恶意代码防范
预防恶意代码的防范手段
预防恶意代码的防范手段
恶意代码是指那些具有恶意的计算机程序,它们的目的是获取机密信息、破坏系统安全、盗取账户密码等,对个人和企业的财产和声誉造成威胁。
为了保护自己的计算机系统和数据安全,我们需要采取以下措施来预防恶意代码的攻击:
1.安装杀毒软件:杀毒软件可以及时发现和清除恶意代码,防止恶意程序危害我们的系统。
因此,我们应该定期更新杀毒软件的病毒库,确保杀毒软件的实时保护功能处于开启状态。
2.勿轻信邮件或短信链接:恶意代码往往通过邮件或短信中的链接传播,一旦我们点击了这些链接,恶意代码就会潜入我们的计算机系统。
因此,我们应该谨慎对待未知来源的邮件或短信,不要轻信其中的链接。
3.更新操作系统和软件:不少恶意代码利用系统和软件漏洞来攻击我们的计算机系统,因此我们应该定期更新操作系统和软件,确保系统和软件的漏洞得到及时修补。
4.使用防火墙保护网络安全:防火墙可以防止恶意程序通过网络攻击我们的计算机系统,因此我们应该在计算机上安装防火墙,并且合理配置防火墙的规则。
5.备份数据:恶意代码往往会破坏我们的数据,因此我们应该定期备份重要数据,以防恶意代码攻击导致数据丢失。
综上所述,预防恶意代码的攻击需要我们采取多种手段,包括安装杀毒软件、谨慎对待邮件和短信链接、更新操作系统和软件、使用
防火墙保护网络安全以及备份数据等。
只有通过综合防范,我们才能有效地预防恶意代码的攻击,保障我们的计算机系统和数据安全。
恶意代码介绍及防范
恶意代码介绍及防范
恶意代码,也称为恶意软件,是指被设计出来用于入侵、破坏、干扰、篡改或者窃取信息等不法目的的计算机程序。
恶意代码可以包括计算机病毒、木马、蠕虫、间谍软件、广告软件等各种形式。
恶意代码的威胁性非常大,它可以对计算机系统和网络造成严重的破
坏和泄露。
举例来说,计算机病毒可以通过感染其他文件或者程序来破坏
数据文件或者系统文件,造成计算机崩溃;木马可以通过远程控制计算机,窃取用户的敏感信息、银行账号密码等;间谍软件可以监控用户的计算机
活动,偷窃用户的隐私等。
为了防范恶意代码的攻击,我们可以采取以下几个方面的措施:
3.不随便点击链接和打开附件:不轻易点击不明链接,尤其是来自未
知的邮件、社交媒体等。
同时,在打开附件前先进行杀毒扫描,确保附件
没有恶意代码。
4.定期更新系统和软件:及时安装系统和软件的补丁和更新,以修复
存在的漏洞,减少恶意代码攻击的机会。
5.注意网络安全教育和优化:定期进行网络安全教育,提高用户的安
全防范意识。
同时,优化系统设置、配置强密码、定期备份数据等也是有
效的防范措施。
6.使用加密技术和安全传输协议:在敏感信息传输中使用加密技术和
安全传输协议,确保数据在传输过程中不被窃取或篡改。
7.使用虚拟机和沙盒环境:在不信任的环境中,可以使用虚拟机或者
沙盒环境来运行潜在的恶意软件,以隔离它们对系统的影响。
总之,防范恶意代码的攻击是一个持续的过程,需要我们不断提高安全防范意识,采取多层次的措施来保护个人和企业的计算机系统和数据安全。
同时,合理使用互联网和计算机,并及时更新相关防护措施也是非常重要的。
恶意代码应急预案
一、前言随着信息技术的飞速发展,网络攻击手段日益多样化,恶意代码(如病毒、木马、蠕虫等)对信息系统安全的威胁日益严重。
为保障我单位信息系统的安全稳定运行,提高应对恶意代码攻击的能力,特制定本预案。
二、预案目标1. 快速发现和隔离恶意代码感染源,降低恶意代码对信息系统的影响。
2. 及时修复漏洞,防止恶意代码再次入侵。
3. 恢复受感染系统,确保业务正常开展。
4. 加强员工安全意识,提高应对恶意代码攻击的能力。
三、预案组织与职责1. 成立应急指挥部,负责统一指挥、协调、调度和监督恶意代码应急处置工作。
2. 应急指挥部下设以下工作组:(1)技术支持组:负责恶意代码检测、分析、隔离和修复。
(2)网络监控组:负责实时监控网络流量,发现异常情况并上报。
(3)信息发布组:负责发布应急处置信息,引导员工正确应对。
(4)应急演练组:负责定期组织应急演练,提高应急处置能力。
四、应急处置流程1. 检测与报告(1)网络监控组发现异常情况后,立即上报应急指挥部。
(2)应急指挥部启动应急预案,通知技术支持组进行分析。
(3)技术支持组对恶意代码进行检测、分析,确定感染范围和影响程度。
2. 隔离与清除(1)根据分析结果,技术支持组采取隔离措施,防止恶意代码扩散。
(2)针对受感染系统,技术支持组进行恶意代码清除操作。
(3)网络监控组持续监控网络流量,确保恶意代码已清除。
3. 恢复与重建(1)技术支持组对受感染系统进行修复,确保系统正常运行。
(2)应急指挥部组织相关部门,评估损失,制定恢复计划。
(3)根据恢复计划,逐步恢复业务系统,确保业务正常开展。
4. 预防与总结(1)应急指挥部组织相关部门,分析恶意代码攻击原因,制定预防措施。
(2)技术支持组对漏洞进行修复,提高系统安全性。
(3)应急指挥部组织应急演练,提高应急处置能力。
(4)对本次应急处置进行总结,完善应急预案。
五、应急保障措施1. 加强网络安全防护,提高系统安全性。
2. 定期更新恶意代码库,提高检测、分析、清除能力。
网络安全中的恶意代码检测与防范
网络安全中的恶意代码检测与防范一、恶意代码的概念与特征恶意代码(Malware)是一种破坏性的软件,它会在用户不知情的情况下进入计算机系统,通过窃取信息、破坏文件、占用系统资源等方式对用户造成伤害。
目前常见的恶意代码包括病毒(Virus)、蠕虫(Worm)、木马(Trojan horse)、间谍软件(Spyware)等。
这些恶意软件会利用漏洞或者用户的不当行为来攻击用户的计算机系统。
例如,用户不小心点击了一个恶意链接或者下载了一个感染了病毒的程序,都有可能导致计算机系统遭到破坏。
恶意代码的特征包括潜在性、不可预测性、变异性和传染性。
其中,变异性是恶意代码最为致命的特征之一。
由于恶意代码的变异性比较强,导致传统的恶意代码检测技术失效。
因此,基于行为的恶意代码检测技术逐渐应用广泛。
二、恶意代码检测技术(一)基于签名的恶意代码检测基于签名的恶意代码检测是一种传统的检测技术,它通过比对已知的恶意代码的特征(即病毒特征库)和目标文件的特征来识别恶意代码。
如果目标文件的特征与病毒特征库中的恶意代码匹配,那么该目标文件就被认为是恶意的。
基于签名的恶意代码检测技术的优点是准确性高、误报率低,但其缺点是无法检测出新出现的恶意代码。
(二)基于行为的恶意代码检测随着恶意代码的变异性不断增强,基于签名的恶意代码检测技术的局限性日益显现。
与此同时,基于行为的恶意代码检测技术逐渐成为了主流。
基于行为的恶意代码检测技术直接针对恶意代码的行为特征进行监测,从而判断该程序是否为恶意代码。
例如,当一个程序在计算机上执行某些恶意行为,例如窃取用户的个人信息或占用计算机资源时,基于行为的恶意代码检测技术会自动识别出来。
基于行为的恶意代码检测技术的优点是可适应新兴的恶意代码,但其缺点是误报率较高。
三、恶意代码防范措施(一)注意网络安全意识有一个好的网络安全意识可以更好地保护自己的计算机系统。
用户应该牢记的是,不要轻易打开陌生邮件、不要随便点击任何链接,并且不要轻易下载未知来源的程序,以避免受到恶意代码的攻击。
恶意代码防范管理规范
恶意代码防范管理规范文件编号:EYDM编制:运维部门审核:批准:版本:A1.0发布日期:1.目的在信息系统常遇到的安全事件中,由恶意代码带来的威胁最为常见,且信息系统的应用中众多的途径都可能引入恶意代码,给组织带来安全风险。
为了确保信息系统安全,特制定本防范管理规范。
2.使用范围适用于本公司恶意代码防范管理。
3.职责由运维部门负责此规定的执行。
4.管理规定4.1.管理规范(1)运维部门对恶意代码等安全相关事项进行集中管理。
(2)系统管理员对于重大操作系统漏洞以及集中病毒爆发提出预警。
通过内网发布或邮件电话等方式通知客户端及时采取必要措施,并记录相关信息。
(3)所有用户均应关注病毒警告,及时升级病毒软件。
(4)在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;(5)系统管理员负责对服务器进行恶意代码检测并保存检测记录;网络管理员对网络进行恶意代码检测并保存检测记录。
(6)应每个季度检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品上截获的危险病毒或恶意代码进行及时分析处理。
4.2.管理流程4.2.1.服务器防恶意代码(1)使用正版软件,每月更新补丁。
(2)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
(3)应支持防恶意代码的统一管理。
(4)能够检测对重要服务器的入侵行为。
记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间。
4.2.2.客户端病毒防护(1)使用正版软件,每月更新补丁,修复操作系统及软件漏洞。
(2)所有客户端均应安装防病毒软件。
(3)客户端应每天更新防病毒软件及病毒库。
(4)客户端机器不执行与工作无关的操作,不访问与工作无关的网站。
(5)所有接入系统的移动存储介质、计算机以及邮件均应先查杀病毒后方可使用。
(6)发现病毒应及时上报运维部门。
4.2.3.软件开发管理(1)应严格根据开发需求检测软件质量;(2)应在软件安装之前检测软件包中可能存在的恶意代码或由开发商承诺软件中无恶意代码;(3)应要求开发商提供软件设计的相关文档和使用指南;(4)重要系统应要求开发商提供软件源代码。
如何防范网页中的恶意代码
如何防范网页中的恶意代码网页中我们经常会遇到各种恶意代码,我们应该怎样有针对性的做好预防措施呢?下面是防范网页中恶意代码的措施,希望店铺整理的对你有用,欢迎阅读:防范网页中恶意代码的措施:1、禁止使用电脑现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:"关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入"实模式"、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给"废"了,建议重装。
2、格式化硬盘现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。
只要你浏览了含有它的网页,浏览器就会弹出一个警告说"当前的页面含有不安全的ctiveX,可能会对你造成危害",问你是否执行。
如果你选择"是"的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答"是"。
该提示信息还可以被修改,如改成"Windows正在删除本机的临时文件,是否继续",所以千万要注意!此外,将计算机上、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
特别提示,不要随意执行来历不明的程序。
3、下载运行木马程序现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。
上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
网络安全中的恶意代码检测及防范技术研究
网络安全中的恶意代码检测及防范技术研究第一节恶意代码检测技术随着互联网技术的不断发展,网络安全问题也逐渐成为人们非常关心的话题,特别是网络安全中的恶意代码成为当今互联网上最棘手的问题之一。
恶意代码是指为了攻击计算机系统或者窃取机密信息而编写的程序,这些程序具有具有非常高的隐蔽性和威胁性,对计算机安全和用户个人信息造成极大的威胁。
因此,如何及时发现和防御恶意代码成为了保障网络安全的重要任务之一。
1. 静态检测静态检测是指在检测时不会运行程序或程序的某个部分,而是对程序进行解析,分析其代码结构,以发现疑似恶意代码的迹象。
静态检测可以检测到大部分的已知恶意代码,因此是一种比较有效的检测方法。
但是,这种方法也存在一定的局限性,因此需要采用更多的检测手段。
2. 动态检测动态检测是指在运行时对程序进行检测,跟踪其执行过程中的行为和执行轨迹,发现是否存在异常行为。
这种方法可以对一些未知的恶意代码进行检测和识别,适用性更广泛,因此现在被广泛采用在恶意代码检测中。
3. 混合检测混合检测是指将静态检测和动态检测两种方法相结合,以发现并提高检测恶意代码的准确性和效率。
静态检测可以提供更高的检测率和更细致的识别;动态检测能够提供更多的行为特征以及其尝试损害系统的方式。
将两种方法结合在一起,能够同时满足发现已知和未知恶意行为的需求。
第二节恶意代码防范技术除了恶意代码检测技术外,防范技术也必不可少,因为恶意代码攻击成功后,将给用户的计算机和数据造成无法估量的损失。
因此,现代计算机系统中需要合理地运用各种技术来提高系统安全性,以使恶意代码无从下手。
1. 硬件设备保护硬件设备保护是指针对计算机硬件设备的各种安全风险采用的防范措施,例如启用BIOS密码,限制PCI插口使用,防范硬盘比特流程攻击等。
硬件设备保护可以较好地提高系统安全性。
2. 操作系统防护操作系统防护是指用于保护操作系统的各种软件工具,常见的有防火墙、安全补丁、杀毒软件等。
网络安全知识之防范恶意代码
网络安全知识之防范恶意代码首先防范恶意代码在我们的网络安全等级保护工作中是有明确要求的。
在单位落实等级保护建设过程中,不得不考虑的一项安全防范措施,是保护自身系统安全,也是在落实《网络安全法》第二十一条之规定。
落到等级保护相关标准,则对应有基本要求项,而防恶意代码又是高风险判例中明确的高风险,二级以上信息系统必须考虑防恶意代码措施。
▪1)主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新;▪2)网络层无恶意代码检测和清除施,或恶意代码库一个月以上未更新。
恶意代码是不需要的文件或程序,它们可能会对计算机造成损害或破坏计算机上存储的数据。
恶意代码的各种分类包括病毒、蠕虫和特洛伊木马等。
•病毒能够损坏或破坏计算机系统上的文件,并通过共享已受感染的可移动媒体、打开恶意电子邮件附件和访问恶意网页等来传播。
•蠕虫是一种可以在计算机之间自我传播的病毒。
它的功能是使用我们的计算机的所有资源,这可能会导致我们的计算机停止响应。
•特洛伊木马是隐藏病毒或潜在破坏程序的计算机程序。
有时会隐藏在免费软件中,特洛伊木马程序让用户认为他们使用的是合法软件,而该程序却在计算机上执行恶意操作,这种情况比较常见。
•恶意数据文件是不可执行的文件,例如Microsoft Word 文档、Adobe PDF、ZIP 文件或图像文件,它们利用了用于打开它的软件程序中的弱点。
攻击者经常使用恶意数据文件在受害者的系统上安装恶意软件,通常通过电子邮件、社交媒体和网站分发文件。
我们如何保护自己免受恶意代码的侵害?遵循这些安全实践可以帮助我们降低与恶意代码相关的风险:•安装和维护防病毒软件。
防病毒软件可识别恶意软件并保护我们的计算机免受恶意软件侵害。
安装来自信誉良好的供应商的防病毒软件是预防和检测感染的重要步骤。
始终直接访问供应商网站,而不是点击广告或电子邮件链接。
由于攻击者不断地制造新病毒和其他形式的恶意代码,因此保持我们使用的防病毒软件保持最新非常重要。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
感染以后可能现象:
1.电脑非常卡,操作程序有明显的停滞感,常见杀毒软 件无法正常打开,同时发现反复重装系统后问题依旧无法 解决 2.系统文件被感染杀毒查杀以后提示找不到相应的dll或 者系统功能不正常 rpcss.dll、ddraw.dll(这个是盗号木马现在常修改的系统dll) 3.QQ号码被盗,可被黑客用来传播广告等 4.魔兽、DNF、天龙八部、梦幻西游等游戏帐号被盗 5.进程中存在iexplore.exe进程并指向一个不正常的网站 6.桌面出现一个名为“播放器”的快捷方式,并指向某 网站,修改IE首页为hxxp:///
19
NTFS数据流后门
• 利用NTFS文件系统特性,将木马隐藏在正常文件当中,普 通手段无法察觉: • type calc.exe >c:\note.txt:alternate.exe • 启动木马的命令: • start c:\note.txt:note.exe
20
Gh0st木马
21
Gh0st木马
7
恶意代码发展史
• • • • • • • • •
2002年—setiri后门 2002年—SQL slammer(sqlserver) 2003年—hydan的steganography工具 2003年—MSBlaster/ Nachi 2004年—MyDoom/ Sasser …… 2006年—熊猫烧香 …… 2010年—Stuxnet(工业蠕虫)
24
隐藏进程—FU_Rootkit
25
最隐蔽后门--Bootkit
• 隐藏于硬盘MBR • 无视重启、普通格式化、重装、Ghost
26
网页木马—网马生成器
27
WebShell
28
鬼影病毒工作流程
• 鬼影病毒是一个木马下载器,使用了ring3恢复内 核钩子、感染磁盘引导区(MBR)、多种方法结束 杀毒软件等技术自启动并对抗杀毒软件 • 完全感染后,是一个看不到可疑文件、没有启动 项、普通重装系统也无法解决的顽固病毒
43
病毒自启动方式
• 修改系统
– 修改注册表
• • • • 启动项 文件关联项 系统服务项 BHO项
– 将自身添加为服务 – 将自身添加到启动文件夹 – 修改系统配置文件
• 自动加载
– 服务和进程-病毒程序直接运行 – 嵌入系统正常进程-DLL文件和OCX文件等 – 驱动-SYS文件
44
常见的病毒行为
课程目录
1 恶意代码的发展 2 常见恶意代码示例 3 恶意代码的危害特点 4 病毒、木马和后门的原理 5 恶意代码分析技术 6 恶意代码防护技术
恶意代码发展史 • 1949:冯·诺依曼在《复杂自动机组织论》提出概念 • 1960:生命游戏(约翰·康维 ) 磁芯大战(道格拉斯.麦耀莱、维特.维索斯 基 、罗伯.莫里斯 ) • 1973:真正的恶意代码在实验室产生 • 1981年-1982年:在APPLE-II的计算机游戏中发现Elk cloner
•
•
• •
自动弹出网页 占用高CPU资源 自动关闭窗口 自动终止某些进程
无论病毒在系统表现形式如何„ 我们需要关注的是病毒的隐性行为!
5
恶意代码发展史
• • • • • • • • 1986年—第一个PC病毒:Brain virus 1988年—Morris Internet worm—6000多台 1990年—第一个多态病毒(躲避病毒查杀) 1991年—virus construction set-病毒生产机 1994年—Good Times(joys) 1995年—首次发现macro virus 1996年—netcat的UNIX版发布(nc) 1998年—第一个Java virus(StrangeBrew)
罗特.莫里斯
6
恶意代码发展史
• • • • • • • • • 1998年—netcat的Windows版发布(nc) 1998年—back orifice(BO)/CIH 1999年—melissa/worm(macrovirus by email) 1999年—back orifice(BO) for WIN2k 1999年—DOS/DDOS-Denial of Service TFT/ trin00 1999年—knark内核级rootkit(linux) 2000年—love Bug(VBScript) 2001年—Code Red –worm(overflow for IIS) 2001年—Nimda-worm(IIS/ outlook/file share etc.)
1、病毒的启动方法 感染MBR以获得凌驾于操作系统的启动权->HOOK文件操作中断,搜索NTLDR文件(主要目 标WindowsXP、Windows2003系统)进行hook->hook内核函数实现优先加载驱动并执行病毒驱 动-->后期其他操作(比如下载盗号木马、统计感染 量等)
29
鬼影病毒工作流程
31
鬼影病毒工作流程
10.感染引导区,并将其它文件写入引导区,隐蔽加 载难发现,反复感染难清除 11.木马下载器功能:下载针对DNF、梦幻西游等热 门游戏盗号木马 12.桌面创建一个名为播放器的快捷方式并指向某网 站,并修改IE首页为hxxp:///
32
鬼影病毒工作流程
40
木马的危害
• 监视用户的操作 —包括:用户主机的进程、服务、桌面,键盘操作、 摄像头等等 • 窃取用户隐私 —包括:浏览的网页,聊天记录,输入的银行帐户 密码,游戏帐户密码,窃取用户敏感文件 • 让用户主机执行任意指令 —使用户主机沦为傀儡主机,接受并执行控制主机 的指令 • 你能做到的木马都有可能做到 41
33
恶意代码和病毒防范
恶意代码发展历史 常见恶意代码示例 恶意代码的危害特点 病毒、木马和后门的原理 恶意代码分析技术 恶意代码防御技术
34
蠕虫病毒的危害
病毒名称
莫里斯蠕虫
持续时间
1988年
造成损失
6000多台电脑停机,经济损失达 9600万美元 政府部门和一些大公司紧急关闭 了网络服务器,经济损失超过12 亿美元! 众多用户电脑被感染,损失超过 100亿美元以上 网络瘫痪,直接经济损失超过26 亿美元 网络大面积瘫痪,银行自动提款 机运做中断,直接经济损失超过 26亿美元
计算机病毒的兼容性对系统运行的影响
计算机病毒给用户造成严重的心理压力
37
蠕虫的传播方式
38
蠕虫的危害
• 严重威胁网络安全 —蠕虫爆发占用大量网络资源,导致网络瘫痪 —形成危害严重的僵尸网络,被作者用来发动任何攻击 • 危害个人信息安全 —泄露个人隐私
39
木马的传播方式
• 漏洞传播 系统漏洞;浏览器漏洞(网页木马);其他应用软件漏洞(PDF、 DOC etc) • 伪装传播 捆绑;伪装成图片、文本等;合法软件 • 社会工程 电子邮件、论坛、SNS聊天软件
11
12
彩带病毒
13
千年老妖
14
QQ盗号程序
15
隐藏账号后门
16
克隆账号----”禁用”的guest!
• 导出: • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Us ers\000001F5 • 把1f5换成1f4,导入注册表 • Net user guest regbackdoor • 注销管理员,用guest+regbackdoor登陆
2、生成部分文件
%ProgramFiles%\MSDN\atixx.sys(工作驱动) %ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入 引导区) %ProgramFiles%\MSDN\000000000(木马下载器) %ProgramFiles%\MSDN\atixx.inf(驱动安装脚本 %ProgramFiles%\MSDN\atixi.inf(驱动安装脚本) 以上文件使用后会自删除 3、Ring3还原各种钩子 读取原始KiServiceTable表,还原SSDT表,其他特定钩 子的恢复 4、结束卡巴斯基(R3) 通过结束卡巴斯基事件句柄 BaseNamedObjects\f953EA60-8D5F-4529-871042F8ED3E8CDC使得卡巴进程异常退出
30
鬼影病毒工作流程
5、结束其它杀软(R3) 获取杀毒软件进程的公司名,进行hash运算并 跟内置杀软的HASH值进行比较,发现相同就结 束进程 6、通过hive技术绕过江民主防,使用类似硬件驱动 安装方式绕过其他主防拦截 7、抹掉线程起始地址防止被手工检测 8、找到explorer(资源管理器)进程,然后插入用户 态的apc实现下载病毒木马的功能 9、枚举进程对象,比较进程对应文件的公司名。发 现需对抗进程则获取线程对象然后结束线程,此 时杀软进程异常退出
美丽杀手
爱虫病毒
1999年
2000年5月至今
红色代码
蠕虫王
2001年7月
2003年1月
冲击波
MYDOOM
2003年7月
2004年1月起
大量网络瘫痪,造成了数十亿美 金的损失
大量的垃圾邮件,攻击SCO和微软 6
病毒的危害
病毒激发对计算机数据信息的直接破坏作用 占用磁盘空间和对信息的破坏 抢占系统资源 影响计算机运行速度
恶意代码和病毒防范
恶意代码发展历史 常见恶意代码示例 恶意代码的危害特点 病毒、木马和后门的原理 恶意代码分析技术 恶意代码防御技术
42
蠕虫病毒的一般传播过程
• 1.扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机 • 2.攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对 象,取得该主机的权限(一般为管理员权限),获得一个shell • 3.复制:复制模块通过原主机和新主机的交互将蠕虫程序复 制到新主机并启动