資源描述:
《《系統(tǒng)惡意程序》PPT課件》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、第13章計(jì)算機(jī)惡意程序與病毒第13章計(jì)算機(jī)惡意程序與病毒第一節(jié)惡意程序與計(jì)算機(jī)病毒一、特殊程序、惡意程序與病毒1.特殊程序在特定條件、特定時(shí)間和特定環(huán)境下才執(zhí)行的程序。那些具有專門程序功能和執(zhí)行結(jié)果的程序。例如:系統(tǒng)調(diào)試與跟蹤程序、測(cè)試程序、網(wǎng)絡(luò)分析與監(jiān)察程序、安全審計(jì)程序、工具程序等;自毀程序、跟蹤程序、偵察程序等。合法的程序序并不能保證不被非法的使用,合法程序的濫用,將對(duì)系統(tǒng)安全形成極大的威協(xié),造成極大的破壞。第13章計(jì)算機(jī)惡意程序與病毒在已經(jīng)出現(xiàn)的計(jì)算機(jī)惡意程序中,有的是將某個(gè)合法程序進(jìn)行改動(dòng),讓它含有并執(zhí)行某種破壞功能,如程序自毀或磁盤自毀。有的是利用合法程序的功能和權(quán)限,非法獲取系統(tǒng)
2、資源和敏感數(shù)據(jù),進(jìn)行系統(tǒng)入侵,如利用網(wǎng)絡(luò)協(xié)議分析程序,進(jìn)行網(wǎng)絡(luò)包偽造、通信數(shù)據(jù)替換等。合法程序的濫用是惡意程序產(chǎn)生的一類因素。第13章計(jì)算機(jī)惡意程序與病毒惡意程序(一類特殊程序)┌────┴────┐有宿主無(wú)宿主┌──┴──┐┌──┴──┐特洛依木馬病毒細(xì)菌蠕蟲(chóng)(TrojanH)(Virus)(Bacteria)(Worm)復(fù)合型病毒第13章計(jì)算機(jī)惡意程序與病毒⑴“特洛依木馬”(TrojanHorse)一種故意隱藏在正常程序代碼中的異常特殊代碼,在條件成熟時(shí)進(jìn)行特殊任務(wù)的執(zhí)行。“邏輯炸彈”(LogicBomb):基于邏輯條件的滿足而觸發(fā)“時(shí)間炸彈”(TimeBomb):基于時(shí)間條件的滿足而激活
3、。不自身復(fù)制、不傳染、任務(wù)完成后自毀或隱藏。遠(yuǎn)程訪問(wèn)型特洛伊木馬:這是現(xiàn)在最廣泛的特洛伊木馬??梢栽L問(wèn)受害人的硬盤。RAT'S(一種遠(yuǎn)程訪問(wèn)木馬)用起來(lái)是非常簡(jiǎn)單的。只需得到受害人的IP,你就會(huì)訪問(wèn)到他/她的電腦。他們能幾乎可以在你的機(jī)器上干任何事。鍵盤記錄,上傳和下載功能等等……有不少的流行的特洛伊木馬每天被發(fā)現(xiàn),并且這些程序都是大同小異。如果特洛伊木馬在每次的Windows重新啟動(dòng)時(shí)都會(huì)跟著啟動(dòng),這意味著它修改了注冊(cè)表或者Win.ini或其他的系統(tǒng)文件以便使木馬可以啟動(dòng)。特洛伊木馬會(huì)創(chuàng)建一些文件到WindowsSystem目錄下。那些文件像一些Windows的正??蓤?zhí)行文件。大多數(shù)的特洛
4、伊木馬會(huì)在Alt+Ctrl+Del對(duì)話框中隱藏。遠(yuǎn)程訪問(wèn)型特洛伊木馬會(huì)在你的電腦上打開(kāi)一個(gè)端口讓每一個(gè)人連接。一些特洛伊木馬有可以改變端口的選項(xiàng)并且設(shè)置密碼為的是只能讓感染你機(jī)器的人來(lái)控制特洛伊木馬密碼發(fā)送型特洛伊木馬這種特洛伊木馬的目的是找到所有的隱藏密碼并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的特洛伊木馬不會(huì)在每次的Windows重啟時(shí)重啟,而且它們大多數(shù)使用25號(hào)端口發(fā)送E-mail。像ICQ號(hào)碼、電腦信息等。如果你有隱藏密碼,這些特洛伊木馬是危險(xiǎn)的。鍵盤記錄型這種特洛伊木馬是非常簡(jiǎn)單的。它們只作一種事情,就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。通常這種特
5、洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)。它們有像在線和離線記錄這樣的選項(xiàng)。在在線選項(xiàng)中,它們知道受害者在線并且記錄每一件事。但在離線記錄時(shí)每一件事在Windows啟動(dòng)被記錄后才被記錄并且保存在受害者的磁盤上等待被移動(dòng)。毀壞型這種特洛伊木馬的唯一功能是毀壞并且刪除文件。它們非常簡(jiǎn)單,并且很容易被使用。它們可以自動(dòng)的刪除你電腦上的所有的.Dll或.ini或.exe文件。這是非常危險(xiǎn)的特洛伊木馬并且一旦你被感染確信你沒(méi)有殺除,則你的電腦信息會(huì)受到極大的影響。FTP型特洛伊木馬這類的特洛伊木馬打開(kāi)你電腦的21號(hào)端口,使每一個(gè)人都可以有一個(gè)FTP客戶端且不用密碼連接到你的電腦并且會(huì)有完全的上傳下載選項(xiàng)。
6、第13章計(jì)算機(jī)惡意程序與病毒⑵“計(jì)算機(jī)病毒”(ComputerVirus)一種人為編制的特殊程序代碼,可將自己附著在其他程序代碼上以便傳播,可自我復(fù)制、隱藏和潛伏,并帶有破壞數(shù)據(jù)、文件或系統(tǒng)的特殊功能。特洛依木馬的特例。具有宿主。第13章計(jì)算機(jī)惡意程序與病毒⑶“細(xì)菌”(Bacteria)一種簡(jiǎn)單的可自身復(fù)制的程序,一旦進(jìn)入系統(tǒng),該程序就連續(xù)不停地運(yùn)行,盡可能地占據(jù)處理器時(shí)間和存儲(chǔ)空間,造成系統(tǒng)因缺乏可用資源而不能工作。無(wú)宿主。第13章計(jì)算機(jī)惡意程序與病毒⑷“蠕蟲(chóng)”(Worm)一種獨(dú)立運(yùn)行的程序代碼,在網(wǎng)絡(luò)環(huán)境下主動(dòng)傳播和復(fù)制,利用系統(tǒng)資源侵入網(wǎng)絡(luò),從而阻塞和拒絕網(wǎng)絡(luò)服務(wù)。無(wú)宿主、不駐留、僅存在
7、于內(nèi)存,可經(jīng)網(wǎng)絡(luò)傳播。第13章計(jì)算機(jī)惡意程序與病毒分類已隨著惡意程序彼此間的交叉和互相滲透(變異)變得模糊。惡意程序的出現(xiàn)、發(fā)展和變化給計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和各類信息系統(tǒng)帶來(lái)了巨大的危害,盡管已經(jīng)出現(xiàn)了許多有效的防范措施,但仍然遠(yuǎn)遠(yuǎn)不夠。因此,必須了解惡意程序及其對(duì)它的防御。由于計(jì)算機(jī)病毒的特殊功能和潛在的威脅,它成為所有計(jì)算機(jī)惡意程序的代名詞。目前的威脅:復(fù)合類病毒!病毒制造者將各類病毒機(jī)理相互