Download
1 / 22
230 likes | 452 Vues
Malware. A brief introduction 夏琛. Content. Insider Attack. 后门 (backdoor/trapdoor) 为调试插入的后门 故意的后门 复活节彩蛋 (Easter Eggs). Insider Attack. 逻辑炸弹 (logic bomb) 千年虫? Omega Engineering 的逻辑炸弹 Tim Lloyd O E 背后的逻辑. 7/30/96 F: F:LOGINLOGIN 12345 CDPUBLIC
E N D
Malware A brief introduction 夏琛
Insider Attack • 后门(backdoor/trapdoor) • 为调试插入的后门 • 故意的后门 • 复活节彩蛋(Easter Eggs)
Insider Attack • 逻辑炸弹(logic bomb) • 千年虫? • Omega Engineering的逻辑炸弹 • Tim Lloyd • O E 背后的逻辑 7/30/96 F: F:\LOGIN\LOGIN 12345 CD\PUBLIC FIX.EXE/Y F:\*.* PURGE F:\\ALL
内部攻击的防御 • 单点故障 • 代码走查 • 限制权限 • 监控员工
Virus • 分类 • 实例 • 耶路撒冷 • Elk Cloner(apple) • 防御 • 特征码(抗原决定簇)
Virus • 加密病毒 • 隐藏病毒特征码 • 1)分块注入 • 2)加密主体 • 多变体病毒 (变异) • 加密算法通用代码 • 变形病毒(包含无用指令) • 联合、序列、概率
Trojan horse • 定义 • 有用&无用 • The AIDS Trojan1989 • AIDS INF • False antivirus software • Mocmex • 08年数码相框(分布式、介质)
Worm • 定义 • 无需注入、无需与人交互 • 自我复制 • 传播 • 通过网络 • Windows注册表
Worm • 建模 • N: 脆弱的主机总数 • I(t): t时刻被感染的主机数 • S(t): t时刻易被感染的主机数 • β: 感染率(const) • 和worm传播速度相关 I(0) = 1; S(0) = N – 1; I(t+1) = I(t) + β•I(t)•S(t); S(t+1) = N – I(t+1)
Worm • 实例 • ILOVEYOU • 附件 • 替换文件、图片 • CONFICKER • 08年攻击windows • 第三方: 拒绝服务、垃圾邮件etc • 更新 • 检测 • 特征码、数据包
零日攻击与僵尸网络 • 零日攻击 • 恶意软件攻击开发者不知道的脆弱性 • 扫描(假阳性) • 僵尸网络 • 控制计算机网络中大量被感染的主机 • 傀儡牧人(bot herder) • 蠕虫、木马: 僵尸软件中央控制
Privacy-invasive software • 广告软件(adware) • 需要用户许可才能显示在用户屏幕上 • 网页、邮件、软件etc • 间谍软件(计算机运行得慢) 追踪Cookie 数据收获机 (无需监测, 搜索文件) 灰色地带 道德eg.摄像头(thief or privacy)
对策 • 系统多样性 • 限制受信源软件安装 • 勿设置弱密码 123456,qwerty etc. • 对敏感系统和数据的路径采用最小特权原则 etc.
检测所有恶意软件的不可能性 • SuperKiller能检测出所有恶意软件(恶意方式操作的程序) • 某恶意的编程高手: • UltraWorm() • If(SuperKiller(UltraWorm) = true) then • Terminate execution. • Else • Output UltraWorm. • Do sth malicious. • Terminate execution.
Reference • http://www.guokr.com/question/327883/ • http://news.sohu.com/20140805/n403110370.shtml • Baidu • Wikipedia • Introduction to computer security: 清华大学出版社 • 应用密码学 协议 C语言: 机械工业出版社 • 生物知识赞助: 贾泽宇、朱禹云
谢谢~ END.
