2020年9月28日
4
恶意代码发展史
❖ 1949：冯·诺依曼在《复杂自动机组织论》提出概念 ❖ 1960：生命游戏（约翰·康维 ）
磁芯大战（道格拉斯.麦耀莱、维特.维索斯基 、 罗伯.莫里斯 ） ❖ 1973：真正的恶意代码在实验室产生 ❖ 1981年-1982年:在APPLE-II的计算机游戏中发现Elk cloner
2020年9月28日
17
恶意代码实现关键技术
❖ 恶意代码生存技术 ❖ 恶意代码隐蔽技术 ❖ 恶意代码攻击技术及植入手段
2020年9月28日
18
恶意代码关键技术
❖ 一个好的恶意代码，首先必须具有强大的生存能 力和良好好隐蔽性，不能轻松被杀毒软件、安全 工具或者用户察觉。然后，必须具有良好的攻击 性，即能将自己植入到目标系统。
2020年9月28日
6
恶意代码发展史
❖ 1998年—netcat的Windows版发布（nc） ❖1998年—back orifice(BO)/CIH 破坏硬件 ❖1999年—melissa/worm(macrovirus by email) ❖1999年—back orifice(BO) for WIN2k ❖1999年—DOS/DDOS-Denial of Service TFT/
▪ 禁止跟踪中断。 ▪ 封锁键盘输入和屏幕显示，破坏各种跟踪调试工具
运行的必需环境； ▪ 检测跟踪法。 ▪ 其它反跟踪技术。
2020年9月28日
22
反跟踪技术-反静态分析技术
❖ 反静态分析技术主要包括两方面内容：
▪ 对程序代码分块加密执行 ▪ 伪指令法(Junk Code)
❖ 关键技术：
▪ 恶意代码生存技术 ▪ 恶意代码隐蔽技术 ▪ 恶意代码攻击技术及植入手段
2020年9月28日
19
恶意代码生存技术
❖ 生存技术主要包括4方面：
▪ 反跟踪技术 ▪ 加密技术 ▪ 模糊变换技术 ▪ 自动生产技术
❖ 反跟踪技术可以减少被发现的可能性，加密技术 是恶意代码自身保护的重要机制。
trin00 ❖ 1999年—knark内核级rootkit(linux) ❖2000年—love Bug(VBScript) ❖2001年—Code Red –worm(overflow for IIS) ❖2001年—Nimda-worm(IIS/ web browser/
2020年9月28日
7
2020年9月28日
5
恶意代码发展史
❖1986年—第一个PC病毒：Brain virus ❖1988年—Morris Internet worm—6000多台 ❖ 1990年—第一个多态病毒 ❖1991年—virus construction set-病毒生产
机 ❖1994年—Good Times(joys) ❖1995年—首次发现macro virus ❖1996年—netcat的UNIX版发布（nc） 罗伯特.莫里斯 ❖1998年—第一个Java virus(StrangeBrew)
16
木马的危害
❖ 监视用户的操作
▪ 包括：用户主机的进程、服务、桌面，键盘操作、 摄像头等等
❖ 窃取用户隐私
▪ 包括：浏览的网页，聊天记录，输入的银行帐户密 码，游戏帐户密码，窃取用户敏感文件
❖ 让用户主机执行任意指令
▪ 使用户主机沦为傀儡主机，接受并执行控制主机的 指令
❖ 你能做到的木马都有可能做到
2020年9月28日
20
恶意代码生存技术-反跟踪技术
❖ 恶意代码采用反跟踪技术可以提高自身的伪装能 力和防破译能力，增加检测与清除恶意代码的难 度。
❖ 目前常用的反跟踪技术有两类
▪ 反动态跟踪技术 ▪ 反静态分析技术。
2020年9月28日
21
反跟踪技术-反动态跟踪技术
❖ 反动态跟踪技术主要包括4方面内容：
恶意代码与安全漏洞
1 2020年9月28日
课程内容
2020年9月28日
2
知识域：恶意代码
❖ 知识子域：恶意代码基本概念原理
▪ 了解恶意代码的历史和发展趋势 ▪ 理解常见恶意代码病毒、蠕虫、木马传播方式和危
害的特点 ▪ 了解常见恶意代码变形、Rootkit等技术的原理
2020年9月28日
3
恶意代码的历史与发展趋势
击
❖ 危害个人信息安全
▪ 泄露个人隐私
2020年9月28日
15
木马的传播方式
❖ 漏洞传播
▪ 系统漏洞； ▪ 浏览器漏洞(网页木马)； ▪ 其他应用软件漏洞（PDF、DOC etc）
❖ 伪装传播
▪ 捆绑； ▪ 伪装成图片、文本等； ▪ 合法软件
❖ 社会工程
▪ 电子邮件 ▪ 论坛 ▪ SNS聊天软件
2020年9月28日
恶意代码发展史
❖outlook/ etc.)
❖ 2002年—setiri后门
❖2002年—SQL slammer(sqlserver)
❖ 2003年—hydan的steganography工具
❖2003年—MSBlaster/ Nachi
❖2004年—MyDoom/ Sasser
❖ ……
❖ 2006年—熊猫烧香
网络应用的恶意代码越来越多
2020年9月28日
9
恶意代码分类
2020年9月28日
10
常见恶意代码传播方式及危害
2020年9月28日
11
病毒的传播方式
2020年9月28日
12
病毒的危害
2020年9月28日
13
蠕虫的传播方式
2020年9月28日
14
蠕虫的危害
Байду номын сангаас❖ 严重威胁网络安全
▪ 蠕虫爆发占用大量网络资源，导致网络瘫痪 ▪ 形成危害严重的僵尸网络，被作者用来发动任何攻
❖恶意代码（Unwanted Code,Malicious Software,Malware,Malicous code）是指没有作 用却会带来危险的代码。
❖ 通常把未经授权便干扰或破坏计算机系统/网络功 能的程序或代码（一组指令）称之为恶意程序。 一组指令可能包括：二进制文件、脚本语言或宏 语言等。
❖ ……
❖ 2010年—Stuxnet(工业蠕虫)
2020年9月28日
8
恶意代码的发展趋势
❖ 种类越来越模糊不清 ❖ 传播采用多种模式或者利用多个漏洞 ❖ 多平台、多应用软件 ❖ 服务端和客户端都遭受攻击，利用客户端软件传
播的恶意代码越来越多 ❖ 目的性、功利性更为突出 ❖ 攻击者越来越小心、恶意代码隐蔽性越来越强 ❖ 新的应用衍生出新的恶意代码，针对手机、新型