软考14-恶意代码防范技术原理
恶意代码防范技术原理
恶意代码概述
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用、破坏系统的完整性及可用性。
恶意代码攻击模型
1、入侵
2、维持或提升已有的权限
3、隐蔽
4、潜伏
5、破坏
恶意代码命名规则
一般格式:恶意代码前缀.恶意代码名称.恶意代码后缀
常见前缀:
| 前缀 | 含义 |
|---|---|
| Boot | 引导区病毒 |
| DOSCom | DOS病毒 |
| Worm | 蠕虫病毒 |
| Trojan | 木马 |
| Backdoor | 后门 |
| Win32、PE、Win95、W32、W95 | 文件型病毒或系统病毒 |
| Macro | 宏病毒 |
| Script、VBS、JS | 脚本病毒 |
| Harm | 恶意程序 |
| Joke | 恶作剧程序 |
| Binder | 捆绑机病毒 |
| Dropper | 病毒种植程序病毒 |
恶意代码生存技术
反跟踪、加密、模糊变换、自动生产、三线程、进程注入、通信隐藏
恶意代码攻击技术
远程注入、超级管理、端口反向连接、缓冲区溢出攻击
恶意分析代码防范技术
- 静态分析
- 反恶意代码软件
- 字符串分析
- 脚本分析
- 静态反编译分析
- 静态反汇编分析
- 动态分析
- 文件检测
- 进程检测
- 网络活动检测
- 注册表检测
- 动态反汇编分析
防范措施:
1、加强用户安全意识、进行安全操作
2、建设恶意代码安全管理组织、制度、流程,设置相关管理岗位
3、实施恶意代码防御
计算机病毒
计算机病毒是附着在其它程序上的、可以自我繁殖的、有一定破坏能力的程序代码。
计算机病毒具有传染性、破坏性、隐蔽性、潜伏性、不可预见性、可触发性、非授权性等特点。
计算机病毒生命周期一般包括:潜伏、传播、触发、发作,可以简化为复制传播、激活两个阶段。
木马
木马不会自我繁殖,也并不刻意地去感染其它文件,它通过伪装自己来吸引用户下载执行。
常见木马:正向连接木马和反向连接木马。
木马攻击过程:
1、寻找并确定目标
2、收集网络拓扑结构、操作系统类型、应用软件情况等
3、通过网页、钓鱼、邮件等方式植入木马
4、隐藏等待触发
5、攻击
APT
情报收集、防线突破、通道建立、横向渗透、信息收集及外传
浙公网安备 33010602011771号