信息安全与技术——(十一)恶意代码检测与防范技术
文章目录
- 1.恶意代码(Malicious Code)
- 2.恶意代码对系统带来的影响
- 3.典型病毒
- 3.1蠕虫病毒
- 3.2熊猫烧香病毒
- 3.3木马病毒
- 3.4DDoS攻击木马
- 3.5邮箱病毒
- 4.恶意代码的特性
- 4.1勒索病毒
- 4.2情书病毒
- 5.计算机病毒
- 6.恶意代码生命周期
- 6.1恶意代码传播
- 6.2恶意代码感染途径
- 6.3恶意代码的触发
- 7.恶意代码分析
- 7.1静态分析
- 7.2动态分析
- 7.3动态污点分析
- 8.恶意代码检测
- 9.恶意代码清除
- 10.恶意代码的预防
1.恶意代码(Malicious Code)
恶意代码(Malicious Code )或恶意软件(Malware )主要是指以危害信息的安全等不良意图为目的的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。
2.恶意代码对系统带来的影响
3.典型病毒
- 早期的蠕虫病毒,冲击波蠕虫和震荡波蠕虫就是典型的蠕虫病毒(攻击系统)
- 早期的熊猫烧香病毒(危害数据)
- 木马病毒(泄露信息)
- DDoS攻击木马(影响性能)
- 邮箱病毒(攻击程序)
3.1蠕虫病毒
1.冲击波蠕虫
- 冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。
- 该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象:
2.震荡波蠕虫
- 震荡波电脑病毒于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失。
- 电脑一旦中招就会莫名其妙地死机或重新启动计算机,而在纯 DOS 环境下执行病毒文件,则会显示出谴责美国大兵的英文语句。
3.2熊猫烧香病毒
- “熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒
- 它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
- 被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样
3.3木马病毒
- 木马病毒是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马程序都会导致个人隐私泄露,并不限定几种。
- 特洛伊木马, 是一种非常危险的恶性程序,它无休止地窃取用户的信息,从而给用户造成了巨大的损失。
如:“NOPEN”的远程木马病毒
美国国安局的间谍设备被曝光,其中有一款名为“NOPEN”的远程木马病毒,这种病毒手段非常高
明,遭到攻击后电脑会被完全控制,美国已经使用这种手段入侵了全球大量的计算机,这些设备在被
病毒控制后隐私信息一览无余,其中还包括许多事关国家安全的机密信息。
3.4DDoS攻击木马
DDoS攻击木马(僵尸网络)DDoS特洛伊木马将受害者的设备变成僵尸,参与更大的僵尸网络。攻击者的目标是在设备所有者不知情的情况下获取尽可能多的机器并将它们用于恶意目的——通常是作为分布式拒绝服务(DDoS)攻击的一部分用虚假流量淹没服务器。
3.5邮箱病毒
- 邮箱病毒即邮件病毒,对通过电子邮件形式发送的计算机病毒,我们称之为“邮件病毒”。
- 邮箱病毒可以像生物病毒一样进行繁殖,当正常程序运行的时候,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为邮箱病毒的首要条件。
- 计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
4.恶意代码的特性
- 针对性:如勒索病毒
- 欺骗性:如情书病毒
- 变化性:规避防火墙、杀毒软件
4.1勒索病毒
- 勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。
- 1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。
4.2情书病毒
在2000年左右的情书病毒(Loveletter virus),在它发布后就攻击了数以万计的电脑——通过给用户发送一封表白邮件,引诱你打开 I Love You的附件,便开始将用户的本地图片、文件替换,并将该邮件再次发给通讯录中的其他好友。
5.计算机病毒
- 计算机病毒能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶意代码。传染性和依附性是计算机病毒区别于其他恶意代码的本质特征。
- 计算机病毒分为引导型病毒和文件型病毒2种。
- 引导型病毒:指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。
- 文件型病毒:文件型病毒是计算机病毒的一种,主要通过感染计算机中的可执行文件(.exe)和命令文件(.com)。文件型病毒是对计算机的源文件进行修改,使其成为新的带毒文件。一旦计算机运行该文件就会被感染,从而达到传播的目的。
典型:蠕虫病毒
蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停
的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在
计算机程序中插入的破坏计算机功能或者破坏数据和恶意篡改系统.影响计算机使用并且能够自
我复制的一组计算机指令或者程序代码。
6.恶意代码生命周期
6.1恶意代码传播
6.2恶意代码感染途径
6.3恶意代码的触发
7.恶意代码分析
恶意代码分析过程实际上是了解恶意代码运行过程、传播机制和功能用途的过程,通过静态查看恶意代码相关的代码或数据文件,可以帮助分析人员对恶意代码有基本的了解,而要全面和深入地掌握恶意代码的内部细节,往往需要开展动态分析。
7.1静态分析
通过反汇编二进制文件寻找关键的代码流程来帮助分析理解恶意代码的内部细节。
7.2动态分析
动态分析通过实际运行恶意代码,跟踪和观察其执行细节来帮助分析人员理解恶意代码的行为和功能,由于分析过程中恶意代码被实际执行,因此分析过程能够真实展现恶意代码的内部细节。
7.3动态污点分析
细粒度地跟踪和监控恶意代码执行流程,揭示恶意代码的运行机理。
8.恶意代码检测
9.恶意代码清除
清除恶意代码是指尽量在保全被感染程序功能的情况下移除恶意代码或使其失效,清除工具或人员一般需要了解相关恶意代码的感染机制。
10.恶意代码的预防
恶意代码的预防是指抵御恶意代码的传播和感染,它的方法主要是切断传播和感染的途径或破坏他们实施的条件。
信息安全与技术——(十一)恶意代码检测与防范技术相关推荐
- [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- 恶意代码检测技术的演化
from:http://www.4ucode.com/Study/Topic/1407760 在本文中我们讨论了识别恶意代码的各种方法,它们彼此间在功能上(以及时间上)的联系,它们的技术以及特点.从一 ...
- [系统安全] 四十六.Powershell恶意代码检测系列 (1)Powershell基础入门及管道和变量的用法
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- 恶意代码检测技术——签名、启发式、行为式
随着恶意代码成为信息安全的重要威胁,恶意代码检测技术成为信息安全领域的重要研究方向.目前已经有基于签名.启发式.行为式等几种检测恶意代码的方法,应用最广泛也是最成熟的当属基于签名的检测技术,当前研究的 ...
- [网络安全提高篇] 一一五.Powershell恶意代码检测 (3)Token关键词自动提取
"网络安全提高班"新的100篇文章即将开启,包括Web渗透.内网渗透.靶场搭建.CVE复现.攻击溯源.实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史.换专业确实挺难 ...
- 深度学习在恶意代码检测方面的应用简单调研
随着互联网的繁荣,现阶段的恶意代码也呈现出快速发展的趋势,主要表现为变种数量多.传播速度快.影响范围广.在这样的形势下,传统的恶意代码检测方法已经无法满足人们对恶意代码检测的要求.比如基于签名特征码的 ...
- [系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间信息
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- 20145328 《网络对抗技术》恶意代码分析
20145328 <网络对抗技术>恶意代码分析 ------看到这句话说明还没写完-------- 实践内容: 使用schtasks指令监控系统运行 使用sysmon工具监控系统运行 使用 ...
最新文章
- Ruby 之 Block, Proc, Lambda 联系--区别,转载
- C#按关闭按钮实现最小化,按ESC才关闭的实现【含系统消息大全】
- cpp中sizeof与指针
- GreenDao使用注意事项
- 《系统集成项目管理工程师》必背100个知识点-25变更请求
- Android 操作系统为什么不启用swap?
- 推荐15个让新手爱不释手的Python高级库
- python urllib dns 缓存_新手用Python做一个网页爬虫
- Android 系统架构
- js 保留两位小数(四舍五入)
- reset java_Java PushbackReader reset()用法及代码示例
- python log日志_Python的log日志功能及设置方法
- 现有类 成 mfc类_女人不想成“黄脸婆”,4类食物是衰老“催化剂”,女人尽量远离_氧化...
- JavaScript - 测试 jQuery
- 【作业锦集】机器人学导论-空间变换及Matlab实现(part-2)
- 用VBA制作Excel单选框和多选框
- 破解 zip 压缩包程序
- fashion-mnist简介和使用及下载
- 以太坊系列(二)---Ubuntu20.04安装以太坊开发环境并建立私有链
- Android运营商名字显示规则
热门文章
- 织梦教程:显示昨日今日时间不同效果
- sql 日期 增加2个月
- 科创人·智慧芽技术副总裁屠昶旸:技术之路是挑战之路,不愿在大厂空耗岁月
- GAN生成对抗网络论文翻译(一)
- scrapy爬取京东笔记本电脑数据并进行简单处理和分析
- sklearn 读取csv_气象数据再分析数据的读取方式(GRIB格式为例)
- 使用window小娜实现文本转语音
- 计算机控制器输入设备的功能是,计算机5大部件之一的控制器的作用是什么?...
- python import turtle as t_turtle库的学习笔记(python)
- 支付宝体验设计精髓. 02 无规矩不成方圆