《软件安全》课件第5章-恶意代码概述.pptx

1、软件安全Part章 节05恶意代码概述5.1.1什么是恶意代码 恶意代码（英文malware，为malicious software的混成词），也叫做恶意软件。恶意代码涵盖的范围十分广泛，不仅仅包含PC端，还应包含移动端。任何以某种方式对用户计算机、移动智能终端、网络等造成破坏的软件，或者说所有带有敌意、插入、干扰正常使用、令人讨厌的程序和源代码，都可以被认为是恶意代码。5.1恶意代码的概念移动端、PC端窃取用户隐私（如手机号码、地理位置）破坏系统恶意扣费远程控制监听窃取用户信息阻碍系统正常运行 恶意代码的传播途径目前主要有以下几个传播途径：软盘、光盘、硬盘、互联网和无线通信系统。其中最主要的

2、途径是互联网，目前恶意代码主要通过如下几种互联网服务进行传播：电子公告栏（BBS）电子邮件各种即时消息服务（例如QQ、微信）Web服务FTP服务移动应用商城。5.1恶意代码的概念5.1.2恶意代码的特征（1）目的性：是恶意代码的基本特征，是判别一个程序或者代码片段是否为恶意代码的最重要的特征，也是法律上判断恶意代码的标准。（2）传播性：是恶意代码体现其生命力的重要手段。恶意代码总是通过各种手段把自己传播出去，到达尽可能多的软硬件环境。（3）破坏性：是恶意代码的表现手段。任何恶意代码传播到了新的软硬件系统后，都会对系统产生不同程度的影响。它们发作时轻则占用系统资源，影响计算机运行速度，降低计算机

3、工作效率，使用户不能正常的使用计算机；重则破坏用户计算机的数据，甚至破坏计算机硬件，给用户带来巨大的损失。5.1恶意代码的概念5.1.3恶意代码的表现现象在不同的平台上，如PC端或移动智能终端上，恶意代码的感染症状有很大的不同。即时是在同一平台上，不同类型的恶意代码感染症状也各不相同。恶意代码的表现现象主要分为三个阶段：发作前：恶意代码感染计算机系统，潜伏在系统内开始，一直到激发条件满足，恶意代码发作之前的阶段发作时：满足恶意代码发作的条件，进入进行破坏活动的阶段发作后：发作后给计算机系统带来破坏性后果5.1恶意代码的概念 恶意代码发作前的表现现象（PC端）5.1恶意代码的概念陌生人发来的电子

4、邮件可用的磁盘空间迅速减少或磁盘文件变多平时正常的计算机经常突然死机无法正常启动操作系统计算机运行速度明显变慢部分软件经常出现内存不足的错误系统文件的属性发生变化系统无故对磁盘进行写操作 恶意代码发作前的表现现象（移动端）5.1恶意代码的概念请求获取系统管理器权限请求root权限请求修改默认短信应用，以便恶意代码能够删除短信 恶意代码发作时的表现现象（PC端）5.1恶意代码的概念硬盘灯持续闪烁无故播放音乐不相干的提示无故出现特定图像、突然出现算法游戏改变Windows桌面图标计算机突然死机或重新启动自动发送电子邮件鼠标指针无故移动 恶意代码发作时的表现现象（移动端）5.1恶意代码的概念自动发送

5、短信,短信中可能包含诱骗下载恶意代码的网址等信息自动发送邮件,邮件中可能包含恶意代码相关的内容，诱骗其他用户感染频繁弹出广告窗口，干扰用户正常工作自动拨打电话,通过私自拨打电话达到消耗用户资费及干扰用户正常生活的目的频繁连接网络，产生异常数据流量 恶意代码发作后的表现现象（PC端）5.1恶意代码的概念无法启动系统系统文件丢失或被破坏部分BIOS程序混乱部分文档自动加密部分文档丢失或被破坏目录结构发生混乱网络无法提供正常服务浏览器自动访问非法网站 恶意代码发作后的表现现象（移动端）5.1恶意代码的概念用户隐私信息，如用户手机号、地理位置被窃取用户手机被远程控制用户通信录、浏览器标签等个人数据被修

6、改用户资费被恶意扣除移动终端系统被破坏1983198119825.2恶意代码的发展历史(PC端）弗雷德科恩（Fred Cohen）博士将计算机病毒定义为“可以通过修改其他程序，使其包含该程序可能演化的版本的程序”并研制出一种在运行过程中可以复制自身的破坏性程序。1983第一次报道的计算机病毒：至少有三个独立的病毒，其中包括在Apple 计算机系统的游戏中被发现的Elk Cloner伦艾德勒曼（Len Adleman）将这种破坏性程序命名为计算机病毒（Computer Viruses），并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX 11/750计算机系统上成功运行该程序。19

7、96199119865.2恶意代码的发展历史(PC端）第一个多态的计算机病毒：为了避免反病毒系统，这些病毒在每次运行时都会变换自己的表现形式，从而揭开了多态病毒代码的序幕。1990巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒，即Brain。Brain是第一个感染PC的恶意代码。在“海湾战争中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗前，成功地破坏了对方的指挥系统，使之瘫痪，保证了战斗的顺利进行。首次发现宏（Macro）病毒：这个让人们特别厌恶和紧张的病毒使用Microsoft Word的宏语言实现，感染文档文件。这类技术波及其他程序的其他宏语言。199

8、5首次出现针对微软公司Office的宏病毒。宏病毒的出现使病毒编制工作不再局限于晦涩难懂的汇编语言，由于书写简单，越来越多的恶意代码出现了。200319975.2恶意代码的发展历史(PC端）出现第一个Java病毒：StrangeBrew，该病毒病毒可以感染其他Java程序。1998信息安全界的“宏病毒年。宏病毒主要感染Word、Excel等文件。常见的宏病毒有Taiwan NO.1（台湾一号）、Setmd、Consept、Mdma等。“2003蠕虫王在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。其中受害最严重的无疑是美国和韩国这两个Internet发达的国家。其中韩国70的网络服

9、务器处于瘫痪状态。美国连银行网络系统也遭到了破坏，全国1.3万台自动取款机处于瘫痪状态。1995200520045.2恶意代码的发展历史(PC端）2005年是特洛伊木马流行的一年。在经历了操作系统漏洞升级、杀毒软件技术改进后，蠕虫的防范效果已经大大提高，真正有破坏作用的蠕虫已经销声匿迹。2005年的木马即包括安全领域耳熟能详的经典木马。举例如下：2004年是蠕虫泛滥的一年，2004年十大流行恶意代码都是蠕虫，它们包括网络天空、高波、爱情后门、震荡波、SC()炸弹、冲击波、恶鹰、小邮差、求职信、大无极。1995闪盘窃密者（Trojan.UdiskThief):该木马会判断计算机上移动设备的类型，

10、自动把u盘里所有的资料都复制到计算机C盘的“test”文件夹下，这样可能造成某些公用计算机用户的资料丢失。外挂陷阱（Trojan.Lineage.hp)此木马可以盗取多个网络游戏的用户信息，下载安装所需外挂程序后，便会发现外挂程序实际上是经过伪装的恶意代码，这时恶意代码便会自动安装到用户计算机中。证券大盗(Trojan/PSW.Soufan):该木马可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能。我的照片(Trojan.PSW.MyPhoto)该木马试图窃取热血江湖、传奇、天堂2、工商银行、中国农业银行等数十种网络游戏及网络银行的账号和

11、密码。该木马发作时，会显示一张照片，使用户对其放松警惕。201020075.2恶意代码的发展历史(PC端）1998熊猫烧香病毒爆发：熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”。这是中国警方破获的首例计算机病毒大案。震网病毒（英文名为Stuxnet）席卷全球工业界，这种病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网。19955.2恶意代码的发展历史(移动端）19955.2恶意代码的发展历史(移动端）19955.2恶意代码的发展历史

12、(移动端）5.2恶意代码的发展历史(移动端）5.2恶意代码的发展历史(移动端）l 移动端有很多与PC端不同的特性l 移动端与“人”的关系更为贴近l 在移动端上获取用户重要信息也更为容易因此对于PC端和移动端的恶意代码，有不同的分类方式和种类。5.3 恶意代码的种类到目前为止，绝大多数的恶意代码都可以被分到如下类别中：l 病毒l 木马l 蠕虫l 研究代码5.3 恶意代码的种类5.3.1 PC端恶意代码类型l 基础概念病毒：一种专门修改其他宿主文件或硬盘引导区来复制自己的恶意程序。在多数情况下，目标宿主未按被修改并将病毒的恶意代码的副本包括进去。然后，被感染的宿主文件或者引导区的运行结果再去感染其

13、他文件。木马：是一种非自身复程序。它假装成一种程序，但是其真正意图却不为用户所知。并不修改或者感染其他文件。5.3 恶意代码的种类5.3.1 PC端恶意代码类型l 基础概念蠕虫：一种复杂的自身复制代码，它完全依靠自己来传播。不像病毒，蠕虫很少寄生在其他文件或者引导区中。木马和蠕虫区别l 木马总是假扮成别的程序，而蠕虫却是在后台暗中破坏l 木马依靠信任它们的用户来激活它们，而蠕虫从一个系统传播到另一个系统不需要用户的任何干预l 蠕虫大量地复制自身，而木马并不这样做。5.3 恶意代码的种类5.3.1 PC端恶意代码类型l 基础概念研究代码：仅仅用作研究的恶意代码程序最初是在实验室里写的，是用来证明

14、一种特殊的理论或者是专门给反病毒研究者做研究用的，但它们并未流传出去。5.3 恶意代码的种类5.3.1 PC端恶意代码类型根据中华人民共和国通信行业标准-移动互联网恶意程序描述格式，绝大多数的恶意代码都可以被分到如下类别中：l 恶意扣费l 信息窃取l 远程控制l 恶意传播l 资费消耗l 系统破坏l 诱骗欺诈l 流氓行为5.3 恶意代码的种类5.3.2 移动端恶意代码类型l 基础概念恶意扣费：在用户不知情或未授权的情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失的，具有恶意扣费属性。信息窃取：在用户不知情或未授权的情况下，获取涉及用户个人信息、工作信

15、息或其他非公开信息的，具有信息窃取属性。远程控制：在用户不知情或未授权的情况下，能够接受远程控制端指令并进行相关操作的，具有远程控制属性。5.3 恶意代码的种类5.3.2移动端恶意代码类型l 基础概念恶意传播：自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其他恶意程序进行扩散的行为，具有恶意传播属性。资费消耗：在用户不知情或未授权的情况下，通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式，导致用户资费损失的，具有资费消耗属性。系统破坏：通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其他非恶意软件部分或全部功能、用户文件等无法正常使用的，干扰、破坏、阻断移动通信网

16、络、网络服务或其他合法业务正常运行的，具有系统破坏属性。5.3 恶意代码的种类5.3.2移动端恶意代码类型l 基础概念诱骗欺诈：通过伪造、篡改、劫持短信、彩信、邮件、通信录、通话记录、收藏夹、桌面等方式诱骗用户，而达到不正当目的的，具有诱骗欺诈属性。流氓行为：执行对系统没有直接损害，也不对用户个人信息、资费造成侵害的其他恶意行为具有流氓行为属性。5.3 恶意代码的种类5.3.2移动端恶意代码类型l 病毒的命名并没有一个统一的规定，但基本都是采用前、后缀法来进行命名的，可以是多个前缀、后缀组合，中间以小数点分隔l 一般格式：前缀病毒名后缀5.4 恶意代码的命名规则5.4.1 PC端l 基础概念病

17、毒前缀：是指一个病毒的种类，我们常见的木马病毒的前缀是“Trojan”，蠕虫病毒的前缀是“Worm”，其他前缀还有如“Macro”、“Backdoor”、“Script”等。病毒名：是指一个病毒名称，如以前很有名的CIH病毒，它和它的一些变种都是统一的“CIH”，还有振荡波蠕虫病毒，它的病毒名则是“Sasser”。病毒后缀：指一个病毒的变种特征，一般是采用英文中的26个字母来表示的，如“Worm.Sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了，那也可以采用数字和字母混合的方法来表示病毒的变种。5.4 恶意代码的命名规则5.4.1 PC端l 常见恶意代码命名前缀5.4 恶意代

18、码的命名规则5.4.1 PC端病毒类型前缀说明举例木马病毒Trojan通过网络或者系统漏洞进入用户的系统并隐藏，然后再向外界泄露用户的信息。QQ消息尾巴Trojan.QQPSW.r、网络游戏木马病毒Trojan.StartPage.FH脚本病毒Script用脚本语言编写，通过网页进行的传播的病毒。有些脚本病毒还会有VBS、HTML之类的前缀，是表示用何种脚本编写的红色代码Script.Redlof、欢乐时光VBS.Happytime、HTML.Reality.D系统病毒Win32、PE、Win95、W32、W95等可以感染Windows操作系统的*.exe 和*.dll 文件，并通过这些文件进

19、行传播CIH、FUNLOVE宏病毒Macro，第二前缀有Word、Word97、Excel、Excel97等，根据感染的文档类型来选择相应的第二前缀也可以算是脚本病毒的一种，由于它的特殊性，因此就单独算成一类。该类病毒的特点就是能感染OFFICE系列的文档，然后通过OFFICE通用模板进行传播美丽莎病毒Macro.Melissa、文档猎人Macro.Word.Hunter.e蠕虫病毒Worm可以通过网络或者系统漏洞来进行传播，大多数蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性冲击波、震荡波l 常见恶意代码命名前缀5.4 恶意代码的命名规则5.4.1 PC端病毒类型病毒类型前缀前缀说明说明举例举

20、例捆绑机病毒捆绑机病毒Binder病毒与应用程序捆绑起来，用户运行应用程序时，也同时运行了被捆绑在一起的病毒文件，从而给用户造成危害系统杀手Binder.killsys后门病毒后门病毒Backdoor通过网络传播来给中毒系统开后门，给用户电脑带来安全隐患间谍波特Backdoor.Spyboter.g、AV后门Backdoor.Avstral.g破坏性程序破坏性程序Harm这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏格式化C盘Harm.formatC.f、杀手命令Harm.Command.Killer玩笑病毒玩笑病毒（也称恶作（也称

21、恶作剧病毒）剧病毒）Joke这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏女鬼Joke.Girlghost黑客病毒黑客病毒Hack有一个可视的界面，能对用户的电脑进行远程控制网络枭雄Hack.Nether.Client病毒种植程病毒种植程序病毒序病毒Dropper运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏冰河播种者Dropper.BingHe2.2C、MSN射手Dropper.Worm.Smibagl 移动互联网恶意程序采用分段式格式命名，前四段为必选项，使用

22、英文（不区分大小写）或数字标识；第五段起为扩展字段，扩展字段为可选项，内容使用中括号“”标识，可使用任何Unicode字符，扩展字段可增加多个。l 命名格式如下：l 受影响操作系统编码.恶意程序属性主分类编码.恶意程序名称.变种名称.扩展字段5.4 恶意代码的命名规则5.4.2 Android端l 移动互联网恶意程序属性主分类编码及排序5.4 恶意代码的命名规则5.4.2 Android端1payment恶意扣费2privacy信息窃取3remote远程控制4spread恶意传播5expense资费消耗6system系统破坏7fraud诱骗欺诈8rogue流氓行为l 举例s.remote.du

23、musicplay.b.毒媒a.remote.adrd.a.红透透s.remote.dumusicplay.f.毒媒.已升级w.privacy.mobilespy.ci.spread.ikee.ab.privacy.txsbbspy.ap.remote.vapor.aj.payment.swapi.e5.4 恶意代码的命名规则5.4.2 Android端l 在恶意代码的发展史上，恶意代码的出现是有规律的。l 一般情况下，一种新的恶意代码技术出现后，采用新技术的恶意代码会迅速发展，接着反恶意代码技术的发展会抑制其流传。操作系统进行升级时，恶意代码也会调整为新的方式，产生新的攻击技术。l 恶意代码的发展趋势和信息技术的发展是相关的。5.5 恶意代码的未来发展趋势l 网络化发展l 专业化发展l 简单化发展l 多样化发展l 自动化发展l 犯罪化发展l 更加善用社会工程学5.5 恶意代码的未来发展趋势