第5章恶意代码
    第5章 恶意代码――欺骗与隐藏 何路 helu@
    本章主要内容5.1 恶意代码概述 5.2 恶意代码攻击模型 5.3 特洛伊木马的植入技术 5.4 特洛伊木马的隐藏技术 5.5 特洛伊木马的检测与防范
    何路
    计算机网络安全
    案例
    20XX年5月4日,一种名为“我爱你”的 电脑病毒开始在全球各地迅速传播。这个 病毒是通过Microsoft Out ook 系统传播的,邮件的主题为“I LOVE YOU”并包含一个附件。一旦在Microsoft Ou tlook里打开这个邮件,系统就会自动 复制并向地址簿中的所有邮件电址发送这 个病毒。计算机网络安全
    何路
    案例
    20XX年1月25日,突如其来的“SQL”蠕 虫,不亚于让人们不能忘怀的“9.11”事 件。 互联网遭遇到全球性的病毒攻击, 此病毒的病毒体极其短小,却具有极强的 传播性。
    何路
    计算机网络安全
    20XX年网络安全事件类型统计
    何路
    计算机网络安全
    不同类别病毒比例图
    何路
    计算机网络安全
计算机病毒的定义
    恶意代码定义早期恶意代码的主要形式是计算机病毒。 80年代,计算机病毒被定义为一种在运行 过程中可以复制自身的破坏性程序。 90年代末,计算机病毒被定义为,经过存 储介质和网络进行传播,从一台计算机系 统到另外一台计算机系统,未经授权认证 破坏计算机系统完整性的程序或代码
    何路
    计算机网络安全
    恶意代码包括 何路
    计算机病毒(Computer Virus) 特洛伊木马(Trojan Horse) 计算机蠕虫(Worms) 逻辑(Logic Bombs) 用户级RootKit 内核级RootKit 脚本恶意代码(Malicious scripts) 恶意ActiveX控件 其它恶意代码计算机网络安全
    计算机病毒计算机病毒是指能实现自我复制的程序或 可执行代码,这些程序或代码可以破坏计 算机的功能或者毁坏数据,影响计算机的 正常使用。 计算机病毒一般分为三个部分:
    初始化部分 感染部分 功能部分 何路 计算机网络安全
    蠕虫网络蠕虫是一种智能化、自动化的攻击程 序或代码,它综合了网络攻击、密码学和 计算机病毒技术。 蠕虫的攻击行为可以分为四个阶段:
    信息收集 扫描探测 攻击渗透 自我推进 何路 计算机网络安全
    特洛伊木马
    词源
    特洛伊木马――Trojan Horse 来源于古希腊的神话故事 “木马记” 在计算机领域,特洛伊木马 被认为是隐藏在系统中一段 具有特殊功能的恶意代码。计算机网络安全
    何路
    特洛伊木马
    定义
    特洛伊木马是一种基于远程控制的黑客工具 其实质是络程序木马端 网络通信 控制端
    特点 欺骗性 隐蔽性 非授权性
    何路
    计算机网络安全
    特洛伊木马功能
    功能
    保留访问权限 远程控制 远程命令执行 远程文件操作
    信息收集 收集系统关键信息 收集密码或密码文件
    其它的特殊功能何路 计算机网络安全
    特洛伊木马
    vs.远程管理软件
    SAME: C/S结构 强大的远程控制功能 DIFF: 隐蔽性 功能特殊性
    何路
    计算机网络安全
    特洛伊木马
    vs. 病毒/蠕虫
    SAME: 传播渠道 窃取信息功能 DIFF: 隐蔽性 不主动传播 远程控制何路 计算机网络安全
    7.2 特洛伊木马的发展
    第一代木马
    简单的密码窃取、发送 隐蔽的启动方式和通信链路 第二代木马的典型代表是冰河,它以文件关联方式 启动,通过传送信息,在木马技术发展史 上开辟了新的篇章 新的通信链路 ICMP木马
    第二代木马
    第三代木马