网络通信安全管理员(中级)-05-计算机恶意代码与防护
计算机恶意代码与防护
恶意代码(Malicious code)或者叫恶意软件 ( Malware :Malicious Software)是一种程序,它通 过把代码在不被察觉的情况下镶嵌到另一段程序中, 从而达到运行具有入侵性或破坏性的程序、破坏被感 染电脑数据的安全性和完整性的目的。
亨达通信
恶意代码的发展史
亨达通信
预防该类病毒较为有效的系统设置措施:将资源管理设 置为:
(2)文件夹病毒 该病毒也是常见的U盘传播病毒,会在U盘中生成与文 件夹同名的可执行程序,同时将原文件夹设置为隐藏属性。
亨达通信
5.6 防病毒系统
(1)单击工作站(个人计算机) 安装杀毒软件等安全软件。 (2)服务器 安装相应版本的杀毒软件等安全软件。 (3)企业网络 一般不主张购置所谓“带病毒过滤功能”的防火墙网关产品 (因为该类产品会使防火墙性能大幅下降 、增加防火墙的安 全隐患),国际上通用的对网关防病毒的做法是将防火墙上 的数据引导到另外的专门进行病毒检测的服务器上进行,而 不是直接在防火墙上进行病毒检测。
“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\P olicies\System”中的一个键名叫“DisableRegistryTools”的十六进制的值由 1改为0,1为禁止,0为允许。
利用记事本等新建一个文件:
REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Curre ntVersion\Policies\system"DisableRegistryTools"=dword:00000000]
亨达通信
计算机恶意代码与防护
计算机恶意代码的主要类型 计算机恶意代码分析 常见恶意代码感染迹象与处理 计算机恶意代码防护 计算机恶意机恶意代码的主要类型
恶意代码是一种程序,它通过把代码在不被察觉的情况下嵌入另一段程序中,从而达到运行 具有入侵或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 1、病毒:一组能够进行自我传播、需要用户干 预来触发执行的破坏性程序或代码。如CIH、爱 4、间谍软件:一种能够在用户不知情的情况下, 在其电脑上安装后门、收集并散播用户信息的 虫、新欢乐时光、求职信、恶鹰、rose… 软件。 2、特洛伊木马:是指一类看起来具有正常功能, 但实际上隐藏着很多用户不希望功能的程序。 5、移动代码:能够从主机传输到客户端计算机 通常由控制端和被控制端两端组成。如冰河、 上并执行的代码,它通常是作为病毒、蠕虫或 特洛伊木马的一部分被传送到客户计算机上的。 网络神偷、灰鸽子…… 3、蠕虫:一组能够进行自我传播、不需要用户 它可以利用系统漏洞入侵。 干预即可触发执行的破坏性程序或代码。其通 过不断搜索和侵入具有漏洞的主机来自动传播。 利用系统漏洞(病毒不需要漏洞)如红色代码、 SQL蠕虫王、冲击波、震荡波、极速波…
计算机恶意代码与防护
5、默认主页修改 现象:个别网站利用IE漏洞,修改访问者的默认主页,而且不让改回。 处理:注册表展开 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\ ,将Default-Page-URL子键的恶 意网站改正。 6、篡改IE标题栏 现象:将Windows Title下的键值改为广告信息等。 处理:注册表展开 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\,找到串值Windows Title并删除, 重启。 7、启动时弹出对话框 现象:系统启动时弹出对话框或网页。 处理:1.弹出对话框。注册表展开 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Winlogon主键,删除LegalNoticeCaption和LegalNoticeText这两个字符串。 2.弹出网页。开始--运行—msconfig,在启动里,把后缀是url,html,htm的网址文件勾掉。
恶意代码介绍及防范
恶意代码介绍及防范
恶意代码,也称为恶意软件,是指被设计出来用于入侵、破坏、干扰、篡改或者窃取信息等不法目的的计算机程序。
恶意代码可以包括计算机病毒、木马、蠕虫、间谍软件、广告软件等各种形式。
恶意代码的威胁性非常大,它可以对计算机系统和网络造成严重的破
坏和泄露。
举例来说,计算机病毒可以通过感染其他文件或者程序来破坏
数据文件或者系统文件,造成计算机崩溃;木马可以通过远程控制计算机,窃取用户的敏感信息、银行账号密码等;间谍软件可以监控用户的计算机
活动,偷窃用户的隐私等。
为了防范恶意代码的攻击,我们可以采取以下几个方面的措施:
3.不随便点击链接和打开附件:不轻易点击不明链接,尤其是来自未
知的邮件、社交媒体等。
同时,在打开附件前先进行杀毒扫描,确保附件
没有恶意代码。
4.定期更新系统和软件:及时安装系统和软件的补丁和更新,以修复
存在的漏洞,减少恶意代码攻击的机会。
5.注意网络安全教育和优化:定期进行网络安全教育,提高用户的安
全防范意识。
同时,优化系统设置、配置强密码、定期备份数据等也是有
效的防范措施。
6.使用加密技术和安全传输协议:在敏感信息传输中使用加密技术和
安全传输协议,确保数据在传输过程中不被窃取或篡改。
7.使用虚拟机和沙盒环境:在不信任的环境中,可以使用虚拟机或者
沙盒环境来运行潜在的恶意软件,以隔离它们对系统的影响。
总之,防范恶意代码的攻击是一个持续的过程,需要我们不断提高安全防范意识,采取多层次的措施来保护个人和企业的计算机系统和数据安全。
同时,合理使用互联网和计算机,并及时更新相关防护措施也是非常重要的。
网络安全中的恶意代码分析与防范手段
网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。
随着网络的普及和应用的广泛,网络安全问题变得愈发突出。
本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。
一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。
下面将介绍几种常见的恶意代码及其分析方法。
1. 病毒病毒是一种能够自我复制并传播的恶意代码。
它通常通过文件的共享或者下载、运行来感染目标计算机。
病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。
分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。
2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。
蠕虫可以通过漏洞来感染系统,并在系统中运行。
它们常常通过邮件、用户点击等方式传播。
分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。
3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。
它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。
分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。
4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。
间谍软件通常通过下载和安装一些看似正常的软件而进入系统。
分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。
二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。
以下是几种常用的防范手段。
1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。
及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。
同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。
网络安全防护的恶意代码检测与清除
网络安全防护的恶意代码检测与清除随着互联网的迅速发展,网络安全问题日益引起人们的关注。
恶意代码是一种网络攻击手段,它可以隐藏在各种文件中,通过潜入用户计算机系统或服务器,侵害用户隐私、窃取重要信息和造成系统瘫痪等严重后果。
因此,恶意代码检测与清除成为了网络安全防护的重要环节。
一、恶意代码的分类恶意代码包括病毒、木马、蠕虫、间谍软件等多种形式,可以分为以下几类:1. 病毒:是最常见的一类恶意代码,通过感染文件或网络传播,侵害计算机系统。
2. 木马:是一种暗藏在正常程序中的恶意代码,它会在用户不知情的情况下,偷窃用户信息或远程控制用户计算机。
3. 蠕虫:和病毒类似,但不需要宿主文件,可以利用网络进行远程传播。
4. 间谍软件:是一种通过监控、窃取用户信息的恶意代码,用于非法获取商业机密或个人隐私。
二、恶意代码的检测方法恶意代码的检测方法多种多样,可以通过以下几种方式进行:1. 实时监控:通过安装杀毒软件、防火墙等安全工具,在用户使用计算机过程中实时监控系统,对可疑程序进行扫描和检测。
2. 签名扫描:维护一份恶意代码的签名数据库,对用户系统中的文件进行扫描,当发现与数据库中签名相匹配的文件时,将其标记为恶意代码。
3. 行为分析:通过分析程序的行为特征,判断是否存在恶意行为。
例如,木马程序通常会与远程服务器建立连接,行为分析可以检测到这种异常连接。
4. 启发式分析:采用启发式算法对文件进行分析,通过判断文件的某些特征是否符合恶意代码的定义,来确定文件是否为恶意代码。
三、恶意代码的清除方法一旦发现恶意代码的存在,需要立即进行清除,以免造成更大的损失。
清除恶意代码的方法如下:1. 隔离文件:按照安全规范,将受感染的文件进行隔离,并切勿打开或运行,以免进一步传播恶意代码。
2. 利用杀毒软件:安装可信赖的杀毒软件,并及时更新病毒库,进行扫描和清除恶意代码。
3. 系统恢复:如果用户计算机已经受到恶意代码侵害,可以通过系统恢复或重装操作系统的方式将系统还原到受感染之前的状态。
5-1恶意代码攻击和防御
第三代
第四代
第五代
传统的远程控制步骤
如何远程植入程序
直接攻击 电子邮件
经过伪装的木马 被植入目标机器
文件下载
浏览网页
合并文件
&件名。如把.exe改变成.jpg.exe。 其次更改文件图标。一般木马本身没有图标,系 统会显示一个windows预设的图标。 合并程序欺骗 将木马与一个正常的文件捆绑为一个文件。例如 WinRAR可实现。 伪装成应用程序扩展组件 此类属于最难识别的木马。如伪装成.dll,.ocx等, 挂在一个知名的软件中。
注册表启动
Run键
这是最常用的注册表启动方法,在Run键下面的所有程序在用户每次登 陆后都会自动执行,其键位置如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run; RunOnce键 RunOnce键只在用户首次登陆时才运行,其键位置如下: HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce; RunOnceEx键 这个键值只有windows XP和windows 2003才有,也可以实现自启动: HKEY_ LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
第五章 恶意代码攻 击和防御
1 概述
什么是恶意代码?
恶意代码是指独立的程序或者嵌入到其它程序中的代码, 它在不被用户察觉的情况下启动,达到破坏电脑安全性和 完整性的目的。
网络安全课件-恶意代码及应对策略
在这个网络安全课件中,我们将深入讨论恶意代码的种类、危害以及如何应 对的策略,帮助您更好地保护自己和您的组织。让我们开始吧!
什么是恶意代码?
1 恶意软件
2 病毒
恶意软件是一种被设计用来 窃取信息、破坏系统或者危 害用户安全的软件。
3 蠕虫
病毒是一种依附于其他程序 的恶意代码,它可以自我复 制,并在被启动时执行恶意 操作。
加强员工对钓鱼攻击、下载 附件和点击链接的警惕性。
强化安全措施
使用有效的防火墙、反病毒 软件和反垃圾邮件工具来阻 止恶意代码的传播。
定期更新软件和操作系统, 修补已知漏洞。
数据备份和恢复
定期备份数据,确保在恶意 代码感染或数据丢失时能够 恢复。
测试和验证备份数据的完整 性和可用性。
实时监测和响应
1 安全事件监测
恶意代码的危害
1
经济损失
2
恶意代码可以导致数据丢失、系统瘫
痪和服务中断,给组织和个人带来巨
大的经济损失。
3
数据泄露恶ຫໍສະໝຸດ 代码可以窃取个人、商业和政府 数据,造成隐私泄露和知识产权损失。
声誉损害
数据泄露、系统漏洞和被黑客攻击的 事件会对组织的声誉和可信度造成负 面影响。
恶意代码防御策略
网络安全教育
提供员工网络安全培训以增 强其识别和防范恶意代码的 能力。
使用入侵检测系统和日 志分析工具实时监测网 络活动以识别潜在的攻 击。
2 响应计划
制定灵活的安全响应计 划来快速应对和恢复恶 意代码感染事件。
3 取证和调查
在遭受恶意代码攻击后, 进行取证和调查以了解 攻击的来源和方式。
总结
了解不同类型的恶意代码和其危害,制定针对性的防御策略,强化安全意识 和措施,并保持实时监测和响应,是有效应对恶意代码的关键。
网络恶意代码防范措施
网络恶意代码防范措施随着互联网的迅速发展,网络恶意代码也变得越来越猖獗。
网络恶意代码是指通过互联网传播并对计算机系统造成威胁的程序或脚本,如病毒、蠕虫、木马等。
这些恶意代码可能导致个人隐私被窃取、计算机受到破坏或成为僵尸网络的一部分。
为了保护个人和组织的网络安全,我们需要采取一系列的防范措施来防范网络恶意代码。
本文将介绍几种有效的网络恶意代码防范措施。
1. 安装可靠的防病毒软件防病毒软件是防范网络恶意代码的第一道防线。
它可以实时监测计算机系统,并及时识别和隔离潜在的恶意代码。
选择一款可靠的防病毒软件,并及时升级病毒库,以确保对最新的威胁有一定的免疫能力。
同时,对计算机系统进行定期的全盘扫描,确保潜在的恶意代码没有隐藏在系统中。
2. 及时更新操作系统和应用程序网络恶意代码经常利用操作系统和应用程序的漏洞来侵入计算机系统。
因此,及时更新操作系统和应用程序是防范网络恶意代码的重要措施之一。
及时安装官方发布的补丁和安全更新,修复已知的漏洞,减少潜在的攻击面。
同时,应关闭不必要的服务和功能,以减少系统的安全隐患。
3. 加强网络防火墙的管理网络防火墙可以监控和过滤网络流量,限制未经授权的访问。
配置和管理防火墙规则,禁止不必要的端口和服务开放,减少恶意代码入侵的机会。
同时,合理设置访问控制列表(ACL),限制内部网络对外部网络的访问权限,保护内部网络的安全。
4. 提高用户的安全意识和教育培训网络恶意代码经常通过社交工程手段诱骗用户点击链接、下载文件或提供个人信息。
提高用户的安全意识和教育培训是防范网络恶意代码的关键。
定期组织安全教育培训,向用户传达网络安全的重要性,并教授基本的网络安全知识和防范技巧。
让用户能够辨别可疑的链接和文件,提高防范网络恶意代码的能力。
5. 定期备份重要数据遭受网络恶意代码攻击后,有可能造成数据的丢失或加密勒索。
为了最大程度地减少数据损失,定期备份重要数据至安全的位置是必要的。
备份数据应存储在不同的系统或区域,以防止一旦网络恶意代码侵入导致所有备份数据的丢失。
网络安全中的恶意代码检测与防护技术
网络安全中的恶意代码检测与防护技术恶意代码是指那些具有恶意目的的计算机程序,它们可能会对用户的计算机系统、数据和隐私造成损害。
在当今高度互联的网络环境下,恶意代码的威胁不容忽视。
因此,对恶意代码进行检测与防护是网络安全的关键一环。
恶意代码的种类繁多,包括病毒、蠕虫、木马、间谍软件等。
这些恶意代码旨在窃取用户的敏感信息、破坏系统或进行其他形式的攻击。
为了应对这些威胁,恶意代码检测与防护技术逐渐发展成为一个庞大而复杂的领域。
在恶意代码检测方面,传统的签名检测方法是最常见的一种。
这种方法通过对已知恶意代码的特征进行提取,并创建相应的病毒库来进行检测。
然而,随着恶意代码不断进化和变化,传统签名检测方法存在无法检测新型、未知恶意代码的问题。
为了解决这一问题,基于行为的检测方法逐渐兴起。
这种方法通过分析程序运行时的行为特征来判断是否存在恶意代码。
例如,通过监视程序是否进行网络连接、修改注册表等行为来进行检测。
此外,机器学习和人工智能在恶意代码检测领域的应用也越来越广泛,可以通过训练模型来判断未知代码是否具有恶意行为。
除了恶意代码检测,防护措施也是保护计算机系统的重要手段。
防火墙是最常见的防护工具之一,它可以控制网络流量进出系统,并对潜在的恶意行为进行检测和阻止。
此外,入侵检测系统(IDS)和入侵防御系统(IPS)也是防护恶意代码的重要手段。
IDS可以通过监控网络和系统活动,识别出潜在的入侵行为,并向管理员发送警报。
而IPS则可以根据IDS的警报主动采取防御措施,例如封锁来自潜在攻击源的网络流量,从而提高系统的安全性。
恶意代码的检测与防护技术也面临一些挑战。
首先,恶意代码的数量巨大且不断变化,使得恶意代码的检测变得十分困难。
此外,随着恶意代码的不断进化,一些恶意代码已经具备了逃避检测的能力,使得传统的检测方法越来越难以应对。
还有,由于网络环境的复杂性,误报和漏检的问题一直存在,会对正常用户的使用造成不便。
为了应对这些挑战,研究人员和安全专家不断提出新的方法和技术。
网络安全中的恶意代码分析与防范
网络安全中的恶意代码分析与防范恶意代码(Malware)是指故意编写的、以非法方式获取用户计算机上数据、控制计算机或者传播恶意软件的软件程序或脚本。
随着互联网的发展,恶意代码的数量和种类不断增加,给用户计算机带来了巨大风险。
因此,对于网络安全中的恶意代码分析与防范成为了一个重要的议题。
一、恶意代码的类型恶意代码的类型繁多,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。
这些恶意代码以不同的方式侵入到用户计算机中,对用户的信息和系统安全构成威胁。
1.病毒(Virus):病毒是一种能够通过自我复制和植入到其他可执行文件中来传播的恶意代码。
病毒可以破坏或删除文件,感染其他文件并传播到其他计算机上。
2.蠕虫(Worm):蠕虫是一种无需依赖其他程序传播的恶意代码。
蠕虫可以通过网络连接和传播自己,感染其他计算机并利用系统漏洞获取权限,从而对计算机进行攻击。
3.木马(Trojan):木马是一种将恶意功能隐藏在看似有用的程序中的恶意代码。
用户在下载和安装这些程序时,木马就会获取系统权限,窃取用户的敏感信息或者控制系统进行攻击。
4.间谍软件(Spyware):间谍软件是一种用于窃取用户个人信息并未用户做出批准的恶意代码。
间谍软件可以记录用户的浏览记录、键盘输入、窃取敏感信息等。
二、恶意代码的分析恶意代码分析是指对恶意代码进行研究和解剖,以了解其行为特征、传播方式和攻击手段,为后续的防范提供依据。
恶意代码分析主要包括静态分析和动态分析。
1.静态分析:静态分析是通过对恶意代码的静态特征进行分析,如文件大小、文件结构、代码特征等。
静态分析可以帮助分析人员了解恶意代码的基本功能和执行路径,但无法获取其具体行为和产生的动态效果。
2.动态分析:动态分析是通过在受控环境中进行恶意代码的执行并观察其行为。
动态分析可以获取恶意代码的运行轨迹、网络连接、系统变化等信息。
这可以帮助分析人员深入了解恶意代码的具体行为和对计算机系统的威胁程度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
伪装成有用的文件
Bind Exploit Php OF Exploit 邮件欺骗
◦ Wantjob变种 ◦ “中国黑客”
“You win ……free porn……”
嵌入其他文件
二进制可执行文件嵌入
◦ 病毒式的感染
insertcode.exe
防范主体
◦ 网络运营商、服务提供商、用户; ◦ 系统厂商、防毒产品厂商; ◦ 科研技术人员、政府主管部门;
蠕虫的历史回顾
Xerox PRAC, Morris Worm, WANK Worm, ADM Worm, Millennium, Ramen Worm, Lion Worm, Adore Worm, Cheese Worm, Sadmind/IIS Worm, CodeRed Worm, Nimda Worm, Slapper, Slammer,
php.ini disable_functions =
◦ 正确设置权限
漏洞越来越多…
攻击越来越容易…
病毒数量增长越来越快…
Computer Viruses
90000 80000 70000 60000 50000 40000 30000 20000 10000 0 1989
1990
1991
IE的多个问题
IE 5.5 以下异常处理MIME头 IE 5.5 以下 com.ms.activeX.ActiveXComponent对象 嵌入 IE 5.5 以下codebase指向 IE 6.0 window.PoPup()window.Open() 如何利用来运行指定的程序
什么是恶意代码
二进制文件
◦ 病毒、木马、逻辑炸弹
脚本
◦ 各种脚本语言嵌入文档的脚本
宏
◦ 什么是宏 ◦ Bimary File Format
恶意代码如何会被运行
伪装成有用的文件 嵌入其他文件 利用系统漏洞 欺骗
Overview
什么是恶意代码 方向
◦ 服务器客户端、p2p ◦ 客户端服务器
◦ 通过网络 ◦ 通过人
恶意移动代码主要种类
Internet 蠕虫 病毒邮件 文件系统病毒 网页脚本 木马
恶意移动代码的简单比较
Internet 蠕虫 传播速度 传播方式 影响对象 防治难度 经济损失 极快 自动 网络 难 严重 病毒邮件 快 半自动 网络 难 较大 文件系统 病毒 一般 半自动 主机 易 较大 网页脚本 慢 人工 主机 易 一般 木马 慢 人工 主机 一般 一般
–
CSO Magazine Security Sensor III & IV Research July 2003
Internet面临的安全挑战
如何防范自动化攻击? 如何防范快速突发攻击? 如何防范大规模攻击?
恶意移动代码主要特性
破坏性(Malicious Code, Malware) 移动性(Mobile Code)
区域性网络
时
多个网络
天 周
First Gen
• Boot viruses
Third Gen
• Distributed denial of service • Blended threats
单个网络
Second Gen
• Macro viruses • Denial of service
单台计算机
1980s
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
Regular viruses
Macro viruses
风险越来越大…
攻击目标和 破坏程度
全球基础设施
Rapidly Escalating Threat to Businesses
分
Next Gen • Flash threats • Massive wormdriven DDoS • Damaging payload worms
1990s
Today
Future
病毒、蠕虫、DDoS组合攻击
Attack zombies:
Use valid protocols Spoof source IP Massively distributed
Infrastructure-level DDoS attacks
Bandwidth-level DDoS attacks
各种恶意移动代码的融合趋势
病毒、蠕虫、木马之间的界限已经不再 明显; 综合使用多种攻击手段:
◦ 传播:计算机系统的漏洞、电子邮件、文 件共享、Web浏览等 ◦ 社会工程(social engineering )
攻防主体
影响网络安全的三支力量
◦ Hacker ◦ VXer ◦ Cracker
其它问题
邮件中的恶意代码
◦ IE 带来的问题 ◦ 客户端本身的问
用户安全意识 反恶意代码邮件网关 检查html邮件及附件 基于主机的反病毒程序 检测网页及邮件恶意代码 反病毒网关 检测网页、ftp下载、邮件等 使用其它浏览器(opera)
客户端服务器
虚拟主机的问题和提供CGI的WEB空间 服务
◦ EXEbind
脚本嵌入
◦ Word系列文件、lotus系列文件 ◦ HTML!!!
利用系统漏洞
lotus Notes 邮件对象嵌入(略) Word 2000带有模板文件链接的RTF文 件(略) 利用flash本身的漏洞
IE的多个问题
◦ =<6.0.29 畸形文件头缓冲区溢出 ◦ <6.0.29 "movie"参数缓冲区溢出 ◦ OE、outlook、foxmail……
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL SID\{0D43FE01-F093-11CF-894000A0C9054228}
针对利用IE问题的对策
2. 3禁用Shell.Application对象,阻止运行程序删 除注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL SID\{13709620-C279-11CE-A49E444553540000}
针对利用IE问题的对策
1、在IE的“internet选项”中的“安全” 项中把“安全级别”设为“高”,或在 “自定义级别”中把“对标记为可安全 执行的ActiveX控件执行脚本”标记为 “禁用”。
此措施仅对WEB上的代码有效,对于本地文 件无效。
针对利用IE问题的对策
2. 1禁用WSHShell对象,阻止运行程序 删除或更名系统文件夹中的wshom.ocx 或删除注册表项:
com.ms.activeX.ActiveXComponent对象嵌入
<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXC omponent></APPLET> <SCRIPT> ………… <SCRIPT>
IE 5.5 以下codebase指向
1980年 1988年11月2日 1989年10月16日 1998年5月 1999年9月 2001年1月 2001年3月23日 2001年4月3日 2001年5月 2001年5月 2001年7月19日 2001年9月18日 2002年9月14日 2003年1月25日
2004年蠕虫
MyDoom.C 2004年2月9日 Witty Worm 2004年3月20日 Sasser Worm 2004年4月30日 Santy Worm 2004年12月21日
◦ ASP、PERL、PHP、JSP ◦ 查看系统文件、执行系统命令、查看其他 用户的CGI源码
客户端服务器
system()、passthru()、exec()、WSH Runtime.getRuntime().exec()
调用系统命令
读写文件
FSO fopen()
客户端服务器
对策
◦ 删除危险对象 ◦ 配置文件,限制函数
蠕虫的爆发周期越来越短…
漏洞公布和蠕虫爆发的间隔越来越短
最佳时机
及时
太晚了
漏洞发现
攻击代码
蠕虫爆发
控制
清除
恶意移动代码主要研究内容
恶意代码的工作机制 传播模型 仿真 检测
◦ 其他工作的基础 ◦ 现有模型忽略太多因素而缺乏指导意义 ◦ 仿真Internet难度较大 ◦ 检测结果出来为时已晚
针对利用IE问题的对策
4、在IE中设置禁止下载: 选择:“工具”->“Internet 选项...”>“安全”->“Internet”(或者其他区域, 例如“本地Intranet”、“受信任的站 点”)点击“自定义级别”,在“安全 设置”中选择“下载”->“文件下载”, 将其属性改为“禁用”,按“确定”保 存设置。
什么是恶意代码 方向
◦ 服务器客户端、p2p ◦ 客户端服务器
恶意代码如何会在你的系统上运行 防御恶意代码
针对利用IE问题的对策
禁用某些脚本功能 禁用下载 Windows update IE 6 问题目前没有补丁 注册表被修改之后
◦ /download/othertools/Duba_Reg Solve.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Clas ses\CLSID\{F935DC22-1CF0-11D0ADB9-00C04FD58A0B}