第十四章 恶意代码防范技术原理（笔记）

1. 恶意代码的分类

• 恶意代码是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用、破坏系统的完整性和可用性。
• 主动传播：网络蠕虫、其他
• 被动传播：计算机病毒、特洛伊木马、间谍软件、逻辑炸弹

2. 恶意代码攻击步骤模型

1. 入侵系统：恶意代码第一步就是入侵目标的主机信息系统
2. 维持或提权：恶意代码需要维持当前的权限或提升自己的权限
3. 隐蔽：可能会采取对恶意代码改名、删除源文件或系统安全策略方式
4. 潜伏：在具有足够的权限并满足条件后就会触发，并同时进行破坏活动
5. 破坏：恶意代码本身具有破坏性的本质，为的就是造成信息泄露完整性破坏等
6. 重复前5步：对新的目录进行新的攻击过程

3. 恶意代码的生存技术

• 反跟踪技术：提高了自身的伪装能力和防破译能力，加大了检测和清除的难度

• • 反动态跟踪技术：禁止跟踪中断、检测跟踪发、其他反跟踪技术
  • 反静态跟踪技术：对程序代码块加密执行、伪指令法

• 加密技术：加密手段主要有三种即信息加密、数据加密和程序代码加密
• 模糊变换技术：恶意代码每感染一个客体对象时会利用模糊变换技术潜入主程序的代码不尽相同

• • 模糊变换技术主要分为以下：指令替换技术、指令压缩技术、指令扩展技术、伪指令技术、重编译技术

• 自动生产技术：利用“多态性发生器“编译成具有多态性的病毒，多态变换引擎能够让程序代码本身产生改变，但却可以保持原有的功能
• 进程注入技术：恶意代码为了实现隐藏和启动目的，把自身嵌入与这些服务相关的进程中

4. 恶意代码的分析技术

• 静态分析法：反恶意代码软件检测和分析、字符串分析、脚本分析、静态反编译分析、静态反汇编分析
• 动态分析法：文件检测、进程检测、注册表检测、网络活动检测、动态反编译分析

5. 计算机病毒分析与防护

• 计算机病毒是一组有自我复制、传播能力的程序代码
• 计算机病毒都具有以下4个特点

• • 隐蔽性、传染性、潜伏性、破坏性

• 计算机病毒由以下三个部分组成：

• • 复制传染部件、隐藏部件、破坏部件

• 计算机病毒生命周期主要有两个阶段：

• • 阶段1：病毒复制传播阶段
  • 阶段2：病毒激活阶段

• 常见的计算机病毒有：引导型病毒、宏病毒、多态病毒、隐藏病毒
• 计算机病毒防护方案如下：基于单机计算机病毒防护、基于网络计算机病毒防护、基于邮件网关病毒防护、基于网关病毒防护

6. 特洛伊木马分析

• （Trojan Horse)简称木马，具有伪装能力、隐蔽执行非法功能的恶意程序
• 特洛伊木马的分类

• • 本地特洛伊：只运行在本地的单台主机，没有远程通讯功能
  • 网络特洛伊：具有网络通讯连接即服务一类木马，此类木马由远程木马控制管理和木马代理组成。

• 木马攻击的过程只要分为5部分：

• • 寻找攻击目标：搜索可攻击的目标
  • 收集目标信息系统的信息：收集相关信息如系统类型、网络结构、用户习惯等
  • 将木马植入目标系统：根据收集的信息分析系统的脆弱性，制定植入木马策略
  • 木马隐藏：设法隐藏其行为，包括目标系统本地活动隐藏和远程通信隐藏
  • 攻击意图实现：待条件满足后就执行破坏，如窃取口令、远程访问、删除文件等

7. 网络蠕虫分析

• 具有自我复制和传播能力，可独立运行的恶意程序
• 蠕虫的四大模块：探测模块、传播模块、蠕虫的引擎模块、负载模块
• 蠕虫的运行机制：主要分3个阶段

• • 搜索：在以感染主机的网络上搜索易感染的目标主机
  • 传送：已感染的主机把蠕虫代码传送到易感染的目标主机上
  • 感染：易感染目标主机执行蠕虫代码后，由重复上述步骤取感染其他主机

• 网络蠕虫的常用技术

• • 扫描技术：

• • • 随机扫描：对整个IP地址空间随机抽取扫描，感染下一个目标具有非确定性
    • 顺序扫描：按照本地优先的原则，选择它所在网络内的IP地址进行传播
    • 选择性扫描：事先获知一些信息的条件下，选择性搜索感染的目标

• • 漏洞利用技术：主机之间的信任关系漏洞、目标主机的程序漏洞、目标主机的默认口令漏洞、目标主机的用户安全意识漏洞、目标主机客户端程序配置漏洞

8. 僵尸网络分析与防护

• 僵尸网络(Botnet) 利用入侵手段将僵尸病毒植入目标主机上，进行操作受害机执行恶意活动的网络
• 僵尸网络主要构建的方式：远程漏洞攻击、弱口令扫描入侵、邮件附加、恶意文档、文件共享等
• 僵尸网络运行机制：主要分3个基本环节构成

• • 僵尸程序的传播
  • 对僵尸程序进行远程命令操作和控制，将受害主机目标组成一个网络
  • 攻击者通过僵尸网络的控制服务器，给僵尸程序发送攻击指令，清除僵尸程序

9. 恶意代码之间不同之处

• 病毒、木马与蠕虫不同之处

• • 相同点：会对计算机信息的保密性和完整性造成损害
  • 不同点：

• • • 病毒：自我复制、传播、对主机造成破坏的可执行程序
    • 木马：伪装正常应用骗取用户信任而入侵，会隐藏自己一般不具备破坏性，传播方式多样
    • 蠕虫：不断的复制自身，消耗计算机资源，大多通过移动介质和内网传播，部分蠕虫携带感染性基因，会修改正常文件导致无法打开。

• 僵尸网络与木马的区别

• • 木马分为本地木马和网络木马，而僵尸网络本质是大量感染网络木马组成的主机组成网络

10. 其他恶意代码分析

• 逻辑炸弹：依附在其他软件中，并具有触发执行破坏能力的程序代码
• 陷门(后门)：软件系统里的一段代码，允许用户避开系统安全机制而访问系统
• 细菌：具有自我复制功能独立程序，不会直接攻击，但是复制本身来消耗资源
• 间谍软件：在用户不知情的情况下被安装在计算机的各种软件，执行用户非期望的功能