信息安全工程师笔记-恶意代码防范技术原理

Posted IT1995

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了信息安全工程师笔记-恶意代码防范技术原理相关的知识,希望对你有一定的参考价值。

恶意代码定义

违背目标系统安全策略的程序代码,会造成目标系统信息泄漏、资源滥用,破坏系统的完整性及可用性;

它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统。

恶意代码分类

被动传播:

①计算机病毒、②特洛伊木马、③间谍软件、④逻辑炸弹

主动传播:

①网络蠕虫、②其他

恶意代码攻击模型

攻击过程分为6个步骤:

①入侵系统;

②维持或提升自己已有的权限;

③隐蔽;

④潜伏;

⑤破坏;

⑥重复前面5步对新的目标实施攻击过程。

恶意代码攻击技术

①进程注入技术;

②超级管理技术;

③端口反向连接技术;

④缓冲区溢出攻击技术。

计算机病毒常见类型与技术

①引导型病毒:感染计算机系统的引导区;

②宏病毒:以文档或数据为病毒载体;

③多态病毒:通过更换加密算法,改变存在形式,没有固定特征;

④隐蔽病毒:隐藏文件日期、大小变化、病毒加密。

特洛伊木马概念

特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的原创控制程序,这些代码或者执行恶意行为,或者为非授权访系统的特权功能提供后门。

①特洛伊木马不具备自我传播能力,需要通过其他传播机制来实现;

②植入受害主机的是服务端(木马代理),入侵者控制的是客户端。

特洛伊木马隐藏技术

①本地活动行为隐藏技术:文件隐藏、进程隐藏、通信连接隐藏;

②远程通信过程隐藏技术:通信内容加密技术、通信端口复用技术、网络隐藏通道;

网络蠕虫漏洞利用技术

①主机之间的信任关系漏洞;

②目标主机的程序漏洞;

③目标主机的默认用户和口令漏洞;

④目标主机的用户安全意识薄弱漏洞;

⑤目标主机客户端程序配置漏洞。

网络蠕虫防范技术

①网络蠕虫传播抑制技术:网络蠕虫传播抑制技术主要是基于蜜罐技术,在网络中设置虚拟机器或虚拟漏洞,欺骗蠕虫。

②网络系统漏洞检测与系统加固技术:防治网络蠕虫的关键是解决漏洞问题,漏洞扫描、漏洞修补、漏洞预防。

僵尸网络防范技术

①僵尸网络威胁监测:利用蜜罐捕获僵尸程序,并分析;

②僵尸网络检测:检测网络中的异常网络流量,以发现僵尸网络;

③僵尸网络主动抑制:通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名;

④僵尸程序查杀:在受害的目标机上,安装专用安全工具,清除僵尸程序。

逻辑炸弹

开发人员为报复公司在程序中写的一段恶意代码。

逻辑炸弹是一段依附在其他软件中,并具有触发执行破坏能力的程序代码:

①逻辑炸弹的触发条件包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等;

②逻辑炸弹只有在触发条件满足后,才开执行逻辑炸弹的破坏功能;

③逻辑炸弹不能复制自身,不能感染其他程序。

陷门

陷门是软件系统中的一段代码,允许用户避开系统安全机制访问系统。陷门由专门的命令激活,一般不容易发现。

①陷门通常是软件开发商为调试程序、维护系统而设定的功能;

②陷门不具有自动传播和自我复制功能。

细菌

细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件,但它通过复制本身来消耗系统资源。包括CPU、内存、磁盘空间。

间谍软件

通常指那些在用户不知情的情况下被安装在计算机中的各种软件,执行用户非期望的功能。这些软件可以产生弹出广告,重定向用户浏览器到陌生的网站。同时,间谍软件还具有收集信息的能力,可记录用户的攻键情况、浏览习惯,甚至窃取用户的个人信息,然后经因特网推送给攻击者。间谍软件不具备自窝复制功能。

以上是关于信息安全工程师笔记-恶意代码防范技术原理的主要内容,如果未能解决你的问题,请参考以下文章

信息安全工程师笔记-网络安全漏洞防护技术原理与应用

信息安全工程师笔记-网络安全风险评估技术原理与应用

信息安全工程师笔记-案例分析

信息安全工程师笔记-入侵检测技术原理与应用

信息安全工程师笔记-网站安全需求分析与安全保护工程

如何成为一名网络安全工程师