资源描述:
《网络安全-恶意代码原理、检测与分析.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、恶意代码/恶意软件MaliciousCode,Malware提纲一.恶意移动代码简介二.计算机病毒三.网络蠕虫和木马四.恶意代码分析与研究五.近年来趋势分析病毒、蠕虫与木马的比较特性病毒蠕虫木马宿主需要不需要需要表现形式嵌入分区表或文独立的文件伪装成其他文件件,不以文件形式存在传播方式依赖宿主文件、介自主传播依靠用户主动传质、用户的干预播主要危害破坏数据完整性、侵占资源留下后门,窃取系统完整性信息传播速度快极快慢其他形式的Malware•其他可执行的内容–Macro,JavaApplet,ActiveX,JavaS
2、cripts,VBScripts–Php/perl/jsp/…script•LogicBomb•SpammerPrograms•Flooders•Keyloggers•Rootkit•Spyware•RogueWare•…恶意代码的命名标准:CARO[://][/][.][.].[][!]•E.g.:W32.Worm.Krn132.60168,W32.Worm.SoBig.E•Ty
3、pe:virus,trojan,backdoor,•Platform:DOS,W32,VBS,W97,….–virus://{VBS,W97M,Win32}/Foo.A@mm•Family:onlypartofavirusscannermustreport•Modifiers:e.g.virus://W97M/Foo.A@irc@mm.CurrentStatusoftheCAROMalwareNamingSchemeDr.VesselinBontchev,anti–virusresearcherFRISKSoftw
4、areInternationalThverholt18,IS–105Reykjavik,Iceland提纲一.恶意移动代码简介二.计算机病毒三.网络蠕虫和木马四.恶意代码分析与研究五.近年来趋势分析计算机病毒的产生•1949,JohnvonNeumann:TheoryofSelf-ReproducingAutomataTheEarlycomputervirus•RobertMorris–RedCode/PDP-1–CoreWar•Simplestprogram:–MOV0,1计算机病毒的分类•平台分类:DOS,Wi
5、n32,MAC,Unix,…•按宿主分类:–引导型•主引导区•操作系统引导区–文件型•操作系统•应用程序•宏病毒引导型病毒—引导记录•主引导记录(MBR)引导代码及出错信息主引导程序(446字节)主分区表A分区1(16字节)(64字节)分区2(16字节)分区3(16字节)结束标记分区4(16字节)(2字节)55AA引导型病毒—感染与执行过程系统引导区引导。。。病毒。正常执行留行行驻执执毒毒体病带毒病病病毒。。。。统系导如果病毒文件太大。。。引文件型病毒—文件结构•.COM文件.EXE文件PSPHeader(256b
6、ytes)PSPHeader(512bytes)CodeSegment(s)Code,Data,Stack(64K)Segment(s)DataSegment(s)(64KBytes)(64K)StackSegment(s)(64K)代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像文件型病毒感染机理病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头病毒程序头序头序头序头序头序头序头序头序头序头序头序头序头程程程程程程程程程程程程序头头头头头头头头头头程序
7、头序头序头序序序序序序序序序程程程序头序头序头序头序头序头程程程程程程程程程头程程程程程程序头序序头正常正常正常程程程正常正常头正常序正常正常正常程程序头正常正常正常正常正常正常正常正常正常正常正常正常正常正常正常程序程序程序程序程序程序程程序序头头程序头程序程序程序程序程序程序程序程序程序程序程序程序程序程序程序程序程序程序病毒程序程程病毒程序序序头头病毒程序病毒程序程程程程序序序序头头头头病毒程序病毒程序程序头程病毒程序程序程病毒程序序头病毒程序程序头程序头程序头序头头程序头程序头程序头程序头PE(Portab
8、leExecutable)文件ThisprogramcannotruninDOSmodeSectiontable代码段:.text资源:.rsrc•pedump文件感染技术OverwritingVirusesAppendingVirusesprependervirusclassicparasiticvirus文件感染技术Cavityviruscompress
