信息安全:恶意代码防范技术原理.

信息安全:恶意代码防范技术原理.

恶意代码的英文是 Malicious Code, 它是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。


目录:

恶意代码概述:

(1)恶意代码分类:

(2)恶意代码攻市模型:

(3)恶意代码生存技术:

(4)恶意代码攻击技术:

(5)恶意代码分析技术:

(6)恶意代码防范策略:

计算机病毒分析与防护:

(1)计算机病毒概念与特性:

(2)计算机病毒组成与运行机制:

(3)计算机病毒常见类型与技术:

(4)计算机病拆防范策略与技术:

(5)计算机病毒防护方案:

特洛伊木马分析与防护:

(1)特洛伊木马概念与特性:

(2)特洛伊木马分类:

 (3)特洛伊木马运行机制:

(4)特洛伊木马植人技术:

(5)特洛伊木马隐藏技术:

(6)特洛伊木马存活技术:

(7)特洛伊木马防范技术:

网络蠕虫分析与防护:

(1)网络蠕虫概念与特性:

(2)网络蠕虫组成与运行机制:

(3)网络蠕虫常用技术:

(4)网络蠕虫防范技术:

僵尸网络分析与防护:

(1)僵尸网络概念与特性:

(2)僵尸网络运行机制与技术:

(3)僵尸网络防范技术:

其他恶意代码分析与防护:

(1)逻辑炸弹:

(2)陷门:

(3)细菌:

(4)问谍软件:

恶意代码防护主要产品与技术指标:

(1)恶意代码防护主要产品:

(2)恶意代码防护主要技术指标 :

恶意代码防护技术应用:

(1)终端防护:

(2)APT 防护:


恶意代码概述:

(1)恶意代码分类:

恶意代码的种类主要包括:计算机病毒 、蠕虫、特洛伊木马,逻辑炸弹,细菌恶意脚本和恶意ActiveX 控件、间谍软件 等。
   
根据恶意代码的传播特性,可以将恶意代码分为两大类

(2)恶意代码攻市模型:

第一步:侵入系统。恶意代码实现其恶意目的第一步就是要侵入系统。恶意代码入侵有许多途径,如:从互联网下载的程序,其自身也许就带有恶意代码;接收了已被恶意感染的电子邮件;通过光盘或软盘在系统上安装的软件;攻击者故意植入系统的恶意代码等。
   
第二步:维持或提升已有的权限。恶意代码的传播与破坏需要建立在盗用用户或者进程的合法权限的基础之上。
  
第三步:隐蔽。为了隐蔽已经侵入系统的恶意代码,可能会采取对恶意代码改名、删除源文件或者修改系统的安全策略等方式。
   
第四步:潜伏。恶意代码侵入系统后,在具有足够的权限并满足某些条件时就会发作,同时进行破坏活动。
   
第五步:破坏。恶意代码具有破坏性的本质,为的是造成信息丢失、泄密,系统完整性被破坏等。
   
第六步,重复前面5步对新的目标实施攻击过程。

(3)恶意代码生存技术:

1.  反跟踪技术:

恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力,使检测与清除恶意代码的难度大大增加。

反跟踪技术大致可以分为两大类:反动态跟踪技术和反静态分析技术

① 反动态跟踪技术:禁止跟踪中断;检测跟踪法;其他反跟踪技术;
   
② 反静态分析技术:对程序代码分块加密执行;伪指令法;
2.  加密技术:
    
从加密的内容上划分,加密手段有三种,即信息加密、数据加密和程序代码加密

 3.  模糊变换技术:

恶意代码每感染一个客体对象时都会利用模糊变换技术使潜入宿主程序的代码不尽相同
   
模糊变换技术主要分为以下几种:指令替换技术;指令压缩技术;指令扩展技术;伪指令技术;重编译技术

4.  自动生产技术:

普通病毒能够利用“多态性发生器”编译成具有多态性的病毒。多态变换引擎能够让程序代码本身产生改变,但却可以保持原有功能。例如保加利亚的 “Dark Avenger", 变换引擎每产生一个恶意代码,其程序体都会发生变化,反恶意代码软件若只是采用基于特征的扫描技术,则无法检测和清除这种恶意代码

5.  变形技术:

具体同一功能不同特征码的恶意代码;
   
恶意代码变形技术包括如下几个方面:重汇编技术;压缩技术;膨胀技术;重编译技术;

6.  三线程技术:

恶意代码中应用 线程技术是为了防止恶意代码被外部操作停止运行。 线程技术的工作原理是 个恶意代码进程同时开启了三个线程,其中一个为负责远程控制工作的主线程,另外两个为用来监视线程负责检查恶意代码程序是否被删除或被停止自启动的监视线程和守护线程。注入其他可执行文件内的守护线程,同步于恶意代码进程。只要进程被停止,它就会重新启动该进程,同时向主线程提供必要的数据,这样就使得恶意代码可以待续运行。“中国黑客”
就是采用这种技术的恶意代码

7.  进程注入技术:

在系统启动时操作系统的系统服务和网络服务一般能够自动加载。恶意代码程序为了实现隐藏和启动的目的,把自身嵌入与这些服务有关的进程中。这类恶意代码只需要安装一次,就能被服务加载到系统中运行,并且可以一直处于活跃状态

8.  通信隐藏技术:

实现恶意代码的通信隐藏技术一般有四类:端口定制技术、端口复用技术、通信加密技术、隐蔽通道技术

9.  内核级隐藏技术:

LKM 隐藏:LKM 是可加载内核模块,用来扩展 Linux 的内核功能。 LKM 能够在不用重新编译内核的情况下把动态加载到内存中。

内存映射隐藏:内存映射是指由一个文件到一块内存的映射。内存映射可以将硬盘上的内容映射至内存中,用户可以通过内存指令读写文件。使用内存映射避免了多次调用 I / O 操作的行为,减少了不必要的资源浪费。


(4)恶意代码攻击技术:

1.  进程注入技术:

系统服务和网络服务在操作系统中,当系统启动时被自动加载

2.  超级管理技术:

部分恶意代码能够攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,阻碍反恶意代码软件的正常运行。例如, “广外女生”是一个国产特洛伊木马,对“金山毒霸”和“天网防火墙”采用超级管理技术进行拒绝服务攻击


3.  端口反向连接技术:

指令恶意代码使用端口反向连接技术使攻击的服务端(被控制端)主动连接客户端(控制端)端口
   
“网络神偷”是我国最早实现端口反向连接技术的恶意代码。
   
“灰鸽子”则是这项技术的集大成者,它内置 FTP 、域名、服务端主动连接这一种服务端在线通知功能。

4.  缓冲区溢出攻击技术:

恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码,攻击代码以一定的权限运行有缓冲区溢出漏洞的程序来获得被攻击主机的控制权。例如:红色代码


(5)恶意代码分析技术:

恶意代码的分析方法由静态分析方法和动态分析方法两部分构成。


(6)恶意代码防范策略:

做好恶意代码的防范:从管理上技术上进行加强;

计算机病毒分析与防护:

(1)计算机病毒概念与特性:

计算机病毒的名称由来借用了生物学上的病毒概念,它是一组具有自我复制、传播能力的程序代码

计算机病毒都具有以下四个基本特点隐蔽性;传染性;潜伏性;破坏性;


(2)计算机病毒组成与运行机制:

计算机病毒由三部分组成:复制传染部件、隐藏部件 、破坏部件。复制传染部件的功能是控制病毒向其他文件的传染;隐藏部件的功能是防止病毒被检测到;破坏部件则用在当病毒符合激活条件后,执行破坏操作。计算机病毒将上述三个部分综合在一起,然后病毒实现者用当前反病毒软件不能检测到的病毒感染系统,此后病毒就逐渐开始传播。
   
计算机病毒的生命周期主要有两个阶段:第一阶段,计算机病毒的复制传播阶段;第二阶段,计算机病毒的激活阶段;

(3)计算机病毒常见类型与技术:

1.  引导型病毒:引导型病毒通过感染计算机系统的引导区而控制系统,病毒将真实的引导区内容修改或替换,当病毒程序执行后,才启动操作系统。引导型病毒通常都是内存驻留的,典型的引导型病毒如磁盘杀手病毒、 AntiExe 病毒等。


2.  宏病毒:它能够感染任何运行 Office 的计算机


3.  多态病毒:多态病毒每次感染新的对象后,通过更换加密算法,改变其存在形式


4.  隐蔽病毒:隐蔽病毒试图将自身的存在形式进行隐藏,使得操作系统和反病毒软件不能发现


(4)计算机病拆防范策略与技术:

1.  查找计算机病毒源;

2.  阻断计算机病毒传播途径;

3.  主动查杀计算机病毒;

4.  计算机病毒应急响应和灾备;


(5)计算机病毒防护方案:

1.  基于单机计算机病毒防护;

2.  基于网络计算机病毒防护;

3.  基于网络分级病毒防护;

4.  基于邮件网关病毒防护;

5.  基于网关防护;


特洛伊木马分析与防护:

(1)特洛伊木马概念与特性:

特洛伊木马 (Trojan Horse, 简称木马),其名称取自古希腊神话特洛伊战争的特洛伊木马, 它是具有伪装能力、隐蔽执行非法功能的恶意程序,而受害用户表面上看到的是合法功能的执行。

它通过伪装成合法程序或文件,植入系统,对网络系统安全构成严重威胁

计算机病毒、网络蠕虫相比较,特洛伊木马不具有自我传播能力,而是通过其他的传播机制来实现。受到特洛伊木马侵害的计算机,攻击者可不同程度地远程控制受害计算机,例如访问受害计算机、在受害计算机上执行命令或利用受害计算机进行 DDoS 攻击。

(2)特洛伊木马分类:

 根据特洛伊木马的管理方式,可以将特洛伊木马分为本地特洛伊木马和网络特洛伊木马

本地特洛伊木马是最早期的一类木马,其特点是木马只运行在本地的单台主机,木马没有远程通信功能,木马的攻击环境是多用户的 UNIX 系统,典型例子就是盗用口令的木马。

网络特洛伊木马是指具有网络通信连接及服务功能的一类木马,简称网络木马。

 (3)特洛伊木马运行机制:

整个木马攻击过程主要分为五个部分:① 寻找攻击目标;② 收集目标系统的信息; ③ 将木马植入目标系统;④ 木马隐藏;⑤ 攻击意图实现;

(4)特洛伊木马植人技术:

特洛伊木马的植入方法可以分为两大类,即被动植入主动植入

被动植入是指通过人工干预方式才能将木马程序安装到目标系统中,植入过程必须依赖千受害用户的手工操作;

① 文件捆绑法:将木马捆绑到 些常用的应用软件包中,当用户安装该软件包时,木马就在用户毫无察觉的情况下,被植入系统中。

 ② 邮件附件:木马设计者将木马程序伪装成邮件附件,然后发送给目标用户,若用户执行邮件附件就将木马植入该系统中。
  
③ Web 网页:木马程序隐藏在 html 文件中,当受害用户点击该网页时,就将木马植入目标系统中。
   
主动植入则是指主动攻击方法,将木马程序通过程序自动安装到目标系统中,植入过程无须受害用户的操作。

(5)特洛伊木马隐藏技术:

1.  本地活动行为隐藏技术:文件隐藏;进程隐藏;通信连接隐藏;

2.  远程通信过程隐藏技术:通信内容加密技术;通信端口复用技术;网络隐蔽通道;


(6)特洛伊木马存活技术:

特洛伊木马的存活能力取决于网络木马逃避安全监测的能力,一些网络木马侵入目标系统时采用反监测技术,甚至中断反网络木马程序运行。

一些高级木马常具有端口反向连接功能, 例如 “Boinet"“ 网络神偷”“灰鸽子”等木马。端口反向连接技术是指由木马代理在目标系统主动连接外部网的远程木马控制端以逃避防火墙的限制。


(7)特洛伊木马防范技术:

1.  基于查看开放端口检测特洛伊木马技术;

2.  基于重要系统文件检测特洛伊木马技术;

3.  基于系统注册表检测特洛伊木马技术;

4.  检测具有隐藏能力的特洛伊木马技术;

5.  基于网络检测特洛伊木马技术;

6.  基于网络阻断特洛伊木马技术;

7.  清除特洛伊木马技术;


网络蠕虫分析与防护:

(1)网络蠕虫概念与特性:

网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序


(2)网络蠕虫组成与运行机制:

网络蠕虫由四个功能模块构成:探测模块、传播模块、蠕虫引擎模块和负载模块

探测模块:完成对特定主机的脆弱性检测,决定采用何种攻击渗透方式

传播模块:该模块可以采用各种形式生成各种形态的蠕虫副本,在不同主机间完成蠕虫副本传递。
  
蠕虫引擎模块:该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集,内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。
  
负载模块:也就是网络蠕虫内部的实现伪代码

(3)网络蠕虫常用技术:

1.  网络蠕虫扫描技术:将网络蠕虫的传播方法分成三类,即随机扫描、顺序扫描、选择性扫描.

2.  网络蠕虫漏洞利用技术:主机之间的信任关系漏洞;目标主机的程序漏洞;目标主机的默认用户和口令漏洞;目标主机的用户安全意识薄弱漏洞;目标主机的客户端程序配置漏洞;


(4)网络蠕虫防范技术:

网络蠕虫已经成为网络系统的极大威胁,防范网络蠕虫需要多种技术综合应用,包括网络蠕虫监测与预警、网络蠕虫传播抑制、网络蠕虫漏洞自动修复、网络蠕虫阻断等,下面将说明近几年的网络蠕虫检测防御的主要技术。

僵尸网络分析与防护:

(1)僵尸网络概念与特性:

僵尸网络是指攻击者利用入侵手段将僵尸程序植入目标计算机上,进而操纵受害机执行恶意活动的网络;
僵尸网络的构建方式主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等;

(2)僵尸网络运行机制与技术:

僵尸网络的运行机制主要由三个基本环节构成。
第一步,僵尸程序的传播。通过利用计算机网络系统的漏洞、社会工程学、犯罪工具包等方式,传播僵尸程序到目标网络的计算机上。
   
第二步,对僵尸程序进行远程命令操作和控制,将受害目标机组成 个网络。僵尸网络可分为集中式和分布式,僵尸程序和控制端的通信协议方式有 IRC HTTP 。
   
第三步,攻击者通过僵尸网络的控制服务器,给僵尸程序发送攻击指令,执行攻击活动,如发送垃圾电子邮件、 DDoS攻击等。
   
僵尸网络为保护自身安全,其控制服务器和僵尸程序的通信使用加密机制,并把通信内容嵌入正常的 HTTP 流量中,以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制,以防范控制消息伪造和篡改。

(3)僵尸网络防范技术:

1.  僵尸网络威胁监测;

2.  僵尸网络检测;

3.  僵尸网络主动遏制;

4.  僵尸程序查杀;


其他恶意代码分析与防护:

(1)逻辑炸弹:

逻辑炸弹是一段依附在其他软件中,并具有触发执行破坏能力的程序代码。逻辑炸弹的触发条件具有多种方式,包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等。逻辑炸弹只在触发条件满足后,才开始执行逻辑炸弹的破坏功能;

逻辑炸弹一旦触发,有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身,不能感染其他程序


(2)陷门:

陷门是软件系统里的一段代码,允许用户避开系统安全机制而访问系统。陷门由专门的命令激活,一般不容易发现。陷门通常是软件开发商为调试程序、维护系统而设定的功能。陷门不具有自动传播和自我复制功能

(3)细菌:

细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件,但是它通过复制本身来消耗系统资源

(4)问谍软件:

间谍软件通常指那些在用户不知情的情况下被安装在计算机中的各种软件,执行用户非期望的功能。这些软件可以产生弹出广告,重定向用户浏览器到陌生的网站。
同时,间谍软件还具有收集信息的能力,可记录用户的击键情况、浏览习惯,甚至会窃取用户的个人信息(如用户账号和口令、信用卡号),然后经因特网传送给攻击者。一般来说,间谍软件不具备自我复制功能

恶意代码防护主要产品与技术指标:

(1)恶意代码防护主要产品:

1.  终端防护产品;

2.  安全网关产品;

3.  恶意代码监测产品;

4.  恶意代码防护产品:补丁管理系统;

5.  恶意代码应急晌应;


(2)恶意代码防护主要技术指标 :

1.  恶意代码检测能力;

2.  恶蔥代码检测准确性;

3.  恶意代码阻断能力;


恶意代码防护技术应用:

(1)终端防护:

终端防护通常是在终端上安装一个恶意代码防护代理程序,该代理程序按照终端管理中心下发的安全策略进行安全控制。


(2)APT 防护:

高级持续威胁(简称 APT) 通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中,然后把它发送到目标人群,诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范,恶意代码将会安装在其计算机中,从而远程控制收件人的计算机,进而逐步渗透到收件人所在网络,实现其攻击意图
  
   
   
   
   
   
   
   
   
学习书籍:信息安全工程师教程.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/142977.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于体系结构-架构真题2022(四十一)

给定关系模式R(U,F),其中U为属性集,F是U上的一组函数依赖,那么函数依赖的公理系统中分解规则是指()为F所蕴含。 解析: 伪传递是x到y,wy到z,则xw到z 传递是z…

AVL Cruise 2020.1 安装教程

文章目录 安装包安装破解 安装包 链接:https://pan.baidu.com/s/1GxbeDj_SyvKFyPeTsstvTQ?pwd6666 提取码:6666 安装 安装文件: 双击setup.exe: 一直netx,中间要修改两次路径,第一次是安装位置&#xf…

Go-Ldap-Admin | Ldap 同步钉钉、企业微信、飞书组织架构实践和部分小坑

目录 一、Docker-compose快速拉起demo测试环境 二、原生部署流程 安装MySQL:5.7数据库 安装openLDAP 修改域名,新增con.ldif 创建一个组织 安装OpenResty 下载后端 下载前端 部署后端 部署前端 三、管理动态字段 钉钉 企业微信 飞书 四、…

计算机里的神灵(SCIP)

计算机程序的构造和解释 我找到计算机里的神灵了,开心一刻 下面是从MIT官网下载的 SCIP求值器(解释器)的代码,这个官网是个宝藏库 还有其他视频课程和 SCIP的问题答案和可运行代码 链接:https://ocw.mit.edu/courses/6…

gitee-快速设置

快速设置— 如果你知道该怎么操作,直接使用下面的地址 HTTPS SSH: gitgitee.com:liuzl33078235/esp-idf.git 我们强烈建议所有的git仓库都有一个README, LICENSE, .gitignore文件 初始化 readme 文件 Git入门?查看 帮助 , Visual Studio / TortoiseG…

mysql实际调优

一般实际调优的情况就不需要去考虑mysql数据库结构或者命名优化那些。做这些优化是大动作,也不是咱们一般人去接触到的。 所以我们针对mysql的调优其实大部分还是针对索引进行优化。 我们刚接触这个表的话可以先查询当前表中所有的索引 使用 SHOW INDEX FROM yo…

指针笔试题详解

个人主页:点我进入主页 专栏分类:C语言初阶 C语言程序设计————KTV C语言小游戏 C语言进阶 C语言刷题 欢迎大家点赞,评论,收藏。 一起努力,一起奔赴大厂。 目录 1.前言 2.指针题写出下列程序的结…

第1章 数据结构绪论

1.1 开场白 1.2 你数据结构怎么学的 1.3 数据结构起源 早期人们都把计算机理解为数值计算工具,就是感觉计算机当然是用来计算的,所以计算机解决问题,应该是先从具体问题中抽象出一个适当的数据模型,设计出一个解此数据模型的算…

栈(Java)

目录 1.什么是栈 2.栈的使用 3.栈的模拟实现 1.什么是栈 栈:是一种特殊的线性表,只允许在其固定的一端进行插入和删除操作。栈中的元素遵循先进后出(后进先出)原则 栈顶:进行插入和删除数据的一端 栈底&#xff1a…

怎么压缩word文档的大小?

怎么压缩word文档的大小?Word文件压缩成一个普遍存在的挑战,现在看来至少是这样的。最近,我们接到了许多用户的疑问,他们想知道如何压缩Word文件大小。这个问题似乎广泛存在于办公场景中,因此我们需要找到解决方案。导…

测试用例:在线音乐播放器

从 功能测试、界面测试、性能测试、兼容性测试、易用性测试、安全测试、弱网测试等 七个方面对在线音乐播放器进行设计测试用例

【广州华锐互动】利用VR开展工业事故应急救援演练,确保救援行动的可靠性和有效性

在工业生产中,事故的突发性与不可预测性常常带来巨大的损失。传统的应急演练方式往往存在场地限制、成本高、效果难以衡量等问题。然而,随着虚拟现实(VR)技术的快速发展,VR工业事故应急救援演练应运而生,为…

Cannot find module ‘core-js/modules/es6.regexp.constructor‘

npm run dev 之后报如下错误 解决方法:npm install core-js2 如果超时或者下载时间慢可以尝试 用cnpm install core-js2

Exception in thread “main“ java.sql.SQLException: No suitable driver

详细报错信息如下: Exception in thread "main" java.sql.SQLException: No suitable driver at java.sql.DriverManager.getDriver(DriverManager.java:315) at org.apache.spark.sql.execution.datasources.jdbc.JDBCOptions.$anonfun$driverC…

宝塔nginx搭建Ftp文件服务器

一:创建FTP 填入账号密码后,选择根目录,这个根目录就是nginx要代理的目录 二:配置nginx root的地址就是上面填的FTP根目录 三:http访问 服务器ip端口号加图片 例如我放了一个320.jp 我服务器ip是110.120.120.120 那…

PSINS工具箱学习(二)姿态的表示:姿态阵、四元数、欧拉角、等效旋转矢量的概念和转换

原始 Markdown文档、Visio流程图、XMind思维导图见:https://github.com/LiZhengXiao99/Navigation-Learning 文章目录 一、基础概念1、坐标系定义1. 惯性坐标系( i 系 )2. 地心地固坐标系( e 系 )3. 导航坐标系( n 系&…

Multisim14.0仿真(二十五)高频小信号调谐放大器

一、仿真原理图: 二、仿真效果图:

API(十一) 获取openresty编译信息

一 ngx.config 说明: 不常用,了解即可 ngx.config.subsystem 说明: 用的四层还是七层代理 ngx.config.debug 说明: 返回的是boolean类型, openresty rpm安装一般没有 --with-debug编译选项对比: nginx rpm 安装一般携带 --wi…

面试算法13:二维子矩阵的数字之和

题目 输入一个二维矩阵,如何计算给定左上角坐标和右下角坐标的子矩阵的数字之和?对于同一个二维矩阵,计算子矩阵的数字之和的函数可能由于输入不同的坐标而被反复调用多次。例如,输入图2.1中的二维矩阵,以及左上角坐标…

Vue.js路由及Node.js的入门使用---超详细

一,Vue路由 1.1 路由是什么 路由是用来管理应用程序中不同页面之间导航的概念。Vue Router是Vue.js官方提供的路由管理器,它允许我们通过定义路由规则和视图组件来配置路由 1.2 路由给我们带来的好处有哪些? 单页应用(Single Pag…