返回
恶意代码检测与防范

恶意代码检测与防范

ID:39413986

大小:529.00 KB

页数:24页

时间:2019-07-02

恶意代码检测与防范_第1页
恶意代码检测与防范_第2页
恶意代码检测与防范_第3页
恶意代码检测与防范_第4页
恶意代码检测与防范_第5页
资源描述:

《恶意代码检测与防范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、恶意代码检测与防范主要内容常见的恶意代码恶意代码机理恶意代码检测恶意代码清除与预防恶意代码 主要是指以危害信息的安全等不良意图为目的的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马恶意代码主要危害攻击系统,造成系统瘫痪或操作异常危害数据文件的安全存储和使用泄露文件、配置或隐秘信息肆意占用资源,影响系统或网络性能常见的恶意代码都是人为编制的程序对系统具有破坏性或威胁性往往具有传染性、潜伏性、非授权执行性根据种类不同还具有寄生性、欺骗性、针对性等恶意代码的基本特征网络成为计算机病毒传播的主要载体网络蠕虫成为最主要和破坏力最大的病毒类

2、型与黑客技术相结合,出现带有明显病毒特征的木马或木马特征的病毒出现手机病毒、信息家电病毒病毒制造传播目的由以表现破坏为主转向以获利为主,木马病毒成为当前主流病毒恶意代码的发展趋势计算机病毒是一类具有寄生性、传染性、破坏性的程序代码,寄生性和传染性是病毒区别于其他恶意代码的本质特征计算机病毒代码不能独立存在,必须插入到其他序或文件中,并随着其他文件的运行而被激活,然后驻留在内存以便进一步感染或者破坏可分为引导型、文件型、混合型病毒如CIH病毒,宏病毒等计算机病毒病毒的两种存在状态静态:仅存在于文件中激活:驻留内存,可以感染其他文件或磁盘仅感染本机的文件随感染文件的传播

3、而传播传播方式软盘、移动硬盘、U盘、光盘等,特别是盗版光盘文件共享、电子邮件、网页浏览、文件下载计算机病毒传染传播不依附其他程序,而是一段独立的程序通过网络把自身的拷贝传播给其它计算机可以修改删除其他程序,也可能通过反复自我复制占尽网络或系统资源,造成拒绝服务具备病毒复制和入侵攻击双重特点利用漏洞自主传播如:红色代码、冲击波等蠕虫蠕虫程序的传播过程(1)扫描:蠕虫的扫描功能模块负责探测存在漏洞的主机,以便得到一个可传染的对象。(2)攻击:攻击模块自动攻击找到的可传染对象,取得该主机的权限,获得一个shell。(3)复制:复制模块通过两主机的交互将蠕虫程序复制到目标主

4、机并启动。可见,传播模块实现的是自动入侵的功能。蠕虫的传播技术是蠕虫技术的首要技术。蠕虫木马是一种程序,它能提供一些有用的或者令人感兴趣的功能,但是还具有用户不知道的其它功能。木马不具有传染性,不能自我复制,通常不被当成病毒典型木马如冰河、灰鸽子、Bo2K等木马特洛伊木马的分类远程访问型密码发送型键盘记录型破坏型FTP型DoS攻击型代理型木马1、木马服务程序:也称服务器端,是指被控制电脑内被种植且被运行的木马程序,接受控制指令,执行监控功能2、木马配置程序:设置木马的参数,如端口号、木马文件名称、启动方式等3、木马控制程序:也称控制端,是指进行操控和监视的电脑内运行

5、的程序,用以连接到服务程序,发出控制指令,并接收服务程序传送来的数据。有时配置程序和控制程序集成在一起,统称控制端程序。木马程序构成配置木马:设置木马参数,实现伪装和信息反馈传播木马:如通过帮定程序将木马帮定到某个合法或有用软件,通过诱骗等方式传播到用户系统运行木马:用户运行捆绑木马的软件而安装木马,将木马文件复制到系统,并设置触发条件,以后可自动运行信息反馈:木马收集系统信息发送给控制端攻击者建立连接:控制程序扫描运行了木马的主机(开放特定端口),添加到主机列表,并在特定端口建立连接实施监控:实现远程控制,如同本地操作木马的基本原理(1)以邮件附件的形式传播:(2

6、)将木马程序捆绑在软件安装程序上,通过网络下载传播。(3)通过聊天工具如QQ等传送文件传播(4)通过蠕虫程序植入。(5)通过交互脚本或网页植入(6)通过系统漏洞直接种植(7)通过各种介质交换文件传播木马的传播方式和应用程序捆绑修改Windows系统注册表 例如:下面注册表中的某些键值HLMSoftwareMicrosoftWindowsCurrentVersionRunHLMSoftwareMicrosoftWindowsCurrentVersionRunServiceHLMsoftwaremicrosoftwindowscurrentv

7、ersionrunonceHCUsoftwaremicrosoftwindowscurrentversionrun修改文件关联 如冰河木马修改文本文件关联HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值Notepad.exe1%改为Sysexplr.exe1%木马的自加载运行技术恶意代码防范,是指通过建立合理的病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,从计算机中清除病毒代码,恢复受影响的计算机系统和数据。防范体系管理体系技术体系防治策略主动预防为主、被动处理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。