10,27,同构计算环境,操作系统同构:Windows-80%,Linux/UNIX 应用程序同构:html/xml
9、/java/pdf/doc/db 网络协议同构:TCP/IP,2018/10/10,28,日益减少的信息孤岛,空前的连通性:ATM/短信中心/网上银行/软交换/OA/高校/军事设备/电子商务/电子政务/公交系统/电力系统/坏事传千里:光速是约每秒30万千米,2018/10/10,29,缺乏安全知识的用户群,不了解计算机的复杂性 不了解恶意软件带来的风险 管理和教育部不到位 技术迟后,2018/10/10,30,我们的世界不是和平的世界,霸权主义 恐怖主义 各种黑客组织-勒索 信息战,2018/10/10,31,恶意软件的类型,2018/10/10,32,哪里有恶意代码,2018/10/10,3
10、3,恶意软件的历史,1981年-1982年-在APPLE-II的计算机游戏中发现Elk cloner 1983年, Fred Cohen:计算机病毒(Virus)是一段附着在其它程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。,2018/10/10,34,恶意软件的历史,1986年第一个PC病毒:Brain virus 1988年Morris Internet worm6000多台 1990年第一个多态病毒 1991年virus construction set-病毒生产机 1994年Good Times(joys) 1995年首次发现macro virus,2
11、018/10/10,35,恶意软件的历史,1996年netcat的UNIX版发布(nc) 1998年第一个Java virus(StrangeBrew) 1998年netcat的Windows版发布(nc) 1998年back orifice(BO)/CIH 1999年melissa/worm(macro virus by email) 1999年back orifice(BO) for WIN2k,2018/10/10,36,恶意软件的历史,1999年DOS/DDOS-Denial of Service TFT/ trin00 1999年knark 内核级rootkit(linux) 200
12、0年love Bug(VBScript) 2001年Code Red worm(overflow for IIS) 2001年Nimda-worm(IIS/ web browser/ outlook/file share etc.),2018/10/10,37,恶意软件的历史,2002年setiri后门 2002年SQL slammer(sql server) 2003年hydan的steganography工具 2003年MSBlaster/ Nachi 2004年MyDoom/ Sasser ,2018/10/10,38,DOS病毒命名,1.按病毒发作的时间命名 :黑色星期五 ; 2.按病
13、毒发作症状命名:“小球” /“火炬” /Yankee 3.按病毒自身包含的标志命名:以病毒中出现的字符串、病毒标识、存放位置或病发表现时病毒自身宣布的名称来命名 ,Mar_ijunana及Stoned,DiskKiller,2018/10/10,39,DOS病毒命名,4.按病毒发现地命名 :Jurusalem(耶路撒冷)病毒,Vienna(维也纳)病毒 5.按病毒的字节长度命名: 以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名,如1575、2153、1701、1704、1514、4096,2018/10/10,40,恶意软件的命名,反病毒公司为了方便管理,会按照恶意软件的特性,将恶意
14、软件(广义病毒)进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:,2018/10/10,41,恶意软件的命名,病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。如: Trojan Worm,2018/10/10,42,恶意软件的命名,病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的。 CIH Sasser,2018/10/10,43,恶意软件的命名,病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如: Worm.Sasser
15、.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。,2018/10/10,44,恶意软件的命名,系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。,2018/10/10,45,恶意软件的命名,蠕虫 蠕虫的前缀是:Worm。是通过网络或者系统漏洞进行传播,很大部分的蠕虫都有向外发送恶意邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。,2018/10/10,46,恶意软件的命名,
16、木马: Trojan.QQ3344 黑客程序/工具:Hack.Nether.Client 脚本病毒: 红色代码(Script.Redlof) 欢乐时光(VBS.Happytime) 十四日(Js.Fortnight.c.s),2018/10/10,47,恶意软件的命名,宏病毒:Macro 第二前缀是:Word、Word97、Excel、Excel97,Macro.Melissa 后门病毒:Backdoor,2018/10/10,48,恶意软件的命名,破坏性程序病毒:Harm 玩笑病毒:Joke 捆绑机病毒:Binder,2018/10/10,49,恶意软件的命名,拒绝服务攻击程序:DoS 漏洞溢出工具:Exploit,2018/10/10,50,基本知识,静态文件在磁盘中的形式:DPT/FDT/FAT动态文件在内存中的形式:进程/线程进程与外界的通信:socket,2018/10/10,51,Question?,
