LOGO

恶意代码检测与防范

原理篇

姓名：隋 婧学号： S310060077导师：王慧强

提纲

恶意代码概述1

计算机病毒2

蠕虫3

特洛伊木马4

总结5

提纲

恶意代码概述1

计算机病毒2

蠕虫3

特洛伊木马4

总结5

什么是恶意代码？

恶意代码（ Malicious Code ）：主要是指以危害信息安全等不良意图为目的的程序，它们一般潜伏在受害计算机系统中实施破坏或窃取信息。

— 来源 : 冯登国，赵险峰《信息安全概论》

恶意代码是指没有作用却会带来危险的代码。— 来源 :

恶意代码是经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码 .

— 来源 :

5

常见的恶意代码种类

恶意代码类型 主要特点

计算机病毒 潜伏 传染 破坏

蠕虫 扫描 攻击 扩散

特洛伊木马 欺骗 隐藏 信息窃取

逻辑炸弹 潜伏 破坏

恶意代码的发展历史

恶意代码的特征

恶意代码的特性 一类程序，由人编制，而非在计算环境或系统中

自生的； 对系统具有破坏性或威胁性，这是它们与普通程

序最大的区别； 按照种类，不同恶意代码具有潜伏性、传染性、

依附性等性质。

恶意代码的主要功能

收集你的相关信息收集你的相关信息

诱骗访问恶意网站诱骗访问恶意网站

删除敏感信息监视键盘

窃取文件

开启后门（肉鸡） 作为网络传播的起点

隐藏在主机上的所有活动

恶意代码的危害恶意代码的危害

攻击系统，造成系统瘫痪或操作异常； 危害数据文件的安全存储和使用； 泄露文件、配置或隐私信息； 肆意占用资源，影响系统或网络的性能； 攻击应用程序，如影响邮件的收发。

提纲

恶意代码概述1

计算机病毒2

蠕虫3

特洛伊木马4

总结5

10

计算机病毒计算机病毒

计算机病毒能够寻找宿主对象，并且依附于宿主，是一类具有传染、隐蔽、破坏等能力的恶意代码，

本质特征：传染性和依附性分类

按传播媒介分类 单机病毒和网络病毒 按传播方式分类 引导型病毒、文件型病毒和混合型病毒 ……

计算机病毒的特征病毒主要特征 解释

传染性 病毒具有把自身复制到其它程序中的特性。

隐蔽性 通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。

破坏性 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏

潜伏性 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。

其它 取得系统控制权和不可预见等特征。

计算机病毒的基本机制计算机病毒的基本机制

三大模块：传染机制、破坏机制、触发机制 • 计算机病毒的传染机制

– 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。

•触发机制– 计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。

• 破坏机制 – 良性病毒表现为占用内存或硬盘资源。– 恶性病毒则会对目标主机系统或信息产生严重破坏。

病毒传播的两种方式被动传播

用户在进行复制磁盘或文件时，把病毒由一个载体复制到另一个载体上，或者通过网络把一个病毒程序从一方传递到另一方。

主动传播 计算机病毒以计算机系统的运行及病毒程序处于激活状态为先决条件，在病毒处于激活状态下，只要传播条件满足，病毒程序能主动把病毒自身传播给另一个载体或另一个系统。

宏病毒

宏病毒 使用宏语言编写的程序，可以在一些数据处理

系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中。

感染过程改写

Word宏

改写文档自动执行宏，如

AutoOpen FileSave FilePrint 等等 。

转换成文档模板的宏

当宏病毒获得运行权限之后，把所关联的宿主文档转换成模板格式，然后把所有宏病毒复制到该模板之中 。

感染其它Word 文档

当其它的 Word文件打开时，由于自动调用该模板因而会自动运行宏病毒 。

15

宏病毒

有毒文件 .docNormal.dot

激活 autoopen宏写入

无毒文件 .docNormal.dot

启动激活病毒

宏病毒的特点宏病毒具有如下特点

传播快• Word 文档是交流最广的文件类型。人们大多对

外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。

制作、变种方便• Word 使用宏语言WordBasic 来编写宏指令。

用户很方便就可以看到这种宏病毒的全部面目。• 把宏病毒稍微加以改变，立即就生产出了一种新的宏病毒 .

破坏性大

提纲

恶意代码概述1

计算机病毒2

蠕虫3

特洛伊木马4

总结5

概念 一类特殊的恶意代码，可以在计算机系统或网

络中繁殖，由于不依附于其他程序，这种繁殖使它们看上去是在内存、磁盘或网络中移动。

它可以 不用计算机使用者干预即可运行的攻击程序或

代码。 它会扫描和攻击网络上存在系统漏洞的节点主

机，通过网络从一个节点传播到另外一个节点

蠕虫

蠕虫的特征蠕虫主要特征 解释

主动攻击 从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本是全自动。

造成网络拥塞1. 传播的过程中，蠕虫需要判断感染条件的存在。2. 同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量。

消耗系统资源 搜索目标主机、漏洞、感染其它主机需要消耗资源；许多蠕虫本身就会恶意耗费系统的资源。

反复性 即使清除了蠕虫，如果没有修补计算机系统漏洞，网络中的计算机还是会被重新感染。

破坏性现在蠕虫开始包含其它种类恶意代码，破坏被攻击的计算机系统，而且造成的损失越来越大。

21

蠕虫工作机制

信息收集 攻击渗透 现场处理

按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。

蠕虫工作机制

信息收集 攻击渗透 现场处理

通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。

按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。

23

蠕虫工作机制

信息收集 攻击渗透 现场处理

通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。

按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。

攻击成功后，要对被攻击的主机进行一些处理，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任何动作，如恶意占用 CPU 资源等。

蠕虫扫描策略

随机选取某一段 IP地址，然后对这一地址段上的主机扫描。缺点： 1. 由于不知道哪些主机已经感染蠕虫，很多扫描是无用的。 2. 这一方法的蠕虫传播速度较慢。 但是随着蠕虫的扩散，网络上存在大量的蠕虫时，蠕虫造成的网络流量就变得非常巨大。

25

蠕虫扫描策略

选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。特点： 1.选择性随机扫描算法简单，容易实现。 2.若与本地优先原则结合则能达到更好的传播效果。 红色代码和“ Slammer” 的传播采用了选择性随机扫描策略。

蠕虫扫描策略

顺序扫描是被感染主机上蠕虫会随机选择一个C 类网络地址进行传播，根据本地优先原则，网络地址段顺序递增。

蠕虫扫描策略

从 DNS服务器获取 IP地址来建立目标地址库。优点： 获得的 IP地址块针对性强和可用性高。关键问题： 如何从 DNS服务器得到网络主机地址，以及DNS服务器是否存在足够的网络主机地址。

蠕虫扫描策略

基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表，搜寻感染目标。

网络蠕虫传播模型

慢速发展阶段 快速发展阶段 缓慢消失阶段

漏洞被蠕虫设计者发现，并利用漏洞设计蠕虫发布于互联网，大部分用户还没有通过服务器下载补丁，网络蠕虫只是感染了少量的网络中的主机。

如果每个感染蠕虫的可以扫描并感染的主机数为 W ， N 为感染的次数，那么感染主机数扩展速度为 WN ，感染蠕虫的机器成指数幂急剧增长。

随着网络蠕虫的爆发和流行，人们通过分析蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少。

提纲

恶意代码概述1

计算机病毒2

蠕虫3

特洛伊木马4

总结5

30

概念 木马是指隐藏在正常程序中的一段具有特殊功

能的恶意代码，是具备破坏和删除文件、发送密码和记录键盘等的特殊功能的后门程序。

特洛伊木马

木马的组成结构 客户端：安装在攻击者机器上的部分。 服务器端：通过各种手段植入目标机器的部分。

木马的特征木马主要特征 解释

隐蔽性隐蔽性是木马的首要特征。木马类软件的服务端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。

自动运行性 木马程序通过修改系统配置文件，在目标主机系统启动时自动运行或加载。

欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防用户发现。

自动恢复性很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复，只删除某一个木马文件来进行清除是无法清除干净的。

破坏或信息收集木马通常具有搜索 Cache 中的口令、设置口令、扫描目标机器的 IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。

木马的自动恢复性木马 -“聪明基因”

植入系统后，生成以下三个文件： C:\windows\MBBManager.exe C:\windows\Explore32.exe C:\windows\system\editor.exe

用的都是HTML 文件图标

关联： MBBManager.exe 在启动时加载 Explore32.exe 关联 HLP 文件（ Windows帮助文

件） Editor.exe 关联 TXT 文件 机理

当 MBBManager.exe被发现删除，只要打开 HLP文件或文本文件， Explore32.exe 和 Editor.exe就被激活并再次生成 MBBManager.exe 。

木马与病毒、蠕虫和远程控制软件的区别

木马与病毒、蠕虫的区别

是否主动传播 是否独立存在

木马 否 是

病毒 否 否

蠕虫 是 是

木马与远程控制软件的区别

远程控制 “ 善意”的控制，不具有隐蔽性和破坏性

木马 “ 恶意”的控制，对目标系统执行恶意操作或窃取信息

35

木马的欺骗技术

木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。

木马欺骗技术主要有 ： 伪装成其它类型的文件，可执行文件需要伪装其它文

件。如伪装成图片文件。 合并程序欺骗。 插入其它文件内部。 伪装成应用程序扩展组件。 把木马程序和其它常用程序利用 WinRar捆绑在一起

，将其制作成自释放文件。 在 Word 文档中加入木马文件。

木马程序入侵并且控制计算机的过程

向目标主机植入木马

启动和隐藏木马

植入者远程控制被植入木马的主机

植入者达到其攻击的目的

木马植入技术

植入技术，木马植入技术可以大概分为主动植入与被动植入两类。 主动植入：就是攻击者利用网络攻击技术通过

网络将木马程序植入到远程目标主机，这个行为过程完全由攻击者主动掌握。

被动植入：是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。

木马植入技术

主动植入技术主要包括 ： 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马

被动植入主要包括： 软件下载 利用共享文件 利用 Autorun 文件传播 网页浏览传播

木马的自动加载技术针对 Windows 系统，木马的自动加载主要有以下方法：

修改文件关联正常情况下文件的打开方式为文件，一旦中了文

件关联木马，则文件打开方式就会被修改为用木马程序打开。

例如： 冰河木马通过修改注册表 [HKEY_CLASSES_ROOT\textfile\shell\open\command]下的键值

C:/windows/notepad.exe %1

C: /windows/system/Sysexplr.exe %1 一旦双击一个 txt 文件原本应用 notepad打开该文件

的，现在却变成启动木马程序了。 这仅仅是 txt 文件的关联，如

htm 、 exe 、 zip 、 com都是木马的目标。 40

替换系统自动运行的文件win.ini 文件

作用：控制 Windows 用户窗口环境的概貌 ,如窗口边界宽度、系统字体等。

通过设置 Win.ini 文件 [windows] 中以下字段则系统下次启动时，可启动木马 .exe

• load= 木马 .exe load= 运行文件，文件会在后台运行（最小化）

• run= 木马 .exe run= 运行文件，则文件是在默认状态下被运行的

system.ini 文件winstart.bat 文件wininit.ini 文件

替换系统自动运行的文件win.ini 文件system.ini 文件

作用：包含Windows初始配置信息的重要文件 通过在 System.ini 文件中设置

[boot]Shell=Explorer.exe 木马 .exe ，则以后系统启动时启动木马 .exe 。

• [386Enh]字段内的“ driver=路径程序名”及 [mic] 、[drivers] 、 [drivers32]字段，也被有些木马改写后用于启动。

winstart.bat 文件wininit.ini 文件

替换系统自动运行的文件win.ini 文件system.ini 文件winstart.bat 文件

作用：因为安装某些新的应用软件后 （如某些声卡的驱动程序等），由于程序共享冲突的原因一些系统设置不能被立即更改， 再次启动系统时就可通过在 Windows 目录下生成一个该名称的批处理，以可靠地自动完成余下的任务；•在 c:\windows\winstart.bat下加载木马 .exe ，

木马 .exe每次都会随系统启动而重新启动。wininit.ini 文件

替换系统自动运行的文件win.ini 文件system.ini 文件winstart.bat 文件wininit.ini 文件

作用： Windows 的安装程序常常调用 wininit.ini程序来实现安装程序后的删除工作

• 有的木马利用此机制，在 wininit.ini 文件指令启动自己。则木马 .exe 在系统下次启动或重启时会隐蔽地启动。

木马隐藏技术 木马隐藏技术

主要分为两类：主机隐藏和通信隐藏。主机隐藏 主要指在主机系统上表现为正常的进程。

• 主要有文件隐藏、进程隐藏等。 文件隐藏主要有两种方式

•采用欺骗的方式伪装成其它文件•伪装成系统文件

进程隐藏 • 动态链接库注入技术，将“木马”程序做成一个

DLL 文件，并将调用动态链接库函数的语句插入到目标进程，这个函数类似于普通程序中的入口程序。

•Hooking API技术。通过修改 API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。

45

通信隐藏技术 1-端口复用通信隐藏

主要包括通信端口隐藏、内容隐藏主要采用的技术： 复用正常服务端口

数据包

系统 应用程序

数据包归属判断模块 端口复用模块

通信隐藏技术 2-反弹端口通信隐藏

主要包括通信端口隐藏、内容隐藏主要采用的技术：

利用“反弹端口”技术•针对防火墙所采用的技术

通信隐藏技术 3-ICMP反弹技术通信隐藏

主要包括通信端口隐藏、内容隐藏主要采用的技术： 采用 ICMP协议进行通信

• 如通过发送接收 ICMP_ECHO和 ICMP_ECHOREPLY报文的使用ICMP协议的 Ping程序。 ICMP木马的出现正是得到了 Ping程序的启发。 ICMP报文由系统内核或进程直接处理而不是通过端口。

客户端（控制端）

服务端（被控制端）

发送 ICMP_ECHO请求

发送 ICMP_ECHOREPLY回执，内含控制信息

提纲

恶意代码概述1

计算机病毒2

蠕虫3

特洛伊木马4

总结5

总结大多恶意代码都要经历的阶段

保存线 触发线

……

至其他系统 至其他目标

……

潜伏

存活线

LOGO