20202407 2021-2022-2 《网络与系统攻防技术》实验四实验报告

20202407 2021-2022-2 《网络与系统攻防技术》实验四实验报告

1.实践内容

1.1 恶意代码基础知识

定义：指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。

• 恶意代码类型

计算机病毒
指那种既具有自我复制能力，又必须寄生在其他实用程序中的恶意代码。感染过程通常需要人为干预

蠕虫
它和计算机病毒的最大不同在于自我复制过程，病毒的自我复制过程需要人工干预，无论是运行感染病毒的实用程序，还是打开包含宏病毒的邮件，都不是由病毒程序自我完成的。蠕虫能够自我完成下述步骤：

(1)查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其他远程系统地址列表找出下一个攻击对象。

(2)建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等。

(3)实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。

后门
指一类能够绕开正常的安全控制机制，从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制，如NC

特洛伊木马
是一类伪装成有用的软件，但隐藏其恶总目标的恶意代码。主要特征是伪装性

僵尸网络
僵尸网络区别于其他攻击方式的基本特性是使用一对多的命令与控制机制，此外也具有恶意性和网络传播特性。

rootkit
是在用户态通过替换或修改系统关键可执行文件，或者在内核态通过控制操作系统内核，用以获取并保持最高控制权的一类恶意代码。

• 恶意代码的特征：

(1)恶意破坏的目的

(2)其本身为程序

(3)通过执行发生作用

恶意代码的传播方式：

总的来说，恶意代码的传播是因为用户的软件出现了漏洞、操作不慎或者是两者的结合造成

(1)病毒：病毒具有自我复制的功能，一般嵌入主机的程序中。当被感染文件执行操作，例如，用户打开一个可执行文件时，病毒就会自我繁殖。病毒一般都具有破坏性

(2)木马：这种程序从表面上看没有危害，但实际上却隐含着恶意的意图和破坏的作用。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中；另外有的还会以软件的形式出现，因为它一般是以一个正常的应用程序身份在系统中运行的，所以这种程序通常不容易被发现

(3)蠕虫：蠕虫是一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序和用户的操作，而是通过系统存在的漏洞和设置的不安全性来进行入侵，如通过共享的设置来侵入。蠕虫可以自动创建与它的功能完全相同的副本，并能在无人干涉的情况下自动运行，大量地复制占用计算机的空间，使计算机的运行缓慢甚至瘫痪

(4)移动代码：移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒、蠕虫或者是特洛伊木马的一部分被传送到客户的计算机上的。此外，移动代码还可以利用系统的漏洞进行入侵，如非法的数据访问和盗取管理员账号等

• 恶意代码攻击机制

(1)侵入系统：侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或U盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等

(2)维持或提升现有特权：恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成

(3)隐蔽策略：为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己

(4)潜伏：恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动

(5)破坏：恶意代码的本质具有破坏性，其目的是造成信息丢失，泄密，破坏系统完整性等

1.2 恶意代码分析

恶意代码分析是一个多步过程，他深入研究恶意软件结构和功能，有利于对抗措施的发展。按照分析过程中恶意代码的执行状态可以把恶意代码分析技术分成静态分析技术和动态分析技术两大类

• 恶意代码静态分析

反病毒软件扫描
使用现成的反病毒软件来扫描待分析的样本，以确代码是否含有病毒。常用软件包括国产的金山、瑞星；国外的诺顿、卡巴斯基等等

文件格式识别
恶意代码通常是以二进制可执行文件格式存在的&#