第6章 恶意代码.ppt

第1页第六章恶意代码第2页基本内容? ? ? ? 1986 年,报道了攻击 Microsoft MS-DOS 个人计算机的第一批病毒。?先后出现了感染启动扇区的引导区病毒、感染可执行文件的文件型病毒。? 1988 年出现了第一个 蠕虫 Morris Worm ,导致 的通信速度大大地降低。? 1990 年,网上出现了病毒交流布告栏,还出版了第一本关于病毒编写的书籍。?病毒变得越来越复杂:病毒开始访问电子邮件通讯簿,并将其自身发送到联系人;宏病毒将其自身附加到各种办公类型的文件;此外还出现了专门利用操作系统和应用程序漏洞的病毒。第4页 什么是恶意软件?故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。?特洛伊木马:该程序看上去有用或无害,但包含了旨在利用或损坏运行该程序的系统的隐藏代码; ?蠕虫:蠕虫是能够自行传播的恶意代码,它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。?病毒:病毒将其自身附加到宿主程序,在计算机之间进行传播。宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,条件满足时执行恶意破坏任务。第5页 恶意软件的特征?攻击目标:恶意软件一般具有相对固定的攻击目标,可以是特定设备、特定系统或者特定软件。??设备设备??某些恶意软件将一种设备类型作为专门的攻击目标某些恶意软件将一种设备类型作为专门的攻击目标??操作系统操作系统??恶意软件可能需要特殊的操作系统才会有效恶意软件可能需要特殊的操作系统才会有效??应用程序应用程序??恶意软件可能需要在目标计算机上安装特定的应用恶意软件可能需要在目标计算机上安装特定的应用程序,才能传递负载或进行复制程序,才能传递负载或进行复制第6页 恶意软件的特征?携带者对象:如果恶意软件是病毒,它需要感染携带者才能进行传播。携带者的数量和类型随恶意软件的不同而不同。?可执行文件:这是通过将其自身附加到宿主程序进行复制的“典型”病毒类型的目标对象?脚本:将脚本用作携带者目标文件的攻击?宏:这些携带者是支持特定应用程序(例如,字处理器、电子表格或数据库应用程序)的宏脚本语言的文件?启动扇区:计算机磁盘(硬盘和可启动的可移动媒体) 上的特定区域。?此外,有的病毒能同时将文件和启动扇区作为感染目标和携带者。第7页 恶意软件的特征?传输机制:攻击可以使用一个或多个不同方法在计算机系统之间传播和复制。??可移动媒体:计算机病毒和其他恶意软件最初的、并可移动媒体:计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器(至少到当前为止)是文且可能也是最多产的传送器(至少到当前为止)是文件传输。件传输。??网络共享:一旦为计算机提供了通过网络彼此直接连网络共享:一旦为计算机提供了通过网络彼此直接连接的机制,就会为恶意软件编写者提供另一个传输机接的机制,就会为恶意软件编写者提供另一个传输机制,而此机制所具有的潜力可能会超出可移动媒体的制,而此机制所具有的潜力可能会超出可移动媒体的能力,从而可以传播恶意代码。能力,从而可以传播恶意代码。??电子邮件:电子邮件已成为许多恶意软件攻击的传输电子邮件:电子邮件已成为许多恶意软件攻击的传输机制。机制。??远程利用:恶意软件可能会试图利用服务或应用程序远程利用:恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制中的特定安全漏洞来进行复制第8页 恶意软件的特征?破坏机制 :一旦恶意软件通过传输到达了宿主计算机,它通常会执行一个称为“负载”的操作,负载可以采用许多形式. ??***:这种类型的负载允许对计算机进行未经授权的访问***:这种类型的负载允许对计算机进行未经授权的访问??数据损坏或删除:一种最具破坏性的负载类型应该是损坏或删除数据损坏或删除:一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码,它可以使用户计算机上的信息变得无用数据的恶意代码,它可以使用户计算机上的信息变得无用??信息窃取:一种特别令人担心的恶意软件负载类型是旨在窃取信信息窃取:一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载,它通过提供一种将信息传回恶意软件作恶者的机制窃息的负载,它通过提供一种将信息传回恶意软件作恶者的机制窃取信息取信息??拒绝服务拒绝服务 (DoS) (DoS) :可以传递的一种最简单的负载类型是拒绝服务攻:可以传递的一种最简单的负载类型是拒绝服务攻击击??分布式拒绝服务分布式拒绝服务 (DDoS) (DDoS) : : DDoS DDoS 攻击是一种拒绝服务攻击,其中攻击是一种拒绝服务攻击,其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标攻击者使用各种计算机上安装的恶意代码来攻击单个目标第9页 恶意