0%

第14章 恶意代码防范技术原理

恶意代码概述

根据恶意代码传播特性,分为:

  • 被动传播:计算机病毒、特洛伊木马、间谍软件、逻辑炸弹
  • 主动传播:网络蠕虫、其他

恶意代码攻击模型

恶意代码生成技术

  1. 反跟踪技术

    1. 反动态跟踪技术
      • 禁止跟踪技术
      • 检测跟踪法
      • 其他反跟踪技术(如指令流队列法和逆指令流法)
    2. 反静态分析技术
      • 对程序代码分块解密执行
      • 伪指令法
  2. 加密技术

    加密三种手段:信息加密、数据加密、程序代码加密

  3. 模糊变换技术

    模糊变换技术分为:

    • 指令替换技术
    • 指令压缩技术
    • 指令扩展技术
    • 伪指令技术(插入无效指令到恶意代码程序体)
    • 重编译技术(携带恶意代码源码,在系统提供编译器基础上进行编译)
  4. 自动生产技术

    利用“多态性发生器”让代码本身产生改变,却保持原有功能

  5. 变形技术

    设计出具有同一功能不同特征码的恶意代码,常见技术:

    • 重汇编技术
    • 压缩技术
    • 膨胀技术
    • 伪指令技术
    • 重编译技术
  6. 三线程技术

    同时开启三个线程,其中一个为负责远程控制工作的主线程,另外两个监视线程是否被删除或停止。

  7. 进程注入技术

  8. 通信隐藏技术

    四类技术:

    • 端口定制技术:优点,避开检测缺省端口的木马检测工具
    • 端口复用技术:具有欺骗性
    • 通信加密技术:使内容隐蔽,单通信状态无法隐藏
    • 隐蔽通道技术:有效隐藏通信内容和状态
  9. 内核级隐藏技术

    • LKM隐藏:LKM不用重新编译内核将动态加载到内存中。将恶意程序转化为内核一部分,再通过hook系统调用
    • 内存映射隐藏:由一个文件到一块内存的映射。通过内存指令读写文件。

恶意代码攻击技术

  1. 进程注入技术
  2. 超级管理技术(对反恶意代码软件系统进行拒绝服务攻击,阻碍其正常运行)
  3. 端口反向连接技术
  4. 缓冲区溢出攻击技术

恶意代码分析技术

恶意代码防范策略

计算机病毒分析与防护

计算机病毒概念与特性

计算机病毒都具有四个基本特点:隐蔽性、传染性、潜伏性、破坏性

计算机病毒组成与运行机制

组成:复制传染部件、隐藏部件、破坏部件

生命周期主要两个阶段:

  1. 计算机病毒的复制传播阶段
  2. 计算机病毒的激活阶段

计算机病毒常见类型与技术

  • 引导型病毒:感染计算机系统引导去而控制系统
  • 宏病毒(Macro Viruses):利用宏语言来实现
  • 多态病毒(Polymorphic Viruses):感染新对象后,通过变换加密算法,改变存在形式。三个主要组成部分:杂乱的病毒体、解密例程、变化引擎
  • 隐蔽病毒(Stealth Viruses):技术主要包括隐藏文件的日期、时间的变化;隐藏文件大小的变化;病毒加密

计算机病毒防范策略与技术

  1. 查找计算机病毒源

    主要方法如下:

    • 比较法
    • 搜索法
    • 特征字识别法
    • 分析法
  2. 阻断计算机病毒传播途径

    具体方法:

    • 用户具有病毒防范安全意识和安全操作习惯
    • 消除计算机病毒载体。
    • 安全区域隔离
  3. 主动查杀计算机病毒

    主要方法如下:

    • 定期对计算机系统进行病毒检测
    • 安装防计算机病毒软件,建立多级病毒防护体系
  4. 计算机病毒应急响应和灾备

    应急响应技术和措施主要如下:

    • 备份
    • 数据修复技术
    • 网络过滤技术
    • 计算机病毒应急响应预案

计算机病毒防护方案

  1. 基于单机计算机病毒防护

  2. 基于网络计算机病毒防护

    建立网络防病毒管理平台,集中监控与管理

  3. 基于网络分级病毒防护

    基于三级管理模式:单机终端杀毒-局域网集中监控-广域网总部管理

  4. 基于邮件网关病毒防护

  5. 基于网关防护

    防火墙提交数据给网关杀毒系统检查

特洛伊木马分析与防护

特洛伊木马概念与特性

伪装成合法程序或文件,植入系统,对网络系统安全构成严重威胁。

特洛伊木马分类

根据管理方式分:本地特洛伊木马和网络特洛伊木马

网络木马由两部分组成:远程木马控制管理和木马代理

特洛伊木马运行机制

特洛伊木马植入技术

植入方法分为:被动植入和主动植入

被动植入常用方法:

  • 文件捆绑法
  • 邮件附件
  • Web网页

特洛伊木马隐藏技术

  1. 本地活动行为隐藏技术

    利用LKM功能,常见技术方法如下:

    • 文件隐藏
    • 进程隐藏
    • 通信连接隐藏
  2. 远程通信过程隐藏技术

    关键技术方法:

    • 通信内容加密技术
    • 通信端口复用技术
    • 网络隐蔽通道

特洛伊木马存活技术

采用反监测技术,甚至中断反网络木马程序运行

具有端口反响连接功能

特洛伊木马防范技术

  1. 基于查看开放端口监测特洛伊木马技术

    查看开放端口:系统netstat命令;端口扫描软件

  2. 基于重要系统文件检测特洛伊木马技术

  3. 基于系统注册表检测特洛伊木马技术

    注册表目录:

  4. 检测具有隐藏能力的特洛伊木马

    检测Rootkit的技术由三类:

    • 针对已知Rootkit,基于运行痕迹特征来判断,只能针对特定的已知Rootkit
    • 基于执行路径的分析检测方法,原理:安装Rootkit的系统在执行一些操作时,要完成附加的功能,需要执行更多的CPU指令。
    • 直接读取内核数据的分析检测方法,原理:直接读取内核数据以判断当前系统状态,针对通过修改内核数据结构的方法来隐藏自己的Rootkit。
  5. 基于网络检测特洛伊木马技术

    通过捕获主机的网络通信,检测数据包是否具有特洛伊木马特征。

  6. 基于网络阻断特洛伊木马技术

    原理:利用防火墙、路由器、安全网关等网络设备

  7. 清除特洛伊木马技术

    手工清除方法和软件清除方法

网络蠕虫分析与防护

网络蠕虫是一种具有自我复制和传播能力、可独立运行的恶意程序。

网络蠕虫组成与运行机制

由四个功能模块构成:探测(决定攻击方式)、传播、蠕虫引擎(信息收集)和负载模块

运行机制分为三个阶段,重复执行:

  1. 已经感染蠕虫的主机在网络上搜索发现易感染目标主机。
  2. 已经感染蠕虫的主机把蠕虫代码传送到易感染目标主机。
  3. 易感染主机执行蠕虫代码。

网络蠕虫常用技术

  1. 网络蠕虫扫描技术

    三种措施:

    • 减少扫描未用到地址空间
    • 在主机漏洞密度高的地址空间发现易感主机
    • 增加感染源

    传播方法:

    1. 随机扫描
    2. 顺序扫描
    3. 选择性扫描
  2. 网络蠕虫漏洞利用技术

    常见技术:

    • 主机之间的信任关系漏洞
    • 目标主机的程序漏洞
    • 目标主机的默认用户和口令漏洞
    • 目标主机的用户安全意识薄弱漏洞
    • 目标主机的客户端程序配置漏洞

网络蠕虫防范技术

  1. 网络蠕虫监测与预警技术

    与蠕虫相关的信息类型:

    • 本地网络通信连接数
    • ICMP协议的路由错误包
    • 网络当前通信流量
    • 网络服务分布
    • 域名服务
    • 端口活动
    • CPU利用率
    • 内存利用率
  2. 网络蠕虫传播抑制技术

    基本原理:利用网络蠕虫的传播特点,来构造一个限制网络蠕虫传播的环境。如蜜罐技术

  3. 网络系统漏洞检测与系统加固技术

    系统加固:修改安全配置、调整安全策略、安装补丁软件、安装安全工具软件等

  4. 网络蠕虫免疫技术

    易感染等主机系统上设置一个蠕虫感染标记,欺骗真实的网络蠕虫。

  5. 网络蠕虫阻断与隔离技术

    主要利用防火墙、路由器进行控制

  6. 网络蠕虫清除技术(手工或专用工具)

僵尸网络分析与防护

僵尸网络概念与特性

僵尸网络的构建方式:远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等

僵尸网络运行机制与技术

运行机制三个基本环节:

  1. 僵尸程序的传播
  2. 对僵尸程序进行远程命令操作和控制,组成一个网络(可分为集中式和分布式)
  3. 攻击者通过控制服务器,给僵尸程序发送攻击指令,执行攻击活动

僵尸网络防范技术

  1. 僵尸网络威胁监测:蜜罐技术
  2. 僵尸网络检测:根据僵尸网络对通信内容和行为特征检测
  3. 僵尸网络主动遏制:通过路由和DNShemming方式屏蔽IP或域名
  4. 僵尸程序查杀

其他恶意代码分析与防护

逻辑炸弹

触发条件:计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式

陷门

软件系统中允许用户避开系统安全机制访问系统的一段代码,由专门命令激活

细菌

具有自我复制功能的独立程序

间谍软件

恶意代码防护主要产品与技术指标

恶意代码防护主要产品

  1. 终端防护产品
  2. 安全网关产品:通用型专用安全网关(UTM、IPS);应用安全网关(邮件网关、Web防火墙);具有安全功能的网络设备(路由器)
  3. 恶意代码检测产品:IDS、网络协议分析器
  4. 恶意代码防护产品:补丁管理系统
  5. 恶意代码应急响应:金山木马专杀、木马克星、Chkrootkit、AIRT、端口关联Fport

恶意代码防护主要技术指标

  1. 恶意代码检测能力:包括静态检测和动态检测
  2. 恶意代码检测准确率
  3. 恶意代码阻断能力:包含阻断技术措施、阻断恶意代码的类型和数量、阻断时效性

恶意代码防护技术应用

终端防护

APT防护

-------本文结束  感谢您的阅读-------