惡意軟件（病毒）的分析與防范

Defence&analysisofmalware

2025/6/21惡意軟件（病毒）的分析與防范惡意軟件開(kāi)設(shè)本課程的目的是使學(xué)生了解并掌握計(jì)算機(jī)惡意代碼所涉及的基本知識(shí)和防范技術(shù)，提高計(jì)算機(jī)安全保護(hù)意識(shí)，具備防范惡意代碼的基本能力2025/6/21惡意軟件（病毒）的分析與防范教學(xué)安排惡意軟件概述和基礎(chǔ)知識(shí)傳統(tǒng)的計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲(chóng)

網(wǎng)頁(yè)（移動(dòng)）惡意代碼（木馬）后門(mén)木馬rootkit2025/6/21惡意軟件（病毒）的分析與防范網(wǎng)絡(luò)蠕蟲(chóng)什么是蠕蟲(chóng)？為什么使用蠕蟲(chóng)？蠕蟲(chóng)的簡(jiǎn)史蠕蟲(chóng)的組成蠕蟲(chóng)傳播的障礙蠕蟲(chóng)的發(fā)展蠕蟲(chóng)的防治2025/6/21惡意軟件（病毒）的分析與防范什么是蠕蟲(chóng)計(jì)算機(jī)蠕蟲(chóng)可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本通過(guò)網(wǎng)絡(luò)傳播到另外的計(jì)算機(jī)上的程序代碼。蠕蟲(chóng)的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)2025/6/21惡意軟件（病毒）的分析與防范為什么使用蠕蟲(chóng)技術(shù)的體現(xiàn)接管大量系統(tǒng)使得追蹤困難可以發(fā)動(dòng)其他攻擊--DDOS2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的簡(jiǎn)史XeroxPRAC， 1980年MorrisWorm， 1988年11月2日WANKWorm， 1989年10月16日ADMWorm， 1998年5月Millennium， 1999年9月RamenWorm， 2001年1月LionWorm， 2001年3月23日AdoreWorm， 2001年4月3日CheeseWorm， 2001年5月Sadmind/IISWorm， 2001年5月CodeRedWorm， 2001年7月19日

NimdaWorm， 2001年9月18日Slapper， 2002年9月14日Slammer， 2003年1月25日Dvldr32， 2003年3月7日MSBlaster， 2003年8月12日Nachi， 2003年8月18日2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的簡(jiǎn)史MyDoom.C

2004年2月9日WittyWorm 2004年3月20日SasserWorm 2004年4月30日SantyWorm

2004年12月21日2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的行為特征1.主動(dòng)攻擊2.行蹤隱蔽3.利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞4.造成網(wǎng)絡(luò)擁塞5.降低系統(tǒng)性能

6.產(chǎn)生安全隱患

7.反復(fù)性/破壞性2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的組成2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的組成彈頭傳播引擎目標(biāo)算法掃描引擎有效載荷2025/6/21惡意軟件（病毒）的分析與防范彈頭如何獲得控制權(quán)（打開(kāi)傳輸通道）：緩存區(qū)溢出探測(cè)；文件共享攻擊；電子郵件；其它的錯(cuò)誤配置；2025/6/21惡意軟件（病毒）的分析與防范傳播引擎FTPTFTPHTTPSMB其它UDP/TCP2025/6/21惡意軟件（病毒）的分析與防范目標(biāo)選擇算法電子郵件列表主機(jī)列表（hosts）被信任的系統(tǒng)（MAC/IP）鄰域網(wǎng)域名服務(wù)查詢(xún)?nèi)我膺x擇一個(gè)目標(biāo)網(wǎng)絡(luò)地址（A/B/C,32bits）2025/6/21惡意軟件（病毒）的分析與防范掃描引擎檢測(cè)有效的目標(biāo)：NMAP;Xscan;……Ref:2025/6/21惡意軟件（病毒）的分析與防范有效荷載打開(kāi)一個(gè)后門(mén)安裝代理/肉雞執(zhí)行一些運(yùn)算……2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的工作流程隨機(jī)生成IP地址--〉探測(cè)地址--〉主機(jī)是否存在--〉漏洞是否存在--〉攻擊、傳染和現(xiàn)場(chǎng)處理2025/6/21惡意軟件（病毒）的分析與防范案例分析--Nimda彈頭:(2001年9月，他既是蠕蟲(chóng)，也是病毒）Microsoft的IISweb服務(wù)器漏洞：可以執(zhí)行不位于web目錄下的文件；感染瀏覽器所在的主機(jī)：訪(fǎng)問(wèn)有漏洞的IIS;Outlook漏洞：MIME的頭等；Windows文件共享；探測(cè)其他蠕蟲(chóng)留下的后門(mén)：CodeRedII等；2025/6/21惡意軟件（病毒）的分析與防范案例分析--Nimda傳播引擎：Web—HTTP;Outlook—SMTP;—SMB;IIS—TFTP;2025/6/21惡意軟件（病毒）的分析與防范案例分析--Nimda目標(biāo)選擇算法：電子郵件—地址簿/html；隨機(jī)生成一系列的目標(biāo)IP地址，探測(cè)漏洞；2025/6/21惡意軟件（病毒）的分析與防范案例分析--Nimda有效荷載：共享c盤(pán)；激活guest賬號(hào)；2025/6/21惡意軟件（病毒）的分析與防范MyDoom2004年2月發(fā)現(xiàn)，該蠕蟲(chóng)病毒利用自帶的SMTP引擎來(lái)發(fā)送病毒郵件，利用點(diǎn)對(duì)點(diǎn)工具（KaZaA

）的共享目錄來(lái)欺騙下載。病毒發(fā)作時(shí)會(huì)啟動(dòng)64個(gè)線(xiàn)程進(jìn)行DoS（）攻擊，造成系統(tǒng)和網(wǎng)絡(luò)資源的嚴(yán)重浪費(fèi)。

2025/6/21惡意軟件（病毒）的分析與防范Sasser2004年4月30，利用WINDOWS平臺(tái)的Lsass漏洞進(jìn)行廣泛傳播，開(kāi)啟上百個(gè)線(xiàn)程不停攻擊其它網(wǎng)上其它系統(tǒng)，堵塞網(wǎng)絡(luò)。病毒的攻擊行為可讓系統(tǒng)不停的倒計(jì)時(shí)重啟。

該病毒并不通過(guò)郵件傳播，而是通過(guò)命令易受感染的機(jī)器下載特定文件并運(yùn)行，來(lái)達(dá)到感染的目的。

2025/6/21惡意軟件（病毒）的分析與防范SasserSasser是直接在SHELLCODE里面完成了一個(gè)FTP程序，BIND一個(gè)5554端口，支持幾種最基本的FTP命令。

Lsass認(rèn)證進(jìn)程中的溢出2025/6/21惡意軟件（病毒）的分析與防范Santy蠕蟲(chóng)描述：2004年12月21日發(fā)現(xiàn)，截止到12月22日，google可以統(tǒng)計(jì)到被santy蠕蟲(chóng)破壞的網(wǎng)站已經(jīng)達(dá)到26000多；利用論壇系統(tǒng)phpBB的漏洞傳播；智能特性：從搜索引擎google得到攻擊站點(diǎn)列表；存在形式：腳本代碼；2025/6/21惡意軟件（病毒）的分析與防范Santy蠕蟲(chóng)如何檢測(cè)智能蠕蟲(chóng)？不需掃描，流量無(wú)明顯異常；查詢(xún)條件的無(wú)窮組合；腳本代碼的任意變化；2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的爆發(fā)周期越來(lái)越短…漏洞發(fā)現(xiàn)攻擊代碼蠕蟲(chóng)爆發(fā)控制清除越來(lái)越短

越來(lái)越長(zhǎng)，越來(lái)越難

最佳時(shí)機(jī)及時(shí)太晚了2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)的傳播模型2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)傳播的原因網(wǎng)絡(luò)體系結(jié)構(gòu)漏洞(弱配置，緩沖區(qū)溢出)2025/6/21惡意軟件（病毒）的分析與防范網(wǎng)絡(luò)系統(tǒng)的特性--網(wǎng)絡(luò)系統(tǒng)的形成過(guò)程……2025/6/21惡意軟件（病毒）的分析與防范互聯(lián)網(wǎng)的自然特性成長(zhǎng)性：網(wǎng)上資源不斷膨脹和更迭的特性。自治性：網(wǎng)上資源局部自治、沒(méi)有集中管理的特性。異構(gòu)性：網(wǎng)上資源存在著廣泛差異的特性。2025/6/21惡意軟件（病毒）的分析與防范自然特性帶來(lái)的好處促使互聯(lián)網(wǎng)迅速成長(zhǎng)為覆蓋全球的廉價(jià)的通信平臺(tái)；促使互聯(lián)網(wǎng)逐步演變?yōu)楦采w全球的靈活的計(jì)算平臺(tái)；人類(lèi)的信息處理能力將突破時(shí)空局限，實(shí)現(xiàn)質(zhì)的飛躍。2025/6/21惡意軟件（病毒）的分析與防范互聯(lián)網(wǎng)的一個(gè)圖景2025/6/21惡意軟件（病毒）的分析與防范成長(zhǎng)性+優(yōu)先連接摘自“ScientificAmerican”2003年第5期2025/6/21惡意軟件（病毒）的分析與防范無(wú)尺度網(wǎng)絡(luò)摘自“ScientificAmerican”2003年第5期航空網(wǎng)2025/6/21惡意軟件（病毒）的分析與防范隨機(jī)網(wǎng)絡(luò)摘自“ScientificAmerican”2003年第5期公路網(wǎng)2025/6/21惡意軟件（病毒）的分析與防范隨機(jī)網(wǎng)絡(luò)的容錯(cuò)摘自“ScientificAmerican”2003年第5期2025/6/21惡意軟件（病毒）的分析與防范無(wú)尺度網(wǎng)絡(luò)的容錯(cuò)能力摘自“ScientificAmerican”2003年第5期2025/6/21惡意軟件（病毒）的分析與防范無(wú)尺度網(wǎng)絡(luò)與惡意攻擊摘自“ScientificAmerican”2003年第5期挑戰(zhàn)：無(wú)尺度網(wǎng)絡(luò)極易被惡意攻破。2025/6/21惡意軟件（病毒）的分析與防范無(wú)尺度網(wǎng)絡(luò)與病毒傳播挑戰(zhàn)：無(wú)尺度網(wǎng)絡(luò)易于病毒的快速傳播。2025/6/21惡意軟件（病毒）的分析與防范復(fù)雜網(wǎng)絡(luò)的特性復(fù)雜網(wǎng)絡(luò)是研究系統(tǒng)結(jié)構(gòu)和行為的關(guān)鍵，它由節(jié)點(diǎn)和邊來(lái)分別表示復(fù)雜系統(tǒng)中的功能元素以及各元素間的相互關(guān)系。特點(diǎn)：節(jié)點(diǎn)數(shù)目龐大，節(jié)點(diǎn)間的關(guān)系復(fù)雜。研究對(duì)象：通信網(wǎng)，電力網(wǎng)，交通網(wǎng)，人際關(guān)系網(wǎng)，神經(jīng)網(wǎng)絡(luò)，疾病傳播網(wǎng)2025/6/21惡意軟件（病毒）的分析與防范復(fù)雜網(wǎng)絡(luò)的特性復(fù)雜網(wǎng)絡(luò)的研究主要集中在：1〉尋找能夠表征復(fù)雜網(wǎng)絡(luò)的結(jié)構(gòu)和行為，如尺度分布、路徑長(zhǎng)度等，并提出合理的測(cè)量；2〉創(chuàng)建能夠有利于人們理解這些特性的網(wǎng)絡(luò)模型3〉根據(jù)對(duì)所定義的網(wǎng)絡(luò)特性的測(cè)量結(jié)果，預(yù)測(cè)網(wǎng)絡(luò)的動(dòng)態(tài)行為（病毒/蠕蟲(chóng)傳播行為）。2025/6/21惡意軟件（病毒）的分析與防范復(fù)雜網(wǎng)絡(luò)的特性三個(gè)主要特性：1〉特征路徑長(zhǎng)度，用l定義=

N表示網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)，i/j為網(wǎng)絡(luò)中的節(jié)點(diǎn)，di,j為節(jié)點(diǎn)i,j的最短路徑長(zhǎng)度。（Characteristicpathlength）

在朋友（熟人）網(wǎng)絡(luò)中，特征路徑長(zhǎng)度就是聯(lián)系兩個(gè)人的朋友個(gè)數(shù)。

在數(shù)學(xué)家的合作論文中，合作者之間存在Erd?s值（Erd?sNumber），統(tǒng)計(jì)結(jié)果表明，任何數(shù)學(xué)家，他同Erd?s關(guān)聯(lián)起來(lái)的平均值即Erd?s值為3

2025/6/21惡意軟件（病毒）的分析與防范復(fù)雜網(wǎng)絡(luò)的特性2>度值分布：節(jié)點(diǎn)的度值是指與該節(jié)點(diǎn)相連接的邊數(shù)。用Pk表示為隨機(jī)選擇一個(gè)節(jié)點(diǎn)其度值為k的概率。2025/6/21惡意軟件（病毒）的分析與防范復(fù)雜網(wǎng)絡(luò)的特性3〉聚合系數(shù)（Clusteringcoefficient）：

假設(shè)某個(gè)節(jié)點(diǎn)有k條邊，則這k條邊連接的節(jié)點(diǎn)（k個(gè)）之間最多可能存在的邊數(shù)為k(k-1)/2，用實(shí)際存在的邊數(shù)除以最多可能存在的邊數(shù)得到的分?jǐn)?shù)值，定義為這個(gè)節(jié)點(diǎn)的聚合系數(shù)。所有節(jié)點(diǎn)的聚合系數(shù)的均值定義為網(wǎng)絡(luò)的聚合系數(shù)。很明顯，聚合系數(shù)是網(wǎng)絡(luò)的局部特征。在朋友（熟人）網(wǎng)絡(luò)中，聚合系數(shù)反映了相鄰兩個(gè)人之間朋友圈子的重合度。ki為節(jié)點(diǎn)i的邊數(shù)，

i為節(jié)點(diǎn)間實(shí)際存在的連接數(shù)2025/6/21惡意軟件（病毒）的分析與防范復(fù)雜網(wǎng)絡(luò)的特性Smallworld:網(wǎng)絡(luò)具有較短的特征路徑，和較高的聚集系數(shù)。2025/6/21惡意軟件（病毒）的分析與防范緩沖區(qū)溢出緩沖區(qū)溢出攻擊的基本原理是向緩沖區(qū)中寫(xiě)入超長(zhǎng)的、預(yù)設(shè)的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，覆蓋其它正常的程序或數(shù)據(jù)，然后讓計(jì)算機(jī)轉(zhuǎn)去運(yùn)行這行預(yù)設(shè)的程序，達(dá)到執(zhí)行非法操作、實(shí)現(xiàn)攻擊的目的。存在條件：不對(duì)緩沖區(qū)、數(shù)組及指針進(jìn)行邊界檢查,如strcpy(),strcat(),sprintf(),gets()等2025/6/21惡意軟件（病毒）的分析與防范靜態(tài)緩沖區(qū)溢出機(jī)理程序段數(shù)據(jù)段堆棧內(nèi)存低端內(nèi)存高端……局部變量(Ebpfordebug)返回地址Argc的值A(chǔ)rgv的地址stack低端stack高端Stack的使用2025/6/21惡意軟件（病毒）的分析與防范Forexamplevoidfoo(constchar*input){ charbuf[10]; strcpy(buf,input); printf("mynameisfoo\r\n");}voidbar(void){ printf("Youhavebeenhacked\n");}intmain(intargc,char*argv[]){ charbuf[33]={"AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHH"}; unsignedlongbar_add; bar_add=(unsignedlong)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return0;}執(zhí)行foo，也就執(zhí)行了Bar2025/6/21惡意軟件（病毒）的分析與防范堆（Heap）溢出+-------------------------------------------------------------------+|HEAP總體管理結(jié)構(gòu)區(qū)|雙指針區(qū)|用戶(hù)分配內(nèi)存區(qū)|+-------------------------------------------------------------------+

第一次分配后：+-----------------------------------------------+|buf1|8byte|4byte|4byte|+-----------------------------------------------+|用戶(hù)內(nèi)存|管理結(jié)構(gòu)|兩個(gè)指針|

第二次分配后：+---------------------------------------------------------------------------------+|buf1|8byte|buf2|8byte|4byte|4byte|+---------------------------------------------------------------------------------+|用戶(hù)內(nèi)存|管理結(jié)構(gòu)|用戶(hù)內(nèi)存|管理結(jié)構(gòu)|兩個(gè)指針|heap高端2025/6/21惡意軟件（病毒）的分析與防范蠕蟲(chóng)傳播的障礙目標(biāo)環(huán)境的多樣性任何蠕蟲(chóng)都依賴(lài)于特定的程序/漏洞/配置受害系統(tǒng)的崩潰過(guò)量傳播導(dǎo)致網(wǎng)絡(luò)阻塞檢測(cè)感染標(biāo)志(避免被自身覆蓋)被其他蠕蟲(chóng)清除2025/6/21惡意軟件（病毒）的分析與防范未來(lái)的蠕蟲(chóng)多平臺(tái)蠕蟲(chóng)多探測(cè)蠕蟲(chóng)（多漏洞）Zero-day探測(cè)蠕蟲(chóng)快速傳播蠕蟲(chóng):Warhol(將來(lái)每一個(gè)都會(huì)成為15分鐘)worm/flashworm多態(tài)蠕蟲(chóng)變形蠕蟲(chóng)（hide）破壞性蠕蟲(chóng)2025/6/21惡意軟件（病毒）的分析與防范未來(lái)的蠕蟲(chóng)超級(jí)蠕蟲(chóng)：多平臺(tái)/多漏洞/多態(tài)/變形/破壞/P2P簡(jiǎn)單蠕蟲(chóng)：一個(gè)數(shù)據(jù)包（如sqlslammer,采用UDP,376B）超級(jí)蠕蟲(chóng)?簡(jiǎn)單蠕蟲(chóng)2025/6/21惡意軟件（病毒）的分析與防范防御蠕蟲(chóng)Ethical蠕蟲(chóng)防病毒軟件—及時(shí)更新補(bǔ)丁阻斷任意的網(wǎng)絡(luò)連接-Firewall建立事故響應(yīng)機(jī)制不玩蠕蟲(chóng)2025/6/21惡意軟件（病毒）的分析與防范防御蠕蟲(chóng)--Firewall

天網(wǎng)個(gè)人防火墻，瑞星防火墻，江民黑客防火墻諾頓防火墻,ZoneAlarm,AtGuard防火墻,SygatePersonalFirewall2025/6/21惡意軟件（病毒）的分析與防范防御蠕蟲(chóng)—AntiVirus江民殺毒（KV2005版，KV2006標(biāo)準(zhǔn)版）瑞星殺毒（瑞星200517.46.41版，瑞星2005網(wǎng)絡(luò)版）金山殺毒（毒霸64位殺毒版，毒霸6安全組合版，毒霸2005標(biāo)準(zhǔn)版等）卡巴斯基（KasperskyKAV4.5中文服務(wù)器版等）諾頓殺毒(symantecantivirusv9.01簡(jiǎn)體中文企業(yè)版客戶(hù)端等)趨勢(shì)殺毒熊貓殺毒202