1 / 22

Malware

Malware. A brief introduction 夏琛. Content. Insider Attack. 后门 (backdoor/trapdoor) 为调试插入的后门 故意的后门 复活节彩蛋 (Easter Eggs). Insider Attack. 逻辑炸弹 (logic bomb) 千年虫? Omega Engineering 的逻辑炸弹 Tim Lloyd O E 背后的逻辑. 7/30/96 F: F:LOGINLOGIN 12345 CDPUBLIC

hop
Download Presentation

Malware

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Malware A brief introduction 夏琛

  2. Content

  3. Insider Attack • 后门(backdoor/trapdoor) • 为调试插入的后门 • 故意的后门 • 复活节彩蛋(Easter Eggs)

  4. Insider Attack • 逻辑炸弹(logic bomb) • 千年虫? • Omega Engineering的逻辑炸弹 • Tim Lloyd • O E 背后的逻辑 7/30/96 F: F:\LOGIN\LOGIN 12345 CD\PUBLIC FIX.EXE/Y F:\*.* PURGE F:\\ALL

  5. 内部攻击的防御 • 单点故障 • 代码走查 • 限制权限 • 监控员工

  6. Content

  7. Virus • 分类 • 实例 • 耶路撒冷 • Elk Cloner(apple) • 防御 • 特征码(抗原决定簇)

  8. Virus • 加密病毒 • 隐藏病毒特征码 • 1)分块注入 • 2)加密主体 • 多变体病毒 (变异) • 加密算法通用代码 • 变形病毒(包含无用指令) • 联合、序列、概率

  9. Trojan horse • 定义 • 有用&无用 • The AIDS Trojan1989 • AIDS INF • False antivirus software • Mocmex • 08年数码相框(分布式、介质)

  10. Worm • 定义 • 无需注入、无需与人交互 • 自我复制 • 传播 • 通过网络 • Windows注册表

  11. Worm • 建模 • N: 脆弱的主机总数 • I(t): t时刻被感染的主机数 • S(t): t时刻易被感染的主机数 • β: 感染率(const) • 和worm传播速度相关 I(0) = 1; S(0) = N – 1; I(t+1) = I(t) + β•I(t)•S(t); S(t+1) = N – I(t+1)

  12. Worm • 实例 • ILOVEYOU • 附件 • 替换文件、图片 • CONFICKER • 08年攻击windows • 第三方: 拒绝服务、垃圾邮件etc • 更新 • 检测 • 特征码、数据包

  13. Content

  14. 零日攻击与僵尸网络 • 零日攻击 • 恶意软件攻击开发者不知道的脆弱性 • 扫描(假阳性) • 僵尸网络 • 控制计算机网络中大量被感染的主机 • 傀儡牧人(bot herder) • 蠕虫、木马: 僵尸软件中央控制

  15. Privacy-invasive software • 广告软件(adware) • 需要用户许可才能显示在用户屏幕上 • 网页、邮件、软件etc • 间谍软件(计算机运行得慢) 追踪Cookie 数据收获机 (无需监测, 搜索文件) 灰色地带 道德eg.摄像头(thief or privacy)

  16. Content

  17. 对策 • 系统多样性 • 限制受信源软件安装 • 勿设置弱密码 123456,qwerty etc. • 对敏感系统和数据的路径采用最小特权原则 etc.

  18. 检测所有恶意软件的不可能性 • SuperKiller能检测出所有恶意软件(恶意方式操作的程序) • 某恶意的编程高手: • UltraWorm() • If(SuperKiller(UltraWorm) = true) then • Terminate execution. • Else • Output UltraWorm. • Do sth malicious. • Terminate execution.

  19. 军备竞赛还在继续…

  20. 后话

  21. Reference • http://www.guokr.com/question/327883/ • http://news.sohu.com/20140805/n403110370.shtml • Baidu • Wikipedia • Introduction to computer security: 清华大学出版社 • 应用密码学 协议 C语言: 机械工业出版社 • 生物知识赞助: 贾泽宇、朱禹云

  22. 谢谢~ END.

More Related