信息安全工程师笔记-恶意代码防范技术原理

Posted 2021-10-03 IT1995

恶意代码定义

违背目标系统安全策略的程序代码，会造成目标系统信息泄漏、资源滥用，破坏系统的完整性及可用性；

它能够经过存储介质或网络进行传播，从一台计算机系统传到另外一台计算机系统，未经授权认证访问或破坏计算机系统。

恶意代码分类

被动传播：

①计算机病毒、②特洛伊木马、③间谍软件、④逻辑炸弹

主动传播：

①网络蠕虫、②其他

恶意代码攻击模型

攻击过程分为6个步骤：

①入侵系统；

②维持或提升自己已有的权限；

③隐蔽；

④潜伏；

⑤破坏；

⑥重复前面5步对新的目标实施攻击过程。

恶意代码攻击技术

①进程注入技术；

②超级管理技术；

③端口反向连接技术；

④缓冲区溢出攻击技术。

计算机病毒常见类型与技术

①引导型病毒：感染计算机系统的引导区；

②宏病毒：以文档或数据为病毒载体；

③多态病毒：通过更换加密算法，改变存在形式，没有固定特征；

④隐蔽病毒：隐藏文件日期、大小变化、病毒加密。

特洛伊木马概念

特洛伊木马（Trojan Horse）是指寄宿在计算机里的一种非授权的原创控制程序，这些代码或者执行恶意行为，或者为非授权访系统的特权功能提供后门。

①特洛伊木马不具备自我传播能力，需要通过其他传播机制来实现；

②植入受害主机的是服务端（木马代理），入侵者控制的是客户端。

特洛伊木马隐藏技术

①本地活动行为隐藏技术：文件隐藏、进程隐藏、通信连接隐藏；

②远程通信过程隐藏技术：通信内容加密技术、通信端口复用技术、网络隐藏通道；

网络蠕虫漏洞利用技术

①主机之间的信任关系漏洞；

②目标主机的程序漏洞；

③目标主机的默认用户和口令漏洞；

④目标主机的用户安全意识薄弱漏洞；

⑤目标主机客户端程序配置漏洞。

网络蠕虫防范技术

①网络蠕虫传播抑制技术：网络蠕虫传播抑制技术主要是基于蜜罐技术，在网络中设置虚拟机器或虚拟漏洞，欺骗蠕虫。

②网络系统漏洞检测与系统加固技术：防治网络蠕虫的关键是解决漏洞问题，漏洞扫描、漏洞修补、漏洞预防。

僵尸网络防范技术

①僵尸网络威胁监测：利用蜜罐捕获僵尸程序，并分析；

②僵尸网络检测：检测网络中的异常网络流量，以发现僵尸网络；

③僵尸网络主动抑制：通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名；

④僵尸程序查杀：在受害的目标机上，安装专用安全工具，清除僵尸程序。

逻辑炸弹

开发人员为报复公司在程序中写的一段恶意代码。

逻辑炸弹是一段依附在其他软件中，并具有触发执行破坏能力的程序代码：

①逻辑炸弹的触发条件包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等；

②逻辑炸弹只有在触发条件满足后，才开执行逻辑炸弹的破坏功能；

③逻辑炸弹不能复制自身，不能感染其他程序。

陷门

陷门是软件系统中的一段代码，允许用户避开系统安全机制访问系统。陷门由专门的命令激活，一般不容易发现。

①陷门通常是软件开发商为调试程序、维护系统而设定的功能；

②陷门不具有自动传播和自我复制功能。

细菌

细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但它通过复制本身来消耗系统资源。包括CPU、内存、磁盘空间。

间谍软件

通常指那些在用户不知情的情况下被安装在计算机中的各种软件，执行用户非期望的功能。这些软件可以产生弹出广告，重定向用户浏览器到陌生的网站。同时，间谍软件还具有收集信息的能力，可记录用户的攻键情况、浏览习惯，甚至窃取用户的个人信息，然后经因特网推送给攻击者。间谍软件不具备自窝复制功能。