【正文】 惡意代碼與安全漏洞 培訓(xùn)機(jī)構(gòu) 培訓(xùn)講師 課程內(nèi)容 2 知識域：惡意代碼 ?知識子域：惡意代碼基本概念原理 ? 了解惡意代碼的歷史和發(fā)展趨勢 ? 理解常見惡意代碼病毒、蠕蟲、木馬傳播方式和危害的特點(diǎn) ? 了解常見惡意代碼變形、 Rootkit等技術(shù)的原理 3 惡意代碼的歷史與發(fā)展趨勢 ?惡意代碼（ Unwanted Code,Malicious Software,Malware,Malicous code）是指沒有作用卻會(huì)帶來危險(xiǎn)的代碼。 ?通常把未經(jīng)授權(quán)便干擾或破壞計(jì)算機(jī)系統(tǒng) /網(wǎng)絡(luò)功能的程序或代碼（一組指令）稱之為惡意程序。 一組指令可能包括：二進(jìn)制文件、腳本語言或宏語言等。 4 惡意代碼發(fā)展史 ?1949：馮 諾依曼在 《 復(fù)雜自動(dòng)機(jī)組織論 》 提出概念 ?1960：生命游戲（約翰 康維 ） 磁芯大戰(zhàn)（道格拉斯 .麥耀萊、維特 .維索斯基 、羅伯 .莫里斯 ） ?1973：真正的惡意代碼在實(shí)驗(yàn)室產(chǎn)生 ?1981年 1982年 :在 APPLEII的計(jì)算機(jī)游戲中發(fā)現(xiàn) Elk cloner 5 惡意代碼發(fā)展史 ?1986年 — 第一個(gè) PC病毒： Brain virus ?1988年 — Morris Inter worm— 6000多臺 ?1990年 — 第一個(gè)多態(tài)病毒 ?1991年 — virus construction set病毒生產(chǎn)機(jī) ?1994年 — Good Times(joys) ?1995年 — 首次發(fā)現(xiàn) macro virus ?1996年 — cat的 UNIX版發(fā)布（ nc） ?1998年 — 第一個(gè) Java virus(StrangeBrew) 6 羅伯特 .莫里斯 惡意代碼發(fā)展史 ?1998年 — cat的 Windows版發(fā)布（ nc） ?1998年 — back orifice(BO)/CIH ?1999年 — melissa/worm(macrovirus by ) ?1999年 — back orifice(BO) for WIN2k ?1999年 — DOS/DDOSDenial of Service TFT/ trin00 ?1999年 — knark內(nèi)核級 rootkit(linux) ?2022年 — love Bug(VBScript) ?2022年 — Code Red – worm(overflow for IIS) ?2022年 — Nimdaworm(IIS/ web browser/ 7 惡意代碼發(fā)展史 ?outlook/file share etc.) ?2022年 — setiri后門 ?2022年 — SQL slammer(sqlserver) ?2022年 — hydan的 steganography工具 ?2022年 — MSBlaster/ Nachi ?2022年 — MyDoom/ Sasser ?…… ?2022年 — 熊貓燒香 ?…… ?2022年 — Stux(工業(yè)蠕蟲 ) 8 惡意代碼的發(fā)展趨勢 ?種類越來越模糊不清 ?傳播采用多種模式或者利用多個(gè)漏洞 ?多平臺、多應(yīng)用軟件 ?服務(wù)端和客戶端都遭受攻擊，利用客戶端軟件傳播的惡意代碼越來越多 ?目的性、功利性更為突出 ?攻擊者越來越小心、惡意代碼隱蔽性越來越強(qiáng) ?新的應(yīng)用衍生出新的惡意代碼，針對手機(jī)、新型網(wǎng)絡(luò)應(yīng)用的惡意代碼越來越多 9 惡意代碼分類 10 分類 蠕蟲 病毒 后門 木馬 有害工具 流氓軟件 風(fēng)險(xiǎn)程序 其他 常見惡意代碼傳播方式及危害 病毒的傳播方式 及危害 蠕蟲的傳播方式 及危害 木馬的傳播方式 及危害 11 病毒的傳播方式 12 病毒的危害 病毒激發(fā)對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用 占用磁盤空間和對信息的破壞 搶占系統(tǒng)資源 影響計(jì)算機(jī)運(yùn)行速度 計(jì)算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響 計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力 13 蠕蟲的傳播方式 14 蠕蟲的危害 ?嚴(yán)重威脅網(wǎng)絡(luò)安全 ? 蠕蟲爆發(fā)占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓 ? 形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來發(fā)動(dòng)任何攻擊 ?危害個(gè)人信息安全 ? 泄露個(gè)人隱私 15 木馬的傳播方式 ?漏洞傳播 ? 系統(tǒng)漏洞； ? 瀏覽器漏洞 (網(wǎng)頁木馬 )； ? 其他應(yīng)用軟件漏洞（ PDF、 DOC etc） ?偽裝傳播 ? 捆綁； ? 偽裝成圖片、文本等； ? 合法軟件 ?社會(huì)工程 ? 電子郵件 ? 論壇 ? SNS聊天軟件 16 木馬的危害 ?監(jiān)視用戶的操作 ? 包括：用戶主機(jī)的進(jìn)程、服務(wù)、桌面，鍵盤操作、攝像頭等等 ?竊取用戶隱私 ? 包括：瀏覽的網(wǎng)頁，聊天記錄，輸入的銀行帳戶密碼，游戲帳戶密碼，竊取用戶敏感文件 ?讓用戶主機(jī)執(zhí)行任意指令 ? 使用戶主機(jī)淪為傀儡主機(jī)，接受并執(zhí)行控制主機(jī)的指令 ?你能做到的木馬都有可能做到 17 惡意代碼實(shí)現(xiàn)關(guān)鍵技術(shù) ?惡意代碼生存技術(shù) ?惡意代碼隱蔽技術(shù) ?惡意代碼攻擊技術(shù)及植入手段 18 惡意代碼關(guān)鍵技術(shù) ?一個(gè)好的惡意代碼，首先必須具有強(qiáng)大的生存能力和良好好隱蔽性，不能輕松被殺毒軟件、安全工具或者用戶察覺。然后，必須具有良好的攻擊性，即能將自己植入到目標(biāo)系統(tǒng)。 ?關(guān)鍵技術(shù)： ? 惡意代碼生存技術(shù) ? 惡意代碼隱蔽技術(shù) ? 惡意代碼攻擊技術(shù)及植入手段 19 惡意代碼生存技術(shù) ?生存技術(shù)主要包括 4方面： ? 反跟蹤技術(shù) ? 加密技術(shù) ? 模糊變換技術(shù) ? 自動(dòng)生產(chǎn)技術(shù) ?反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性，加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制。 20 惡意代碼生存技術(shù) 反跟蹤技術(shù) ?惡意代碼采用反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。 ?目前常用的反跟蹤技術(shù)有兩類 ? 反動(dòng)態(tài)跟蹤技術(shù) ? 反靜態(tài)分析技術(shù)。 21 反跟蹤技術(shù) 反動(dòng)態(tài)跟蹤技術(shù) ?反動(dòng)態(tài)跟蹤技術(shù)主要包括 4方面內(nèi)容： ? 禁止跟蹤中斷。 ? 封鎖鍵盤輸入和屏幕顯示，破壞各種跟蹤調(diào)試工具運(yùn)行的必需環(huán)境； ? 檢測跟蹤法。 ? 其它反跟蹤技術(shù)。 22 反跟蹤技術(shù) 反靜態(tài)分析技術(shù) ?反靜態(tài)分析技術(shù)主要包括兩方面內(nèi)容： ? 對程序代碼分塊加密執(zhí)行 ? 偽指令法 (Junk Code) 23 惡意代碼生存技術(shù) 加密技術(shù) ?加密技術(shù)是惡意代碼自我保護(hù)的一種手段，加密技術(shù)和反跟蹤技術(shù)的配合使用，使得分析者無法正常調(diào)試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無法抽取特征串。 ?從加密的內(nèi)容上劃分，加密手段分為三種 : ? 信息加密 ? 數(shù)據(jù)加密 ? 程序代碼加密 24 惡意代碼隱蔽技術(shù) ?利用模糊變換技術(shù)，惡意代碼每感染一個(gè)客體對象時(shí)，潛入宿主程序的代碼互不相同。 ?目前，模糊變換技術(shù)主要分為 5種： ? 指令替換技術(shù) ? 指令壓縮技術(shù) ? 指令擴(kuò)展技術(shù) ? 偽指令技術(shù) ? 重編譯技術(shù) 25 惡意代碼隱蔽技術(shù) 自動(dòng)生產(chǎn)技術(shù) ?惡意代碼自動(dòng)生產(chǎn)技術(shù)是針對人工分析技術(shù)的。 ?多態(tài)變換引擎可以使程序代碼本身發(fā)生變化，并保持原有功能。 26 惡意代碼隱蔽技術(shù) 隱藏技術(shù) ?隱藏通常包括本地隱藏和通信隱藏 ? 其中本地隱藏主要有文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等 ? 通信隱藏主要包括通信內(nèi)容隱藏和傳輸通道隱藏 ?RootKit技術(shù) ? 惡意代碼的隱藏技術(shù) RootKit技術(shù)相關(guān) 27 惡意代碼隱蔽技術(shù) 本地隱蔽技術(shù) ?本地隱蔽是指為了防止本地系統(tǒng)管理人員覺察而采取的隱蔽手段。本地系統(tǒng)管理人員通常使用 “查看進(jìn)程列表 ” ， “ 查看目錄 ” ， “ 查看內(nèi)核模塊 ” ， “ 查看系統(tǒng)網(wǎng)絡(luò)連接狀態(tài) ” 等管理命