感染以后可能现象：
1.电脑非常卡，操作程序有明显的停滞感，常见杀毒软 件无法正常打开，同时发现反复重装系统后问题依旧无法 解决 2.系统文件被感染杀毒查杀以后提示找不到相应的dll或 者系统功能不正常 rpcss.dll、ddraw.dll(这个是盗号木马现在常修改的系统dll) 3.QQ号码被盗，可被黑客用来传播广告等 4.魔兽、DNF、天龙八部、梦幻西游等游戏帐号被盗 5.进程中存在iexplore.exe进程并指向一个不正常的网站 6.桌面出现一个名为“播放器”的快捷方式，并指向某 网站，修改IE首页为hxxp:///
19
NTFS数据流后门
• 利用NTFS文件系统特性，将木马隐藏在正常文件当中，普 通手段无法察觉： • type calc.exe >c:\note.txt:alternate.exe • 启动木马的命令： • start c:\note.txt:note.exe
20
Gh0st木马
21
Gh0st木马
7
恶意代码发展史
• • • • • • • • •
2002年—setiri后门 2002年—SQL slammer(sqlserver) 2003年—hydan的steganography工具 2003年—MSBlaster/ Nachi 2004年—MyDoom/ Sasser …… 2006年—熊猫烧香 …… 2010年—Stuxnet(工业蠕虫)
24
隐藏进程—FU_Rootkit
25
最隐蔽后门--Bootkit
• 隐藏于硬盘MBR • 无视重启、普通格式化、重装、Ghost
26
网页木马—网马生成器
27
WebShell
28
鬼影病毒工作流程
• 鬼影病毒是一个木马下载器，使用了ring3恢复内 核钩子、感染磁盘引导区(MBR)、多种方法结束 杀毒软件等技术自启动并对抗杀毒软件 • 完全感染后，是一个看不到可疑文件、没有启动 项、普通重装系统也无法解决的顽固病毒
43
病毒自启动方式
• 修改系统
– 修改注册表
• • • • 启动项 文件关联项 系统服务项 BHO项
– 将自身添加为服务 – 将自身添加到启动文件夹 – 修改系统配置文件
• 自动加载
– 服务和进程－病毒程序直接运行 – 嵌入系统正常进程－DLL文件和OCX文件等 – 驱动－SYS文件
44
常见的病毒行为
课程目录
1 恶意代码的发展 2 常见恶意代码示例 3 恶意代码的危害特点 4 病毒、木马和后门的原理 5 恶意代码分析技术 6 恶意代码防护技术
恶意代码发展史 • 1949：冯·诺依曼在《复杂自动机组织论》提出概念 • 1960：生命游戏（约翰·康维 ） 磁芯大战（道格拉斯.麦耀莱、维特.维索斯 基 、罗伯.莫里斯 ） • 1973：真正的恶意代码在实验室产生 • 1981年-1982年:在APPLE-II的计算机游戏中发现Elk cloner
•
•
• •
自动弹出网页 占用高CPU资源 自动关闭窗口 自动终止某些进程
无论病毒在系统表现形式如何„ 我们需要关注的是病毒的隐性行为！
5
恶意代码发展史
• • • • • • • • 1986年—第一个PC病毒：Brain virus 1988年—Morris Internet worm—6000多台 1990年—第一个多态病毒（躲避病毒查杀） 1991年—virus construction set-病毒生产机 1994年—Good Times(joys) 1995年—首次发现macro virus 1996年—netcat的UNIX版发布（nc） 1998年—第一个Java virus(StrangeBrew)
罗特.莫里斯
6
恶意代码发展史
• • • • • • • • • 1998年—netcat的Windows版发布（nc） 1998年—back orifice(BO)/CIH 1999年—melissa/worm(macrovirus by email) 1999年—back orifice(BO) for WIN2k 1999年—DOS/DDOS-Denial of Service TFT/ trin00 1999年—knark内核级rootkit(linux) 2000年—love Bug(VBScript) 2001年—Code Red –worm(overflow for IIS) 2001年—Nimda-worm(IIS/ outlook/file share etc.)
1、病毒的启动方法 感染MBR以获得凌驾于操作系统的启动权->HOOK文件操作中断，搜索NTLDR文件(主要目 标WindowsXP、Windows2003系统)进行hook->hook内核函数实现优先加载驱动并执行病毒驱 动-->后期其他操作(比如下载盗号木马、统计感染 量等)
29
鬼影病毒工作流程
31
鬼影病毒工作流程
10.感染引导区，并将其它文件写入引导区，隐蔽加 载难发现，反复感染难清除 11.木马下载器功能：下载针对DNF、梦幻西游等热 门游戏盗号木马 12.桌面创建一个名为播放器的快捷方式并指向某网 站，并修改IE首页为hxxp:///
32
鬼影病毒工作流程
40
木马的危害
• 监视用户的操作 —包括：用户主机的进程、服务、桌面，键盘操作、 摄像头等等 • 窃取用户隐私 —包括：浏览的网页，聊天记录，输入的银行帐户 密码，游戏帐户密码，窃取用户敏感文件 • 让用户主机执行任意指令 —使用户主机沦为傀儡主机，接受并执行控制主机 的指令 • 你能做到的木马都有可能做到 41
33
恶意代码和病毒防范
恶意代码发展历史 常见恶意代码示例 恶意代码的危害特点 病毒、木马和后门的原理 恶意代码分析技术 恶意代码防御技术
34
蠕虫病毒的危害
病毒名称
莫里斯蠕虫
持续时间
1988年
造成损失
6000多台电脑停机，经济损失达 9600万美元 政府部门和一些大公司紧急关闭 了网络服务器，经济损失超过12 亿美元! 众多用户电脑被感染，损失超过 100亿美元以上 网络瘫痪，直接经济损失超过26 亿美元 网络大面积瘫痪，银行自动提款 机运做中断，直接经济损失超过 26亿美元
计算机病毒的兼容性对系统运行的影响
计算机病毒给用户造成严重的心理压力
37
蠕虫的传播方式
38
蠕虫的危害
• 严重威胁网络安全 —蠕虫爆发占用大量网络资源，导致网络瘫痪 —形成危害严重的僵尸网络，被作者用来发动任何攻击 • 危害个人信息安全 —泄露个人隐私
39
木马的传播方式
• 漏洞传播 系统漏洞；浏览器漏洞(网页木马)；其他应用软件漏洞（PDF、 DOC etc） • 伪装传播 捆绑；伪装成图片、文本等；合法软件 • 社会工程 电子邮件、论坛、SNS聊天软件
11
12
彩带病毒
13
千年老妖
14
QQ盗号程序
15
隐藏账号后门
16
克隆账号----”禁用”的guest！
• 导出: • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Us ers\000001F5 • 把1f5换成1f4，导入注册表 • Net user guest regbackdoor • 注销管理员，用guest+regbackdoor登陆
2、生成部分文件
%ProgramFiles%\MSDN\atixx.sys(工作驱动) %ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入 引导区) %ProgramFiles%\MSDN\000000000(木马下载器) %ProgramFiles%\MSDN\atixx.inf(驱动安装脚本 %ProgramFiles%\MSDN\atixi.inf(驱动安装脚本) 以上文件使用后会自删除 3、Ring3还原各种钩子 读取原始KiServiceTable表，还原SSDT表，其他特定钩 子的恢复 4、结束卡巴斯基(R3) 通过结束卡巴斯基事件句柄 BaseNamedObjects\f953EA60-8D5F-4529-871042F8ED3E8CDC使得卡巴进程异常退出
30
鬼影病毒工作流程
5、结束其它杀软(R3) 获取杀毒软件进程的公司名，进行hash运算并 跟内置杀软的HASH值进行比较，发现相同就结 束进程 6、通过hive技术绕过江民主防，使用类似硬件驱动 安装方式绕过其他主防拦截 7、抹掉线程起始地址防止被手工检测 8、找到explorer(资源管理器)进程，然后插入用户 态的apc实现下载病毒木马的功能 9、枚举进程对象，比较进程对应文件的公司名。发 现需对抗进程则获取线程对象然后结束线程，此 时杀软进程异常退出
美丽杀手
爱虫病毒
1999年
2000年5月至今
红色代码
蠕虫王
2001年7月
2003年1月
冲击波
MYDOOM
2003年7月
2004年1月起
大量网络瘫痪，造成了数十亿美 金的损失
大量的垃圾邮件，攻击SCO和微软 6
病毒的危害
病毒激发对计算机数据信息的直接破坏作用 占用磁盘空间和对信息的破坏 抢占系统资源 影响计算机运行速度
恶意代码和病毒防范
恶意代码发展历史 常见恶意代码示例 恶意代码的危害特点 病毒、木马和后门的原理 恶意代码分析技术 恶意代码防御技术
42
蠕虫病毒的一般传播过程
• 1.扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机 • 2.攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对 象，取得该主机的权限(一般为管理员权限)，获得一个shell • 3.复制：复制模块通过原主机和新主机的交互将蠕虫程序复 制到新主机并启动