2023/1/151第17章惡意代碼廣州大學(xué)華軟軟件學(xué)院軟件工程系《網(wǎng)絡(luò)信息安全》課程組2023/1/152課程內(nèi)容惡意代碼概述計(jì)算機(jī)病毒特洛伊木馬蠕蟲412317.1.惡意代碼概述惡意代碼泛指所有惡意的程序代碼，是一種可造成目標(biāo)系統(tǒng)信息泄露和資源濫用，破壞系統(tǒng)的完整性及可用性，違背目標(biāo)系統(tǒng)安全策略的程序代碼。包括計(jì)算機(jī)病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）和邏輯炸彈（LogicBomb）等惡意代碼的特征包括三個(gè)方面：帶有惡意的目的本身是計(jì)算機(jī)程序一般通過執(zhí)行來(lái)發(fā)揮作用17.1.1惡意代碼的發(fā)展史早在1949年，計(jì)算機(jī)的先驅(qū)者約翰·馮·諾依曼在他的論文《自我繁衍的自動(dòng)機(jī)理論》中已把病毒的藍(lán)圖勾勒出來(lái)短短十年之后，磁芯大戰(zhàn)(corewar)在貝爾實(shí)驗(yàn)室中誕生，使他的設(shè)想成為事實(shí)。例如有個(gè)叫爬行者的程序（Creeper），每一次執(zhí)行都會(huì)自動(dòng)生成一個(gè)副本，很快計(jì)算機(jī)中原有資料就會(huì)被這些爬行者侵蝕掉；“侏儒”（Dwarf）程序在記憶系統(tǒng)中行進(jìn)，每到第五個(gè)“地址”（address）便把那里所儲(chǔ)存的東西變?yōu)榱悖@會(huì)使原本的程序嚴(yán)重破壞；惡意代碼的歷史第一次關(guān)于計(jì)算機(jī)病毒的報(bào)道發(fā)生在1981年，在計(jì)算機(jī)游戲中發(fā)現(xiàn)了ELKCloner病毒。1986年，第一個(gè)PC病毒BrainVirus感染了Microsoft的DOS操作系統(tǒng)1995年，首次發(fā)現(xiàn)宏病毒1998年，CIH病毒造成數(shù)千萬(wàn)臺(tái)計(jì)算機(jī)硬件受到破壞2007年1月，“熊貓燒香”病毒爆發(fā)惡意代碼經(jīng)過三十多年的發(fā)展，破壞性、種類和感染性都得到了增強(qiáng)，特別僵尸網(wǎng)絡(luò)、木馬威脅、高級(jí)可持續(xù)威脅（APT）非常嚴(yán)重惡意代碼的分類后門進(jìn)入系統(tǒng)或程序的一個(gè)秘密入口邏輯炸彈一段具有破壞性的代碼，事先預(yù)置于較大的程序中，等待某扳機(jī)事件發(fā)生觸發(fā)其破壞行為特洛伊木馬一段吸引人而不為人警惕的程序，但它們可以執(zhí)行某些秘密任務(wù)病毒附著在其他程序上的可以進(jìn)行自我繁殖的代碼蠕蟲一種具有自我復(fù)制和傳播能力、可獨(dú)立自動(dòng)運(yùn)行的惡意程序2023/1/157課程內(nèi)容惡意代碼概述計(jì)算機(jī)病毒特洛伊木馬蠕蟲412317.2計(jì)算機(jī)病毒嚴(yán)格地從概念上講，計(jì)算機(jī)病毒只是惡意代碼的一種。實(shí)際上，目前發(fā)現(xiàn)的惡意代碼幾乎都是混合型的計(jì)算機(jī)病毒美國(guó)計(jì)算機(jī)研究專家最早提出了“計(jì)算機(jī)病毒”的概念：計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼。1994年2月28日，我國(guó)出臺(tái)的《中華人民共和國(guó)計(jì)算機(jī)安全保護(hù)條例》對(duì)病毒的定義如下：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的、破壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”計(jì)算機(jī)病毒的結(jié)構(gòu)潛伏機(jī)制包括初始化、隱藏和捕捉傳染機(jī)制包括判斷和感染。先是判斷候選感染目標(biāo)是否已被感染，可以通過感染標(biāo)記來(lái)判斷候選感染目標(biāo)是否已被感染。表現(xiàn)機(jī)制包括判斷和表現(xiàn)。表現(xiàn)機(jī)制首先對(duì)觸發(fā)條件進(jìn)行判斷，然后根據(jù)不同的條件決定什么時(shí)候表現(xiàn)、如何表現(xiàn)典型的病毒代碼結(jié)構(gòu)計(jì)算機(jī)病毒的特點(diǎn)傳染性通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。隱蔽性病毒一般是具有很高編程技巧的、短小精悍的一段代碼，躲在合法程序當(dāng)中。潛伏性病毒進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作多態(tài)性

病毒試圖在每一次感染時(shí)改變它的形態(tài)破壞性造成系統(tǒng)或數(shù)據(jù)的損傷甚至毀滅計(jì)算機(jī)病毒的分類按照計(jì)算機(jī)病毒攻擊的操作系統(tǒng)攻擊DOS系統(tǒng)攻擊Windows系統(tǒng)攻擊Unix、Linux系統(tǒng)攻擊Mactonish系統(tǒng)按寄生方式引導(dǎo)型病毒文件型病毒混合型病毒按破壞性良性病毒惡性病毒計(jì)算機(jī)病毒的防范養(yǎng)成良好的安全習(xí)慣安裝防火墻和專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控經(jīng)常升級(jí)操作系統(tǒng)的安全補(bǔ)丁迅速隔離受感染的計(jì)算機(jī)及時(shí)備份計(jì)算機(jī)中有價(jià)值的信息2023/1/1514課程內(nèi)容惡意代碼概述計(jì)算機(jī)病毒特洛伊木馬蠕蟲412317.3特洛伊木馬特洛伊木馬的故事來(lái)自古希臘傳說(shuō)在信息安全領(lǐng)域，特洛伊木馬是一種惡意代碼，也稱為木馬指那些表面上是有用的或必需的，而實(shí)際目的卻是完成一些不為人知的功能，危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序具有隱蔽性和非授權(quán)性的特點(diǎn)，因此和希臘傳說(shuō)的特洛伊木馬很相似。木馬泛濫三方面原因：一是經(jīng)濟(jì)利益驅(qū)使，黑客編寫一個(gè)木馬程序非法牟利十幾萬(wàn)元的事情并不少見二是木馬程序很容易改寫更新，而殺毒軟件采用的傳統(tǒng)的特征碼查毒屬于靜態(tài)識(shí)別技術(shù)，對(duì)于木馬程序的不斷更新其適應(yīng)性不強(qiáng)；三是“木馬技術(shù)”具有不可判定性據(jù)2013年第二季度360互聯(lián)網(wǎng)安全中心發(fā)布的報(bào)告顯示，二季度國(guó)內(nèi)新出現(xiàn)木馬病毒5.27億個(gè)，1.57億網(wǎng)民遭遇攻擊，約占國(guó)內(nèi)計(jì)算機(jī)用戶數(shù)量的三成木馬的結(jié)構(gòu)和原理木馬程序一般包括控制端和服務(wù)端兩部分控制端程序用于攻擊者遠(yuǎn)程控制木馬服務(wù)器端程序即木馬程序進(jìn)行攻擊時(shí)，第一步要進(jìn)行特洛伊木馬的植入，這是攻擊目標(biāo)最關(guān)鍵的一步被動(dòng)植入主動(dòng)植入木馬隱藏技術(shù)啟動(dòng)隱藏指目標(biāo)機(jī)自動(dòng)加載運(yùn)行木馬程序，而不被用戶發(fā)現(xiàn)進(jìn)程隱藏使用戶不能發(fā)現(xiàn)當(dāng)前運(yùn)行著的木馬進(jìn)程文件/目錄隱藏通過偽裝，或隱藏木馬文件和目錄自身內(nèi)核模塊隱藏內(nèi)核級(jí)木馬對(duì)自身加載模塊信息的隱藏始分發(fā)隱藏軟件開發(fā)商可以在軟件的原始分發(fā)中植入木馬通信隱藏包括通信內(nèi)容、狀態(tài)和流量等方面的隱藏木馬的分類遠(yuǎn)程控制型木馬可以讓攻擊者完全控制被感染的計(jì)算機(jī)密碼發(fā)送型木馬專門為了盜取被感染主機(jī)上的密碼破壞型木馬破壞被感染主機(jī)上的文件系統(tǒng)鍵盤記錄型木馬記錄受害者的鍵盤敲擊拒絕服務(wù)攻擊木馬反彈端口型木馬

服務(wù)端（被控制端）使用主動(dòng)端口，客戶端(控制端)使用被動(dòng)端口代理木馬變?yōu)楣粽甙l(fā)動(dòng)攻擊的跳板木馬植入手段下載植入木馬木馬程序通常偽裝成優(yōu)秀的工具或游戲通過電子郵件來(lái)傳播木馬程序隱藏在一些具有惡意目的的網(wǎng)站中利用系統(tǒng)的一些漏洞植入如微軟著名的IIS漏洞攻擊者成功入侵目標(biāo)系統(tǒng)后，把木馬植入目標(biāo)系統(tǒng)木馬的特點(diǎn)隱蔽性。隱蔽性是木馬程序與遠(yuǎn)程控制程序的主要區(qū)別欺騙性。為了達(dá)到隱蔽目的，木馬常常使用和系統(tǒng)相關(guān)的一些文件名來(lái)隱蔽自身。頑固性。很多木馬的功能模塊已不再是由單一的文件組成，而是具有多重備份危害性。攻擊者可以通過客戶端強(qiáng)大的控制和破壞力對(duì)主機(jī)進(jìn)行操作。潛伏性。木馬種植到系統(tǒng)后一般不會(huì)馬上發(fā)作，而是要等到與控制端連接之后才會(huì)接受指令而動(dòng)作。木馬的防范技術(shù)利用工具查殺木馬查看系統(tǒng)注冊(cè)表檢查網(wǎng)絡(luò)通信狀態(tài)查看目前的運(yùn)行任務(wù)查看系統(tǒng)啟動(dòng)項(xiàng)使用內(nèi)存檢測(cè)工具檢查用戶安全意識(shí)策略縱深防御保護(hù)系統(tǒng)安全2023/1/1523課程內(nèi)容惡意代碼概述計(jì)算機(jī)病毒特洛伊木馬蠕蟲412317.4蠕蟲

蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它的傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形蠕蟲具有病毒的一些共性，如傳染性、隱蔽性和破壞性等蠕蟲與病毒的區(qū)別在于“附著”。蠕蟲不需要宿主，是一段完整的獨(dú)立代碼影響比較嚴(yán)重的蠕蟲病毒莫里斯蠕蟲：1988年，22歲的康奈爾大學(xué)研究生羅伯特莫里斯通過網(wǎng)絡(luò)發(fā)送了一種專為攻擊UNIX系統(tǒng)缺陷、名為莫里斯蠕蟲的病毒。蠕蟲造成了6000個(gè)系統(tǒng)癱瘓，直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元；美麗殺手：1999年政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟(jì)損失超過12億美元；愛蟲病毒：2000年5月至今眾多用戶計(jì)算機(jī)被感染，損失超過100億美元以上；紅色代碼：2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失很大；求職信：2001年12月大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元；SQL蠕蟲王：2003年1月26日，一種名為“2003蠕蟲王”的蠕蟲病毒迅速傳播并襲擊了全球，致使互聯(lián)網(wǎng)嚴(yán)重堵塞蠕蟲的結(jié)構(gòu)基本程序結(jié)構(gòu)為傳播模塊、隱藏模塊和目的功能模塊傳播模塊又可以分為掃描、攻擊和復(fù)制三個(gè)基本模塊利用系統(tǒng)漏洞進(jìn)行傳播主要有以下三個(gè)階段第一階段要進(jìn)行主機(jī)探測(cè)，已經(jīng)感染蠕蟲的主機(jī)在網(wǎng)絡(luò)上搜索易感染的目標(biāo)主機(jī)。第二階段已經(jīng)感染蠕蟲的主機(jī)把蠕蟲代碼傳送到易感染的目標(biāo)主機(jī)上。第三階段易感染的目標(biāo)主機(jī)執(zhí)行蠕蟲代碼，感染目標(biāo)主機(jī)系統(tǒng)。蠕蟲的特點(diǎn)獨(dú)立性蠕蟲病毒不需要宿主程序，它是完整的、獨(dú)立的代碼利用漏洞主動(dòng)攻擊傳播方式多樣偽裝和隱藏方式好采用的技術(shù)更先進(jìn)—些蠕蟲病毒與網(wǎng)頁(yè)的腳本相結(jié)合，利用VBScript、java、ActiveX等技術(shù)隱藏在HTML頁(yè)面里。蠕蟲的防范技術(shù)加強(qiáng)網(wǎng)絡(luò)管理員的安全管理水平，提高用戶的安全意識(shí)。建立安全檢測(cè)系統(tǒng)從網(wǎng)絡(luò)整體考慮，建立相對(duì)完善的檢測(cè)系統(tǒng)，能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和病毒攻擊利用蠕蟲免疫技術(shù)防范蠕蟲攻擊建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最小災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫(kù)和數(shù)據(jù)系統(tǒng)，必須采用定期備份對(duì)于局域網(wǎng)而言可以采用安裝防火墻式、計(jì)算機(jī)防病毒的產(chǎn)品，對(duì)郵件服務(wù)器進(jìn)行監(jiān)控…病毒、木馬、蠕蟲的區(qū)別

病

毒木

馬蠕

蟲存在形式寄生獨(dú)立個(gè)體獨(dú)立個(gè)體傳播途徑通過宿主程序運(yùn)行植入目標(biāo)主機(jī)通過系統(tǒng)存在的漏洞傳播速度慢最慢快攻擊目標(biāo)本地文件本地文件和系統(tǒng)、網(wǎng)絡(luò)上的其他主機(jī)