20155326《网络对抗》免考项目—— 深刻恶意代码之恶意代码详解

20155326《网络对抗》免考项目——深刻恶意代码之恶意代码详解

什么是恶意代码

恶意代码是一种程序，它经过把代码在不被察觉的状况下镶嵌到另外一段程序中，从而达到破坏被感染电脑数据、运行具备入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。

恶意代码生命周期

攻击目标：

• 我的计算机

• 服务器

• 移动智能终端

手机、平板等

• 智能设备

特斯拉汽车、智能家居、智能手表等

• 通讯设备

路由器、交换机等

• 安全设备等

防火墙、IDS, IPS. VDS

攻击目标范围：

• 定点攻击

邮件、IP、域名、QQ等
服务器列表、特定人员名单等

• 群体性杀伤

挂马攻击、钓鱼攻击:
病毒、蠕虫自动扩散:

恶意代码危害

• 删除敏感信息

• 做为网络传播的起点

• 监视键盘

• 收集你的相关信息：常访问的站点、 search的关键词、上网偏好/时间

• 获取屏幕

• 在系统上执行指令/程序

• 窃取文件,如文档/音视频数据/务/技术/商业机密

• 开启后门,做为攻击其余计算机的起点/(肉鸡)

• 隐藏在你主机上的全部活动

• 诱骗访问恶意网站

恶意代码的特征

恶意代码从80年代发展至今体现出来3个主要特征：

1. 恶意代码日趋复杂和完善:从很是简单的,感染游戏的Apple II病毒发展到复杂的操做系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。

2. 创新性工具和技术的发布速度加快:恶意代码刚出现时发展较慢,可是随着网络飞速发展, Internet成为恶意代码发布并快速蔓延的平台。特别是过去十年,不断涌现,的恶意代码,证明了这一点。

3. 从病毒到蠕虫,又到内核的开发趋势:对于过去的恶意代码,大多数活动都围绕着病毒和感染可执行程序进行,然而如今,咱们看到这些活动主要集中在蠕虫和内核级的系统开发上活动主要集中在蠕虫和内核级的系统开发上。

恶意代码当前发展状况

• 恶意代码的发展历史

恶意代码分类：

病毒类型所占比例

• 下面介绍四类流行的恶意代码

陷阱门（后门）

陷阱门是某个程序的秘密入口，经过该入口启动程序，能够绕过正常的访问控制过程，所以，获悉陷阱门的人员能够绕过访问控制过程，直接对资源进行访问。陷阱门已经存在很长一段时问，原先的做用是程序员开发具备鉴别或登陆过程的应用程序时，为避免每一次调试程序时都需输入大量鉴别或登陆过程须要的信息，经过陷阱门启动程序的方式来绕过鉴别或登陆过程。程序区别正常启动和经过陷阱门启动的方式不少，如携带特定的命令参数、在程序启动后输入特定字符串等。
  程序设计者是最有可能设置陷阱门的人，所以，许多免费下载的实用程序中含有陷阱门或病毒这样的恶意代码，使用免费下载的实用程序时必须注意这一点。

如：Bits、WinEggDrop、Tini。。。

• 后门特色：

1.后门包括从简单到奇特，有不少的类型。简单的后门可能只是创建一个新的帐号，或者接管一个不多使用的帐号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，当你输入特定的密码时，你就能以管理员的权限来存取系统。

2.后门能相互关联，并且这个 技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个帐号密码，黑客可能会创建一个或多个帐号。一个黑客能够存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来提高权限。黑客可能会对系统的配置文件进行小部分的修改，以下降系统的防卫性能。也可能会安装一个木马程序，使系统打开一个安全漏洞，以利于黑客彻底掌握系统。

特洛伊木马

特洛伊木马也是包含在正常应用程序中的一段恶意代码，一旦执行这样的应用程序，将激发恶意代码。顾名思义，这一段恶意代码的功能主要在于削弱系统的安全控制机制，如在系统登陆程序中加入陷阱门，以便黑客可以绕过登陆过程直接访问系统资源；将共享文件的只读属性修改成可读写属性，以便黑客可以对共享文件进行修改；甚至容许黑客经过远程桌面这样的工具软件控制系统。

如：冰河、网络神偷、灰鸽子。。。

• 远程控制与特洛伊木马

远程控制技术原理：

远程控制软件其实是一种客户机/服务器程序，服务器程序安装在被控主机上，客户机程序安装在控制端。做为服务器的主机通常会打开一个默认的端口并进行监听，若是有客户机向服务器的这一端口提出链接请求，服务器上相应程序就会自动运行，来应答客户机的请求，从而实现远程控制。

• 木马组成

对木马程序而言，它通常包括两个部分：客户端和服务器端。

服务器端：

经过各类手段植入被控制的目标机器。
通常经过电子邮件或其余手段让用户在其计算机中运行，以达到控制该用户计算机的目的。

客户端：

安装在攻击者机器上，由控制者所使用
用于对受控的计算机进行控制。

服务器端程序和客户端程序创建起链接就能够实现对远程计算机的控制了。

• 特洛伊木马特征：

1.不产生图标 　　

木马虽然在你系统启动时会自动运行，但它不会在 "任务栏"中产生一个图标，这是容易理解的，否则的话，你看到任务栏中出现一个来历不明的图标，你不起疑心才怪呢! 木马程序自动在任务管理器中隐藏，并以"系统服务"的方式欺骗操做系统。 　　

2.具备自动运行性。 　　

木马为了控制服务端。它必须在系统启动时即跟随启动，因此它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 　　

3.包含具备未公开而且可能产生危险后果的功能的程序。 　　

4.具有自动恢复功能。 　　

如今不少的木马程序中的功能模块巴再也不由单一的文件组成，而是具备多重备份，能够相互恢复。当你删除了其中的一个，觉得万事大吉又运行了其余程序的时候，谁知它又悄然出现。像幽灵同样，防不胜防。 　　

5.能自动打开特别的端口。 　

6.功能的特殊性。
　　
一般的木马功能都是十分特殊的，除了普通的文件操做之外，还有些木马具备搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操做以及锁定鼠标等功能。上面所讲的远程控制软件固然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便本身操做而已，而不是用来黑对方的机器的。

• 木马技术——植入方式

• 木马技术——隐藏技术

文件隐藏：

采用欺骗的方式假装成其它文件
假装成系统文件

进程隐藏：

动态连接库注入技术，将“木马”程序作成一个DLL文件，并将调用动态连接库函数的语句插入到目标进程，这个函数相似于普通程序中的入口程序。
Hooking API技术。经过修改API函数的入口地址的方法来欺骗试图列举本地全部进程的程序。

通讯隐藏：

端口隐藏
反向链接
隐藏通道

PS：一个复用正常服务端口的例子以下。

• 木马技术——自动加载

针对Windows系统，木马的自动加载主要有如下方法：

蠕虫

从病毒的广义定义来讲，蠕虫也是一种病毒，但它和狭义病毒的最大不一样在于自我复制过程，病毒的自我复制过程须要人工干预，不管是运行感染病毒的实用程序，仍是打开包含宏病毒的邮件，都不是由病毒程序自我完成的。蠕虫可以自我完成下述步骤。
(1)查找远程系统：可以经过检索已被攻陷的系统的网络邻居列表或其余远程系统地址列表找出下一个攻击对象。
(2)创建链接：可以经过端口扫描等操做过程自动和被攻击对象创建链接，如Telnet链接等。
(3)实施攻击：可以自动将自身经过已经创建的链接复制到被攻击的远程系统，并运行它。

• 经典的两种蠕虫（此外还有红色代码、SQL蠕虫王、冲击波、震荡波。。。）

• 蠕虫工做机制

信息收集-->攻击渗透-->现场处理

在信息收集阶段，按照必定的策略搜索网络中存活的主机，收集目标主机的信息，并进行漏洞探测。扫描策略以下：

因为蠕虫向网络中发送大量的探测数据，很容易形成网络堵塞，这也是蠕虫病毒的最大危害之一 。

攻击渗透是经过主机漏洞尝试攻击，一旦攻击成功，则得到控制该主机的权限，将蠕虫代码渗透到被攻击主机。

现场处理是对被攻击的主机进行一些处理，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要经过注册表将蠕虫程序设为自启动状态；能够完成其它行为，如恶意占用CPU资源等。

PS:攻击示例,就像这样默默在注册表中添加了一项。

或者修改了系统进程，这里lsass.exe是一个系统进程，用于Windows系统的安全机制。它用于本地安全和登录策略。

• 蠕虫的行为特征

1.自我繁殖：
　
　蠕虫在本质上已经演变为黑客入侵的自动化工具， 当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于一般的病毒。

2.利用软件漏洞：

任何计算机系统都存在漏洞，这些漏洞是各类各样的，有操做系统自己的问题、有的是应用服务程序的问题、有的是网络管理人员的配置问题……

3.形成网络拥塞：

在扫描漏洞主机的过程当中，蠕虫须要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。

同时蠕虫副本在不一样机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即便是不包含破坏系统正常工做的恶意代码的蠕虫，也会由于它产生了巨量的网络流量，致使整个网络瘫痪，形成经济损失。

4.消耗系统资源：

蠕虫入侵到计算机系统以后，会在被感染的计算机上产生本身的多个副本，每一个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，致使系统的性能降低。这对网络服务器的影响尤为明显。

5.留下安全隐患：

大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会致使将来的安全隐患。

病毒

计算机病毒是一个程序,一段可执行代码。就像生物病毒同样,计算机病毒有独特的,复制能力。计算机病毒能够很快地蔓延,又经常难以根除。它们能把自身附着在各类类型的文件上。当染毒文件被复制或从一个用户传送到另外一个用户时,它们就随同该文件一块儿,蔓延开来。除复制能力外,某些计算机病毒还有其余一些共同特性:一个被感染的程序是可以传播病毒的载体。当你看到病毒彷佛仅表如今文字和图像上时,它们可能也已毁坏了文件、格式化了你的硬盘或引起了其余类型的灾害。若病毒并不寄生于一个感染程序,它仍然能经过占据存储空间给你带来麻烦,并下降计算机的性能。

• 经典的两种病毒（此外还有CIH、新欢乐时光等等）：

• 计算机病毒具备如下几个密明显的特征：

1.传染性

这是病毒的基本特征,是判断一个程序是否为计算机病毒的最重要的特征,一旦病毒被复制或产生变种，其传染速度之快使人不可思议。

2.破坏性

任何计算机病毒感染了系统后,都会对系统产生不一样程度的影响,发做时轻则占用系统资源,影响计算机运行速度,下降计算机工做效率,使用户不能正常使用计算机;重则破坏用户计算机的数据,甚至破坏计算机硬件,给用户带来巨大的损失。

3.寄生性

通常状况下,计算机病毒都不是独立存在的,而是寄生于其余的程序中,当执行这个程序时,病毒代码就会被执行,在正常程序未启动以前,用户是不易发觉病毒的存在的。

4.隐蔽性

计算机病毒具备很强的隐蔽性,它一般附在正常的程序之中或藏在磁盘隐秘的地方,有些病毒采用了极其高明的手段来隐藏本身,如使用透明图标、注册表内的类似字符等,并且有的病毒在感染了系统以后，计算机系统仍能正常工做，用户不会感到任何异常，在这种状况下，普通用户没法在正常状况下发现病毒。

5.潜伏性（触发性）

大部分的病毒感染系统以后通常不会立刻发做,而是隐藏在系统中,就像定时炸弹同样,只有在知足特定条件时才被触发,例如,黑色星期五病毒,不到预约时间,用户就不会觉察出异常。一旦遇到13日而且是星期五,病毒就会被激活而且对系统进行破坏。固然,有计算机的地方就有计算机病毒,也能够说,计算机病毒无处不在,尽管病毒带来的,损失或大或小,甚至有些没有任何损失,可是大部分计算机用户都有被病毒侵扰的经历.据中国计算机病毒应急处理中心统计,中国计算机用户受病毒感染的比例(感染率)一直处于高位,美国权威调查机构证明,进入新世纪以来,每一年因计算机病毒形成的损失都在100亿美圆以上。

• 计算机病毒的基本机制

三大模块：传染机制、破坏机制、触发机制

传染机制 ：
指计算机病毒由一个宿主传播到另外一个宿主程序，由一个系统进入另外一个系统的过程。

触发机制：
计算机病毒在传染和发做以前，要判断某些特定条件是否知足，这个条件就是计算机病毒的触发条件。

破坏机制 ：
良性病毒表现为占用内存或硬盘资源。
恶性病毒则会对目标主机系统或信息产生严重破坏。

总结

随着互联网的发展，信息化时代来到了。网络愈来愈深刻到咱们平常的生活、学习和工做当中个，网路安全事件频发，已经严重影响到咱们的平常生活、学习、工做各方面，除了安装杀毒软件、防火墙等工具来检测咱们的电脑逃离恶意代码的魔爪，咱们还必须学会一些主动防范的手段来保护本身，在接下来的学习过程当中会从列举几种恶意代码的生成方法、从静态和动态方式对恶意代码进行深刻分析、同时与之相对的介绍一些恶意代码的检测查杀和恶意代码的隐藏。

参考：

计算机病毒及其防范技术

蠕虫病毒

https://wenku.baidu.com/view/8a3ddfd2f61fb7360a4c6524.html

恶意代码分析笔记

特洛伊木马特征

后门

网页木马 示例