恶意代码检测与防范技术 —— 作战篇

恶意代码检测与防范技术恶意代码检测与防范技术————作战篇作战篇

田苏梅田苏梅S310060134S310060134

Your company sloganYour company slogan

作战篇

恶意代码的分析11

恶意代码的防御22

恶意代码的清除方法33


恶意代码分析方法


静态分析方法


基于代码特征的分析方法

常用于对执行程序类型的恶意代码进行分析c 语言编写的程序中存在一条语句CreateMuetex(NULL,NULL,“ MYTEST” );那么在生成的 PE文件中会存在一个静态数据“ MYTEST”，通过分析 PE结构可以从静态数据节中提取静态数据。用 C 语言编写的恶意代码中使用下面的语句URLDownloadToFile(0,"http://www.microsoft.com/a.exe","c:\\a.exe",0,0)从网站下载可执行程序到C 盘根目录，这个动作很有可能是进行恶意代码升级


基于代码语义的分析方法

基于代码语义的分析过程，首先使用反汇编工具对恶意代码执行体进行反汇编，然后通过理解恶意代码的反汇编程序了解恶意代码的功能。从理论上讲通过这种方法可以得到恶意代码所有功能特征。但是，目前基于语义的恶意代码分析方法主要还是依靠人工来完成，人工分析的过程需要花费分析人员的大量时间，对分析人员本身的要求也很高。


动态分析方法


外部观察法

恶意代码作为一段程序在运行过程中通常会对系统造成一定的影响，有些恶意代码为了保证自己的自启动功能和进程隐藏的功能，通常会修改系统注册表和系统文件，或者会修改系统配置。通过网络进行传播、繁殖和拒绝服务攻击等破坏活动通过网络进行诈骗等犯罪活动通过网络将搜集到的机密信息传递给恶意代码的控制者在本地开启一些端口、服务等后门等待恶意代码控制者对受害主机的控制访问


跟踪调试法

在实际分析过程中，跟踪调试可以有两种方法。

单步跟踪恶意代码执行过程，监视恶意代码的每一个执行步骤，在分析过程中也可以在适当的时候执行恶意代码的一个片断，这种分析方法可以全面监视恶意代码的执行过程，但是分析过程相当耗时。

利用系统 hook技术监视恶意代码执行过程中的系统调用和 API使用状态来分析恶意代码的功能，这种方法经常用于恶意代码检测。


恶意代码分析方法比较

分析内容代码特征分析法

代码语义分析法

外部观察法跟踪调试法

隐藏功能能能

加密功能能能能

触发功能能能

自启动功能能能能

自主攻击和繁殖功能

能部分能

破坏功能能部分能

对分人员的依赖程度

低较高低高

对分析环境的破坏

否否大可控


恶意代码分析步骤


作战篇

恶意代码的分析

恶意代码的防御

22

恶意代码的清除方法33

22

11


恶意代码的防御技术

技术对比

基于主机基于主机基于良性蠕虫

防御技术

基于网络


基于主机的恶意代码防御技术

误用检测技术，也称基于特征字的恶意代码检测

恶意代码检测

计算机程序或数据

清除恶意代码删除文件

恶意代码特征库


基于特征字的恶意代码检测

优点实现简单检测速度快误报率低

缺点对压缩、加密、变形的恶意代码不能很好的处理需要不断更新查毒引擎和特征库，不能检测未知恶意代码


基于主机的恶意代码防御技术

完整性技术校验和技术 Windows的代码签名验证技术

权限控制技术沙箱技术安全操作系统


权限控制技术



技术对比基于网络基于网络

基于良性蠕虫

防御技术

基于主机


基于网络的恶意代码检测技术

异常检测可发现网络内主机可能感染恶意代码以及感染恶意代码的程序，然后采取控制措施，如限制计算机发送数据包计算机断网。

优点优点 :: 能很快发现网络流量的异常，并采取措施，避免网络瘫痪和恶意代码的大规模传播。

能检测出已知恶意代码产生的异常流量，也能检测出未知的新出现的恶意代码。

缺点缺点 :: 不能检测出计算机究竟感染了哪一种恶意代码。不利于采取有针对性的防范措施。

误报率相对比较高。


基于网络的恶意代码检测技术

误用检测误用检测基于网络的恶意代码检测中使用的特征串与基于主机检测使用的特征串不同，一个特征码规则可以有多个特征串，特征码规则指定了每个特征串的相对偏移和间隔位置。

优点 : 能够检测出计算机感染恶意代码的具体类型。检测结果比较准确。

缺点 : 一般不能检测出未知恶意代码。检测范围和准确性依赖于特征库的完备程度，并需要不断更新特征库规则。


基于网络的恶意代码防御技术



技术对比

基于良性蠕虫

基于网络

防御技术基于主机


基于良性蠕虫的恶意代码防御技术

良性蠕虫可以采取先利用漏洞或其它途径进入目标主机，然后对恶意代码进行查杀、修补漏洞等措施，最后进行自动扩散并退出目标主机。

“ 冲击波杀手”蠕虫编写者的本意是想用它自动清除“冲击波”蠕虫，但结果“冲击波杀手”蠕虫对网络的破坏程度甚至比“冲击波”蠕虫本身还要严重。



基于良性蠕虫

技术对比基于网络防御技术

基于主机


恶意代码防御技术比较

防御技术优点缺点

防病毒软件1 、技术比较成熟，可以推广2 、操作使用方便3 、对传统病毒和已知恶意代码防御效果比较好

1 、对木马、蠕虫、脚本病毒、未知恶意代码防御效果差2 、需要经常升级3 、各种防毒软件性能性能不同，难以抉择4 、可能影响计算机正常操作

防火墙技术1 、对蠕虫防御效果比较好，对木马也有一定效果2 、技术比较成熟，容易实现

1 、不能防御计算机病毒2 、在全网实施成本较高3 、可能会影响网络性能4 、对蠕虫只能控制传播不能清除

权限控制技术 1 、对某些类型的恶意代码比较有效2 、在某些特定应用环境有效

1 、不能作为通用技术2 、难以掌握，使用不便

完整性技术 1 、技术比较通用2 、在某些特定应用环境有效

1 、难以实现

其他防御技术可能在某些特定应用环境有效

1 、不能通用1 、工程实施难度大难以实现


作战篇

恶意代码的分析

恶意代码的防御

22

恶意代码的清除方法

22

33

11


恶意代码的清除方法

独立的木马或蠕虫，直接删除执行文件

文件型恶意代码，一般反恶意代码软件需要掌握感染过程反恶意代码软件需要掌握感染过程的逆过程，将添加的恶意代码清除，并恢复文件头的正常的逆过程，将添加的恶意代码清除，并恢复文件头的正常设置。设置。

覆盖型恶意代码，由于原宿主代码部分丢失，程序功能不覆盖型恶意代码，由于原宿主代码部分丢失，程序功能不能恢复。能恢复。

谢谢！谢谢！

恶意代码检测与防范技术 —— 作战篇

Documents

Transcript of 恶意代码检测与防范技术 —— 作战篇