1、2018/12/14,1,恶意软件的分析与防范,计算机学院 严飞,2018/12/14,2,恶意代码,开设本课程的目的: 了解并掌握计算机恶意代码所涉及的基本知识和防范技术 提高计算机安全保护意识 具备防范恶意代码的基本能力 本课程只介绍恶意代码的原理,用于提高防御,不介绍恶意代码的攻击技术!,2018/12/14,3,课时安排,传统的恶意代码概述和基础知识(9-26) 计算机病毒(9-29,10-13) 网络蠕虫 (10-20,10-27) 网页/移动恶意代码 (11-3,11-10) 后门、木马和Rootkit (11-17) 常用检测技术和工具(11-24) 课堂讨论与练习(11-24,
2、占用一节课) 期末考试(12-1),2018/12/14,4,课堂与考核,平时上课情况10 具体要求:中期签到1次(10月下旬到11月上旬,连续签两次,两次均未到则无此部分成绩) 讨论和实践报告30%(1)基本要求:个人课程设计作业1次(20%) 结合自己或周围人平时在计算机中的应用体验,撰写一篇与恶意代码感染、对抗、分析等相关的小论文(约2k字左右即可) 本课程最后两周前(第8次课前),发送邮件到 鉴于邮件系统偶发故障,请未收到我回复的同学与我联系。,2018/12/14,5,考核,讨论和实践报告(10%)(2)课堂交流: 2类 交流1:课堂讨论 每次课安排有5分钟讨论时间,到课同学与周围同
3、学,每5人一组讨论(最好非同院系,建议每次课程自行调整座位)。 讨论内容:你对于当日所讨论问题的看法、理解与体会。随机抽取两人做总结发言。,2018/12/14,6,考核,讨论和实践报告(2)课堂交流: 交流2:课堂交流 时间:第9周随堂交流 第8周之前,请欲公开交流的同学,准备一份10分钟左右的PPT,并进行工具或者代码样本的演示 内容:攻防实践、心得体会皆可,2018/12/14,7,考核,期末论文60% 开卷考试,可携带笔记本电脑,但不可上网 难易程度:中等 考试范围:讲义与常识,2018/12/14,8,参考资料,1、计算机病毒分析与对抗。傅建明、彭国军、张焕国,武汉大学出版社,200
4、4。 2、计算机病毒防范艺术。Peter Szor 著 段海新 杨波 王德强 译,机械工业出版社,2006。 3、决战恶意代码。陈贵敏、候晓慧等译。电子工业出版社 ,2005。 4、计算机病毒及其防范技术。刘功申,清华大学出版社,2008.,2018/12/14,9,参考资料,安全焦点:http:/ 安全焦点年会:http:/ 黑客防线 看雪- cert/cc: www.defcon.org 课件请在学校课程中心下载,2018/12/14,10,第一讲 恶意代码概述,信息安全威胁 安全保障措施 恶意代码的定义 恶意代码的产生 恶意代码的类型 恶意代码的历史,2018/12/14,11,一、
5、信息安全所面临的威胁,信息安全包括的属性有: 机密性 完整性 可用性 非否认性 可控性 ,2018/12/14,12,一、信息安全所面临的威胁,机密性 是指保护数据不受非法截获和未经授权浏览。这一点对于敏感数据的传输尤为重要,同时也是通信网络中处理用户的私人信息所必须的。 我们通常所面临的问题: 窃听聊天记录 窃听移动电话通话 窃取电子邮件 偷看他人文档、照片等等 问题日常化反映:盗窃与反盗窃,2018/12/14,13,一、信息安全所面临的威胁,完整性 是指能够保障被传输、接收或存储的数据是完整的和未被篡改的。这一点对于保证一些重要数据的精确性尤为关键。 通常所面临的问题问题日常化反映:,2
6、018/12/14,14,一、信息安全所面临的威胁,可用性是指尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等,但用户依然可得到或使用数据,服务也处于正常运转状态。,2018/12/14,15,信息安全,非否认性是指能够保证信息行为人不能否认其信息行为。这一点可以防止参与某次通信交换的一方事后否认本次交换曾经发生过。,2018/12/14,16,信息安全,可控性是指保证信息和信息系统的授权认证和监控管理。这一点可以确保某个实体(人或系统)的身份的真实性,也可以确保执政者对社会的执法管理行为。,2018/12/14,17,信息安全发展的四个阶段,年代,通信安全发展时期,从有人类以来,60
7、年代中期,计算机安全发展时期,80年代中期,信息安全发展时期,90年代中期,信息安全保障发展时期,安全保障能力,2018/12/14,18,值得关注的信息安全问题,有可能直接危害国家安危的信息安全问题有:网络及信息系统出现大面积瘫痪(奥运) 网上内容与舆论失控 网上信息引发社会危机 有组织的网络犯罪(恶意代码),2018/12/14,19,带来损失的网络安全事件与 所发生的安全事件的对比,病毒、蠕虫或特洛伊木马,分别为75.3%和48.8%,2018/12/14,20,引发网络安全事件的主要原因分析,2018/12/14,21,信息安全关键技术,风险评估 信任体系 可信计算 访问控制 标识与鉴
8、别 密码 内容安全(包括反垃圾邮件) 安全应用 防病毒 安全协议 恶意行为及恶意代码检测,实时监控 无线通信安全 检测与评估 嵌入式安全 新技术: 量子密码生物密码信息伪装 其他,2018/12/14,22,2018/12/14,23,2018/12/14,24,保障信息安全的手段,法律 技术 管理 教育,2018/12/14,25,恶意代码的定义,恶意代码-Malicious Software, malware 把未经授权便干扰或破坏计算机系统/网络功能的程序或代码(一组指令)称之为恶意程序。 一组指令: 二进制文件 脚本语言 宏语言,2018/12/14,26,恶意代码的功能,删除敏感信息
9、 作为网络传播的起点 监视键盘 收集你的相关信息 常访问的站点 search的关键词 上网偏好/时间 获取屏幕 在系统上执行指令/程序,2018/12/14,27,恶意代码的功能(Cont),窃取文件,如私人/财务/技术/商业机密 开启后门,作为攻击其他计算机的起点/(肉鸡) 隐藏在你主机上的所有活动,你能干什么,他就能干什么!,2018/12/14,28,恶意代码的产生,恶意代码也是软件 混合的数据和可执行指令 恶意的用户 同构计算环境 日益减少的信息孤岛 缺乏安全知识的用户群 我们的世界不是和平的世界,2018/12/14,29,恶意代码也是软件,与我们平时所使用的各种软件程序从本质上看并
10、没有什么区别 它也是人们通过一定的语言编写出来的 正常的程序或软件是用来帮助人们解决某些问题的,而病毒程序是专门用来搞破坏的。,如何区分:结构特征(静态)行为特性(动态),2018/12/14,30,混合的数据和可执行指令,冯.诺伊曼体系结构(数据和指令),关心各种信息的入口点 交互且动态的内容(酷) Javascript Vbscript ActiveX 各种扩展功能 Macro Language Postscript 市场占有率:Windows系列,2018/12/14,31,恶意的用户,2/8原则 一部分人挑战自己的智慧 一部分人获得财富(偷),技术: 各种弱口令/配置 缓冲区溢出SQL
11、注入,2018/12/14,32,同构计算环境,操作系统同构: Windows-80% Linux/UNIX 应用程序同构: Html Xml Java Pdf doc 网络协议同构:TCP/IP,2018/12/14,33,日益减少的信息孤岛,空前的连通性:ATM/短信中心/网上银行/软交换/OA/高校/军事设备/电子商务/电子政务/公交系统/电力系统/坏事传千里:光速是约每秒30万千米,2018/12/14,34,缺乏安全知识的用户群,不了解计算机的复杂性 不了解恶意软件带来的风险 管理和教育不到位 技术迟后,2018/12/14,35,我们的世界不是和平的世界,霸权主义 恐怖主义 各种黑
12、客组织-勒索 信息战,2018/12/14,36,恶意代码的类型,2018/12/14,37,哪里有恶意代码,2018/12/14,38,恶意代码的历史,1981年-1982年-在APPLE-II的计算机游戏中发现Elk cloner 1983年, Fred Cohen:计算机病毒(Virus)是一段附着在其它程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。,2018/12/14,39,恶意代码的历史,1986年第一个PC病毒:Brain virus 1988年Morris Internet worm6000多台 1990年第一个多态病毒 1991年virus
13、construction set-病毒生产机 1994年Good Times(joys) 1995年首次发现macro virus,2018/12/14,40,恶意代码的历史,1996年netcat的UNIX版发布(nc) 1998年第一个Java virus(StrangeBrew) 1998年netcat的Windows版发布(nc) 1998年back orifice(BO)/CIH 1999年melissa/worm(macro virus by email) 1999年back orifice(BO) for WIN2k,2018/12/14,41,恶意代码的历史,1999年DOS/
14、DDOS-Denial of Service TFT/ trin00 1999年knark 内核级rootkit(linux) 2000年love Bug(VBScript) 2001年Code Red worm(overflow for IIS) 2001年Nimda-worm(IIS/ web browser/ outlook/file share etc.),2018/12/14,42,恶意代码的历史,2002年setiri后门 2002年SQL slammer(sql server) 2003年hydan的steganography工具 2003年MSBlaster/ Nachi 20
15、04年MyDoom/ Sasser 2007年熊猫烧香 时至今日,大量挂马网站、蠕虫病毒横行,2018/12/14,43,DOS病毒命名,1.按病毒发作的时间命名 :黑色星期五 ; 2.按病毒发作症状命名:“小球” /“火炬” /Yankee 3.按病毒自身包含的标志命名:以病毒中出现的字符串、病毒标识、存放位置或病发表现时病毒自身宣布的名称来命名 ,Mar_ijunana及Stoned,DiskKiller,2018/12/14,44,DOS病毒命名,4.按病毒发现地命名 :Jurusalem(耶路撒冷)病毒,Vienna(维也纳)病毒 5.按病毒的字节长度命名: 以病毒传染文件时文件的增加
16、长度或病毒自身代码的长度来命名,如1575、2153、1701、1704、1514、4096,2018/12/14,45,恶意代码的命名,反病毒公司为了方便管理,会按照恶意软件的特性,将恶意软件(广义病毒)进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:,2018/12/14,46,恶意代码的命名,病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。如: Trojan Worm,2018/12/14,47,恶意代码的命名,病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的。 CIH Sa
17、sser,2018/12/14,48,恶意代码的命名,病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如: Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。,2018/12/14,49,恶意代码的命名,系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。,2018/12/14,50,恶意代码的命名,蠕虫 蠕虫的前缀是:
18、Worm。是通过网络或者系统漏洞进行传播,很大部分的蠕虫都有向外发送恶意邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。,2018/12/14,51,恶意代码的命名,木马: Trojan.QQ3344 黑客程序/工具:Hack.Nether.Client 脚本病毒: 红色代码(Script.Redlof) 欢乐时光(VBS.Happytime) 十四日(Js.Fortnight.c.s),2018/12/14,52,恶意代码的命名,宏病毒:Macro 第二前缀是:Word、Word97、Excel、Excel97,Macro.Melissa 后门病毒:Backdoor,
19、2018/12/14,53,恶意代码的命名,破坏性程序病毒:Harm 玩笑病毒:Joke 捆绑机病毒:Binder,2018/12/14,54,恶意代码的命名,拒绝服务攻击程序:DoS 漏洞溢出工具:Exploit,2018/12/14,55,2008年十大病毒,金山,2018/12/14,56,2008年十大安全事件,艳照门 :陈冠希 网络战争 :中美;俄格 奇虎360与瑞星的“口水仗” :360免费杀毒;误杀瑞星; 杀毒软件免费化 安全厂商并购 :Sophos 购买Utimaco;Mcafee购买Secure Computing;联想购买艾克斯通;金山购买卓尔 微软“黑屏”事件 漏洞 云安
20、全 2009版杀毒软件新品 金融危机,2018/12/14,57,2009十大网络安全事件,1、Conficker蠕虫病毒攻击 :微软RPC漏洞导致,阻止访问安全网站,阻止Windows升级 2、Heartland Breach信用卡失窃 :大量数据被泄露,涉及到1.3亿信用卡和相关交易数据 3、美国即将到来到的网络安全 :奥巴马将网络安全威胁等同于核武和生物武器,中国威胁论 4、hacktivist泛滥 :因政治或社团目的而产生的黑客行为 ,对伊朗政府网站发动了拒绝服务攻击,声称伊朗总统选举内含欺诈。 5、苹果 iPhone 漏洞 :“黑帽”(Blackhat)安全大会上,安全研究人员Mil
21、ler在会议上展示如何通过手机短信对iPhone发动攻击,他表示只要通过一系列恶意短信即可控制iPhone 。,2018/12/14,58,2009十大网络安全事件,6、赛门铁克 管理风波 7、McAfee改建渠道 8、黑客盯上社交网站 :对Facebook、MySpace、Friendster、Bebo、Fubar等社交网站发动攻击 9、TJX 黑客被起诉 10、云解决方案进一步发展,2018/12/14,59,基本知识,文件在磁盘中的形式: DPT(C:/D:)Disk Partition Table FDT(目录) File Directory Table FAT(文件)File Allocation Table 文件在内存中的形式:进程/线程 进程与外界的通信:socket,2018/12/14,60,总结,信息安全威胁 安全保障措施 恶意代码(病毒)的定义和特征 计算机的基本知识(文件、内存、网络),2018/12/14,61,Question?,
