恶意代码的分析与防治的研究.docx
- 文档编号:9714477
- 上传时间:2023-02-06
- 格式:DOCX
- 页数:22
- 大小:33.41KB
恶意代码的分析与防治的研究.docx
《恶意代码的分析与防治的研究.docx》由会员分享,可在线阅读,更多相关《恶意代码的分析与防治的研究.docx(22页珍藏版)》请在冰豆网上搜索。
恶意代码的分析与防治的研究
目录
1.恶意代码概述
1.1恶意代码的概念.....................................................................................2
1.2恶意代码的发展史.................................................................................2
1.3恶意代码的特征.....................................................................................3
1.4恶意代码传播途径.................................................................................3
1.5感染恶意代码的症状.............................................................................4
2.典型恶意代码
2.1传统计算机病毒.....................................................................................8
2.2蠕虫.........................................................................................................8
2.3特洛伊木马.............................................................................................8
2.4恶意脚本.................................................................................................9
2.5流氓软件.................................................................................................9
2.6逻辑炸弹................................................................................................10
2.7后门........................................................................................................10
2.8僵尸网络................................................................................................11
2.9网络钓鱼................................................................................................12
3.恶意代码分析方法
3.1静态分析方法.........................................................................................13
3.2动态分析方法..........................................................................................13
4.恶意代码防范
4.1恶意代码的检测......................................................................................14
4.2恶意代码的防治手段
4.2.1基于主机的恶意代码检测方法........................................................................15
4.2.1基于网络的恶意代码检测方法........................................................................15
1.恶意代码概述
1.1恶意代码的概念
定义一:
恶意代码又称恶意软件。
这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(maliciousshareware)。
是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。
有时也称作流氓软件。
定义二:
恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
具有如下共同特征:
(1)恶意的目的
(2)本身是计算机程序
(3)通过执行发生作用
有些恶作剧程序或者游戏程序不能看作是恶意代码。
对滤过性病毒的特征进行讨论的文献很多,尽管它们数量很多,但是机理比较近似,在防病毒程序的防护范围之内,更值得注意的是非滤过性病毒。
1.2恶意代码的发展史
恶意代码经过20多年的发展,其破坏性、种类和感染性都得到增强。
随着计算机的网络化程度逐步提高,网络传播的恶意代码对人们日常生活影响越来越大。
1988年11月泛滥的Morris蠕虫,顷刻之间使得6000多台计算机(占当时Internet上计算机总数的10%多)瘫痪,造成了严重的后果,并因此引起世界范围内关注。
1998年CIH病毒造成数十万台计算机受到破坏。
1999年Happy99、Melissa病毒大爆发,Melissa病毒通过E-mail附件快速传播而使E-mail服务器和网络负载过重,它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。
2000年5月爆发的“爱虫”病毒及其以后出现的50多个变种病毒,是近年来让计算机信息界付出极大代价的病毒,仅一年时间共感染了4000多万台计算机,造成大约87亿美元的经济损失。
2001午,国信安办与公%安部共同主办乐我国首次计算机病毒疫情网上调查工作。
结果感染过计算机病毒的用户高达73%,其中,感染三次以上的用户又占59%多,所以说网络安全存在大量隐患。
2001年8月,“红色代码”蠕虫利用微软Web服务器IIS4.0和5.0中Index服务的安全漏洞,攻破目标机器,并通过自动扫描方式传播蠕虫,这种现象在互联网上大规模泛滥。
2003年,Slammer蠕虫在10分钟内导致互联网90%的脆弱主机受到感染。
同年8月,“冲力波”蠕虫爆发,8天内导致全球计算机用户损失高达20亿美元之多。
2004年到2006年,振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播,给国家和社会造成了巨大的经济损失。
CNCERT/CC提供的数据显示,2006年接收到26476件非扫描类网络安全事件报告,比2005年增长了近两倍,与2005年相比,2006年的网页篡改事件也由8130件增加至24477件(3倍),网络仿冒事件则由475件增加至563件,网页恶意代码事件由25件增加至320件。
在2007年1月,出现了暴风蠕虫,那时候它还是一种传统的计算机蠕虫病毒。
然而仅仅过了不到一年,暴风蠕虫已经成为构建当前流行的大型僵尸网络中的关键一环。
2008年的“扫荡波(Worm.SaodangBo.a.94208)”病毒实为一个新型蠕虫。
该病毒造成大量企业用户局域网瘫痪,数十万用户网络崩溃
报告指出,2010年全年,我国互联网上新增病毒750万个,比去年下降56%;新增钓鱼网站175万个,比去年增加1186%;其中,钓鱼网站的受害网民高达4411万人次,损失超过200亿元。
2011年磁碟机、鬼影2、灰鸽子、蝗虫军团、扫荡波依然非常强悍,随着网上购物发展迅速,钓鱼网站也频繁出现,网民要提高警惕了。
1.3恶意代码传播途径
恶意代码编写者一般利用三类手段来传播恶意代码:
软件漏洞、用户本身或者两者的混合。
有些恶意代码是自启动的蠕虫和嵌入脚本,本身就是软件,这类恶意代码对人的活动没有要求。
一些像特洛伊木马、电子邮件蠕虫等恶意代码,利用受害者的心理操纵他们执行不安全的代码;还有一些是哄骗用户关闭保护措施来安装恶意代码。
利用商品软件缺陷的恶意代码有CodeRed、KaK和BubbleBoy。
它们完全依赖商业软件产品的缺陷和弱点,比如溢出漏洞和可以在不适当的环境中执行任意代码。
像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。
利用Web服务缺陷的攻击代码有CodeRed、Nimda,Linux和Solaris上的蠕虫也利用了远程计算机的缺陷。
恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户,这样做可以最大可能的吸引受害者的注意力。
一些恶意代码的作者还表现了高度的心理操纵能力,LoveLetter就是一个突出的例子。
一般用户对来自陌生人的邮件附件越来越警惕,而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。
附件的使用正在和必将受到网关过滤程序的限制和阻断,恶意代码的编写者也会设法绕过网关过滤程序的检查。
使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等等。
对聊天室IRC(InternetRelayChat)和即时消息IM(instantmessaging)系统的攻击案例不断增加,其手法多为欺骗用户下载和执行自动的Agent软件,让远程系统用作分布式拒绝服务(DDoS)的攻击平台,或者使用后门程序和特洛伊木马程序控制之。
1.3恶意代码的特征
可以总结出恶意代码从80年代发展至今体现出来的3个主要特征:
①恶意代码日趋复杂和完善:
从非常简单的,感染游戏的AppleII病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。
恶意代码在快速传播机制和生存性技术研究取得了很大的成功。
②恶意代码编制方法及发布速度更快:
恶意代码刚出现时发展较慢,但是随着网络飞速发展,Internet成为恶意代码发布并快速蔓延的平台。
特别是过去5年,不断涌现的恶意代码,证实了这一点。
③从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码:
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文件引起的。
然而,在过去5年,利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。
1.4感染恶意代码的症状
A.默认主页被修改
1.破坏特性:
默认主页被自动改为某网站的网址。
2.表现形式:
浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:
采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开:
HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。
按F5键刷新生效。
B.主页设置被屏蔽锁定
1.破坏特性:
主页设置被禁用。
2.表现形式:
主页地址栏变灰色被屏蔽。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:
请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
C.搜索引擎被修改
1.破坏特性:
将IE的默认微软搜索引擎更改。
2.表现形式:
搜索引擎被篡改。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search分支,找到“SearchAssistant”键值名,在右面窗口点击“修改”,然后再找到“CustomizeSearch”键值名,将其键值修改,按F5键刷新生效。
(2)自动文件导入注册表法:
请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
D.被添加非法信息
1.破坏特性:
通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。
2.表现形式:
在IE顶端蓝色标题栏上多出了什么“正点网“!
3.清除方法:
手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main分支,找到“WindowTitle”键值名,输入键值为MicrosoftInternetExplorer,按F5刷新.按如下顺序依次打开:
HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到“WindowTitle”键值名,输入键值为MicrosoftInternetExplorer,按F5刷新生效。
E.非法信息破坏
1.破坏特性:
通过修改注册表,在微软的集成电子邮件程序MicrosoftOutlook顶端标题栏添加宣传网站的广告信息br]
2.表现形式:
在顶端的OutlookExpress蓝色标题栏添加非法信息。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_LOCAL_USER\Software\Microsoft\OutlookExpress分支,找到WindowTitle以及StoreRoot键值名,将其键值均设为空。
按F5键刷新生效。
(2)自动文件导入注册表法:
请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
F.非法网站链接
1.破坏特性:
通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
2.表现形式:
添加“网址之家”等诸如此类的链接信息。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\MenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按F5键刷新生效。
G.菜单功能被禁用失常
1.破坏特性:
通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
2.表现形式:
在IE中点击右键毫无反应。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:
请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
H.IE收藏夹被强行添加非法网站的地址链接
1.破坏特性:
通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。
2.表现形式:
躲藏在收藏夹下。
3.清除方法:
请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
I.非法添加按钮
1.破坏特性:
工具栏处添加非法按钮。
2.表现形式:
有按钮图标。
3.清除方法:
直接点击鼠标右键弹出菜单,选择“删除”即可。
J.锁定下拉菜单
1.破坏特性:
通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
2.表现形式:
不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Toolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按F5键刷新生效。
K.源文件”项被禁用
1.破坏特性:
通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
2.表现形式:
“源文件”项不可用。
3.清除方法:
(1)手动修改注册表法:
开始菜单->运行->regedit->确定,打开注册表编辑工具,第一,按如下顺序依次打开:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
按如下顺序依次打开:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Restrictions分支,找到"NoViewSource"键值名,将其键值设为“00000000”,按F5键刷新生效。
(2)自动文件导入注册表法:
请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
2.典型恶意代码
2.1传统计算机病毒
计算机病毒(ComputerVirus)“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
.计算机病毒的长期性:
病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。
病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
计算机病毒具有以下几个特点:
(1)寄生性
(2)传染性(3)潜伏性(4)隐蔽性(5)破坏性(6)可触发性
2.2蠕虫
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:
主机蠕虫与网络蠕虫。
主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:
使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
2.3特洛伊木马
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:
一个是客户端,即控制端;另一个是服务端,即被控制端。
植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
2.4恶意脚本
恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。
传统的恶意脚本包括:
病毒,蠕虫,特洛伊木马,和攻击性脚本。
更新的例子包括:
Java攻击小程序(Javaattackapplets)和危险的ActiveX控件。
防治恶意脚本,应该采取以下措施:
第一,上网时开启瑞星杀毒软件的八大监控。
第二,不要轻易浏览不良网站。
第三,如果怀疑自己感染了恶意脚本,可以登陆瑞星免费查毒网站,对自己的电脑进行全面扫描。
2.5流氓软件
“流氓软件”是介于病毒和正规软件之间的软件,通俗地讲是指在使用电脑上网时,不断跳出的窗口让自己的鼠标无所适从;有时电脑浏览器被莫名修改增加了许多工作条,当用户打开网页却变成不相干的奇怪画面。
有些流氓软件只是为了达到某种目的,比如广告宣传,这些流氓软件不会影响用户计算机的正常使用,只不过在启动浏览器的时候会多弹出来一个网页,从而达到宣传的目的。
恶意软件(流氓软件)定义:
是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上强行安装运行,侵犯用户合法权益的软件,但已被我国法律法规规定的计算机病毒除外。
它具有如下特点:
强制安装:
指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上强行安装软件的行为。
强制安装,安装时不能结束它的进程
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 恶意代码 分析 防治 研究