文章目录
绪论
概念
计算机病毒的实施途径:复制自身代码
自复制结构:自复制自动机
“递归定理”使得 自复制自动机的行为表现何编码结构形成一个镜像对称。
递归性,区别病毒与正常程序的复制过程
细胞自动机:按照相同的法则改变其状态。细胞的状态由上一个时刻围绕该细胞的周围细胞的状态决定。
拓展
TPM Trusted Platform Module
TEE Trusted Execution Environment
HSM hardware Secure module
信息安全 - uboot, TEE, ATF, trustzone, SHE,HSM, HIS, Evita, ISO 21434, CC认证(Common Criteria)
https://blog.csdn.net/weixin_44124323/article/details/110704636
计算机病毒
性质
自我复制
指令或者代码
不一定独立存在
计算机病毒 vs 恶意代码
特征
感染型
非授权可执行
隐蔽性
条件性/ 可触发性
进化性
不可判定性
分类
所有的病毒都有它的年代性,和计算机环境有密切关系
按照病毒的寄生部位或者传染对象分类
引导型病毒
引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。
病毒代码代替了原始的引导扇区信息,并把原始的引导扇区信息移到磁盘的其他扇区。当DOS需要访问引导数据信息时,病毒会引导DOS到贮存引导信息的新扇区,从而使DOS无法发觉信息被挪到了新的地方。
另外,病毒的一部分仍驻留在内存中,当新的磁盘插入时,病毒就会把自己写到新的磁盘上。当这个盘被用于另一台机器时,病毒就会以同样的方法传播到那台机器的引导扇区上。
措施:安全启动(security boot)校验的环节
文件型病毒
文件型病毒是计算机病毒的一种,主要通过感染计算机中的可执行文件(.exe)和命令文件(.com)。文件型病毒是对计算机的源文件进行修改,使其成为新的带毒文件。一旦计算机运行该文件就会被感染,从而达到传播的目的。
脚本病毒
按照病毒传播途径
驻留型病毒(resident virus)
利用驻留内存程序(Terminate and Stay Resident, TSR)
驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,处于激活状态,一直到关机或重新启动;非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
直接感染型病毒(direct action virus)
病毒的逻辑结构
(前)引导模块
(中)感染模块
- 激活感染的判断条件
- 感染的实施部分
(后)负载模块
- 破坏表现的触发条件
- 破坏表现的实施部分
病毒的形式化模型
感染标识
program cpmpression =virue
(01234567; //感染标识。病毒通过检查目标程序首部是否包含感染标识,来判度胺目标是否被感染过
subroutine infect -executable :=
{
...
}
...
)
基于图灵机的传统计算机病毒模型
病毒集(virtual set , VS)是一种特殊的(machine,tape-set)序偶的集合。
关键性问题
判定性:是否可以通过图灵机在有限时间内,判断一个给定的符号序列对给定的图灵机是病毒
进化性:是否可以通过图灵机在有限时间内,判度胺一个给定的符号序列,对于给定的图灵机能够产生另一个病毒
病毒的工作流程
- 将病毒程序植入到宿主承诺徐
- 带毒宿主进入系统执行
- 寻找感染目标,知道满足感染条件,调用感染模块
- 满足破坏条件使,己活病毒程序,调用负载模块
- 执行宿主代码
震网 (触发条件是离心机的转速)
震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。
病毒的传播模型
Susceptible-Infected-Susceptible SIS模型
- S 可能感染,也可能不感染
Susceptible-Infected-Removed SIR模型
- R 免疫状态。该状态节点对病毒有抵抗力,不会再感染同意病毒
Susceptible-Exposed-Infected-Removed SEIR模型
- E 暴露状态。已经接受到病毒代码,但尚未体现出病毒特征
Susceptible-Infected-Detected-Removed SIDR模型
Two Factor 双因素模型
安全模型
多种模型实际工业中可能并集存在
隔离模型
基于信息的传递性将用户划分为不同并集、系统隔离
- 防火墙 :网络层防护、应用层(上网行为管理)
- (安全)网关:
- 网闸:数据摆渡、缓冲区
网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。
但是,网络的物理隔离,给数据的通讯带来很多不便,比如工作人员出差只能接入互联网,要取得内网的文件就没有办法,只能让办公室的人把文件放在外网上。另外,内网办公系统需要从外网提供的统计数据,由于服务隔离,数据的获取也很困难。因此,随着网络业务的日益成熟,数据交换的需求提议强烈。
最初的解决办法就是人工的“传递”,用U盘或光盘在内外网之间倒换数据。随着业务的增多,数据量的扩大,人工的方式显然成为很多业务的瓶颈,在内、外网之间建立一个既符合“物理隔离”安全要求,又能进行数据交换的设备或解决方案,这就诞生了网闸技术。
网闸实现的是个安全的概念,与防火墙等网络安全设备不同的地方是他阻断通讯的连接,只完成数据的交换,没有业务的连接,攻击就没有了载体,如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。这就象从前长江上的摆渡船,既没有“物理的连接”大桥,也实现了货物的交换。
访问控制
Vell-LaPadula 不上读/不下写,数据保密性(低-> 高)
Biba 不下读/不上写,数据完整性(高-> 低)
- 低水印策略、环策略
信息流模型
基于传递性
在信息上设置 距离门限值,时信息在超过距离阙值后不可再用
流距离(Flow Distance),距离由数据的流动距离(共享数)度量
防御机制
病毒检测
进化关系检测
命名规则
CARO命名法(Computer AntiVirus Researchers Organization 计算机反病毒研究组织)
- 家族名
- 组名
- 大变种
- 小变种
- 修改者
附加规则
- 不使用地点命名
- 不用公司、商标命名
- 如果已经有了名称就不再另外定义别名
- 变种是子类