第六章惡意代碼本章主要內容6.1惡意代碼概述6.2惡意代碼關鍵技術6.3惡意代碼的防范技術6.1惡意代碼概述惡意代碼（maliciouscode,malware）指的是通過存儲介質和網(wǎng)絡進行傳播，從一臺計算機系統(tǒng)到另外一臺計算機系統(tǒng)，未經(jīng)授權破壞計算機系統(tǒng)完整性的程序或代碼。4產(chǎn)生階段（1986年～1989年）：磁芯大戰(zhàn)、Pakistan病毒、黑色星期五、Morris蠕蟲6.1惡意代碼概述（1）惡意代碼的發(fā)展歷程5產(chǎn)生階段的主要特征：1.攻擊的目標單一，傳染磁盤引導扇區(qū)或可執(zhí)行文件；2.通過截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運行狀態(tài)，并在一定的條件下對特定目標進行傳染；3.傳染目標以后有明顯特征；4.不具有自我保護的措施，容易被分析和解剖。6.1惡意代碼概述61.目標趨于混合型，可同時傳染磁盤引導扇區(qū)和可執(zhí)行文件；2.以更為隱蔽的方法駐留內存和傳染目標；3.開始采取自我保護措施，增加分析和查殺的難度；4.變種多，更新快，隱蔽性更強。6.1惡意代碼概述綜合發(fā)展階段（1989年～1992年）：7成熟發(fā)展階段（1992年～1995年）：典型代表：如病毒構造集(VirusConstructionSet)

、“幽靈”病毒、DIR2病毒。6.1惡意代碼概述8具有多態(tài)性或“自我變形”能力，是惡意代碼的成熟發(fā)展階段。成熟發(fā)展階段的主要特征：6.1惡意代碼概述9互聯(lián)網(wǎng)爆發(fā)階段（1996年～

2005年）：如CIH病毒、、Melissa病毒、“愛蟲”病毒、“紅色代碼”蠕蟲、“沖擊波”、“震蕩波”、“熊貓燒香”。6.1惡意代碼概述10互聯(lián)網(wǎng)爆發(fā)階段的主要特征：1.類型多樣化，不再局限于可執(zhí)行文件；2.更多以互聯(lián)網(wǎng)作為傳播渠道；3.攻擊目標突破軟件限制；4.變種多，更新快，隱蔽性更強，破壞性更大。6.1惡意代碼概述11APT出現(xiàn)：Stuxnet、Flame、Duqu、BlackEnergy等專業(yè)綜合階段（2006年至今）：6.1惡意代碼概述12專業(yè)綜合階段的主要特征：1.政府、軍隊等大玩家開始介入，出現(xiàn)攻守不對等性；2.目標更加明確，傳播不再以擴散為主，而是定向傳播；3.利用的0day漏洞進行傳播和植入的種類更多；4.樣本更難于捕獲，保護能力更強，代碼更難于分析；6.1惡意代碼概述6.1惡意代碼概述惡意代碼都有哪些種類？它們各自的特點是什么？（2）惡意代碼的分類包含了迄今為止的所有對計算機及網(wǎng)絡系統(tǒng)構成威脅的程序，如病毒、木馬、蠕蟲、邏輯炸彈、網(wǎng)絡釣魚、勒索軟件、BotNet、等。6.1惡意代碼概述計算機病毒是一種計算機程序，它遞歸地、明確地復制自已或其演化體。

--美.Cohen編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。--《計算機信息系統(tǒng)安全保護條例》計算機病毒6.1惡意代碼概述病毒特點可執(zhí)行性非授權性自我復制性破壞性6.1惡意代碼概述特洛伊木馬（TrojanHorse）來源于古希臘的神話故事“木馬記”。6.1惡意代碼概述特洛伊木馬是一種基于遠程控制的黑客工具，它隱藏在目標系統(tǒng)中，能控制整個系統(tǒng)，并能和特定控制者進行信息交互的程序。控制端木馬端網(wǎng)絡通信

木馬的實質是C/S結構的網(wǎng)絡程序木馬定義6.1惡意代碼概述木馬的特點隱蔽性非授權性可控性高效性6.1惡意代碼概述木馬功能

保留訪問權限

遠程控制遠程文件操作

遠程命令執(zhí)行

信息收集收集系統(tǒng)關鍵信息收集密碼或密碼文件

其它的特殊功能6.1惡意代碼概述蠕蟲蠕蟲是一種智能化、自動化的攻擊程序或代碼，它主動掃描和攻擊網(wǎng)絡上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點。6.1惡意代碼概述蠕蟲工作流程6.1惡意代碼概述本章主要內容6.1惡意代碼概述6.2惡意代碼關鍵技術6.3惡意代碼的防范技術6.2惡意代碼的關鍵技術植入技術郵件植入下載漏洞利用網(wǎng)頁植入文件感染其它移動介質（1）惡意代碼入侵技術利用移動介質植入移動介質植入利用主機配置中存在的缺陷或者漏洞實現(xiàn)介質中的惡意代碼的加載和復制。例：AutorunStuxnetStuxnet病毒首先侵入位于互聯(lián)網(wǎng)中的主機感染U盤，利用LNK漏洞傳播到工業(yè)專用內部網(wǎng)絡6.2惡意代碼的關鍵技術郵件植入

攻擊者將木馬程序偽裝之后添加到郵件的附件中發(fā)送給目標用戶，并通過郵件的主題和內容誘騙用戶打開附件。例：烏克蘭“電廠事件”6.2惡意代碼的關鍵技術利用漏洞進行植入

操作系統(tǒng)、應用軟件在設計和實現(xiàn)時可能存在邏輯或編程漏洞，從而導致攻擊者利用該漏洞獲取目標系統(tǒng)的權限，繼而通過創(chuàng)建通道植入木馬。6.2惡意代碼的關鍵技術網(wǎng)頁植入將被掛馬的網(wǎng)頁以鏈接方式直接傳播或植入第三方軟件。網(wǎng)頁掛馬：頁面中加入惡意腳本或漏洞利用程序；多媒體文件：在RM、RMVB、WMV中加入木馬，播放文件時彈出頁面進行植入；電子書：電子書由多個網(wǎng)頁文件組合而成，攻擊者可將一個惡意網(wǎng)頁加入到電子書中實現(xiàn)植入。6.2惡意代碼的關鍵技術下載植入木馬通過誘騙用戶下載并安裝至目標計算機的過程稱為下載植入。偽裝文件捆綁6.2惡意代碼的關鍵技術中間人攻擊植入通過在目標系統(tǒng)外連的鏈路上進行監(jiān)聽，利用軟件自動更新植入木馬。6.2惡意代碼的關鍵技術（2）木馬的隱藏文件隱藏進程隱藏通信隱藏啟動隱藏6.2惡意代碼的關鍵技術文件隱藏騙騙菜鳥-設置文件為系統(tǒng)隱藏文件,偽裝高明一點-替換系統(tǒng)DLL再高明一點-躲進回收站(autorun.inf)更高級-寫入固件最好-木馬運行期間沒有文件6.2惡意代碼的關鍵技術進程隱藏使用隱蔽性、欺騙性強的進程名稱使用動態(tài)鏈接庫在其它進程空間中插入代碼過濾進程信息6.2惡意代碼的關鍵技術DLL木馬硬性-替換系統(tǒng)DLL軟性-DLL注入安裝系統(tǒng)鉤子遠程線程插入借殼-svchost服務6.2惡意代碼的關鍵技術利用系統(tǒng)鉤子鉤子（Hook）：是WindowsHook消息處理機制的一個平臺，應用程序可以在上面設置子程序以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以是其他進程所創(chuàng)建的。當消息到達后，在目標窗口處理之前處理它。鉤子機制允許應用程序截獲處理Windows消息或特定事件。6.2惡意代碼的關鍵技術遠程線程插入技術在另一個合法進程中插入自己的代碼不會多出單獨的進程6.2惡意代碼的關鍵技術RootKit技術隱藏掛接NtQuerySystemInformation函數(shù)修改ActiveProcessLinks6.2惡意代碼的關鍵技術38SSDT(系統(tǒng)服務分配表)Windows應用層的API封裝在Ntdll.dll中,然后通過Int2E或SYSENTER進入到內核模式，通過服務ID,找到SSDT中對應的系統(tǒng)函數(shù)。SSDTHook6.2惡意代碼的關鍵技術39一個例子6.2惡意代碼的關鍵技術typedefstructSystemServiceDescriptorTable{UINT*ServiceTableBase;//addressoftheSSDTUINT*ServiceCounterTableBase;//notusedUINTNumberOfService;//numberofsystemcallsUCHAR*ParameterTableBase;//bytearray}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;406.2惡意代碼的關鍵技術（3）通信隱藏本地-端口隱藏復用端口修改系統(tǒng)關鍵數(shù)據(jù)數(shù)據(jù)包隱藏ICMPUDPHTTP隧道不規(guī)則IP報文6.2惡意代碼的關鍵技術42利用ICMP協(xié)議通信可利用ICMP回送應答(type=8)報文傳送數(shù)據(jù)，擺脫端口的約束。規(guī)范約定ICMP報文中的標識符和序列號字段由發(fā)送端任意選擇，因此在ICMP包中標識符、序列號和選項數(shù)據(jù)等部分都可用來秘密攜帶信息。由于防火墻、入侵檢測系統(tǒng)等網(wǎng)絡設備通常只檢查ICMP報文的首部，因此使用ICMP建立秘密通道時可直接將數(shù)據(jù)放到選項字段中，達到隱蔽效果。6.2惡意代碼的關鍵技術43利用HTTP隧道通信思路：防火墻只對HTTP報文的某些字段如POST、GET等命令頭進行檢查，因此，若偽裝成合法HTTP數(shù)據(jù)報文，即可成功穿透防火墻。方法：將傳遞數(shù)據(jù)全部封裝到HTTP協(xié)議報文中傳遞，目標端口設置為80，利用HTTP協(xié)議在應用程序與遠程主機之間建立一條安全傳輸隧道，以躲避防火墻的檢測。6.2惡意代碼的關鍵技術（4）啟動隱藏明目張膽-系統(tǒng)啟動目錄歷史教訓-系統(tǒng)啟動配置文件曾經(jīng)輝煌-修改文件關聯(lián)、映像劫持屢試不爽-捆綁文件瞞過菜鳥-修改注冊表經(jīng)常采用-服務、借殼、替換系統(tǒng)DLL隱蔽啟動-驅動加載查無可查-木馬運行期間隱藏啟動方式6.2惡意代碼的關鍵技術啟動目錄開始->程序->啟動影響：Win2k\XP\Win7等;C:\DocumentsandSettings\Administrator(AllUsers)\「開始」菜單\程序\啟動快捷方式劫持？6.2惡意代碼的關鍵技術系統(tǒng)啟動配置文件DOS–C盤根目錄：AUTOEXEC.bat,Config.sys;Win98–Windows目錄：WinStart.bat，DosStart.bat;Win2000/XP/Win7—windows目錄：system.ini,win.ini,wininit.ini6.2惡意代碼的關鍵技術修改系統(tǒng)配置文件SYSTEM.INI——Windows目錄下語法[boot] Shell=Explorer.exetrojan.exe6.2惡意代碼的關鍵技術修改系統(tǒng)配置文件WIN.INI——Windows目錄下語法

[windows] load=trojan.exe run=trojan.exe6.2惡意代碼的關鍵技術修改系統(tǒng)啟動配置文件Wininit.ini——Windows目錄下語法[rename]Null=filename1;刪除文件filename1Filename2=filename3;用文件filename3替換filename2作用替換系統(tǒng)關鍵文件6.2惡意代碼的關鍵技術注冊表啟動項[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]RunRunServicesRunOnceRunOnceExRunServicesOnce[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]RunRunOnceRunServicesOnce6.2惡意代碼的關鍵技術dll木馬啟動Rundll32.exe：DLL全路徑名,DLL入口點：用戶可在任意時間加載；Appinit_dll:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows：系統(tǒng)啟動時加載；KnownsDlls:HKLM\System\CurrentControlSet\Control\SessionManager\：必須與指定的軟件同步加載。

6.2惡意代碼的關鍵技術文件關聯(lián)將木馬程序作為某類文件的打開程序Example：冰河[HKEY_CLASSES_ROOT\exefile\shell\open\command]原值："%1"%*木馬啟動值：[木馬全路徑名][HKEY_CLASSES_ROOT\txtfile\shell\open\command]原值：C:\WINNT\system32\notepad.exe%1木馬啟動值：[木馬全路徑名]6.2惡意代碼的關鍵技術映像劫持“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions\aa.exeDebugger=“bb.exe”6.2惡意代碼的關鍵技術捆綁文件加載將木馬綁定到其它程序中。當這些程序在傳播的同時也實現(xiàn)了木馬的傳播。被綁定的文件一旦開始執(zhí)行，木馬就被啟動。如木馬綁定到瀏覽器，開機檢查時沒有發(fā)現(xiàn)木馬端口，上網(wǎng)瀏覽后木馬啟動，將打開公開端口進行工作。6.2惡意代碼的關鍵技術注冊系統(tǒng)服務服務——執(zhí)行指定系統(tǒng)功能的程序、例程或進程，以便支持其他程序，尤其是低層(接近硬件)程序如果木馬把自己注冊成系統(tǒng)服務，并設置成自動啟用模式，那么它將隨系統(tǒng)開機而啟動[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Services\]6.2惡意代碼的關鍵技術路徑劫持利用文件運行時搜索路徑順序，而將其優(yōu)先定義EXAMPLE：病毒CodeRed（紅色代碼）在C:\和D:\目錄下放置兩個約8KB的名為EXPLORER.EXE的文件。%SystemDrive%（C:\）%SystemRoot%\System32（C:\WINNT\SYSTEM32）%SystemRoot%（C:\WINNT）

操作系統(tǒng)