恶意代码

Posted 潜水的人2421

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了恶意代码相关的知识,希望对你有一定的参考价值。

一、实践内容

(一)系统运行监控

1.使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

  • 写.bat文件与接收文件
    首先写netcontrol20192421.bat和接收文件netstalog.txt
date /t >>  C:\\Users\\zengyuhan\\Desktop\\exp4\\netstatlog.txt
time /t >>  C:\\Users\\zengyuhan\\Desktop\\exp4\\netstatlog.txt
netstat -bn >> C:\\Users\\zengyuhan\\Desktop\\exp4\\netstatlog.txt

  • 用命令行创建任务计划
点击查看代码
schtasks /create /TN netcontrol20192421 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > C:\\Users\\zengyuhan\\Desktop\\exp4\\netstatlog.txt"

其中TN是创建的计划任务名是netcontrol20192421,sc表示计时方式,TR表示执行的指令,>表示输出重定向

  • 打开任务计划程序
    Win+R再输入taskschd.msc

在常规中选择“使用最高权限运行”

在条件中将“只有在计算机使用交流电源时才启动此任务”勾掉

选择批处理文件

等待一段时间即可获得在所创建任务计划netcontrol20192421监视下获得的数据(暂未成功获得数据,更新中)

20155326《网络对抗》免考项目——深入恶意代码之恶意代码的类型

20155326《网络对抗》免考项目——深入恶意代码之恶意代码的类型

  • 什么是恶意代码

恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。

  • 恶意代码生命周期

技术分享图片

  • 攻击目标:

口 个人计算机

口 服务器

口 移动智能终端

手机、平板等

口 智能设备

特斯拉汽车、智能家居、智能手表等

口 通信设备

路由器、交换机等

口 安全设备等

防火墙、IDS, IPS. VDS

  • 攻击目标范围:

口 定点攻击

邮件、IP、域名、QQ等
服务器列表、特定人员名单等

口 群体性杀伤

挂马攻击、钓鱼攻击:
病毒、蠕虫自动扩散:

  • 恶意代码功能

删除敏感信息

作为网络传播的起点

监视键盘

收集你的相关信息:常访问的站点、 search的关键词、上网偏好/时间

获取屏幕

在系统上执行指令/程序

窃取文件,如文档/音视频数据/务/技术/商业机密

开启后门,作为攻击其他计算机的起点/(肉鸡)

隐藏在你主机上的所有活动

诱骗访问恶意网站

  • 恶意代码的特征

恶意代码从80年代发展至今体现出来3个主要特征:

  1. 恶意代码日趋复杂和完善:从非常简单的,感染游戏的Apple II病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。

  2. 创新性工具和技术的发布速度加快:恶意代码刚出现时发展较慢,但是随着网络飞速发展, Internet成为恶意代码发布并快速蔓延的平台。特别是过去十年,不断涌现,的恶意代码,证实了这一点。

  3. 从病毒到蠕虫,又到内核的开发趋势:对于过去的恶意代码,大多数活动都围绕着病毒和感染可执行程序进行,然而现在,我们看到这些活动主要集中在蠕虫和内核级的系统开发上活动主要集中在蠕虫和内核级的系统开发上。

  • 恶意代码分类:

技术分享图片

四类常见的恶意代码

  • 陷阱门(后门)
    陷阱门是某个程序的秘密入口,通过该入口启动程序,可以绕过正常的访问控制过程,因此,获悉陷阱门的人员可以绕过访问控制过程,直接对资源进行访问。陷阱门已经存在很长一段时问,原先的作用是程序员开发具有鉴别或登录过程的应用程序时,为避免每一次调试程序时都需输入大量鉴别或登录过程需要的信息,通过陷阱门启动程序的方式来绕过鉴别或登录过程。程序区别正常启动和通过陷阱门启动的方式很多,如携带特定的命令参数、在程序启动后输入特定字符串等。
    程序设计者是最有可能设置陷阱门的人,因此,许多免费下载的实用程序中含有陷阱门或病毒这样的恶意代码,使用免费下载的实用程序时必须注意这一点。

    如:Bits、WinEggDrop、Tini。。。

  • 特洛伊木马

    特洛伊木马也是包含在正常应用程序中的一段恶意代码,一旦执行这样的应用程序,将激发恶意代码。顾名思义,这一段恶意代码的功能主要在于削弱系统的安全控制机制,如在系统登录程序中加入陷阱门,以便黑客能够绕过登录过程直接访问系统资源;将共享文件的只读属性修改为可读写属性,以便黑客能够对共享文件进行修改;甚至允许黑客通过远程桌面这样的工具软件控制系统。

    如:冰河、网络神偷、灰鸽子。。。
  • 蠕虫
    从病毒的广义定义来说,蠕虫也是一种病毒,但它和狭义病毒的最大不同在于自我复制过程,病毒的自我复制过程需要人工干预,无论是运行感染病毒的实用程序,还是打开包含宏病毒的邮件,都不是由病毒程序自我完成的。蠕虫能够自我完成下述步骤。
    (1)查找远程系统:能够通过检索已被攻陷的系统的网络邻居列表或其他远程系统地址列表找出下一个攻击对象。
    (2)建立连接:能够通过端口扫描等操作过程自动和被攻击对象建立连接,如Telnet连接等。
    (3)实施攻击:能够自动将自身通过已经建立的连接复制到被攻击的远程系统,并运行它。

    如:红色代码、SQL蠕虫王、冲击波、震荡波。。。

  • 病毒

    计算机病毒是一个程序,一段可执行代码。就像生物病毒一样,计算机病毒有独特的,复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当染毒文件被复制或从一个用户传送到另一个用户时,它们就随同该文件一起,蔓延开来。除复制能力外,某些计算机病毒还有其他一些共同特性:一个被感染的程序是能够传播病毒的载体。当你看到病毒似乎仅表现在文字和图像上时,它们可能也已毁坏了文件、格式化了你的硬盘或引发了其他类型的灾害。若病毒并不寄生于一个感染程序,它仍然能通过占据存储空间给你带来麻烦,并降低计算机的性能。

    经典的两种病毒(此外还有CIH、美丽莎、新欢乐时光等等):

技术分享图片

技术分享图片

四类恶意代码的特征:

  • 后门特点:
  1. 后门包括从简单到奇特,有很多的类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,当你输入特定的密码时,你就能以管理员的权限来存取系统。

  2. 后门能相互关联,而且这个 技术被许多黑客所使用。例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。

  • 特洛伊木马特征:
  1. 不产生图标   

木马虽然在你系统启动时会自动运行,但它不会在 "任务栏"中产生一个图标,这是容易理解的,不然的话,你看到任务栏中出现一个来历不明的图标,你不起疑心才怪呢! 木马程序自动在任务管理器中隐藏,并以"系统服务"的方式欺骗操作系统。   

  1. 具有自动运行性。   

木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。   

  1. 包含具有未公开并且可能产生危险后果的功能的程序。   

  2. 具备自动恢复功能。   

现在很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。   

  1. 能自动打开特别的端口。  

  2. 功能的特殊性。
      
    通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。

  • 蠕虫特征:
  1. 方式多样

如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

  1. 技术新

与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。

  • 计算机病毒具有以下几个密明显的特征:
  1. 传染性

这是病毒的基本特征,是判断一个程序是否为计算机病毒的最重要的特征,一旦病毒被复制或产生变种,其传染速度之快令人难以想象。

  1. 破坏性

任何计算机病毒感染了系统后,都会对系统产生不同程度的影响,发作时轻则占用系统资源,影响计算机运行速度,降低计算机工作效率,使用户不能正常使用计算机;重则破坏用户计算机的数据,甚至破坏计算机硬件,给用户带来巨大的损失。

  1. 寄生性

一般情况下,计算机病毒都不是独立存在的,而是寄生于其他的程序中,当执行这个程序时,病毒代码就会被执行,在正常程序未启动之前,用户是不易发觉病毒的存在的。

  1. 隐蔽性

计算机病毒具有很强的隐蔽性,它通常附在正常的程序之中或藏在磁盘隐秘的地方,有些病毒采用了极其高明的手段来隐藏自己,如使用透明图标、注册表内的相似字符等,而且有的病毒在感染了系统之后,计算机系统仍能正常工作,用户不会感到任何异常,在这种情况下,普通用户无法在正常情况下发现病毒。

  1. 潜伏性(触发性)

大部分的病毒感染系统之后一般不会马上发作,而是隐藏在系统中,就像定时炸弹一样,只有在满足特定条件时才被触发,例如,黑色星期五病毒,不到预定时间,用户就不会觉察出异常。一旦遇到13日并且是星期五,病毒就会被激活并且对系统进行破坏。当然,有计算机的地方就有计算机病毒,也可以说,计算机病毒无处不在,尽管病毒带来的,损失或大或小,甚至有些没有任何损失,但是大部分计算机用户都有被病毒侵扰的经历.据中国计算机病毒应急处理中心统计,中国计算机用户受病毒感染的比例(感染率)一直处于高位,美国权威调查机构证实,进入新世纪以来,每年因计算机病毒造成的损失都在100亿美元以上。

四类恶意代码如何进行攻击:

  • 蠕虫主要传播方式:

蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传 播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施。防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁,可以应用瑞星杀毒软件的“漏洞扫描”工具,这款工具可以引导用户打好补丁并进行相应的安全设置,彻底杜绝病毒的感染。 通过电子邮件传播,是病毒作者青睐的方式之一,像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种,用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。

  • 计算机病毒主要传播方式:

技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

参考:

计算机病毒及其防范技术

蠕虫病毒

https://wenku.baidu.com/view/8a3ddfd2f61fb7360a4c6524.html

恶意代码分析笔记

特洛伊木马特征

后门











以上是关于恶意代码的主要内容,如果未能解决你的问题,请参考以下文章

20155326《网络对抗》免考项目—— 深入恶意代码之恶意代码详解

恶意代码的网络特征

20155326《网络对抗》免考项目——深入恶意代码之恶意代码的类型

如何在网站上查找恶意代码/恶意软件 [关闭]

[系统安全] 三十一.恶意代码检测恶意代码攻击溯源及恶意样本分析

恶意代码