恶意代码概述

定义与分类

恶意代码：指违背目标安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。

传播途径：经过存储介质或网络进行传播，在计算机系统之间传播，未经授权认证访问或破坏计算机系统。

分类：

• 被动传播：计算机病毒、特洛伊木马、间谍软件、逻辑炸弹
• 主动传播：网络蠕虫 其他 

 恶意代码攻击模型

恶意代码生存技术

• 反跟踪技术
• 加密技术
• 模糊变换技术
• 自动生成技术
• 变形技术
• 三线程技术
• 进程注入技术
• 通信隐藏技术
• 内核级隐藏技术

恶意代码攻击技术

进程注入技术：将恶意代码程序嵌入系统自启服务，实现自身隐藏和启动

超级管理急速：对反恶意代码软件系统进行拒绝服务

端口反向连接技术：使攻击服务端主动连接客户端端口

缓冲物溢出攻击技术 ：利用安全漏洞植入且执行攻击代码，以一定权限运行有缓冲区溢出漏洞的程序，获得主机控制权 是从被动式传播为主动式传播的主要途径

恶意代码分析技术

静态分析法

反恶意代码软件检查：特征代码法，校验和法，行为监测法，软件模拟法

字符串分析：寻找文件中使用ASCII码或其他方法编码的连续字符串

脚本分析：同文本编辑器打开脚本语音

静态反编译分析：采用反编译工具查看便携带解释器的恶意代码源代码

静态反汇编分析：线性遍历算法+递归遍历算法

动态分析方法

文件监测：大部分恶意代码依赖读写文件系统，极少数纯依赖内存。

进程监测：恶意代码需要生成新进程或盗用系统进程合法权限

网络活动监测：恶意代码大部分依赖网络传染

注册表监测：注册表包含系统和大多数应用程序配置的层次数据库   恶意代码运行时，通常会去改变注册表配置

动态反汇编分析：在恶意代码执行过程中对其进行监测和分析

恶意代码防范策略

计算机病毒分析与防护

概念与特点

y计算机病毒是恶意代码的一种类型，是一组具有自我复制、传播能力的程序代码、常依附在计算机文件中，如可执行文件或Word文档等。

高级计算机病毒具有变种和进化能力，对付反病毒程序。

计算机病毒组成

复制传染部件：控制病毒向其他文件传染

隐藏部件：防止病毒被检测到

破坏部件：病毒符合激活条件后，执行破坏操作 

计算机病毒生命周期

计算机病毒防护方案

基于单价病毒防护

基于网络病毒防护

基于网络分级病毒防护

基于邮件网关病毒防护

基于网关防护

计算机病毒防范策略与技术

查找病毒源

阻断病毒传播途径

主动查杀病毒

病毒应急响应和灾备

特洛伊木马分析与防护

网络蠕虫分析与防护

网络蠕虫，是一种具有自我复制和传播能力、可独立自动运行的恶意程序。综合了黑客技术和病毒技术，通过利用系统中存在漏洞的节点主机，将蠕虫自身从一个节点传播到另外一个节点

僵尸网络分析与防护

僵尸网络：攻击者利用入侵手段将僵尸程序植入目标主机上，进而操纵受害机执行恶意活动的网络，构建方式：远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享。

其他恶意代码分析与防护

恶意代码防护主要技术指标与产品

恶意代码防护技术应用

终端防护

APT（高级持续威胁）防护

14、恶意代码防范技术原理（7）_哔哩哔哩_bilibili