网络安全(第六章)
网络安全 第六章 网络后门与网络隐身
第六章网络后门与网络隐身1. 留后门的原则是什么?答:后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现,让管理员看了没有感觉、没有任何特别的地方。
2. 如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:网络攻击经过踩点、扫描、入侵以后,如果攻击成功,一般就可以拿到管理员密码或者得到管理员权限。
第一,Login后门。
在Unix里,login程序通常用来对telnet来的用户进行口令验证。
入侵者获取login。
c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。
如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。
这将允许入侵者进入任何账号,甚至是root。
由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的,所以入侵者可以登录获取shell却不会暴露该账号。
管理员注意到这种后门后,便用“strings”命令搜索login程序以寻找文本信息。
许多情况下后门口令会原形毕露。
入侵者就开始加密或者更好的隐藏口令,使strings命令失效。
所以更多的管理员是用MD5校验和检测这种后门的。
第二,线程插入后门。
这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。
也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设!这种后门本身的功能比较强大,是现在非常主流的一种,对它的查杀比较困难,很让防护的人头疼。
第三,网页后门。
网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。
由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。
并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
防御后门的方法主要有:建立良好的安全习惯,关闭或删除系统中不需要的服务,经常升级安全补丁,设置复杂的密码,迅速隔离受感染的计算机,经常了解一些反病毒资讯,安装专业的防毒软件进行全面监控等。
网络安全基础 第六章——网络入侵与攻击技术
实例
主要内容:
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源,来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是:利用各种手段不断向目标主机发送虚 假请求或垃圾信息等,使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3.入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 (6)外部攻击; 通常是指编程员在设计系统 时有意建立的进入手段。当 (7)内部攻击; 程序运行时,在正确的时间 (8)特洛伊木马。 按下正确的键,或提供正确 的参数,你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段,在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源,但它不一定有攻击能力,可能雇 佣攻击者来达到入侵目的。因此,攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵:成功的攻击。 提示:在某种程度上,攻击和入侵很难区别。
3.入侵者的攻击手段
在网上用户能利用IE等浏览器进 (1)冒充 行各种各样的WEB站点的访问,如 阅读新闻组、咨询产品价格、订阅 (2)篡改 报纸、电子商务等。然而一般的用 (3)重放 户恐怕不会想到有这些问题存在: 正在访问的网页已被黑客篡改过, (4)服务拒绝 网页上的信息是虚假的!例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器,当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候,实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求,那么黑客就能 web安全中的通过其他方式(非网络监听)盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。
网络与安全常识手册--整理好-第六章
第六章防火墙我们可以通过很多网络工具,设备和策略来保护不可信任的网络。
其中防火墙是运用非常广泛和效果最好的选择。
它可以防御网络中的各种威胁,并且做出及时的响应,将那些危险的连接和攻击行为隔绝在外。
从而降低网络的整体风险。
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。
绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
防火墙一般有三个特性:A.所有的通信都经过防火墙B.防火墙只放行经过授权的网络流量C.防火墙能经受的住对其本身的攻击我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),一台多个网络接口的计算机,服务器等,被配置成保护指定网络,使其免受来自于非信任网络区域的某些协议与服务的影响。
所以一般情况下防火墙都位于网络的边界,例如保护企业网络的防火墙,将部署在内部网络到外部网络的核心区域上。
为什么要使用防火墙?很多人都会有这个问题,也有人提出,如果把每个单独的系统配置好,其实也能经受住攻击。
遗憾的是很多系统在缺省情况下都是脆弱的。
最显著的例子就是Windows系统,我们不得不承认在Windows 2003以前的时代, Windows默认开放了太多不必要的服务和端口,共享信息没有合理配置与审核。
如果管理员通过安全部署,包括删除多余的服务和组件,严格执行NTFS权限分配,控制系统映射和共享资源的访问,以及帐户的加固和审核,补丁的修补等。
做好了这些,我们也可以非常自信的说,Windows足够安全。
也可以抵挡住网络上肆无忌惮的攻击。
但是致命的一点是,该服务器系统无法在安全性,可用性和功能上进行权衡和妥协。
对于此问题我们的回答是:“防火墙只专注做一件事,在已授权和未授权通信之间做出决断。
”如果没有防火墙,粗略的下个结论,就是:整个网络的安全将倚仗该网络中所有系统的安全性的平均值。
6-1第六章 网络篇-网络
2第六章 网 络 篇6.1 家庭网络与办公网络1.如何将笔记本电脑(笔记本电脑)从工作区带回家里并访问 Internet ?如果仅需要在家里使用 Internet ,请将工作区的笔记本电脑连接到家庭网络。
●连接到以太网家庭网络的步骤:将以太网电缆的一端插入笔记本电脑中,将另一端插入集线器、交换机或路由器中。
您应该可以立即访问 Internet 。
●连接到无线家庭网络的步骤: ⑴打开笔记本电脑。
⑵单击打开“控制面板”中“网络和共享中心”的“连接到网络”。
如图6-1所示。
图6-1 网络和共享中心⑶在列表中选择您的家庭无线网络,然后键入网络安全密钥(如果需要)。
您应该连接到了无线网络并可以访问 Internet 。
注意:您的笔记本电脑必须具有无线网络适配器。
如果家庭网络是无线网络,则建议使用网络安全密钥。
否则您的笔记本电脑可能会面临黑客或恶意软件进行未经授权的访问危险。
2.如何用笔记本电脑(笔记本电脑)使用家庭网络中的打印机?●检查打印机是否共享或设置打印机共享的步骤:⑴登录到家庭网络中连接该打印机的计算机。
⑵单击“开始”按钮 ,然后单击“控制面板”。
⑶在“硬件和声音”下,单击“打印机”。
⑷右键单击要共享的打印机,然后单击“共享”。
如果打印机已共享,则“共享这台打印机”将被选中。
如果该项未被选中,请单击“共享这台打印机”,然后单击“确定”。
注意:Windows Vista Starter 中不包括共享打印机功能,若要使用共享打印机,需要将打印机添加到笔记本电脑上。
●添加打印机的步骤:⑴单击打开“控制面板”中的“添加打印机”。
⑵选中“添加网络、无线或 Bluetooth 打印机”,然后按照安装向导中的步骤进行操作。
3.如何用笔记本电脑(笔记本电脑)访问家庭网络中的共享文件和文件夹?您可以使用以下两种方式共享文件和文件夹:通过简单文件共享 — 将文件和文件夹置于网络上的一个公用共享文件夹中,或使用就地文件共享 — 标记每个文件或文件夹,而不必将每个文件或文件夹从当前位置进行移动,即可进行共享。
网络安全(6)加密技术PPT课件
a b c d ………….w x y z
z y x w …………. d c b a 3、步长映射法。
a b c d ………….w x y z
单表替代密码
单表替代密码的一种典型方法是凯撒 (Caesar)密码,又叫循环移位密码。它的 加密方法就是把明文中所有字母都用它右边 的第k个字母替代,并认为Z后边又是A。这 种映射关系表示为如下函数:
①传统方法的计算机密码学阶段。解密是加密的简单 逆过程,两者所用的密钥是可以简单地互相推导的, 因此无论加密密钥还是解密密钥都必须严格保密。 这种方案用于集中式系统是行之有效的。
②包括两个方向:一个方向是公用密钥密码(RSA), 另一个方向是传统方法的计算机密码体制——数据 加密标准(DES)。
3.什么是密码学?
密码学包括密码编码学和密码分析学。密码体 制的设计是密码编码学的主要内容,密码体制的破 译是密码分析学的主要内容。密码编码技术和密码 分析技术是相互依存、相互支持、密不可分的两个 方面。
加密包含两个元素:加密算法和密钥。
加密算法就是用基于数学计算方法与一串 数字(密钥)对普通的文本(信息)进行 编码,产生不可理解的密文的一系列步骤。 密钥是用来对文本进行编码和解码的数字。 将这些文字(称为明文)转成密文的程序 称作加密程序。发送方将消息在发送到公 共网络或互联网之前进行加密,接收方收 到消息后对其解码或称为解密,所用的程 序称为解密程序。
教学内容: 6.1、加密技术概述 6.2、传统加密技术 6.3、单钥密码体制 6.4、双钥密码学体制 6.5、密钥的管理 6.6、加密软件PGP 6.7、本章小结 6.8、习题
❖ 学习目标: ❖ 1、理解加密技术的基本概念 ❖ 2、掌握单钥密码体制和双钥密码学体制 ❖ 3、了解秘要的管理和加密软件的应用
计算机网络安全第6章 密码与加密技术
2. 密码系统的基本原理(1) 密码系统的基本原理(1) 一个密码系统由算法和密钥两个基本组 件构成.密钥是一组二进制数 是一组二进制数, 件构成.密钥是一组二进制数,由进行密码 则是公开的, 通信的专人掌握, 算法则是公开的 通信的专人掌握,而算法则是公开的,任何 人都可以获取使用. 人都可以获取使用.密码系统的基本原理模 型如图所示. 型如图所示.
对称与非对称加密体制特性对比情况,如表 对称与非对称加密体制特性对比情况, 特性对比情况 所示. 所示.
特征 对称 非对称 密钥的数目 单一密钥 密钥是成对的 密钥种类 密钥是秘密的 一个私有,一个公开 密钥管理 简单不好管理 需要数字证书及可靠第三者 相对速度 用途 非常快 用来做大量 资料 慢 用来做加密小文件或信息签 字等不在严格保密的应用
6.2 密码破译与密钥管理
6.2.1 密码破译方法(1) 密码破译方法(1)
2. 密码系统的基本原理(2) 密码系统的基本原理(2) 为了实现网络信息的保密性, 为了实现网络信息的保密性,密码系统 要求满足以下4点 要求满足以下 点: (1) 系统密文不可破译 (2) 系统的保密性不依赖于对加密体制或 算法的保密,而是依赖于密钥. 算法的保密,而是依赖于密钥. (3) 加密和解密算法适用于所有密钥空间 中的元素. 中的元素. (4) 系统便于实现和使用. 系统便于实现和使用.
1. 密码技术的相关概念(2) 密码技术的相关概念(2) 密码技术包括密码算法设计,密码分析, 密码技术包括密码算法设计,密码分析, 包括密码算法设计 安全协议,身份认证,消息确认,数字签名, 安全协议,身份认证,消息确认,数字签名, 密钥管理,密钥托管等多项技术. 密钥管理,密钥托管等多项技术. 密码技术是保护大型传输网络系统信息的 惟一实现手段,是保障信息安全的核心技术. 惟一实现手段,是保障信息安全的核心技术. 密码技术能够保证机密性信息的加密, 密码技术能够保证机密性信息的加密,而 且还能够完成数字签名,身份验证, 且还能够完成数字签名,身份验证,系统安全 等功能.所以, 等功能.所以,使用密码技术不仅可以保证信 息的机密性 而且可以保证信息的完整性和准 机密性, 息的机密性,而且可以保证信息的完整性和准 确性,防止信息被篡改,伪造和假冒. 确性,防止信息被篡改,伪造和假冒.
网络安全(PPT36页)
主要威胁因素---网络中的信息安全问题
黑客攻击手段和方法多种多样,一般可以分为主动 攻击和被动攻击。
主动攻击:是以各种方式有选择地破坏信息的有效 性和完整性。
被动攻击:是在不影响网络正常工作的情况下,进 行信息的截获、盗取和破译。
网络中的信息安全主要分为:信息存储安全和信息 传输安全。
网络的安全是指通过采用各种技术和管理措施,使网 络系统正常运行,从而确保网络数据的可用性、完 整性和保密性。网络安全的具体含义会随着“角度” 的变化而变化。比如:从用户(个人、企业等)的 角度来说,他们希望涉及个人隐私或商业利益的信 息在网络上传输时受到机密性、完整性和真实性的 保护。而从企业的角度来说,最重要的就是内部信 息上的安全加密以及保护。
主要威胁因素---网络防攻击技术
主要威胁因素---网络防攻击技术
非服务攻击的特点: 非服务攻击(application
independent attack)不针对某项具体应用 服务,而是针对网络层等低层协议进行的。攻击 者可能使用各种工具方法对网络通信设备(路由 器、交换机)发起攻击,使得网络通信设备工作 严重阻塞或瘫痪。
计算机网络技术
第六章:网络安全技术
一、网络安全的基本概念 二、数据加密 三、数字签名 四、防火墙技术 五、网络入侵检测 六、计算机漏洞
网络安全的基本概念
网络安全是信息安全学科的重要组成部分,涉 及计算机科学、网路技术、通信技术、密码 技术、信息安全技术、应用数学、数论、信 息论等多个学科的综合科学。
网络服务是通过各种协议来完成的,因此网络协议 的安全性是网络安全的重要方面。值得注意的是网 络协议的安全性是很难得到绝对保证的。
目前,保证协议安全性主要有两种方法: 1.用形式化方法来证明一个协议是安全的,主要是采
《网络安全法教程》 6+第六章 网络运行安全一般规定
▪ (二)网络安全等级保护工作具体内容和要求 ▪ 1、定级备案 定级备案是整个网络安全等级保护的首要环节,是开展网络建设、整改、测评、监督检查等后续工作 的重要基础。 ▪ 2、自查、测评与整改 自查、测评和整改是公安机关执行网络安全等级保护检查工作的重要内容,至少每年一次的自查与测 评,也是公安机关实现对网络进行监督管理的重要手段,
▪ (三)法律责任及案例分析
《网络安全法》第六十一条规定,网络运营者违反本法第二十四条第一款规定,未要求用户提供真实 身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正 或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业 整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人 员处一万元以上十万元以下罚款。
网络安全法教程
第六章 网络运行安全一般规定
第六章 网络运行安全一般规定
▪ 【内容提要】本章介绍了网络运营者、网络 设备、产品和服务、其他相关行为主体的网 络运行安全要求,网络安全的支持与协作, 以及涉密网络的安全保护要求,力图使读者 了解《网络安全法》中网络运行安全的一般 规定。
第一节 网络运营者的安全要求
第二节 网络设备、产品和服务的安全要求
▪ 一、网络设备和服务的通用安全要求
▪ (一)网络产品和服务的安全基线
▪ 1、不得设置恶意程序
2、安全风险应对要求
▪ 3、安全维护要求
4、用户信息的收集及保护要求
▪ (二)网络产品和服务安全的审查办法
作为《网络产品和服务安全通用要求》(送审稿)的配套法规,《网络产品和服务安全审查办法(试 行)》首次明确了对“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”进行安全审 查的要求,审查内容是产品和服务的“安全性、可控性”,而“安全、可控”的具体标准又由《信息 技术产品安全可控评价指标》(GB/T 36630-2018)进行规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本章要求
◎ 了解恶意代码的分类及其攻击过程 ◎ 理解和掌握恶意代码实现机理及关键
实现技术 ◎ 了解网络蠕虫的特征及结构 ◎ 了解恶意代码防范方法:基于主机的 检测方法和基于网络的检测方法
章节安排
第一节 恶意代码及其攻击过程 第二节 恶意代码实现关键技术 第三节 网络蠕虫 第四节 恶意代码防范方法
恶意代码的传播技术
(4) 通过邮件传播。原理为包含恶意代码的邮件伪 装成其他恶意代码受害者的感染报警邮件,恶意 代码受害者往往是Outlook地址簿中的用户或者是 缓冲区中WEB页的用户,这样做可以最大可能的 吸引受害者的注意力。 补充: 一般用户对来自陌生人的邮件附件越来 越警惕,附件的使用受到网关过滤程序的限制和 阻断,恶意代码的编写者会设法绕过网关过滤程 序的检查。使用的方法如采用模糊的文件类型, 将公共的执行文件类型压缩成zip文件等。
反静态分析技术
反静态分析技术常用方法如下:
(1)对程序代码分块加密执行。为了防止程序代码通过反汇 编进行静态分析,程序代码以分块的密文形式装入内存, 在执行时由解密程序进行译码,某一段代码执行完毕后立 即清除,保证任何时刻分析者不可能从内存中得到完整的 执行代码;
(2)伪指令法(Junk Code)。伪指令法是指在指令流中插入 “废指令”,使静态反汇编无法得到全部正常的指令,不 能有效地进行静态分析。例如,“Apparition”是一种基于编 译器变形的Win32 平台的病毒,编译器每次编译出新的病 毒体可执行代码时都要插入大量的伪指令,既达到了变形 的效果,也实现了反跟踪的目的。此外,伪指令技术还广 泛应用于宏病毒与脚本恶意代码之中。
恶意代码传播趋势
恶意代码的传播具有下面的趋势:
(1)种类更模糊 恶意代码的传播不单纯依赖软件漏洞或者
社会工程中的某一种,而是它们的混合。比如 蠕虫产生寄生的文件病毒,特洛伊程序,口令 窃取程序,后门程序,进一步模糊了蠕虫、病 毒和特洛伊的区别。
恶意代码传播趋势
(2)混合传播模式
“混合病毒威胁”和“收敛(convergent)威胁” 成为新的病毒术语。“红色代码”利用的是IIS的漏洞, Nimda实际上是1988年出现的Morris 蠕虫的派生品种, 它们的特点都是利用系统漏洞,病毒的模式从引导区 方式发展为多种类病毒蠕虫方式。
(6)Windows操作系统遭受的攻击最多 Windows操作系统是病毒攻击最集中的平台,病毒总
是选择配置不好的网络共享和服务作为进入点。如溢出问 题,包括字符串格式和堆溢出,是病毒入侵的基础。
另外一类缺陷是允许任意或者不适当的执行代码, 随 着scriptlet.typelib 和Eyedog漏洞在聊天室的传播,JS/Kak 利用IE/Outlook的漏洞,导致两个ActiveX控件在信任级别 执行,但是它们仍然在用户不知道的情况下,执行非法代 码。最近的一些漏洞帖子报告说Windows Media Player可 以用来旁路Outlook 2007的安全设置,执行嵌入在HTML 邮件中的JavaScript 和 ActiveX代码。
2.2 恶意代码生存技术
2.2.1 反跟踪技术 2.2.2 加密技术 2.2.3 模糊变换技术 2.2.4 自动生产技术
2.2.3 模糊变换技术
模糊变换技术的原理为恶意代码每感染一个客体对象时,潜入 宿主程序的代码互不相同。因此基于特征的检测工具一般不能 有效识别它们。目前,模糊变换技术主要分为5种:
对于恶意代码来说服务器和客户机的区别 越来越模糊,客户计算机和服务器如果运行同 样的应用程序,也将会同样受到恶意代码的攻 击。比如IIS服务是一个操作系统缺省的服务, 它的服务程序的缺陷是各个机器都共有的,所 以Code Red的影响也就不限于服务器,还会影 响到众多的个人计算机。
恶意代码传播趋势
(2)指令压缩技术。模糊变换器检测恶意代码反汇编后的全部指 令,对可进行压缩的一段指令进行同义压缩。压缩技术要改变 病毒体代码的长度,需要对病毒体内的跳转指令进行重定位。 例如指令MOV REG,12345678 / ADD REG,87654321 变换为 指令MOV REG,99999999;指令MOV REG,12345678 / PUSHREG变换为指令PUSH 12345678等。
恶意代码的传播技术
(2)利用商品软件缺陷。此类著名的恶意代 码有KaK 和BubbleBoy。原理一般为溢出漏 洞或在不适当的环境中执行任意代码。像没 有打补丁的IIS软件就有输入缓冲区溢出方 面的缺陷。
(3)利用Web 服务缺陷。此类著名攻击代码 有Code Red、Nimda等,Linux 和Solaris上 的蠕虫也利用了远程计算机Web服务的缺陷。
④潜伏。恶意代码侵入系统后,等待一定的条件, 并具有足够的权限时,就发作并进行破坏活动。
⑤破坏。实现恶意代码的目的,如:造成信息丢 失、泄密,破坏系统完整性等。
⑥重复①至⑤对新的目标实施攻击过程。恶意代 码的攻击流程如图所示。
恶意代码攻击流程示意图
章节安排
第一节 恶意代码及其攻击过程 第二节 恶意代码实现关键技术 第三节 网络蠕虫 第四节 恶意代码防范方法
扩散
指一种与远程计算机建立连接,使远程计算机能够通 欺骗、隐蔽和
过网络控制本地计算机的程序。
信息窃取
指一段嵌入计算机系统程序的,通过特殊的数据或时 潜伏和破坏 间作为条件触发,试图完成一定破坏功能的程序。
。 指保持对目标主机长久控制的一种策略
易植入,隐蔽
恶意代码的发展
恶意代码攻击过程
恶意代码攻击过程一般分为6个部分: ①侵入系统。恶意代码入侵的途径很多,如:从
第一节 恶意代码及其攻击过程
恶意代码是一种程序,它通过把代码 在不被察觉的情况下镶嵌到另一段程 序中,从而达到破坏被感染电脑数据、 运行具有入侵性或破坏性的程序、破 坏被感染电脑数据的安全性和完整性 的目的。
恶意代码种类
恶意代码种类(按传播方式)
计算机病毒(Virus) 蠕虫(Worm) 木马程序(Trojan Horse) 后门程序(Backdoor) 逻辑炸弹(Logic B2.2.1 反跟踪技术 2.2.2 加密技术 2.2.3 模糊变换技术 2.2.4 自动生产技术
2.2.1 反跟踪技术
目前恶意代码常用的反跟踪技术 有两类:
反动态跟踪技术和反静态分析技术
反动态跟踪技术
反动态跟踪技术常用方法如下: (1)禁止跟踪中断。针对调试分析工具运行系统的单步中断
恶意软件(malware)的制造者可能会将一些有名 的攻击方法与新的漏洞结合起来,制造出下一代的 Code Red, 下一代的 Nimda。对于防病毒软件的制造 者,改变方法去处理新的威胁则需要不少的时间。
恶意代码传播趋势
(3)多平台
多平台攻击开始出现,有些恶意代码 对不兼容的平台都能够有作用。来自 Windows的蠕虫可以利用Apache的漏洞, 而Linux蠕虫会派生exe格式的特洛伊。
恶意代码的传播技术
(5) 对聊天室IRC(Internet Relay Chat)和 即时消息IM(instant messaging)系统进行攻 击。其方法多为欺骗用户下载和执行自动的 Agent软件,让远程系统用作分布式拒绝服 务(DDoS)的攻击平台,或者使用后门程序 和特洛伊木马程序对其进行控制。
(1)指令替换技术。模糊变换引擎(Mutation Engine)对恶意代 码的二进制代码进行反汇编,解码每一条指令,计算出指令长 度,并对指令进行同义变换。例如,将指令XOR REG,REG 变 换为SUB REG,REG;寄存器REG1和寄存器REG2进行互换; JMP指令和CALL指令进行变换等。 “Regswap”就采用了简单的 寄存器互换的变形技术。
模糊变换技术
(5)重编译技术。采用重编译技术的恶意代码 中携带恶意代码的源码,需要自带编译器或者 操作系统提供编译器进行重新编译,这种技术 既实现了变形的目的,也为跨平台的恶意代码 出现打下了基础。尤其是各类Unix/Linux操作 系统,系统默认配置有标准C的编译器。宏病 毒和脚本恶意代码是典型的采用这类技术变形 的恶意代码。造成全球范围传播和破坏的第一 例变形病毒是“Tequtla”,从该病毒的出现到 编制出能够检测该病毒的软件,研究人员花费 了9个月的时间。
模糊变换技术
(3)指令扩展技术。扩展技术把每一条汇编指 令进行同义扩展,所有压缩技术变换的指令都 可以采用扩展技术实施逆变换。扩展技术变换 的空间远比压缩技术大的多,有的指令可以有 几十种甚至上百种的扩展变换。扩展技术同样 要改变恶意代码的长度,需要对恶意代码中跳 转指令进行重定位。
(4)伪指令技术。伪指令技术主要是对恶意代 码程序体中插入无效指令,例如空指令;JMP 指令和指令PUSH REG/MOV REG, 12345678 /POP REG等。
恶意代码传播趋势
(7)恶意代码类型变化
部分恶意代码利用MIME边界和 uuencode头的处理薄弱的缺陷,将恶意代 码伪装成安全数据类型,欺骗客户软件执行 不适当的代码。
第二节 恶意代码实现关键技术
2.1 恶意代码传播技术(补充) 2.2 恶意代码生存技术 2.3 恶意代码攻击技术 2.4 恶意代码隐藏技术
2.2 恶意代码生存技术
2.2.1 反跟踪技术 2.2.2 加密技术 2.2.3 模糊变换技术 2.2.4 自动生产技术
2.2.2 加密技术
加密技术是恶意代码自我保护的一种手段。从加 密的内容上划分,加密手段分为信息加密、数据 加密和程序代码加密三种。
大多数恶意代码对程序体自身加密,另有少数恶 意代码对被感染的文件加密。例如,“Cascade” 是第一例采用加密技术的DOS环境下的恶意代码, 它有稳定的解密器,可以解密内存中加密的程序 体。“Mad ”和“Zombie”是“Cascade”加密技 术的延伸,使恶意代码加密技术走向32位的操 作系统平台。 “中国炸弹”(Chinese bomb)和 “幽灵病毒”也是这一类恶意代码。