CISP0208惡意代碼與安全漏洞

惡意代碼與安全漏洞CISP運(yùn)營(yíng)中心沈傳寧課程內(nèi)容2知識(shí)域：惡意代碼知識(shí)子域：惡意代碼基本概念原理了解惡意代碼的歷史和發(fā)展趨勢(shì)理解常見(jiàn)惡意代碼（病毒、蠕蟲、木馬）傳播方式理解常見(jiàn)惡意代碼（病毒、蠕蟲、木馬等）隱藏、自我保護(hù)技術(shù)3惡意代碼的歷史與發(fā)展趨勢(shì)惡意代碼（UnwantedCode,MaliciousSoftware,Malware,Malicouscode）是指沒(méi)有作用卻會(huì)帶來(lái)危險(xiǎn)的代碼。通常把未經(jīng)授權(quán)便干擾或破壞計(jì)算機(jī)系統(tǒng)/網(wǎng)絡(luò)功能的程序或代碼（一組指令）稱之為惡意程序。一組指令可能包括：二進(jìn)制文件、腳本語(yǔ)言或宏語(yǔ)言等。4惡意代碼發(fā)展史孕育和誕生1949：馮·諾依曼在《復(fù)雜自動(dòng)機(jī)組織論》提出概念1960：生命游戲（約翰·康維

）磁芯大戰(zhàn)（貝爾實(shí)驗(yàn)室三名程序員）1973：真正的惡意代碼在實(shí)驗(yàn)室產(chǎn)生1981年-1982年:在APPLE-II的計(jì)算機(jī)游戲中發(fā)現(xiàn)Elkcloner

5惡意代碼發(fā)展史初露崢嶸1986年—第一個(gè)PC病毒：Brainvirus1988年—MorrisInternetworm—6000多臺(tái)群雄逐鹿1990年—第一個(gè)多態(tài)病毒1991年—virusconstructionset-病毒生產(chǎn)機(jī)1994年—GoodTimes(joys)1995年—首次發(fā)現(xiàn)macrovirus6羅伯特.莫里斯惡意代碼發(fā)展史巔峰時(shí)刻1996年—netcat的UNIX版發(fā)布（nc）1998年—第一個(gè)Javavirus(StrangeBrew)1998年—netcat的Windows版發(fā)布（nc）1998年—backorifice(BO)/CIH1999年—melissa/worm(macrovirusbyemail)1999年—backorifice(BO)forWIN2k1999年—DOS/DDOS-DenialofServiceTFT/trin001999年—knark內(nèi)核級(jí)rootkit(linux)7惡意代碼發(fā)展史風(fēng)起云涌2000年—loveBug(VBScript)2001年—CodeRed–worm(overflowforIIS)2001年—Nimda-worm(IIS/webbrowser/outlook/fileshareetc.)2002年—SQLslammer(sqlserver)2003年—MSBlaster/Nachi2003年—中文上網(wǎng)2004年—MyDoom/Sasser2006年—熊貓燒香8惡意代碼發(fā)展史暗影殺手2010年—Stuxnet(工業(yè)蠕蟲)9各種蠕蟲、木馬悄悄的潛伏在計(jì)算機(jī)中，竊取信息……惡意代碼的發(fā)展趨勢(shì)種類越來(lái)越難以劃分不再依賴與單一的傳播模式或漏洞目的明確，功利性突出隱蔽性越來(lái)越強(qiáng)，不再有過(guò)多的外部表現(xiàn)更新速度加快越來(lái)越多的技術(shù)被用于自我防護(hù)10惡意代碼分類11分類蠕蟲病毒后門木馬有害工具流氓軟件風(fēng)險(xiǎn)程序其他惡意代碼分類12不傳染的依附性惡意代碼流氓軟件、邏輯炸彈、惡意腳本不傳染的獨(dú)立型惡意代碼木馬、rootkit、風(fēng)險(xiǎn)程序傳染的依附性惡意代碼傳統(tǒng)的病毒（CIH等）傳染的獨(dú)立型惡意代碼蠕蟲病毒病毒的傳播方式13惡意代碼傳播方式-主動(dòng)攻擊獲得上傳文件權(quán)限，上傳木馬程序Web方式計(jì)劃任務(wù)注冊(cè)表攻擊者……被攻擊者14惡意代碼傳播方式-網(wǎng)頁(yè)15[AutoRun]OPEN=Autorun.exeICON=icon.ico惡意代碼傳播方式-移動(dòng)存儲(chǔ)16惡意代碼傳播方式-漏洞利用各種系統(tǒng)漏洞緩存溢出：沖擊波、振蕩波利用服務(wù)漏洞紅色代碼……17惡意代碼傳播方式-共享共享LovegateSpybotSdbot……18惡意代碼傳播方式-郵件19惡意代碼傳播方式-即時(shí)通訊偽裝即時(shí)通訊中的用戶向其聯(lián)系人發(fā)送消息使用欺騙性或誘惑性的字眼20惡意代碼傳播方式-軟件捆綁在安裝其他軟件時(shí)被強(qiáng)制安裝上在安裝其他軟件是被默認(rèn)安裝上21惡意代碼的危害-蠕蟲網(wǎng)絡(luò)擁塞蠕蟲爆發(fā)占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓系統(tǒng)控制形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來(lái)發(fā)動(dòng)任何攻擊信息泄露竊取個(gè)人隱私……22惡意代碼的危害-木馬監(jiān)視用戶的操作包括：用戶主機(jī)的進(jìn)程、服務(wù)、桌面，鍵盤操作、攝像頭等等竊取用戶隱私包括：瀏覽的網(wǎng)頁(yè)，聊天記錄，輸入的銀行帳戶密碼，游戲帳戶密碼，竊取用戶敏感文件讓用戶主機(jī)執(zhí)行任意指令使用戶主機(jī)淪為傀儡主機(jī)，接受并執(zhí)行控制主機(jī)的指令你能做到的木馬都有可能做到

23惡意代碼實(shí)現(xiàn)關(guān)鍵技術(shù)惡意代碼的加載技術(shù)我要執(zhí)行起來(lái)惡意代碼隱蔽技術(shù)你找不到我惡意代碼生存技術(shù)你殺不掉我24惡意代碼加載方式隨系統(tǒng)啟動(dòng)而加載開始菜單中的啟動(dòng)項(xiàng)啟動(dòng)配置文件（Autoexec.bat/Config.sys/win.ini/system.ini）注冊(cè)表啟動(dòng)項(xiàng)系統(tǒng)服務(wù)設(shè)備驅(qū)動(dòng)隨文件執(zhí)行加載文件捆綁/感染IE插件修改文件關(guān)聯(lián)其他25惡意代碼加載方式-啟動(dòng)文件

Win.ini:[Windows]

run=c:\windows\file.exe

load=c:\windows\file.exeSystem.ini：

[boot]shell=explorer.exefile.exescripts.ini

[Startup]

0CmdLine=admin.bat

0Parameters= 26惡意代碼加載方式-注冊(cè)表注冊(cè)表啟動(dòng)項(xiàng)：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce……27惡意代碼加載方式-服務(wù)單擊“開始”------指向“設(shè)置”-------然后單擊“控制面板”-------雙擊“管理工具”-------然后雙擊“服務(wù)”：在列表框中顯示的是系統(tǒng)可以使用的服務(wù)可以在命令行中輸入services.msc打開服務(wù)列表。28惡意代碼加載方式-服務(wù)

服務(wù)屬性可以確定服務(wù)啟動(dòng)程序的全路徑

服務(wù)與注冊(cè)表的關(guān)系：

HKLM\SYSTEM\CurrentControlSet\ServicesHKLM\SYSTEM\ControlSet002\ServicesHKLM\SYSTEM\ControlSet001\Services29惡意代碼加載方式-修改文件關(guān)聯(lián)正常情況下TXT文件的打開方式是啟動(dòng)Notepad.EXE來(lái)打開TXT文件。關(guān)聯(lián)木馬通過(guò)修改關(guān)聯(lián)方式來(lái)加載木馬，則TXT文件打開方式就會(huì)被修改為用木馬程序打開。打開注冊(cè)表：路徑：HKEY_CLASSES_ROOT\txtfile\shell\open\command

鍵名：（默認(rèn)）

鍵值：%SystemRoot%\system32\NOTEPAD.EXE%1

鍵值：

cmd.exe當(dāng)雙擊一個(gè)TXT文件，原本應(yīng)用Notepad.EXE打開的TXT文件，現(xiàn)在卻變成啟動(dòng)CMD命令控制臺(tái)程序，木馬可以利用此方式進(jìn)行加載。

30惡意代碼加載方式-捆綁程序

木馬將自身捆綁到應(yīng)用程序中，當(dāng)運(yùn)行應(yīng)用程序的同時(shí)也將木馬啟動(dòng)。

例如：木馬將自身捆綁到notepad.exe中。31惡意代碼加載方式-打開目錄正常情況下，打開目錄是顯示目錄下的文件和文件夾。當(dāng)目錄下存在Desktop.ini和Folder.htt文件，而且Desktop.ini文件中存在以下內(nèi)容：

WebViewTemplate.NT5=file://Folder.htt當(dāng)打開這個(gè)目錄，現(xiàn)在卻變成啟動(dòng)啟動(dòng)Folder.htt文件里面的程序。例子：歡樂(lè)時(shí)光病毒。

32惡意代碼隱蔽技術(shù)進(jìn)程隱藏進(jìn)程迷惑DLL注入網(wǎng)絡(luò)隱藏端口復(fù)用無(wú)端口反向端口系統(tǒng)隱藏隱藏、系統(tǒng)文件流文件隱藏Hook技術(shù)33惡意代碼進(jìn)程隱藏技術(shù)-進(jìn)程迷惑隨機(jī)進(jìn)程名每次啟動(dòng)生成不一樣的進(jìn)程名，退出后無(wú)法查找相似進(jìn)程名同名不同路徑的進(jìn)程

c:\windows\system32\iexplore.exe(trojan)c:\ProgramFiles\InternetExplorer\iexplore.exe(right)名稱相近的程序

svchost.exe(right)svch0st.exe(trojan)34惡意代碼進(jìn)程隱藏技術(shù)-DLL注入進(jìn)程注入技術(shù)就是將這些與服務(wù)相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實(shí)現(xiàn)自身隱藏和啟動(dòng)的目的例如：DLL注入35惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-端口復(fù)用/無(wú)端口端口復(fù)用技術(shù)重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下用，具有很強(qiáng)的欺騙性無(wú)端口使用無(wú)端口的協(xié)議36icmphttp服務(wù)器客戶機(jī)80應(yīng)用服務(wù)惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-反彈端口端口反向連接技術(shù)，系指惡意代碼攻擊的服務(wù)端（被控制端）主動(dòng)連接客戶端（控制端）。37連接請(qǐng)求80連接請(qǐng)求攻擊者受害者受害者攻擊者惡意代碼隱藏技術(shù)-系統(tǒng)隱藏默認(rèn)情況下，windows不顯示隱藏文件和系統(tǒng)文件，惡意代碼將自身屬性設(shè)置為隱藏和系統(tǒng)文件以實(shí)現(xiàn)隱藏38惡意代碼系統(tǒng)隱藏技術(shù)-流文件39ADS(AlternateDataStreams)交換數(shù)據(jù)流NTFS文件系統(tǒng)下，每個(gè)文件都可以有多個(gè)數(shù)據(jù)流一個(gè)文件以流的形式附加到另一個(gè)文件（載體）中，流文件對(duì)explorer.exe等文件管理軟件不可見(jiàn)，病毒可以利用此方式進(jìn)行隱藏39惡意代碼系統(tǒng)隱藏技術(shù)-hook技術(shù)Hook（系統(tǒng)鉤子）應(yīng)用程序查詢文件列表時(shí)，通過(guò)系統(tǒng)調(diào)用函數(shù)來(lái)實(shí)現(xiàn)查詢到的文件列表存放在一個(gè)連續(xù)的內(nèi)存地址中的文件列表結(jié)構(gòu)通過(guò)hook相應(yīng)函數(shù)，找到文件列表結(jié)構(gòu)，將需要隱藏的文件中結(jié)構(gòu)中刪除，實(shí)現(xiàn)隱藏40惡意代碼自我保護(hù)進(jìn)程保護(hù)進(jìn)程守護(hù)文件備份超級(jí)權(quán)限檢測(cè)對(duì)抗反跟蹤加密模糊變換自動(dòng)生產(chǎn)41惡意代碼自我保護(hù)-進(jìn)程守護(hù)采用雙進(jìn)程技術(shù)：一個(gè)為主進(jìn)程，實(shí)現(xiàn)木馬主要功能，一個(gè)為輔助進(jìn)程，時(shí)刻監(jiān)視主進(jìn)程，一但主進(jìn)程被停掉，立即啟動(dòng)備份或重起主進(jìn)程主程序被停止，重新啟動(dòng)主程序啟動(dòng)命令42惡意代碼自我保護(hù)-文件備份木馬備份：木馬最常采用的技術(shù)，備份文件捆綁到.txt/exe/doc等文件，一旦主程序被刪除，當(dāng)打開捆綁的文件時(shí)，備份文件啟動(dòng)我木馬又回來(lái)了！！打開txt文本文檔43惡意代碼自我保護(hù)-超級(jí)權(quán)限為了對(duì)抗反惡意代碼軟件，惡意代碼采用超級(jí)權(quán)限技術(shù)限制反惡意代碼的工作以保護(hù)自身例：加載為設(shè)備驅(qū)動(dòng)技術(shù)44惡意代碼通過(guò)將自身注冊(cè)成為設(shè)備驅(qū)動(dòng)，從而獲得較高權(quán)限，阻止反病毒軟件對(duì)它的查殺并干擾反惡意代碼軟件的正常運(yùn)行惡意代碼檢測(cè)對(duì)抗技術(shù)-反跟蹤惡意代碼采用反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測(cè)與清除惡意代碼的難度。目前常用的反跟蹤技術(shù)有兩類反動(dòng)態(tài)跟蹤技術(shù)反靜態(tài)分析技術(shù)。45反跟蹤技術(shù)-反動(dòng)態(tài)跟蹤反動(dòng)態(tài)跟蹤技術(shù)主要包括4方面內(nèi)容：禁止跟蹤中斷。封鎖鍵盤輸入和屏幕顯示，破壞各種跟蹤調(diào)試工具運(yùn)行的必需環(huán)境；檢測(cè)跟蹤法。其它反跟蹤技術(shù)。46反跟蹤技術(shù)-反靜態(tài)分析反靜態(tài)分析技術(shù)主要包括兩方面內(nèi)容：對(duì)程序代碼分塊加密執(zhí)行偽指令法(JunkCode)47惡意代碼檢測(cè)對(duì)抗技術(shù)-加密加密技術(shù)是惡意代碼自我保護(hù)的一種手段，加密技術(shù)和反跟蹤技術(shù)的配合使用，使得分析者無(wú)法正常調(diào)試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無(wú)法抽取特征串。從加密的內(nèi)容上劃分，加密手段分為三種:信息加密數(shù)據(jù)加密程序代碼加密48惡意代碼檢測(cè)對(duì)抗-模糊變換利用模糊變換技術(shù)，惡意代碼每感染一個(gè)客體對(duì)象時(shí)，潛入宿主程序的代碼互不相同。目前，模糊變換技術(shù)主要分為5種：指令替換技術(shù)指令壓縮技術(shù)指令擴(kuò)展技術(shù)偽指令技術(shù)重編譯技術(shù)49惡意代碼檢測(cè)對(duì)抗技術(shù)-自動(dòng)生產(chǎn)惡意代碼自動(dòng)生產(chǎn)技術(shù)是針對(duì)人工分析技術(shù)的。多態(tài)變換引擎可以使程序代碼本身發(fā)生變化，并保持原有功能。50知識(shí)域：惡意代碼知識(shí)子域：惡意代碼防御技術(shù)掌握惡意代碼預(yù)防的策略、意識(shí)、技術(shù)和工具了解惡意代碼發(fā)現(xiàn)和分析技術(shù)了解惡意代碼清除技術(shù)51惡意代碼防范技術(shù)目前，惡意代碼防御技術(shù)主要分為兩方面：基于主機(jī)的惡意代碼防御技術(shù)基于網(wǎng)絡(luò)的惡意代碼防御技術(shù)52基于主機(jī)惡意代碼防御基于主機(jī)的惡意代碼防范方法主要包括：基于特征的掃描技術(shù)校驗(yàn)和沙箱技術(shù)安全操作系統(tǒng)對(duì)惡意代碼的防范……53基于主機(jī)惡意代碼防御-特征掃描目前惡意代碼檢測(cè)常用技術(shù)模式匹配惡意代碼特征文件（病毒庫(kù)）掃描（特征串匹配過(guò)程）更新特征庫(kù)（更新特征庫(kù)）目前廣泛應(yīng)用于反病毒引擎中優(yōu)勢(shì)準(zhǔn)確、易于管理、誤報(bào)率低不足效率問(wèn)題（特征庫(kù)不斷龐大、依賴廠商）滯后（先有病毒后有特征庫(kù)）……54基于主機(jī)惡意代碼防御-特征掃描55基于主機(jī)惡意代碼防御-校驗(yàn)和利用加密技術(shù)中信息資源完整性保護(hù)的技術(shù)相關(guān)技術(shù)Hash值和循環(huán)冗余碼等生成確認(rèn)安全的文件校驗(yàn)數(shù)據(jù)，然后周期使用校驗(yàn)和檢測(cè)文件是否被改變運(yùn)用校驗(yàn)和法檢查惡意代碼有3種方法在惡意代碼檢測(cè)軟件中設(shè)置校驗(yàn)和法在應(yīng)用程序中嵌入校驗(yàn)和法將校驗(yàn)和程序常駐內(nèi)存56基于主機(jī)惡意代碼防御-沙箱技術(shù)沙箱技術(shù)指根據(jù)系統(tǒng)中每一個(gè)可執(zhí)行程序的訪問(wèn)資源，以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的“沙箱”，限制惡意代碼的運(yùn)行。57應(yīng)用服務(wù)應(yīng)用軟件基于網(wǎng)絡(luò)的惡意代碼防御由于惡意代碼具有相當(dāng)?shù)膹?fù)雜性和行為不確定性，惡意代碼的防范需要多種技術(shù)綜合應(yīng)用，包括:惡意代碼監(jiān)測(cè)與預(yù)警惡意代碼傳播抑制惡意代碼漏洞自動(dòng)修復(fù)惡意代碼阻斷等基于網(wǎng)絡(luò)的惡意代碼防范方法包括：惡意代碼檢測(cè)防御惡意代碼預(yù)警常見(jiàn)的惡意代碼檢測(cè)防御如蜜罐技術(shù)58基于HoneyPot的檢測(cè)防御早期HoneyPot主要用于防范網(wǎng)絡(luò)黑客攻擊。ReVirt是能夠檢測(cè)網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)異常行為的HoneyPot系統(tǒng)。59惡意代碼分析技術(shù)惡意代碼靜態(tài)分析惡意代碼動(dòng)態(tài)分析惡意代碼行為分析60惡意代碼靜態(tài)分析什么是靜態(tài)分析靜態(tài)常規(guī)信息分析靜態(tài)代碼分析常用靜態(tài)分析工具61什么是靜態(tài)分析

靜態(tài)分析是在盡量不運(yùn)行或調(diào)試惡意代碼的前題下，盡可能多的收集此惡意代碼的相關(guān)信息，以找出此惡意代碼的功能與作用或?yàn)閯?dòng)態(tài)分析時(shí)找出惡意代碼的功能做準(zhǔn)備。靜態(tài)分析主要分為兩個(gè)方向，一個(gè)是靜態(tài)常規(guī)信息分析，另一個(gè)是靜態(tài)代碼分析。62靜態(tài)分析-常規(guī)分析文件名分析：程序形態(tài)特性：文件位置特性：文件版本特性：文件長(zhǎng)度特性：文件時(shí)間特性：數(shù)字簽名：63靜態(tài)分析-代碼分析格式分析：PE信息：API查看：字符串信息：資源信息：64靜態(tài)分析-格式分析分析樣本文件類型：PE文件，腳本文件等。例如：PE文件分析加殼分析判斷是否加殼（能否知道編寫語(yǔ)言）判斷加殼類型（用什么工具加殼）常用工具PEID附加數(shù)據(jù)分析可以通過(guò)PE文件的區(qū)段來(lái)確定是否有附加進(jìn)去的數(shù)據(jù)。Stud_PE，查看區(qū)段，Uedit32查看原始文件信息等獲取該樣本的編寫語(yǔ)言65靜態(tài)分析-PE信息66靜態(tài)分析-API查看API操作特性API數(shù)量特性查看導(dǎo)入/導(dǎo)出表通過(guò)反匯編工具對(duì)靜態(tài)的PE文件進(jìn)行反匯編列出部分惡意代碼常用API67常用靜態(tài)分析工具C32ASM靜態(tài)反匯編工具W32dsm靜態(tài)反匯編工具IDA靜態(tài)反匯編工具其它常用工具68惡意代碼動(dòng)態(tài)分析惡意代碼動(dòng)態(tài)分析步驟惡意代碼動(dòng)態(tài)分析工具中國(guó)安天實(shí)驗(yàn)室69惡意代碼動(dòng)態(tài)分析步驟格式分析編寫語(yǔ)言？加密？附加數(shù)據(jù)？查殼脫殼動(dòng)態(tài)分析惡意代碼字符參考調(diào)用參考中國(guó)安天實(shí)驗(yàn)室70惡意代碼動(dòng)態(tài)分析步驟動(dòng)態(tài)分析法API使用文件讀寫新增？刪除？改動(dòng)？注冊(cè)表讀寫新增？刪除？改動(dòng)？?jī)?nèi)核調(diào)用中國(guó)安天實(shí)驗(yàn)室71惡意代碼動(dòng)態(tài)分析工具PEIDStud_PEOLLYDBG中國(guó)安天實(shí)驗(yàn)室72惡意代碼分析處置流程對(duì)惡意代碼文件進(jìn)行“文件細(xì)化”處置。加密壓縮文件包裹文件嵌入/捆綁文件其它類可細(xì)化文件中國(guó)安天實(shí)驗(yàn)室73惡意代碼分析處置流程綜合分析結(jié)論本地行為網(wǎng)絡(luò)行為傳播方式運(yùn)行位置感染方式其它結(jié)果等中國(guó)安天實(shí)驗(yàn)室74惡意代碼分析處置流程最終分析報(bào)告與惡意代碼的解決方案特征碼提取方式手動(dòng)清除方式使用工具等中國(guó)安天實(shí)驗(yàn)室75中國(guó)安天實(shí)驗(yàn)室惡意代碼分析處置流程文件細(xì)化描述：加密壓縮文件 －＞解壓/解密包裹文件 －＞解壓/安裝嵌入/捆綁文件－＞提取其它類可細(xì)化文件－＞對(duì)應(yīng)分析中國(guó)安天實(shí)驗(yàn)室77惡意代碼分析處置流程文件細(xì)化78惡意代碼行為分析文件行為進(jìn)程行為窗口類相關(guān)行為注冊(cè)表行為服務(wù)相關(guān)行為網(wǎng)絡(luò)相關(guān)行為中國(guó)安天實(shí)驗(yàn)室79惡意代碼行為分析工具惡意代碼行為分析工具：FilemonRegmonRegSnapIceswordAutorun……中國(guó)安天實(shí)驗(yàn)室80惡意代碼分析工具-FilemonFilemon是一個(gè)出色的文件系統(tǒng)監(jiān)視軟件，它將所有與文件一切相關(guān)操作(如讀取、修改、出錯(cuò)信息等)全部記錄下來(lái)以供用戶參考，并允許用戶對(duì)記錄的信息進(jìn)行保存、過(guò)濾、查找等處理，這就為用戶對(duì)系統(tǒng)的維護(hù)提供了極大的便利。中國(guó)安天實(shí)驗(yàn)室81惡意代碼分析工具-RegmonWindows注冊(cè)表監(jiān)視工具，可以實(shí)時(shí)監(jiān)視并顯示對(duì)整個(gè)系統(tǒng)注冊(cè)表的訪問(wèn)，該工具可以幫助我們了解Windows如何工作以及跟蹤與注冊(cè)表設(shè)置錯(cuò)誤有關(guān)的問(wèn)題。中國(guó)安天實(shí)驗(yàn)室82惡意代碼分析工具-RegSnapRegSnap可以詳細(xì)地向你報(bào)告注冊(cè)表及其他與系統(tǒng)有關(guān)項(xiàng)目的修改變化情況。RegSnap對(duì)系統(tǒng)的比較報(bào)告非常具體，對(duì)注冊(cè)表可報(bào)告修改了哪些鍵，修改前、后的值各是多少；增加和刪除了哪些鍵以及這些鍵的值。報(bào)告結(jié)果既可以以純文本的方式，也可以html網(wǎng)頁(yè)的方式顯示，非常便于查看。除系統(tǒng)注冊(cè)表以外，RegSnap還可以報(bào)告系統(tǒng)的其他情況：Windows的系統(tǒng)目錄和系統(tǒng)的system子目錄下文件的變化情況，包括刪除、替換、增加了哪些文件；Windows的系統(tǒng)配置文件win.ini和system.ini的變化情況，包括刪除、修改和增加了哪些內(nèi)容；自動(dòng)批處理文件autoexec.bat是否被修改過(guò)。該軟件可以在需要的時(shí)候方便地恢復(fù)注冊(cè)表，可以直接調(diào)用regedit程序查看或修改注冊(cè)表，還可以查看當(dāng)前機(jī)器的機(jī)器名和用戶名。中國(guó)安天實(shí)驗(yàn)室83惡意代碼分析工具-IceswordIceSword適用于Windows2000/XP/2003/Vista操作系統(tǒng)IceSword內(nèi)部功能是十分強(qiáng)大的?？赡苣灿眠^(guò)很多類似功能的軟件，比如一些進(jìn)程工具、端口工具，但是現(xiàn)在的系統(tǒng)級(jí)后門功能越來(lái)越強(qiáng)，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息，一般的工具根本無(wú)法發(fā)現(xiàn)這些“幕后黑手”。IceSword使用大量新穎的內(nèi)核技術(shù)，使得這些后門躲無(wú)所躲。中國(guó)安天實(shí)驗(yàn)室84惡意代碼分析工具-ProcexpProcexp非常強(qiáng)大，一般的進(jìn)程管理軟件只可以查看進(jìn)程，結(jié)束進(jìn)程，Procexp可以在2000xp2003下正常運(yùn)行，有一般進(jìn)程管理軟件的功能之外，還能搜索dll結(jié)束線程，比如網(wǎng)際快車線程數(shù)，結(jié)束dll文件加載，這對(duì)查殺木馬非常有用。中國(guó)安天實(shí)驗(yàn)室85惡意代碼分析技術(shù)-AutorunsSysinternals公司出品，可查看、刪除注冊(cè)表及Win.ini文件等處的自啟動(dòng)項(xiàng)目。如果懷疑有木馬或病毒或者系統(tǒng)啟動(dòng)太慢，用本工具看看自啟動(dòng)項(xiàng)吧。此新版中，可查看各個(gè)用戶的啟動(dòng)項(xiàng)，而且刪除Userinit項(xiàng)目時(shí)會(huì)發(fā)出安全警告，以及其它一些改進(jìn)，推薦更新！中國(guó)安天實(shí)驗(yàn)室86知識(shí)域：信息安全漏洞知識(shí)子域：安全漏洞基礎(chǔ)理解漏洞的概念，分類分級(jí)了解漏洞的危害、產(chǎn)生的原因了解常用的漏洞庫(kù)：CNNVD、CVE等知識(shí)子域：安全漏洞檢測(cè)了解基于源代碼的漏洞檢測(cè)方法與技術(shù)了解基于二進(jìn)制代碼的漏洞檢測(cè)方法與技術(shù)87漏洞在信息安全中的位置

通用準(zhǔn)則（ISO/IEC15408）88什么是漏洞漏洞（Vulnerability）又叫脆弱性，這一概念早在1947年馮?諾依曼建立計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)理論時(shí)就有涉及，他認(rèn)為計(jì)算機(jī)的發(fā)展和自然生命有相似性，一個(gè)計(jì)算機(jī)系統(tǒng)也有天生的類似基因的缺陷，也可能在使用和發(fā)展過(guò)程中產(chǎn)生意想不到的問(wèn)題。1970－80年代，早期黑客的出現(xiàn)和第一個(gè)計(jì)算機(jī)病毒的產(chǎn)生，軟件漏洞逐漸引起人們的關(guān)注。隨著計(jì)算機(jī)應(yīng)用的發(fā)展和互聯(lián)網(wǎng)絡(luò)的出現(xiàn)，漏洞相繼在軟件、硬件、管理過(guò)程，甚至人的環(huán)節(jié)出現(xiàn)，引起病毒泛濫、黑客猖獗，使得安全漏洞成為網(wǎng)絡(luò)空間的一個(gè)現(xiàn)實(shí)、熱門話題。89學(xué)者們的解釋：Denning做出的定義1982年，從訪問(wèn)控制角度將漏洞定義為：導(dǎo)致操作系統(tǒng)執(zhí)行的操作和訪問(wèn)控制矩陣所定義的安全策略之間相沖突的所有因素。90學(xué)者們的解釋：Longstaff的定義1990年，從風(fēng)險(xiǎn)管理角度將漏洞定義為：存在于自動(dòng)化系統(tǒng)安全過(guò)程、管理控制以及內(nèi)部控制等中的缺陷，它能夠被攻擊者所利用，從而獲得對(duì)信息的非授權(quán)訪問(wèn)或者破壞關(guān)鍵數(shù)據(jù)處理；或是在物理層、組織、程序、人員、軟件或硬件方面的缺陷，它能夠被利用而導(dǎo)致對(duì)自動(dòng)數(shù)據(jù)處理系統(tǒng)或行為的損害；或是信息系統(tǒng)中存在的任何不足或缺陷。91學(xué)者們的解釋：Bishop的定義1996年，使用狀態(tài)空間描述的方法給出了漏洞的定義認(rèn)為：信息系統(tǒng)是由若干描述實(shí)體配置的當(dāng)前狀態(tài)所組成的，漏洞就是指區(qū)別于所有非受損狀態(tài)的容易受攻擊的特征通俗來(lái)講“攻擊者利用程序、技術(shù)或者管理上的失誤，得到了未被授權(quán)的訪問(wèn)或操作權(quán)限。這些控制上的失誤稱為系統(tǒng)漏洞或安全缺陷”92標(biāo)準(zhǔn)機(jī)構(gòu)的定義1999年，ISO/IEC15408（GB/T18336）定義：漏洞是存在于評(píng)估對(duì)象（TOE）中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)；2006年，美國(guó)NIST《信息安全關(guān)鍵術(shù)語(yǔ)詞匯表》定義：漏洞是指存在于信息系統(tǒng)、系統(tǒng)安全過(guò)程、內(nèi)部控制或?qū)崿F(xiàn)中的，可被威脅源攻擊或觸發(fā)的弱點(diǎn)；2006年，ISO/IECSC27《SD6：IT安全術(shù)語(yǔ)詞匯表》定義：漏洞是一個(gè)或多個(gè)威脅可以利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)；是違反某些環(huán)境中安全功能要求的TOE中的弱點(diǎn)；是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計(jì)及實(shí)施中的缺陷、弱點(diǎn)或特性。

93對(duì)漏洞概念的剖析現(xiàn)有定義從不同層次、不同角度，針對(duì)不同的對(duì)象描述漏洞的概念，綜合分析可以發(fā)現(xiàn)漏洞有以下幾個(gè)特點(diǎn)：漏洞是信息系統(tǒng)自身的弱點(diǎn)和缺陷；漏洞存在于一定的環(huán)境中，寄生在一定的客體上（如TOE中、過(guò)程中等）；具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來(lái)威脅和損失；94我們的理解

信息安全漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷，這些缺陷以不同形式存在于信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，而且隨著信息系統(tǒng)的變化而改變。一旦被惡意主體所利用，就會(huì)造成對(duì)信息系統(tǒng)的安全損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全屬性。95漏洞的分類漏洞分類的目的是為從各個(gè)方面來(lái)描述漏洞，如從漏洞的成因、利用漏洞的技術(shù)、漏洞的作用范圍等；理論上，可以用一個(gè)分類屬性來(lái)表達(dá)漏洞的一個(gè)本質(zhì)特征，而為漏洞的每個(gè)屬性賦值的過(guò)程，就是給漏洞在該維屬性上分類的過(guò)程；分類的原則：可接受性、易于理解性、完備性、確定性、互斥性、可重復(fù)性、可用性；96幾種主要的分類方法RISOS的操作系統(tǒng)漏洞分類法Aslam漏洞分類法Bishop的6軸漏洞分類法Neuman的風(fēng)險(xiǎn)來(lái)源分類法Knight的廣義漏洞分類法97RISOS的操作系統(tǒng)漏洞分類法RISOS研究將漏洞分為7個(gè)類別：不完全的參數(shù)合法性驗(yàn)證（eg:緩沖區(qū)溢出）；不一致的參數(shù)合法性驗(yàn)證（eg:接口設(shè)計(jì)漏洞）；隱含的權(quán)限/機(jī)密數(shù)據(jù)共享（eg:TENEX文件口令）非同步的合法性驗(yàn)證/不適當(dāng)?shù)捻樞蚧╡g:條件沖突）不適當(dāng)?shù)纳矸荼孀R(shí)/認(rèn)證/授權(quán)（eg:弱口令）可違反的限制（eg:違反使用手冊(cè)）可利用的邏輯錯(cuò)誤（eg:TENEX系統(tǒng)監(jiān)視器漏洞）98Aslam的漏洞分類法將安全性漏洞和軟件錯(cuò)誤結(jié)合在一起進(jìn)行研究，主要分為：編碼錯(cuò)誤同步錯(cuò)誤條件合法性驗(yàn)證錯(cuò)誤意外錯(cuò)誤配置錯(cuò)誤環(huán)境錯(cuò)誤99Bishop漏洞分類法舉例Bishop從漏洞成因、時(shí)間、利用方式、作用域、漏洞利用組件數(shù)和代碼缺陷六個(gè)維度進(jìn)行分類。100Knight的廣義漏洞分類法提出了四類型分類法，將人的行為對(duì)信息系統(tǒng)安全的影響引入到漏洞分類中。主要包括：社會(huì)工程策略疏忽邏輯錯(cuò)誤缺陷101漏洞無(wú)處不在102102漏洞生命周期103漏洞的利用手段越來(lái)越高高低19801985199019952005攻擊者知識(shí)攻擊復(fù)雜性跨站腳本口令猜測(cè)自復(fù)制代碼口令破解利用漏洞禁止審計(jì)木馬會(huì)話劫持sweeperssnifferspacketspoofingGUI自動(dòng)探測(cè)/掃描DoS拒絕服務(wù)www攻擊攻擊技術(shù)與工具“秘密行動(dòng)”/高級(jí)掃描技術(shù)偷竊網(wǎng)管診斷分布的攻擊工具Staged入侵者網(wǎng)站掛馬2000104漏洞的利用速度越來(lái)越快病毒名稱利用的漏洞補(bǔ)丁發(fā)布時(shí)間蠕蟲出現(xiàn)時(shí)間彌補(bǔ)時(shí)間Nimda（尼姆達(dá)）Unicode漏洞2000.10.202001.9.18140天SQLSlammerSQLServer2000Resolution漏洞2002.6.242003.1.25210天Blaster（沖擊波）RPCDCOM漏洞2003.7.162003.8.1125天Sasser（震蕩波）LSASS漏洞2004.04.132004.4.3017天105客觀必要性產(chǎn)業(yè)界的現(xiàn)實(shí)：IT高度依賴國(guó)外信息化政策的現(xiàn)狀：發(fā)展優(yōu)于安全我國(guó)當(dāng)前面臨的安全威脅尤其復(fù)雜安全保障體系建設(shè)的自主可控性不強(qiáng)學(xué)術(shù)界：專家多次提議要高度重視信息安全106現(xiàn)實(shí)緊迫性安全檢測(cè)發(fā)現(xiàn)：智能OA存在人為設(shè)置的后門；產(chǎn)品測(cè)評(píng)發(fā)現(xiàn)

：技術(shù)性漏洞也可被惡意使用；FW、IDS、Scanner系統(tǒng)評(píng)估發(fā)現(xiàn)：遠(yuǎn)程維護(hù)、軟件升級(jí)不可控；保密檢查發(fā)現(xiàn)：網(wǎng)絡(luò)竊密、泄密事件怵目驚心。107信息安全漏洞研究漏洞是一種戰(zhàn)略資源數(shù)量、種類、分布攻守雙方的焦點(diǎn)風(fēng)險(xiǎn)評(píng)估的要點(diǎn)地下經(jīng)濟(jì)的源點(diǎn)108信息安全漏洞研究漏洞分析的框架基礎(chǔ)研究漏洞發(fā)現(xiàn)漏洞控制漏洞消減國(guó)家級(jí)的漏洞分析需要多方面的參與漏洞是一種多方參與的、灰色的、非常規(guī)性對(duì)象攻擊者的挑戰(zhàn)——現(xiàn)實(shí)問(wèn)題學(xué)術(shù)界的研究——科學(xué)探索產(chǎn)業(yè)界的反應(yīng)——防御修復(fù)政府高度重視——管理控制109學(xué)術(shù)界的研究這種現(xiàn)象是偶然的？必然的？是否有規(guī)可循？1976年，Ｍ.Harrison等人在對(duì)可靠性的研究中發(fā)現(xiàn)：“在一個(gè)受保護(hù)系統(tǒng)中，一個(gè)給定狀態(tài)對(duì)于一個(gè)基本權(quán)限是否可靠是無(wú)法判定的”；1988年，Adelman證明了：“任意一個(gè)程序是否包含惡意代碼是不可判定的”；1989年F.Cohen證明了：“任意一個(gè)程序是否包含病毒是不可判定的”；漏洞的存在與發(fā)現(xiàn)機(jī)理如何呢？110學(xué)術(shù)界的研究自20世紀(jì)70年代以來(lái)，學(xué)術(shù)界圍繞漏洞理論開展了大量研究；主要關(guān)注以下基礎(chǔ)性的問(wèn)題：漏洞的機(jī)理是什么？漏洞如何進(jìn)入信息系統(tǒng)？漏洞的表現(xiàn)形式是什么？漏洞的危害有多大？漏洞是否能夠消除？方法有哪些？這些研究涉及概念、分類、方法、模型等，不同的研究者從不同的角度給出自己的答案。111產(chǎn)業(yè)界的反應(yīng)產(chǎn)業(yè)界主要開展防御性的研究，并提供相應(yīng)的產(chǎn)品與服務(wù)；技術(shù)不斷發(fā)展，產(chǎn)品不斷演化：掃描器、防病毒（木馬查殺）、IDS、IPS、SOC等；其技術(shù)思路主要從異常行為、代碼特征、規(guī)則匹配等方面對(duì)漏洞加以判斷，并以應(yīng)對(duì)；這種行為方式類似于流行病學(xué)，是對(duì)特定癥候的防御措施；112信息管理NVDBugtraq

CERT/CCX-Force

CNCERTSecunia

113FrSIRT OSVDB Nsfocus SecurityTrackerMicrosoftApple常用漏洞庫(kù)介紹CVE（CommonVulnerabilities&Exposures，通用漏洞披露）美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）丹麥安全公司SecuniaSecurityFocusBugtraq美國(guó)IBM公司的ISSX-Force中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）114CVE通用漏洞披露（CVE）是MITRE公司提出的漏洞命名規(guī)范。目前已受到業(yè)界的廣泛認(rèn)可，成為最權(quán)威的漏洞命名標(biāo)準(zhǔn)之一。美國(guó)的國(guó)家漏洞庫(kù)（NVD）、US-CERT公告、SANSTop20及其他諸多重要漏洞庫(kù)和漏洞公告中均使用的是CVE漏洞名稱，廠商及研究人員也普遍使用和引用CVE。此外，不斷有廠商宣布其產(chǎn)品或服務(wù)實(shí)現(xiàn)了CVE兼容，是否兼容CVE已成為信息安全產(chǎn)品的基礎(chǔ)要求。CVE在信息安全業(yè)界統(tǒng)一基礎(chǔ)術(shù)語(yǔ)和規(guī)范重要漏洞資源之間的參考引用方面卓有成效，起到了無(wú)可替代的作用。115CVECVE憑借與黑客組織、軟件廠商、安全公司等廣泛的關(guān)系，真正成為他們之間溝通的橋梁。CVE已稱為國(guó)際通用的漏洞參考標(biāo)準(zhǔn)，通過(guò)CVE編號(hào)實(shí)現(xiàn)了漏洞的統(tǒng)一描述和管理。到目前為止CVE收錄的漏洞數(shù)量已達(dá)到43000余條。116CVE117NVDNVD（美國(guó)國(guó)家漏洞庫(kù)）是美國(guó)政府建立的漏洞數(shù)據(jù)庫(kù)。NVD采用CVE編號(hào)，和CVE一一對(duì)應(yīng)，擴(kuò)充了CVE的屬性項(xiàng)，包括受影響實(shí)體、漏洞類型、危害評(píng)級(jí)（參考CVSS得分）、參考網(wǎng)址等。NVD通過(guò)其規(guī)范的漏洞描述、漏洞評(píng)級(jí)和詳細(xì)的漏洞參考信息等內(nèi)容，稱為國(guó)際權(quán)威的漏洞共享平臺(tái)。NVD除公布漏洞數(shù)據(jù)外，還公布CPE、FDCC等數(shù)據(jù)。118NVD119丹麥安全公司SecuniaSecunia是丹麥知名互聯(lián)網(wǎng)安全公司，成立于2002年，作為一家獨(dú)立的漏洞信息披露單位，具有很強(qiáng)的研究實(shí)力。Secunia公司的漏洞數(shù)據(jù)的及時(shí)性和規(guī)范性較好，并提供漏洞驗(yàn)證和漏洞利用等相關(guān)信息。Secunia到目前為止已發(fā)布漏洞近42000條。120Secunia121SecurityFocusBugtraqSecurityFocus創(chuàng)建于1996年，是一個(gè)提供安全信息和安全服務(wù)的國(guó)際安全公司，自1999年起，世界上最有影響力的黑客電子郵件組BugTraq的Internet郵件列表就是由SecurityFocus管理的。2002年8月，SecurityFocus被賽門鐵克公司整個(gè)并購(gòu)，但它要求保持提供獨(dú)立的安全服務(wù)。賽門鐵克公司為終端用戶和企業(yè)提供MSS服務(wù)和一系列產(chǎn)品，并通過(guò)Bugtraq漏洞數(shù)據(jù)庫(kù)向公眾提供安全公告和攻擊利用信息。122Bugtraq123ISSX-ForceIBM2006年10月收購(gòu)互聯(lián)網(wǎng)安全系統(tǒng)公司ISS后，進(jìn)行了全面整合，提供安全產(chǎn)品與安全服務(wù)，包括MMS安全服務(wù)、IPS、和企業(yè)漏洞掃描。X-Force對(duì)多種產(chǎn)品及技術(shù)開展安全研究，并監(jiān)控安全環(huán)境和惡意軟件。1996年開始，X-Force將研究發(fā)現(xiàn)以安全公告的形式發(fā)布在其數(shù)據(jù)庫(kù)中。124中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）中國(guó)國(guó)家信息安全漏洞庫(kù)，英文名稱“ChinaNationalVulnerabilityDatabaseofInformationSecurity”，簡(jiǎn)稱“CNNVD”，是中國(guó)信息安全測(cè)評(píng)中心為切實(shí)履行漏洞分析和風(fēng)險(xiǎn)評(píng)估的職能，負(fù)責(zé)建設(shè)運(yùn)維的國(guó)家級(jí)信息安全漏洞庫(kù)，為我國(guó)信息安全保障提供基礎(chǔ)服務(wù)。125CNNVD126知識(shí)域：信息安全漏洞知識(shí)子域：安全漏洞檢測(cè)了解基于靜態(tài)分析的漏洞檢測(cè)方法了解基于動(dòng)態(tài)分析的漏洞檢測(cè)方法127漏洞檢測(cè)技術(shù)目標(biāo)：研究專門的技術(shù)手段和方法，建立多角度的漏洞檢測(cè)能力經(jīng)驗(yàn)向理論轉(zhuǎn)化形成自動(dòng)化、規(guī)?；芰Ψ椒ǎ红o態(tài)分析動(dòng)態(tài)分析128靜態(tài)分析漏洞檢測(cè)技術(shù)什么是靜態(tài)分析靜態(tài)分析方法直接掃描程序代碼，提取程序關(guān)鍵語(yǔ)法，解釋其語(yǔ)義，理解程序行為，根據(jù)預(yù)先設(shè)定的漏洞特征、安全規(guī)則等檢測(cè)漏洞。129靜態(tài)分析方法——關(guān)鍵技術(shù)流分析符號(hào)執(zhí)行模型檢測(cè)指針?lè)治?30流分析技術(shù)——控制流控制流分析是要得出代碼中控制流走向的信息，即控制流圖(CFG)?？刂屏鲌D是對(duì)代碼執(zhí)行時(shí)可能經(jīng)過(guò)的所有路徑的圖形化表示，通過(guò)對(duì)代碼中的分支、循環(huán)等關(guān)系的分析來(lái)獲得代碼的結(jié)構(gòu)關(guān)系?？刂屏鞣治鲫P(guān)心的是代碼的控制結(jié)構(gòu)信息。131流分析技術(shù)——數(shù)據(jù)流數(shù)據(jù)流分析是要得出程序中數(shù)據(jù)流動(dòng)的信息，也就是程序中變量的