信息安全工程师笔记-恶意代码防范技术原理
Posted IT1995
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了信息安全工程师笔记-恶意代码防范技术原理相关的知识,希望对你有一定的参考价值。
恶意代码定义
违背目标系统安全策略的程序代码,会造成目标系统信息泄漏、资源滥用,破坏系统的完整性及可用性;
它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统。
恶意代码分类
被动传播:
①计算机病毒、②特洛伊木马、③间谍软件、④逻辑炸弹
主动传播:
①网络蠕虫、②其他
恶意代码攻击模型
攻击过程分为6个步骤:
①入侵系统;
②维持或提升自己已有的权限;
③隐蔽;
④潜伏;
⑤破坏;
⑥重复前面5步对新的目标实施攻击过程。
恶意代码攻击技术
①进程注入技术;
②超级管理技术;
③端口反向连接技术;
④缓冲区溢出攻击技术。
计算机病毒常见类型与技术
①引导型病毒:感染计算机系统的引导区;
②宏病毒:以文档或数据为病毒载体;
③多态病毒:通过更换加密算法,改变存在形式,没有固定特征;
④隐蔽病毒:隐藏文件日期、大小变化、病毒加密。
特洛伊木马概念
特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的原创控制程序,这些代码或者执行恶意行为,或者为非授权访系统的特权功能提供后门。
①特洛伊木马不具备自我传播能力,需要通过其他传播机制来实现;
②植入受害主机的是服务端(木马代理),入侵者控制的是客户端。
特洛伊木马隐藏技术
①本地活动行为隐藏技术:文件隐藏、进程隐藏、通信连接隐藏;
②远程通信过程隐藏技术:通信内容加密技术、通信端口复用技术、网络隐藏通道;
网络蠕虫漏洞利用技术
①主机之间的信任关系漏洞;
②目标主机的程序漏洞;
③目标主机的默认用户和口令漏洞;
④目标主机的用户安全意识薄弱漏洞;
⑤目标主机客户端程序配置漏洞。
网络蠕虫防范技术
①网络蠕虫传播抑制技术:网络蠕虫传播抑制技术主要是基于蜜罐技术,在网络中设置虚拟机器或虚拟漏洞,欺骗蠕虫。
②网络系统漏洞检测与系统加固技术:防治网络蠕虫的关键是解决漏洞问题,漏洞扫描、漏洞修补、漏洞预防。
僵尸网络防范技术
①僵尸网络威胁监测:利用蜜罐捕获僵尸程序,并分析;
②僵尸网络检测:检测网络中的异常网络流量,以发现僵尸网络;
③僵尸网络主动抑制:通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名;
④僵尸程序查杀:在受害的目标机上,安装专用安全工具,清除僵尸程序。
逻辑炸弹
开发人员为报复公司在程序中写的一段恶意代码。
逻辑炸弹是一段依附在其他软件中,并具有触发执行破坏能力的程序代码:
①逻辑炸弹的触发条件包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等;
②逻辑炸弹只有在触发条件满足后,才开执行逻辑炸弹的破坏功能;
③逻辑炸弹不能复制自身,不能感染其他程序。
陷门
陷门是软件系统中的一段代码,允许用户避开系统安全机制访问系统。陷门由专门的命令激活,一般不容易发现。
①陷门通常是软件开发商为调试程序、维护系统而设定的功能;
②陷门不具有自动传播和自我复制功能。
细菌
细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件,但它通过复制本身来消耗系统资源。包括CPU、内存、磁盘空间。
间谍软件
通常指那些在用户不知情的情况下被安装在计算机中的各种软件,执行用户非期望的功能。这些软件可以产生弹出广告,重定向用户浏览器到陌生的网站。同时,间谍软件还具有收集信息的能力,可记录用户的攻键情况、浏览习惯,甚至窃取用户的个人信息,然后经因特网推送给攻击者。间谍软件不具备自窝复制功能。
以上是关于信息安全工程师笔记-恶意代码防范技术原理的主要内容,如果未能解决你的问题,请参考以下文章