9恶意代码检测及防范.ppt

恶意代码检测与防范 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 主要内容 常见的恶意代码 恶意代码机理 恶意代码检测 恶意代码清除与预防 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 恶意代码主要是指以危害信息的安全等不良意图为目的的程序，它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马 恶意代码主要危害 攻击系统，造成系统瘫痪或操作异常 危害数据文件的安全存储和使用 泄露文件、配置或隐秘信息 肆意占用资源，影响系统或网络性能 常见的恶意代码 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 都是人为编制的程序 对系统具有破坏性或威胁性 往往具有传染性、潜伏性、非授权执行性 根据种类不同还具有寄生性、欺骗性、针对性等 恶意代码的基本特征 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 网络成为计算机病毒传播的主要载体 网络蠕虫成为最主要和破坏力最大的病毒类型 与黑客技术相结合，出现带有明显病毒特征的木马或木马特征的病毒 出现手机病毒、信息家电病毒 病毒制造传播目的由以表现破坏为主转向以获利为主，木马病毒成为当前主流病毒 恶意代码的发展趋势 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 计算机病毒是一类具有寄生性、传染性、破坏性的程序代码，寄生性和传染性是病毒区别于其他恶意代码的本质特征 计算机病毒代码不能独立存在，必须插入到其他序或文件中，并随着其他文件的运行而被激活，然后驻留在内存以便进一步感染或者破坏 可分为引导型、文件型、混合型病毒 如CIH病毒，宏病毒等 计算机病毒 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 病毒的两种存在状态 静态：仅存在于文件中 激活：驻留内存，可以感染其他文件或磁盘 仅感染本机的文件 随感染文件的传播而传播 传播方式 软盘、移动硬盘、U盘、光盘等，特别是盗版光盘 文件共享、电子邮件、网页浏览、文件下载 计算机病毒传染传播 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 不依附其他程序，而是一段独立的程序 通过网络把自身的拷贝传播给其它计算机 可以修改删除其他程序，也可能通过反复自我复制占尽网络或系统资源，造成拒绝服务 具备病毒复制和入侵攻击双重特点 利用漏洞自主传播 如： 红色代码、冲击波等 蠕虫 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 蠕虫程序的传播过程 （1）扫描：蠕虫的扫描功能模块负责探测存在漏洞的主机，以便得到一个可传染的对象。 （2）攻击：攻击模块自动攻击找到的可传染对象，取得该主机的权限，获得一个shell。 （3）复制：复制模块通过两主机的交互将蠕虫程序复制到目标主机并启动。 可见，传播模块实现的是自动入侵的功能。蠕虫的传播技术是蠕虫技术的首要技术。 蠕虫 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 木马是一种程序，它能提供一些有用的或者令人感兴趣的功能，但是还具有用户不知道的其它功能。 木马不具有传染性