恶意软件病毒的分析与防范defenceanalysisofmalware

恶意软件病毒的分析与防范defenceanalysisofmalware

ID:27694829

大小:559.00 KB

页数:63页

时间:2018-12-03

恶意软件病毒的分析与防范defenceanalysisofmalware_第1页
恶意软件病毒的分析与防范defenceanalysisofmalware_第2页
恶意软件病毒的分析与防范defenceanalysisofmalware_第3页
恶意软件病毒的分析与防范defenceanalysisofmalware_第4页
恶意软件病毒的分析与防范defenceanalysisofmalware_第5页
资源描述:

《恶意软件病毒的分析与防范defenceanalysisofmalware》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、恶意软件(病毒)的分析与防范Defence&analysisofmalware计算机学院傅建明Fujms@sina.com1后门后门是一个允许攻击者绕过系统中常规安全控制机制的程序,他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。2后门的类型本地权限的提升对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。单个命令的远程执行攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执行攻击者的命令并将输出返回给攻击者。远程命令行解释器访问正如远程Shell,这类后门允许攻击者通过网络快速

2、直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。远程控制GUI攻击者可以看到目标计算机的GUI,控制鼠标的移动,输入对键盘的操作,这些都通过网络实现。3后门的安装自己植入(物理接触或入侵之后)通过病毒、蠕虫和恶意移动代码欺骗受害者自己安装Email远程共享BT下载……4后门举例NetCat:通用的网络连接工具用法一:nc–l–p5000–ecmd.exenc127.0.0.15000用法二:nc–l–p5000nc127.0.0.15000–ecmd.execshell.exe5其他Windows下的后门程序CryptCatTini提供通向Tcp端口7

3、777,只有3K。……67无端口后门-如何唤醒ICMP后门不使用TCP/UDP协议。使用ICMP协议进行通信。难以检测。非混合型探测后门攻击者将触发指令发送到对方计算机。难以检测。(Cd00r:syntoportx,syntoporty,syntoportz)混合型探测后门只要攻击者将触发指令发送到对方网络中即可触发后门。更加难以检测。(syntoportx,syntoportx,syntoportxindifferentIps)8Bits--glacier进程管理器中看不到平时没有端口,只是在系统中充当卧底的角色提供正向连接和反向连接两种功能仅适用于Windows2000

4、/XP/2003具体用法和例子可以查看“难以觉察的后门--BITS”一文9GUI(GraphicsUserInterface)远程控制并非所有的GUI远程控制都是恶意的VNC(VirtualNetworkComputing)WindowsTerminalServicesPCAnywhereBackOrifice2000SubSeven10VNC英国剑桥大学AT&T实验室在2002年开发的轻量型的远程控制计算机软件,任何人都可免费取得该软件。VNC软件主要由两个部分组成:VNCserver及VNCviewer。VNCserver与VNCviewer支持多种操作系统,如wind

5、ows,Linux,MacOS及Unix系列(Unix,Solaris等),因此可将VNCserver及VNCviewer分别安装在不同的操作系统中进行控制。也可以通过一般的网络浏览器(如IE等)来控制被控端(需要Java虚拟机的支持)。11VNC程序举例12后门的启动感染普通执行文件或系统文件添加程序到“开始”-“程序”-“启动”选项修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项通过修改注册表启动键值修改文件关联的打开方式添加计划任务利用自定义文件夹风格注册为Internet

6、 Explorer的BHO (Browser Helper Object)组件具体请参考“Windows的自启动方式”一文。13检测Windows后门启动技术手工检测注册表启动键值启动选项关联方式计划任务…利用工具检测MsconfigAutoRunshttp://www.sysinternals.com/Utilities/Autoruns.html完整性检测程序(GFILANguardSystemIntegrityMonitor,IonxDataSentinel)14AutoRuns的运行界面15如何防御后门 --普通后门培养良好的安全意识和习惯。使用网络防火墙封锁与端口

7、的连接。仅允许最少数量的端口通信通过防火墙天网个人防火墙,瑞星防火墙,江民黑客防火墙,ZoneAlarm,NortonPersonalFirewall……经常利用端口扫描器扫描主机或端口查看工具查找本地端口监听程序。Nmap,Xscan,NC,Fport,TcpView,IceSword……16如何防御后门 --无端口后门查找不寻常的程序查找不寻常的进程利用基于网络的IDS查找隐蔽的后门命令,如Snort。检测本地和网络中的混杂模式的网卡本地检测嗅探器(Promiscdetect.exe)远程检测嗅探器(Senti

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。