恶意代码概述
定义与分类
恶意代码:指违背目标安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。
传播途径:经过存储介质或网络进行传播,在计算机系统之间传播,未经授权认证访问或破坏计算机系统。
分类:
- 被动传播:计算机病毒、特洛伊木马、间谍软件、逻辑炸弹
- 主动传播:网络蠕虫 其他
恶意代码攻击模型
恶意代码生存技术
- 反跟踪技术
- 加密技术
- 模糊变换技术
- 自动生成技术
- 变形技术
- 三线程技术
- 进程注入技术
- 通信隐藏技术
- 内核级隐藏技术
恶意代码攻击技术
进程注入技术:将恶意代码程序嵌入系统自启服务,实现自身隐藏和启动
超级管理急速:对反恶意代码软件系统进行拒绝服务
端口反向连接技术:使攻击服务端主动连接客户端端口
缓冲物溢出攻击技术 :利用安全漏洞植入且执行攻击代码,以一定权限运行有缓冲区溢出漏洞的程序,获得主机控制权 是从被动式传播为主动式传播的主要途径
恶意代码分析技术
静态分析法
反恶意代码软件检查:特征代码法,校验和法,行为监测法,软件模拟法
字符串分析:寻找文件中使用ASCII码或其他方法编码的连续字符串
脚本分析:同文本编辑器打开脚本语音
静态反编译分析:采用反编译工具查看便携带解释器的恶意代码源代码
静态反汇编分析:线性遍历算法+递归遍历算法
动态分析方法
文件监测:大部分恶意代码依赖读写文件系统,极少数纯依赖内存。
进程监测:恶意代码需要生成新进程或盗用系统进程合法权限
网络活动监测:恶意代码大部分依赖网络传染
注册表监测:注册表包含系统和大多数应用程序配置的层次数据库 恶意代码运行时,通常会去改变注册表配置
动态反汇编分析:在恶意代码执行过程中对其进行监测和分析
恶意代码防范策略
计算机病毒分析与防护
概念与特点
y计算机病毒是恶意代码的一种类型,是一组具有自我复制、传播能力的程序代码、常依附在计算机文件中,如可执行文件或Word文档等。
高级计算机病毒具有变种和进化能力,对付反病毒程序。
计算机病毒组成
复制传染部件:控制病毒向其他文件传染
隐藏部件:防止病毒被检测到
破坏部件:病毒符合激活条件后,执行破坏操作
计算机病毒生命周期
计算机病毒防护方案
基于单价病毒防护
基于网络病毒防护
基于网络分级病毒防护
基于邮件网关病毒防护
基于网关防护
计算机病毒防范策略与技术
查找病毒源
阻断病毒传播途径
主动查杀病毒
病毒应急响应和灾备
特洛伊木马分析与防护
网络蠕虫分析与防护
网络蠕虫,是一种具有自我复制和传播能力、可独立自动运行的恶意程序。综合了黑客技术和病毒技术,通过利用系统中存在漏洞的节点主机,将蠕虫自身从一个节点传播到另外一个节点
僵尸网络分析与防护
僵尸网络:攻击者利用入侵手段将僵尸程序植入目标主机上,进而操纵受害机执行恶意活动的网络,构建方式:远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享。
其他恶意代码分析与防护
恶意代码防护主要技术指标与产品
恶意代码防护技术应用
终端防护
APT(高级持续威胁)防护
14、恶意代码防范技术原理(7)_哔哩哔哩_bilibili