日韩av黄I国产麻豆传媒I国产91av视频在线观看I日韩一区二区三区在线看I美女国产在线I麻豆视频国产在线观看I成人黄色短片

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 >

恶意代码防范技术原理-计算机病毒和特洛伊木马分析与防护

發布時間:2024/8/1 78 豆豆
生活随笔 收集整理的這篇文章主要介紹了 恶意代码防范技术原理-计算机病毒和特洛伊木马分析与防护 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、計算機病毒分析與防護

1.1?計算機病毒概念與特性

計算機病毒:是一組具有自我復制、傳播能力程序代碼。它常依附在計算機的文件中,如可執行文件或Word文檔等

計算機病毒表現的主要癥狀

  • 計算機屏幕顯示異常
  • 機器不能引導啟動
  • 磁盤存儲容量異常減少
  • 磁盤操作異常的讀寫
  • 出現異常的聲音
  • 執行程序文件無法執行
  • 文件長度和日期發生變化
  • 系統死機頻繁
  • 系統不承認硬盤
  • 中斷向量表發生異常變化
  • 內存可用空間異常變化或減少
  • 系統運行速度性能下降
  • 系統配置文件改變
  • 系統參數改變

所有計算機病毒都具有以下四個基本特點:

  • 隱蔽性:計算機病毒附加在正常軟件或文檔中,一旦用戶未察覺,病毒就觸發執行,潛入到受害用戶的計算機中。病毒的隱蔽性使得受害用戶在不知不覺中感染病毒
  • 傳染性:指計算機病毒可以進行自我復制,并把復制的病毒附加到無病毒的程序中,或者去替換磁盤引導區的記錄,使得附加了病毒的程序或者磁盤變成了新的病毒源,又能進行病毒復制,重復原先的傳染過程。計算機病毒與其他程序最本質的區別在于計算機病毒能傳染
  • 潛伏性:計算機病毒感染正常的計算機之后,一般不會立即發作,而是等到觸發條件滿足時,才執行病毒的惡意功能,從而產生破壞作用。計算機病毒常見的觸發條件是特定日期
  • 破壞性:病毒的破壞后果是不可知的。據統計,病毒發作后,造成的破壞主要有數據部分丟失、系統無法使用、瀏覽器配置被修改、網絡無法使用、使用受限、受到遠程控制、數據全部丟失等

    • 1.2?計算機病毒組成與運行機制

    計算機病毒由三部分組成:

  • 復制傳染部件(replicator):功能是控制病毒向其他文件的傳染
  • 隱藏部件(concealer):功能是防止病毒被檢測到
  • 破壞部件(bomb):用在當病毒符合激活條件后,執行破壞操作

    • 計算機病毒將上述三個部分綜合在一起,然后病毒實現者用當前反病毒軟件不能檢測到的病毒感染系統,此后病毒就逐漸開始傳播

    計算機病毒的生命周期有兩個階段:

  • 計算機病毒的復制傳播階段:這一階段有可能持續一個星期到幾年。計算機病毒在這個階段盡可能地隱蔽其行為不干擾正常系統的功能。計算機病毒主動搜尋新的主機進行感染,如將病毒附在其他的軟件程序中,或者滲透操作系統。同時,可執行程序中的計算機病毒獲取程序控制權。在這一階段,發現計算機病毒特別困難,這主要是因為計算機病毒只感染少量的文件,難以引起用戶警覺
  • 計算機病毒的激活階段:計算機病毒在該階段開始逐漸或突然破壞系統。計算機病毒的主要工作是:根據數學公式判斷激活條件是否滿足,用作計算機病毒的激活條件常有日期、時間、感染文件數或其他

    • 1.3?計算機病毒常見類型與技術

  • 引導型病毒:通過感染計算機系統的引導區而控制系統,病毒真實的引導區內容修改或替換,當病毒程序執行后,才啟動操作系統。因此,感染引導型病毒的計算機系統看似正常運轉,而實際上病毒己在系統中隱藏,等待時機傳染和發作
  • 宏病毒(Macro Viruses):?是指利用宏語言來實現的計算機病毒。宏病毒的出現改變了病毒的載體模式,以前病毒的載體主要是可執行文件,而現在文檔或數據也可作為宏病毒的載體。宏病毒的出現實現了病毒的跨平臺傳播,它能夠感染任何運行Office的計算機
  • 多態病毒( Polymorphic Viruses):?多態病毒每次感染新的對象后,通過更換加密算法,改變其存在形式。這就意味著反病毒軟件常常難以檢測到它,一般需要采用啟發式分析方法來發現。多態病毒有三個主要組成部分:雜亂的病毒體、解密例程、變化引擎。變化引擎和病毒體都被加密。多態病毒沒有固定的特征、沒有固定的加密例程,從而就能逃避基于靜態特征的病毒掃描器的檢測
  • 隱蔽病毒( Stealth Viruses):隱蔽病毒試圖將自身的存在形式進行隱藏,使得操作系統和反病毒軟件不能發現。隱蔽病毒使用的技術主要包括:隱藏文件的日期、時間的變化隱藏文件大小的變化病毒加密

    • 1.4?計算機病毒防范策略與技術

    1. 查找計算機病毒源

    對計算機文件磁盤引導區進行計算機病毒檢測,以發現異常情況,確證計算機病毒的存在

    主要方法如下:

    • 比較法:原始備份被檢測的引導扇區被檢測的文件進行比較,檢查文件及系統區域參數是否出現完整性變化
    • 搜索法:是用每一種病毒體含有的特定字節串被檢測的對象進行掃描。如果在被檢測對象內部發現了某一種特定字節串,就表明發現了該字節串所代表的病毒
    • 特征字識別法:是基于特征串掃描法發展起來的一種新方法。特征字識別法只須從病毒體內抽取很少的幾個關鍵特征字,組成特征字庫。由于需要處理的字節很少,又不必進行串匹配,因此大大加快了識別速度,當被處理的程序很大時表現更突出
    • 分析法:通過詳細分析病毒代碼,制定相應的反病毒措施。使用分析法的目的是確認被觀察的磁盤引導區和程序中是否含有病毒,辨別病毒的類型、種類、結構提取病毒的特征字節串特征字,用于增添到病毒代碼庫供病毒掃描和識別程序用

    2. 阻斷計算機病毒傳播途徑

    由于計算機病毒的危害性是不可預見的,因此切斷計算機病毒的傳播途徑是關鍵防護措施

    具體方法如下:

    • 用戶具有計算機病毒防范安全意識安全操作習慣用戶不要輕易運行未知可執行軟件,特別是不要輕易打開電子郵件的附件
    • 消除計算機病毒載體:關鍵的計算機,做到盡量專機專用;不要隨便使用來歷不明的存儲介質,如磁盤、USB;禁用不需要的計算機服務和功能,如腳本語言、光盤自啟動等
    • 安全區域隔離:重要生產區域網絡系統辦公網絡進行安全分區,防止計算機病毒擴散傳播

    3.?主動查殺計算機病毒

    • 定期對計算機系統進行病毒檢測
    • 安裝防計算機病毒軟件,建立多級病毒防護體系

    4. 計算機病毒應急響應和災備

    即使計算機系統受到病毒破壞后,也能有相應的安全措施應對,盡可能避免計算機病毒造成的損害

    應急響應技術和措施主要有以下方面:

    • 備份:是應對計算機病毒最有效的方法。對計算機病毒容易侵害的文件、數據和系統進行備份。特別是核心關鍵計算機系統,還應做到系統級備份
    • 數據修復技術:對遭受計算機病毒破壞的磁盤、文件等進行修復
    • 網絡過濾技術:通過網絡的安全配置,將遭受計算機病毒攻擊的計算機網段進行安全隔離
    • 計算機病毒應急響應預案:制定受病毒攻擊的計算機及網絡方面的操作規程應急處置方案

    1.5?計算機病毒防護方案

  • 基于單機計算機病毒防護:單機病毒防護是傳統防御模式,作為固守網絡終端的最后防線。阻止來自軟盤、光盤、共享文件、互聯網的病毒入侵,進行重要數據備份等其他功能,防護單臺計算機
  • 基于網絡計算機病毒防護:通過在網管中心建立網絡防病毒管理平臺,實現病毒集中監控與管理,集中監測整個網絡的病毒疫情,提供網絡整體防病毒策略配置,在網管所涉及的重要部位設置防病毒軟件設備,在所有病毒能夠進入的地方都采取相應的防范措施,防止病毒侵襲。對網絡系統的服務器、工作站客戶機進行病毒防范的統一管理,及時更新病毒特征庫殺病毒軟件的版本升級
  • 基于網絡分級病毒防護:防御策略是基于三級管理模式:單機終端殺毒-局域網集中監控-廣域網總部管理
  • 基于郵件網關病毒防護:郵件網關防毒系統放置在郵件網關入口處,接收來自外部的郵件,對病毒、不良郵件等進行過濾,處理完畢后再將安全郵件轉發至郵件服務器
  • 基于網關防護:網絡出口處設置有效的病毒過濾系統,防火墻將數據提交給網關殺毒系統進行檢查,如有病毒入侵,網關防毒系統將通知防火墻立刻阻斷進行攻擊的IP。這種同步查毒的方式幾乎不影響網絡帶寬,同時能夠過濾多種數據庫和郵件中的病毒網關殺毒殺毒軟件防火墻技術的完美結合

    • 二、特洛伊木馬分析與防護

    2.1 特洛伊木馬概念與特性

    特洛伊木馬(Trojan Horse):簡稱木馬,是具有偽裝能力、隱蔽執行非法功能的惡意程序,而受害用戶表面上看到的是合法功能的執行

    目前特洛伊木馬己成為黑客常用的攻擊方法。它通過偽裝成合法程序文件,植入系統,對網絡系統安全構成嚴重威脅

    同計算機病毒、網絡蠕蟲相比較,特洛伊木馬不具有自我傳播能力,而是通過其他傳播機制來實現

    受到特洛伊木馬侵害的計算機,攻擊者可不同程度地遠程控制受害計算機,例如訪問受害計算機、在受害計算機上執行命令或利用受害計算機進行DDoS攻擊

    2.2 特洛伊木馬分類

    根據特洛伊木馬的管理方式,可以將特洛伊木馬分為

    • 本地特洛伊木馬:是最早期的一類木馬,特點是:木馬只運行在本地的單臺主機,木馬沒有遠程通信功能,木馬的攻擊環境是多用戶的UNIX系統,典型例子就是盜用口令的木馬
    • 網絡特洛伊木馬:是指具有網絡通信連接服務功能的一類木馬,簡稱網絡木馬。此類木馬由兩部分組成,即遠程木馬控制管理和木馬代理
      • 遠程木馬控制管理:主要是監測木馬代理的活動遠程配置管理代理,收集木馬代理竊取的信息
      • 木馬代理:則是植入目標系統中,伺機獲取目標系統的信息控制目標系統的運行,類似網絡管理代理

    ?目前,特洛伊木馬一般泛指這兩類木馬,但網絡木馬是主要類型

    2.3 特洛伊木馬運行機制

    木馬受攻擊者的意圖影響,其行為表現各異,但基本運行機制相同

    整個木馬攻擊過程主要分為五個部分:

    ①尋找攻擊目標:攻擊者通過互聯網或其他方式搜索潛在的攻擊目標
    ②收集目標系統的信息:主要包括操作系統類型、網絡結構、應用軟件、用戶習慣等
    ③將木馬植入目標系統:攻擊者根據所搜集到的信息,分析目標系統的脆弱性,制定植入木馬策略。木馬植入的途徑有很多,如通過網頁點擊、執行電子郵件附件
    ④木馬隱藏:為實現攻擊意圖,木馬設法隱蔽其行為,包括目標系統本地活動隱藏遠程通信隱藏
    ⑤攻擊意圖實現:激活木馬,實施攻擊。木馬植入系統后,待觸發條件滿足后,就進行攻擊破壞活動,如竊取口令、遠程訪問、刪除文件等

    2.4?特洛伊木馬植入技術

    特洛伊木馬植入是木馬攻擊目標系統最關鍵的一步,是后續攻擊活動的基礎

    特洛伊木馬的植入方法可以分為兩大類

    • 被動植入:是指通過人工干預方式才能將木馬程序安裝到目標系統中,植入過程必須依賴于受害用戶的手工操作
    • 主動植入:則是指主動攻擊方法,將木馬程序通過程序自動安裝到目標系統中,植入過程無須受害用戶的操作

    被動植入方法:主要通過社會工程方法將木馬程序偽裝成合法的程序,以達到降低受害用戶警覺性、誘騙用戶的目的,常用的方法如下:?

    • 文件捆綁法:將木馬捆綁到一些常用的應用軟件包中,當用戶安裝該軟件包時,木馬就在用戶毫無察覺的情況下,被植入系統中
    • 郵件附件:木馬設計者將木馬程序偽裝成郵件附件,然后發送給目標用戶,若用戶執行郵件附件就將木馬植入該系統中
    • Web網頁:木馬程序隱藏在html文件中,當受害用戶點擊該網頁時,就將木馬植入目標系統中

    2.5?特洛伊木馬隱藏技術

    特洛伊木馬的設計者為了逃避安全檢測,就要設法隱藏木馬的行為或痕跡

    主要技術目標:就是將木馬的本地活動行為、木馬的遠程通信過程進行隱藏

    1.本地活動行為隱藏技術

    現在的操作系統具有支持LKM的功能,通過LKM可增加系統功能,而且不需要重新編譯內核,就可以動態地加載。木馬設計者利用操作系統的LKM功能,通過替換或調整系統調用來實現木馬程序的隱藏

    技術方法包括:文件隱藏、進程隱藏、通信連接隱藏

    2.遠程通信過程隱藏技術

    特洛伊木馬除了在遠程目標端實現隱藏外,還必須實現遠程通信過程的隱藏,包括通信內容通信方式的隱藏

    木馬用到的遠程通信隱藏的關鍵技術方法如下:

    • 通信內容加密技術:將木馬通信的內容進行加密處理,使得網絡安全管理員無法識別通信內容
    • 通信端口復用技術:共享復用系統網絡端口來實現遠程通信,這樣既可以欺騙防火墻,又可以少開新端口。端口復用是在保證端口默認服務正常工作的條件下進行復用,具有很強的隱蔽性
    • 網絡隱蔽通道:利用通信協議網絡信息交換的方法來構建不同于正常的通信方式。特洛伊木馬的設計者將利用這些隱蔽通道繞過網絡安全訪問控制機制秘密地傳輸信息。由于網絡通信的復雜性,特洛伊木馬可以用隱蔽通道技術掩蓋通信內容通信狀態

    2.6 特洛伊木馬存活技術

    特洛伊木馬的存活能力取決于網絡木馬逃避安全監測的能力,一些網絡木馬侵入目標系統時采用反監測技術,甚至中斷反網絡木馬程序運行。一些高級木馬常具有端口反向連接功能

    端口反向連接技術:是指由木馬代理在目標系統主動連接外部網的遠程木馬控制端以逃避防火墻的限制

    2.7?特洛伊木馬防范技術

    防范木馬需要將監測與預警、通信阻斷、系統加固及修復、應急管理等多種技術綜合集成實現

    以下為近幾年的特洛伊木馬防范技術

    1.基于查看開放端口檢測特洛伊木馬技術

    基本原理:根據特洛伊木馬在受害計算機系統上留下的網絡通信端口號痕跡進行判斷,如果某個木馬的端口在某臺機器上開放,則推斷該機器受到木馬的侵害

    查看開放端口的技術有

    • 系統自帶的netstat命令
    • 用端口掃描軟件遠程檢測機器

    2.基于重要系統文件檢測特洛伊木馬技術

    基本原理:根據特洛伊木馬在受害計算機系統上對重要系統文件進行修改留下的痕跡進行判斷,通過比對正常的系統文件變化來確認木馬的存在。這些重要文件一般與系統的自啟動相關,木馬通過修改這些文件使得木馬能夠自啟動

    3.基于系統注冊表檢測特洛伊木馬技術

    Windows類型的木馬常通過修改注冊表的鍵值來控制木馬的自啟動

    基本原理:檢查計算機的注冊表鍵值異常情況以及對比已有木馬的修改注冊表的規律,綜合確認系統是否受到木馬侵害

    4.檢測具有隱藏能力的特洛伊木馬技術

    Rootkit是典型的具有隱藏能力的特洛伊木馬。目前,檢測Rootkit的技術有三類:

    • 第一類是針對已知的Rootkit進行檢測:這種方法基于Rootkit的運行痕跡特征來判斷計算機系統是否存在木馬。缺點:是只能針對特定的已知的Rootkit,而對未知的Rootkit幾乎無能為力
    • 第二類是基于執行路徑的分析檢測方法
      • 基本原理:安裝Rootkit的系統在執行一些操作時,由于要完成附加的Rootkit的功能,如隱藏進程、文件等,則需要執行更多的CPU指令,通過利用x86系列的CPU提供的步進模式,在CPU每執行一條指令后進行計數,將測量到的結果與正常的干凈的系統測得的數據進行比較,然后根據比較的差異,判斷系統是否可能已被安裝了Rootkit
      • 這種方法不僅限于己知的Rootkit,對于所有通過修改系統執行路徑來達到隱藏和執行功能目的的Rootkit都有很好的作用
    • 第三類是直接讀取內核數據的分析檢測方法:該方法針對通過修改內核數據結構的方法來隱藏自己的Rootkit基本原理:直接讀取內核中的內部數據以判斷系統當前的狀態

    5.基于網絡檢測特洛伊木馬技術

    在網絡中安裝入侵檢測系統通過捕獲主機的網絡通信,檢查通信的數據包是否具有特洛伊木馬的特征,或者分析通信是否異常來判斷主機是否受到木馬的侵害

    根據特洛伊木馬的植入方法,防止特洛伊木馬植入方法

    • 不輕易安裝未經過安全認可的軟件,特別是來自公共網的軟件
    • 提供完整性保護機制,即在需要保護的計算機.上安裝完整性機制,對重要的文件進行完整性檢查。例如安裝一種起完整性倮護作用的設備驅動程序,這些程序攔截一些系統服務調用,禁止任何新的模塊的載入,從而使系統免于Rootk it的危害
    • 利用漏洞掃描軟件,檢查系統存在的漏洞,然后針對相應的漏洞,安裝補丁軟件包

    6.基于網絡阻斷特洛伊木馬技術

    特洛伊木馬的傳播運行都依賴于網絡通信

    技術原理:利用防火墻、路由器、安全網關等網絡設備,對特洛伊木馬的通信進行阻斷,從而使得特洛伊木馬的功能失效或限制其傳播

    7.清除特洛伊木馬技術

    技術方法:

    • 手工清除方法
    • 軟件清除方法

    工作原理:刪除特洛伊木馬在受害機器上留下的文件,禁止特洛伊木馬的網絡通信,恢復木馬修改過的系統文件或注冊表。目前,市場上有專業的清除特洛伊木馬的工具

    友情鏈接:http://xqnav.top/

    總結

    以上是生活随笔為你收集整理的恶意代码防范技术原理-计算机病毒和特洛伊木马分析与防护的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。