主动防御技术的PPT讲座资料下载.pdf
《主动防御技术的PPT讲座资料下载.pdf》由会员分享,可在线阅读,更多相关《主动防御技术的PPT讲座资料下载.pdf(82页珍藏版)》请在冰豆网上搜索。
熊猫烧香作者李俊趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害趋利性病毒相关报道趋利性病毒相关报道1)盗取个人隐私)盗取个人隐私2)盗取帐号密码)盗取帐号密码QQMSN游戏游戏网银网银淘宝淘宝信用卡信用卡等等等等3)窃取机密信息)窃取机密信息商业机密商业机密国家机密国家机密趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害病毒趋利的种种表现病毒趋利的种种表现4)盗取网络财产)盗取网络财产网游装备网游装备币币经验值经验值5)网络攻击敲诈)网络攻击敲诈6)受雇网络攻击)受雇网络攻击7)恶意广告点击获利恶意广告点击获利趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害病毒趋利的种种表现病毒趋利的种种表现臭名昭著的流氓软件利用病毒自动弹出广告页面臭名昭著的流氓软件利用病毒自动弹出广告页面趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害病毒趋利的种种表现病毒趋利的种种表现8)病毒产业链:
产供销一条龙)病毒产业链:
产供销一条龙病毒制造病毒制造病毒加工病毒加工(免杀免杀)出售病毒出售病毒传播病毒传播病毒窃取信息窃取信息销售赃物销售赃物(开发者开发者)(生产者生产者)(销售销售)(偷盗者偷盗者)(挂马者挂马者)(销售销售)黑客培训黑客培训(黑客教师黑客教师)分取赃款分取赃款通过收徒培训获取经济利益通过收徒培训获取经济利益病毒产业的高额利润病毒产业的高额利润国家计算机病毒应急处理中心的调查数据显示,目前这条“黑色产业链”的年产值已超过2.38亿元人民币,造成的损失则超过76亿元。
国家计算机病毒应急处理中心的调查数据显示,目前这条“黑色产业链”的年产值已超过2.38亿元人民币,造成的损失则超过76亿元。
病毒趋利的种种表现病毒趋利的种种表现病毒趋利目的状况下病毒趋利目的状况下校园网的病毒状况校园网的病毒状况校园网安全现状校园网安全现状高校校园网络特点高校校园网络特点网络速度快和规模大活跃的用户群体开放的网络环境计算机系统管理比较复杂盗版资源泛滥校园网安全现状校园网安全现状校园网现状校园网现状1.校园网成为校园网成为“僵尸网络僵尸网络”的主要发展对象的主要发展对象由于CERNET用户普遍接入带宽较高,使得校园网机器成为黑客最喜爱的发展对象。
中国已经成为继美国之后因特网受攻击次数第二多的地方。
调查数据显示,发动攻击的IP地址中,中国占10%。
校园网现状校园网现状2.ARP攻击成为校园网影响校园网络正常运行攻击成为校园网影响校园网络正常运行造成网络瘫痪采用劫持传播病毒典型代表“黑晶ARP病毒“校园网安全现状校园网安全现状3、专门针对校园网机房特点的病毒、专门针对校园网机房特点的病毒典型代表机器狗:
典型代表机器狗:
通过hook系统的磁盘设备栈来达到穿透还原卡的目的,使得校园网内大量安装了还原卡防毒的机器被感染。
感染系统关键文件如:
userinit.exe、services.exe,嵌入恶意代码自动从网络上下载木马、病毒,由于直接修改系统文件,中毒的机器杀毒软件将无法清除,束手无策。
机器狗下载器感染系统后将从黑客站点下载大量恶意病毒,其中包括利用MS-08076的扫荡波等大量恶意病毒、木马。
扫荡波通过系统漏洞进行全网攻击,被攻击的机器自动下载机器狗并运行,重复感染。
趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害大多数人认为,保护计算机要这样做:
大多数人认为,保护计算机要这样做:
安装杀毒软件安装杀毒软件每天更新每天更新定期扫描定期扫描趋利性病毒攻击已成网络最大危害趋利性病毒攻击已成网络最大危害杀毒软件普及率很高,已经成为装机必备软件,但我国计算机病毒感染率2007年达到91.47%,感染次以上的计算机将近2007年中国计算机病毒疫情调查技术分析报告国家计算机病毒应急处理中心1.趋利性病毒攻击已成网络最大危害2.杀毒软件的脆弱性杀毒软件的脆弱性3.趋利性病毒新特点对抗杀毒软件4.反病毒新技术主动防御5.微点主动防御软件介绍杀毒软件的脆弱性杀毒软件的脆弱性杀毒软件的核心技术:
杀毒软件的核心技术:
特征码扫描技术是杀毒软件的核心技术从病毒体中提取病毒特征码构成病毒特征码库,反病毒毒软件将用户计算机中的文件或程序等目标,与病毒特征码库中的特征值逐一比对,判断该目标是否是病毒或者被病毒感染。
病毒特征码判断就像指纹识别一样,一个指纹对应一个人,一个特征码只对应一个病毒病毒特征码判断就像指纹识别一样,一个指纹对应一个人,一个特征码只对应一个病毒现有技术的局限性现有技术的局限性杀毒软件的脆弱性杀毒软件的脆弱性如何获取病毒特征码:
如何获取病毒特征码:
反病毒工程师从计算机中提取可疑程序;
然后反病毒工程师返回公司的实验室;
反病毒工程师在实验室运行可疑程序看行为,如果行为符合病毒定义,判定此可疑程序是病毒反病毒工程师为该病毒提取特征码(一个特征码只对应一个病毒,就像一个指纹对应一个人)用户计算机的杀毒软件升级该病毒特征码扫描后,杀毒软件才能告诉用户,该可疑程序是病毒杀毒软件能够查杀病毒的关键:
杀毒软件能够查杀病毒的关键:
反病毒公司必须先收集到病毒样本反病毒公司必须先收集到病毒样本现有技术的局限性现有技术的局限性病毒样本来源:
病毒样本来源:
1.采用蜜罐等诱捕技术在互联网部署采用蜜罐等诱捕技术的计算机,能够自动收集到部分病毒。
但这种方式需要在互联网部署大量的计算机,需要很高的成本,所以收集病毒的数量非常可怜。
2.依赖用户主动上报绝大多数病毒是反病毒公司从用户提交的可疑程序中分析判断中获取的。
有一定技术的用户发现自己的计算机存在可疑程序,然后将可疑程序提交给杀毒厂家,再有反病毒工程师分析,现在杀毒厂商所宣称的病毒监测网,实质上就是用户。
结论:
如果用户没有提交病毒样本,反病毒公司就很难收集到病毒。
400多万未知病毒谁处理?
德国AV测试实验室的数据显示,2007年全球新出现病毒超过550万种;
国内某知名反病毒公司公布:
2007年该公司收集病毒91万种;
550万(总病毒数)91万(已知病毒数)459万(未知病毒数)现有技术的局限性现有技术的局限性杀毒软件技术的局限性:
杀毒软件技术的局限性:
1、特征码依赖病毒2、病毒收集依赖用户现有技术的局限性现有技术的局限性杀毒软件的脆弱性杀毒软件的脆弱性杀毒软件的脆弱性杀毒软件的脆弱性1、不升级无法防范新编写的病毒;
2、不升级无法防范经过免杀技术处理的老病毒;
致命缺陷导致防范的脆弱性致命缺陷导致防范的脆弱性1.趋利性病毒攻击已成网络最大危害2.杀毒软件的脆弱性3.趋利性病毒新特点对抗杀毒软件趋利性病毒新特点对抗杀毒软件4.反病毒新技术主动防御5.微点主动防御软件介绍病毒趋利目的病毒趋利目的杀毒软件的脆弱性使得病毒具有新的特点对抗杀毒软件杀毒软件的脆弱性使得病毒具有新的特点对抗杀毒软件趋利性病毒新特点趋利性病毒新特点1)隐蔽性)隐蔽性为了达到获取利益的目的,病毒就要做得隐蔽性强,越隐蔽的病毒越难被用户发现,从而越不容易被反病毒公司收集。
兼容性程序不可见性任务完成后自杀2)抗杀性:
)抗杀性:
对老病毒进行改造,采用加花指令、加壳、修改特征值等免杀技术,躲避杀毒软件查杀。
采用内核技术加强对病毒的保护,使杀毒软件即使发现也难以清除直接对杀毒软件进行攻击,导致杀毒软件不能正常工作。
3)针对性:
)针对性:
针对特定的目标,采用特定的病毒攻击。
如果被攻击的用户没有发现,反病毒公司就无法收集到这个病毒,这个病毒将在用户的计算机中长期与杀毒软件“和平共处”趋利性病毒新特点趋利性病毒新特点小批量小批量小批量感染用户,反病毒公司可能无法获取病毒样本趋利性病毒新特点趋利性病毒新特点趋利性病毒新特点趋利性病毒新特点4)小批量、多变种、自动更新小批量、多变种、自动更新多变种多变种同一个病毒采用多种免杀技术生成多个变种,损失降到最小自动更新自动更新频繁自动更新自身,使得病毒特征码不断发生变化,即使反病毒公司获取到原来病毒样本,在杀毒软件升级前,病毒已经自动更新,杀毒软件升级后依然无法发现病毒。
趋利性病毒新特点趋利性病毒新特点5)工具化、自动化:
)工具化、自动化:
自动生成病毒变种,导致病毒数量呈几何级数增长,反病毒公司处于难以应付的境地。
趋利性病毒新特点趋利性病毒新特点趋利性病毒新特点趋利性病毒新特点病毒制造者为了达到获取经济利益的目的病毒制造者为了达到获取经济利益的目的1、采取各种手段躲避杀毒软件的查杀、采取各种手段躲避杀毒软件的查杀2、采取各种传播途径扩大病毒感染范围、采取各种传播途径扩大病毒感染范围趋利性病毒免杀技术趋利性病毒免杀技术趋利性病毒新特点趋利性病毒新特点病毒免杀技术轻松躲避杀毒软件的查杀病毒免杀技术轻松躲避杀毒软件的查杀加壳加花变种频繁更新趋利性病毒免杀技术趋利性病毒免杀技术趋利性病毒新特点趋利性病毒新特点病毒免杀技术之一:
病毒免杀技术之一:
加壳加壳加壳是病毒制造者最常用、最简单、最有效最常用、最简单、最有效躲避杀毒软件查杀的技术。
从技术原理上来说加壳是利用一种特殊的算法,对可执行文件进行压缩加密,借以改变其文件的特征。
这就好比电影【画皮】中的女鬼披上了人皮一样。
趋利性病毒免杀技术趋利性病毒免杀技术观看病毒加壳躲过杀毒软件查杀演示观看病毒加壳躲过杀毒软件查杀演示趋利性病毒新特点趋利性病毒新特点病毒免杀技术之一:
加花加花加花是病毒免杀常用的手段技术原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句),使得病毒的文件特征发生了改变,病毒特征码也就发生了变化,达到杀毒软件无法查杀的目的趋利性病毒免杀技术趋利性病毒免杀技术趋利性病毒新特点趋利性病毒新特点病毒免杀技术之一:
变种变种变种是在原有病毒的基础对其功能进行修改或者增加,使得产生一个功能更加完善病毒;
该变种病毒和原来的病毒有继承性;
变种后原病毒的文件特征已经发生改变由于特征码已经改变杀毒软件无法识别这些变种的新病毒。
目前黑客大多用这种方法来增强病毒功能和躲避杀毒软件的查杀。
趋利性病毒免杀技术趋利性病毒免杀技术趋利性病毒新特点趋利性病毒新特点病毒免杀技术之一:
自动频繁更新自动频繁更新病毒产业流行语病毒产业流行语:
杀毒软件玩更新,我们病毒一样玩更新架设病毒更新服务器采用千兆光纤更新频率大于杀毒软件结合小批量、多变种的方式,达到病毒感染最大化趋利性病毒免杀技术趋利性病毒免杀技术趋利性病毒新特点趋利性病毒新特点利用各种传播途径扩大病毒感染范围利用各种传播途径扩大病毒感染范围趋利性病毒主要传播途径趋利性病毒主要传播途径主要传播途径主要传播途径网页挂马守株待兔法,以逸待劳U盘传播反客为主,主
升级会员 