3-3恶意代码分析.ppt

3-3恶意代码分析
请关注
§1 恶意软件
一、 什么是恶意软件
“恶意软件” 指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。
1、特洛伊木马保在设计时采用的安全措施将得到可能的维护。
一、恶意软件的威胁方法
恶意软件可以通过许多方法来损害目标，下面是最容易受到恶意软件攻击的区域：
外部网络
来宾客户端
可执行文件
文档
电子邮件
可移动媒体
二、深层防护安全模型
在发现并记录了组织所面临的风险后，下一步就是检查和组织将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。图所示为深层防护安全模型定义的各层。
（1）数据层
攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。
（2）应用程序层
攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。
（3）主机层
该层上的风险源自利用主机或服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。例如：缓冲区溢出。
Service Pack 和修复程序通常是针对此层。
（4）内部网络层
内部网络所面临的风险主要与通过网络传输的敏感数据有关。
（5）外围网络层
与外围网络层（也称为 DMZ）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。
（6）物理安全层
物理层上的风险源自可以物理访问物理资产的攻击者。
（7）策略、过程和意识层
围绕安全模型所有层的是为满足和支持每个级别的要求所制定的策略和过程。提高组织中对所有相关方的安全意识很重要，许多情况下，忽视风险可以导致安全违反。因此，培训也应该是任何安全模型的不可缺少的部分。
根据实际需要，可将深层防护安全模型细化。
细化的深层病毒防护视图：
可以将数据层、应用程序层和主机层防护策略组合，作为客户端和服务器防护策略。虽然这些防护共享许多公共策略，但是实施客户端和服务器防护方面还是有一定的差异的。因此，应将客户端和服务器防护策略分开考虑和实施。
内部网络层和外围层也可以组合到一个公共网络防护策略中，因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的，具体取决于组织基础结构中的设备位置和技术。
三、客户端防护
假定恶意软件已经通过前面的所有防护层，当其到达主机时，防护系统必须集中于保护主机系统及其数据，并停止感染的传播。
1、减小攻击面
应用程序层上的第一道防护是减小计算机的攻击面。应在计算机上删除或禁用所有不需要的应用程序或服务，最大限度地减少攻击者可以利用系统的方法数。
2、应用安全更新
可能连接到组织网络的客户端计算机数量很大，而且种类很多，仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。
3、启用基于主机的防火墙
基于主机的防火墙或个人防火墙是应该启用的重要客户端防护层。Windows XP 包括名为“Internet 连接防火墙”(ICF) 的简单个人防火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址，以确保每个通信都是允许的通信。强烈建议启用ICF。
4、安装防病毒软件
许多公司推出防病毒应用程序，其中的大多数在提供此保护方面都是很有效的，但是它们都要求经常更新以应对新的恶意软件。
5、测试漏洞扫描程序
在配置系统之后，应该定期检查它以确保没有留下安全漏洞。许多扫描软件来查找恶意软件和黑客可能试图利用的漏洞，其中的多数工具更新自己的扫描例程以保护系统免受最新漏洞的攻击。
6、使用最少特权策略
在客户端防护中不应忽视的是在正常操作下分配给用户