网络通信安全管理员(中级)-05-计算机恶意代码与防护

bd336x280();1_0_233_205_5_5_1263_892.83-16-0-3408-16.jpg" alt="网络通信安全管理员(中级)-05-计算机恶意代码与防护" />

网络通信安全管理员-中级

第五章计算机恶意代码与防护

讲师：谢诚

通信行业职业技能鉴定中心培训教程

2012年2月

目录

5.1 计算机恶意代码的主要类型 5.2 计算机恶意代码分析 5.3 常见恶意代码感染迹象与处理 5.4 计算机恶意代码防护

Overview

什么是恶意代码

恶意代码如何会在你的系统上运行 防御恶意代码

什么是恶意代码

二进制文件 病毒、木马、逻辑炸弹脚本 各种脚本语言嵌入文档的脚本宏

什么是宏

Bimary File Format

恶意代码如何会被运行

伪装成有用的文件嵌入其他文件利用系统漏洞欺骗

Overview

什么是恶意代码

方向

服务器 客户端、p2p

客户端 服务器

恶意代码如何会在你的系统上运行 防御恶意代码

伪装成有用的文件

Bind Exploit

Php OF Exploit

邮件欺骗

Wantjob变种

“中国黑客”

“You win ……free porn……”

嵌入其他文件

二进制可执行文件嵌入

病毒式的感染

insertcode.exe

EXEbind

脚本嵌入

Word系列文件、lotus系列文件

HTML！！！

利用系统漏洞

lotus Notes 邮件对象嵌入（略） Word 2000带有模板文件链接的RTF文件（略）

利用flash本身的漏洞

=<6.0.29 畸形文件头缓冲区溢出

<6.0.29 "movie"参数缓冲区溢出

IE的多个问题

OE、outlook、foxmail……

IE的多个问题

IE 5.5 以下异常处理MIME头 IE 5.5 以下

com.ms.activeX.ActiveXComponent对象嵌入

IE 5.5 以下codebase指向

IE 6.0 window.PoPup()window.Open() 如何利用来运行指定的程序

IE5.5 以下异常处理MIME头nimda、wantjob、中国黑客、爱情森林Content-Type: audio/x-wav;

name="hello.bat"

Content-Transfer-Encoding: quoted-printableContent-ID: <THE-CID>

cmd.exe

com.ms.activeX.ActiveXComponent对象嵌入<APPLET HEIGHT=0 WIDTH=0

code=com.ms.activeX.ActiveXComponent></APPLET>

<SCRIPT>

…………

<SCRIPT>

IE 5.5以下codebase指向CLSID不为0

CODEBASE指向绝对路径<OBJECT CLASSID =

'CLSID:10000000-0-0-0-0' CODEBASE =

'\Winnt\system32\cmd.exe'></OBJECT>

加密和隐藏

不直接写在html文件里

<script language="javascript"

src="http://evil/bad.js"></script>多次跳转

藏在flash文件里

加密

加壳

screnc.exe

让代码运行

IE对文件格式的自动识别

对html文件的自动识别

txt欺骗

对图片文件的自动识别

论坛

允许上传图片

允许上传头像

CGI的过滤

让代码运行

跨站脚本 简单介绍HTML邮件

Overview

什么是恶意代码

方向

服务器 客户端、p2p

客户端 服务器

恶意代码如何会在你的系统上运行 防御恶意代码

针对

利用IE问题的对策禁用某些脚本功能 禁用下载 Windows update IE 6问题目前没有补丁 注册表被修改之后 /download/othertools/Duba_Reg Solve.exe

针对利用IE问题的对策

1、在IE的“internet选项”中的“安全”项中把“安全级别”设为“高”，或在“自定义级别”中把“对标记为可安全执行的ActiveX控件执行脚本”标记为“禁用”。

此措施仅对WEB上的代码有效，对于本地文件无效。

本文来源：https://www.bwwdw.com/article/rsyi.html