2024年-C恶意代码分类PPT学习课件（精编）.ppt

一种被业界广泛采用的分类方法1988年Morris蠕虫爆发后，EugeneH.Spafford为了区分蠕虫和病毒，给出蠕虫和计算机病毒的定义：“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上”“计算机病毒是一段代码，能把自身加到其他程序包括操作系统上；它不能独立运行，需要由它的宿主程序运行来激活它”FredCohen(1984)“计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的”。*Flame（火焰）5种加密算法，3种压缩技术，至少5种文件格式，65万行代码，编写复杂。卡巴斯基实验室表示，要全面了解Flame病毒，可能得花上10年时间。*Stuxnet(超级工厂病毒)

－内网摆渡2010年7月大面积爆发。Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。该病毒感染了全球超过45000个网络，伊朗、印尼、美国等多地均不能幸免。其中，以伊朗遭到的攻击最为严重，该病毒已经造成伊朗布什尔核电站推迟发电，60%的个人电脑感染了这种病毒。*网络恶意代码的分类（续）特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。如冰河、网络神偷、灰鸽子、上兴……后门：使得攻击者可以对系统进行非授权访问的一类程序。如Bits、WinEggDrop、Tini…**网络恶意代码的分类（续）RootKit：通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。如RootKit、Hkdef、ByShell…僵尸程序，恶意网页，拒绝服务程序，黑客工具，广告软件，间谍软件……*僵尸程序*间谍软件以主动收集用户个人信息、相关机密文件或隐私数据为主，搜集到的数据会主动传送到指定服务器。*广告软件未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。*流氓软件具有一定的实用价值但具备电脑病毒和黑客软件的部分特征的软件（特别是难以卸载）；它处在合法软件和电脑病毒之间的灰色地带，同样极大地侵害着电脑用户的权益。也称为灰色软件。*Exploit精心设计的用于利用特定漏洞以对目标系统进行控制的程序。*黑客工具等黑客工具：各类直接或间接用于网络和主机渗透的软件，如各类扫描器、后门植入工具、密码嗅探器、权限提升工具…****软件安全

C8恶意代码及其分类*本讲提纲8.1恶意代码的定义与发作趋势8.2恶意代码的功能8.3恶意代码的分类*8.1恶意代码的定义与发作趋势恶意代码（MaliciousCode，或MalCode），也称恶意软件（MalWare）。设计目的是用来实现恶意功能的代码或程序。正常软件也会引发安全问题，但绝大多数情况下并非作者有意。*恶意代码发作趋势*2010年金山数据*移动智能终端恶意软件增长迅猛*2011－2013年移动恶意软件累计增长数量情况2011－2013年安天实验室历年移动恶意软件累计数量统计图*X卧底－移动智能终端威胁的始作俑者*NSA－ANT工具箱

－APT攻击成为关注重点*8.2恶意代码的功能攻击目的是什么？攻击目标有哪些？攻击手段有哪些？*8.2.1攻击目的恶作剧、炫耀等经济利益商业竞争政治目的军事目的等*黑色产业链－示意图*黑色产业链－运转模式*8.2.2攻击目标个人计算机服务器移动智能终端手机、平板等智能设备特斯拉汽车、智能家居、智能手表等通信设备路由器、交换机等安全设备等防火墙、IDS、IPS、VDS等攻击目标范围：定点攻击邮件、IP、域名、QQ等服务器列表、特定人员名单等群体性杀伤挂马攻击、钓鱼攻击病毒、蠕虫自动扩散*8.2.3攻击手段－如何达到攻击目的？获取数据静态数据：文件、数据库等；动态数据：口令、内存、计算机网络流量、通信网络数据、可移动存储介质、隔离电脑等；破坏系统数据：删除、修改数据；系统服务：通用Web服务系统，数据库系统，特定行业服务系统（如工控）等。支撑设备：网络设备、线路等。动态控制与渗