【网络安全技术】——恶意代码与防范(学习笔记)_网络层恶意代码防护(1)

于 2024-05-13 17:36:48 发布
阅读量984 收藏 12
点赞数 26
分类专栏: 程序员 文章标签: web安全 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968693/article/details/138812153
版权

🕒 1. 概述

恶意代码(Malware):人为编制或设置的、对网络或系统安全存在威胁或潜在威胁的计算机代码。

类型:计算机病毒、特洛伊木马、计算机蠕虫后门、间谍软件等。

典型的恶意代码应具有3个基本特征:
(1)恶意代码是一段可以执行的程序
(2)恶意代码的编写通常是以趋利或破坏为目的
(3)恶意代码只有在执行后才能发挥作用

按照恶意代码的运行特点,可以将其分为两类:需要宿主的程序和独立运行的程序。前者实际上是程序片段,它们不能脱离某些特定的应用程序或系统环境而独立存在;而独立程序是完整的程序,操作系统能够调度和运行它们。

按照恶意代码的传播特点,还可以把恶意程序分成不能自我复制和能够自我复制的两类。不能自我复制的是程序片段,当调用宿主程序完成特定功能时,就会激活它们;能够自我复制的可能是程序片段(如计算机病毒),也可能是一个独立的程序(如蠕虫)。具体的恶意代码类型如下表所示。

恶意代码名称类型及主要特征
计算机病毒需要宿主;可自动复制
蠕虫独立程序可自动复制;人为干预少
恶意移动代码由轻量级程序组成;独立程序
后门独立程序或片段,提供入侵通道
特洛伊木马一般需要宿主;隐蔽性较强
Rootkit一般需要宿主;替换或修改系统状态
WebShell需要宿主;以asp、php、jsp或者cgi等网页文件形式存在
组合恶意代码上述几种技术的组合以增强破坏力,如僵尸网络

🕒 2. 恶意代码的行为机制

1、入侵系统
这是恶意代码实现目的的前提条件
方式:远程攻击、网页木马、邮件病毒、网络钓鱼

2、维持或提升权限
恶意代码的传播与破坏必须使用用户或进程的合法权限才能完成

3、隐蔽
为了躲避安全软件检测,可以通过改名、删除文件或修改系统安全策略来隐藏自己

4、潜伏
平时不运行,等待触发条件满足时才发作并进行破坏

5、破坏
恶意代码的本质具有破坏性,包括信息窃取、破坏系统完整性等

🕒 3. 恶意代码的生存技术

1、反调试技术
恶意代码采用反调试技术可以增加分析工具对其检测和清除的难度,并提高自身的伪装能力。

2、压缩技术
俗称“压缩加壳”,利用特殊的算法,对可执行文件里的资源进行压缩,压缩后的文件可以独立运行,解压过程在内存中完成。

3、加密技术
加密技术是恶意代码自我保护的主流手段,分类:数据加密和程序代码加密。

4、多态技术
多态变换俗称花指令或模糊变换,即用不同的方式实现同样功能的代码。
方法:指令替换、寄存器变换、位置替换、指令压缩、指令扩展、垃圾指令等。

5、变形技术
变形技术在多态变换的基础上针对整个恶意代码程序而不是其中几段代码进行处理,经过变形的代码与原始代码完全不同,而且也不存在特定的加密和解密代码段。
在这里插入图片描述

🕒 4. 恶意代码的隐蔽技术

1、进程注入
恶意代码以操作系统运行的许多系统和网络服务进程的可执行代码作为载体,将自身注入到其中,实现隐蔽执行的目标,并且确保在系统运行时自身始终保持激活状态。
嵌入方式:将自身代码写入目标进程的虚拟地址空间。

2、三线程
主线程:负责具体的功能实现
监视线程:时刻检查恶意代码的状态
守护线程:注入其他可执行代码

3、端口复用
端口复用是指利用系统已打开的某个服务端口与外界进行通信,可以躲避防火墙的阻拦。

4、端口反向连接
端口反向连接就是利用防火墙配置的疏忽,不是攻击者向目标主机发起连接,而是目标主机主动发起向远端控制者的连接。

5、文件隐藏
设置文件的隐藏属性或将文件名设置为类似的某些系统文件名。
修改与文件操作有关的程序,如dir、ls等。
将某些硬盘扇区标志为坏区,把恶意代码存放在这些”坏区“中”

6、Rootkits技术
Rootkits技术指恶意代码以内核模块或驱动程序方式运行,安全软件无法对其进行检查和清除同时文件系统中也没有任何该代码存在的痕迹

7、原始分发隐藏
原始分发隐藏是指恶意代码在正常应用程序初始发布时就植入应用程序,例如使用经过修改的编译器对正常的源代码进行编译,生成的可执行程序中就可能携带恶意代码。

🕒 5. 恶意代码的防范

1、基于特征的扫描技术
建立恶意代码的特征文件,在扫描时根据特征进行匹配查找,这是安全软件最常用的技术。

2、校验合法
在系统部署之前对需要监控的文件生成校验和,然后周期性地生成新校验和并与原始值比较,判断文件是否改变。

3、沙箱技术
根据程序需要的资源和拥有的权限建立程序的运行沙箱,使得每个程序运行在隔离沙箱中,无法影响其他进程,可以安全地检测和分析恶意代码的行为。

4、基于蜜罐的检测技术
蜜罐是虚拟系统,伪装成有许多服务正在运行的主机以吸引攻击者,同时安装强大的监测系统用于监测恶意代码的攻击过程,采用黑盒分析方法,制定防范该恶意代码的策略。

🕒 6. 恶意代码的演进

高级恶意软件在功能和防御策略方面更为先进,其造成的影响和损失也更为严重。

目前新的恶意软件采用自动生成工具、第三方库以及借用现有的恶意软件代码生成。

🕒 7. 网络蠕虫

在蠕虫出现后,对计算机病毒重新进行了定义,即计算机病毒是一段代码,能把自身加到其他程序包括操作系统上,但计算机病毒不能独立运行,需要由它的宿主程序运行来激活它。与计算机病毒不同,网络蠕虫强调自身的主动性和独立性,网络蠕虫是通过网络传播,无须用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。根据传播策略,网络蠕虫主要分为电子邮件蠕虫、文件共享蠕虫和传统蠕虫。

网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者互联网从一个节点传播到另外一个节点。

网络蠕虫由攻击模块、感染模块、传播模块和功能模块4个功能模块组成。其中,攻击模块和感染模块最为关键,决定了蠕虫的影响范围和传播速度,关系到能否对目标主机造成破坏。网络蠕虫的一般传播过程如图所示,主要包括:
在这里插入图片描述

(1)扫描:由蠕虫的扫描功能负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞信息并收到成功的反馈信息后,就得到一个可传播的对象。
(2)攻击:攻击模块自动攻击在第(1)步中找到的对象,取得该主机的权限,一般为管理员权限。
(3)现场处理:使计算机在被感染后保留一个后门以便发动分布式拒绝服务攻击。
(4)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并激活。

计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫带来了更为有利的生存和传播的环境。在网络环境下,蠕虫可以按指数增长模式进行传染。蠕虫侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。

🕒 8. 脚本病毒

脚本病毒是主要是由Visual Basic Script语言和Java Script语言来编写的计算机病毒。

脚本病毒的传播途径比较多,由于Visual Basic Script和Java Script编写的代码可以直接插入到HTML文件中,同时浏览器也直接支持对这两种语言所编写的代码的解释,所以脚本病毒多通过Web页面进行传播,也可以经常插入到电子邮件的附件或通过局域网的共享设置来传播。

🕒 9. 木马病毒

在恶意代码家族中,木马主要用来作为远程控制和窃取用户隐私信息,它同时具有计算机病毒和后门程序的特征。

在这里插入图片描述

一般的木马程序包括客户端和服务器端两个程序,其中客户端用于攻击者远程控制植入木马的计算机(即服务器端),而服务器端即是植入木马程序的远程计算机。当木马程序或带有木马的其他程序执行后,木马首先会在系统中潜伏下来,并修改系统的配置参数,每次启动系统时都能够实现木马程序的自动加载。有时,木马程序会修改某一类型文件的关联,从而使木马的潜伏变得更加容易,并不易被用户发现。运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式(Client/Server,C/S),其中,客户端在本地主机执行,用来控制服务器端。而服务器端则在远程主机上执行,一旦执行成功该主机就中了木马,就可以成为一台服务器,可以被控制者进行远程管理。

在这里插入图片描述

木马通常采取如图所示的方式实施攻击:配置木马(伪装木马)→传播木马(通过文件下载或电子邮件等方式)→运行木马(自动安装并运行)→信息泄露→建立连接→远程控制。

🕒 10. 间谍软件

间谍软件是目前计算机网络中继病毒、蠕虫、木马之后新出现的一种以窃取他人信息和进行广告宣传为主的程序,已成为网络安全的重要隐患之一。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

98444)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968693
关注
  • 26
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码防护
weixin_40050195的博客
01-29 493
什么是恶意代码 恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。按传播方式,恶意代码可以分成五类:病毒,木马,蠕虫,移动代码和复合型病毒. 如今恶意代码类型数量和种类众多,为我们的主机造成严重的危害,我们怎么才能减少这些危害呢? 关于恶意代码防护的详细教程: Apsar...
防范恶意代码
09-27
恶意代码防范PPT,包括防病毒,蠕虫防范,木马防范,恶意网页防范恶意代码的分析等
恶意代码防范
weixin_45971758的博客
03-10 494
本地系统管理人员通过“查看进程列表“,“查看目录”,“查看内核模块”,“查看系统网络连接状态”等管理命令来检测系统是否被植入了恶意代码。NTFS 文件系统下,每个文件都可以有多个数据流,一个文件以流的形式附加到另一个文件(载体)中,流文件explorer.exe等文件管理软件不可见,病毒可以利用此方式进行隐藏。重复利用系统网络打开的端口(如25、80、135、139等常用端口)传送数据,这样既可以欺骗防火墙,又可以少开新端口。会发现还有隐藏的 病毒文件,那么我就要去手工清除这些隐藏的病毒进程文件。
网络安全技术】——恶意代码防范学习笔记
HinsCoder的博客
04-12 1843
由于计算机网络所固有的结构松散、系统开放、主机和终端具有多样性等特点,致使网络易受病毒、黑客、恶意软件和其他不良行为的破坏或影响。针对这些安全隐患,应该对计算机网络进行全方位的安全防范,以保障网络系统的正常运行,其中恶意代码防范是最为普遍和有效的一种安全措施。本章所提到的恶意代码是指人为编制或设置的、对网络或系统安全存在威胁或潜在威胁的计算机代码,主要包括计算机病毒、特洛伊木马、计算机蠕虫、后门、间谍软件等。
如何防范恶意代码?
dexunjiaqiang的博客
05-31 2298
什么是恶意代码? 恶意代码是不需要的文件或程序,它们可能会对计算机造成损害或破坏计算机上存储的数据。恶意代码的各种分类包括病毒、蠕虫和特洛伊木马等。 1.病毒能够损坏或破坏计算机系统上的文件,并通过共享已受感染的可移动媒体、打开恶意电子邮件附件和访问恶意网页等来传播。 2.蠕虫是一种可以在计算机之间自我传播的病毒。它的功能是使用我们的计算机的所有资源,这可能会导致我们的计算机停止响应。 3.特洛伊木马是隐藏病毒或潜在破坏程序的计算机程序。有时会隐藏在免费软件中,特洛伊木马程序让用户认为他们使用的是合
基于机器学习的恶意请求识别(Python代码及数据集)
05-21
这是作者恶意代码分析、网络安全、系统安全等系列教程,主要是通过机器学习、人工智能和深度学习来分析恶意代码的在线笔记。希望对您有所帮助,学无止境,一起加油。参考作者的博客和github资源,由于github速度限制...
计算机三级网络技术——选择题笔记.
07-05
选择题笔记
AI学习笔记——卷积神经网络(CNN)
02-24
上篇文章简单地地介绍了神经网络和深度学习,在神经网络中,每一层的每个神经元都与下一层的每个神经元相连(如下图),这种连接关系叫全连接(FullConnected)。如果以图像识别为例,输入就是是每个像素点,那么每一...
恶意代码第一章笔记.txt
04-18
恶意代码第一章笔记
PCL学习笔记——NormalEstimation估计点云的法向量_代码.zip
06-06
在提供的压缩包中,"PCL学习笔记——NormalEstimation估计点云的法向量_代码.pdf"很可能是对PCL中Normal Estimation算法的详细讲解,包括理论概念和实现代码。另一份文档"写个想从事自动驾驶相关工作的同学及学习...
恶意代码的攻击与防范
04-19
教你如何防止恶意代码攻击,分享给大家一起学习,供大家参考!
个人机器学习,主要是神经网络方面的学习笔记和代码
最新发布
05-16
机器学习实践与笔记 机器学习是时下计算机科学的一个非常火热的分枝,笔者在进入研究生阶段的学习后也渐渐开始了解一些相关的算法。创建这个仓库的目的就是为了把笔者在机器学习领域遇到的问题,学到的知识,编写的...
【神经网络】{6} ——反向传播(学习笔记
01-20
此处开始讲解一个算法来尝试优化神经网络结构的代价函数。 这是一个让代价函数最小化的算法——反向传播算法。 首先来看一下神经网络的代价函数: 要做的就是设法找到参数θ,使得J(θ)取到最小值,为了使用梯度...
人人学IoT———第四章学习笔记
01-06
物联网网关处于网络层,负责上行回传、下行汇聚。 工业物联网网关的条件:  **1.**传统网络设备无法满足物联网现场工业级严格要求。例如,工作温度、防尘、防水、防电磁干扰。  **2.**工业接口协议众多对网关提出...
汽车网络信息安全技术之AUTOSAR SecOC,非常详细的学习笔记,由浅入深
09-12
汽车网络信息安全技术 AUTOSAR 中SecOC与其他模块的交互 详细SecOC通讯过程图 安全报文介绍 新鲜度值 新鲜度值的构成:基于同步的复合Counter 新鲜度值的管理 新鲜度值中每个计数器详解 新鲜度值的构建 ...
网络安全知识之防范恶意代码
qq_42552359的博客
12-31 3549
首先防范恶意代码在我们的网络安全等级保护工作中是有明确要求的。在单位落实等级保护建设过程中,不得不考虑的一项安全防范措施,是保护自身系统安全,也是在落实《网络安全法》第二十一条之规定。 落到等级保护相关标准,则对应有基本要求项,而防恶意代码又是高风险判例中明确的高风险,二级以上信息系统必须考虑防恶意代码措施。 标准要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的更新。 ...
恶意代码防范技术笔记(一)
cmomo99d的博客
08-18 1261
恶意代码防范技术笔记
恶意代码防范技术笔记(二)
cmomo99d的博客
08-18 312
恶意代码防范技术笔记
恶意代码防范技术原理-恶意代码概述
我的个人博客
09-06 5487
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统包括计算机病毒( Computer Virus)、 蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、 细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等。
python学习笔记011——内置函数__sizeof__()
06-10
好的,你的问题是关于 Python 内置函数 `__sizeof__()` 的。这个函数的作用是返回一个对象占用的内存大小(单位为字节)。你可以在 Python 中的任何对象上调用这个函数,比如: ```python a = 10 print(a.__sizeof__()) # 输出结果为 28 ``` 在上面的例子中,`a` 是一个整数对象,它占用了 28 个字节的内存。这个大小包括对象本身占用的空间以及它所引用的其他对象占用的空间。 需要注意的是,这个函数只能用于 Python 内置对象,对于自定义对象,需要自己实现 `__sizeof__()` 函数来计算对象的内存大小。另外,这个函数返回的值只是一个近似值,实际使用时需要结合其他工具来进行更精确的测量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值