1.教材總結

惡意代碼分類

通常為泛指，即包括病毒（Virus）、特洛伊木馬（Trojan Horse）、蠕蟲（Worm）、宏病毒（Macro）、後門程序（BackDoor）、黑客軟件/工具（Hacker）、間諜程序（Spyware）、廣告程序（Adware）、玩笑程序（Joke）、惡作劇程序（Hoax）等等有害程序及文件（Malware）。 

什麽是計算機病毒

計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。除復制能力外，某些計算機病毒還有其它一些共同特性：一個被汙染的程序能夠傳送病毒載體。當你看到病毒載體似乎 僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其它類型的災害。若是病毒並不寄生於一個汙染程序，它仍然能通過占據存貯空間給你帶來麻煩，並降低你的計算機的全部性能。

可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網絡等作為媒介傳播擴散,能“傳染” 其他程序的程序。另一種是能夠實現自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為 制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內存）或程序裏。當某種條件或時機成熟時,它會自生復制 並傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒 所相似之處是能夠侵入計算機系統和網絡,危害正常工作的“病原體”。它能夠對計算機系統進行各種破壞,同時能夠自我復制, 具有傳染性。 所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）裏, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。

按照計算機病毒攻擊的系統分類

（1）攻擊DOS系統的病毒。這類病毒出現最早、最多，變種也最多，目前我國出現的計算機病毒基本上都是這類病毒，此類病毒占病毒總數的99％。 
（2）攻擊Windows系統的病毒。由於Windows的圖形用戶界面（GUI）和多任務操作系統深受用戶的歡迎，Windows正逐漸取代DOS，從而成為病毒攻擊的主要對象。目前發現的首例破壞計算機硬件的CIH病毒就是一個Windows 9598病毒。 
（3）攻擊UNIX系統的病毒。當前，UNIX系統應用非常廣泛，並且許多大型的操作系統均采用UNIX作為其主要的操作系統，所以UNIX病毒的出現，對人類的信息處理也是一個嚴重的威脅。 
（4）攻擊OS2系統的病毒。世界上已經發現第一個攻擊OS2系統的病毒，它雖然簡單，但也是一個不祥之兆。
 

按照病毒的攻擊機型分類

（1）攻擊微型計算機的病毒。這是世界上傳染是最為廣泛的一種病毒。 
（2）攻擊小型機的計算機病毒。小型機的應用範圍是極為廣泛的，它既可以作為網絡的一個節點機，也可以作為小的計算機網絡的計算機網絡的主機。起初，人們認為計算機病毒只有在微型計算機上才能發生而小型機則不會受到病毒的侵擾，但自1988年11月份Internet網絡受到worm程序的攻擊後，使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。 
（3）攻擊工作站的計算機病毒。近幾年，計算機工作站有了較大的進展，並且應用範圍也有了較大的發展，所以我們不難想象，攻擊計算機工作站的病毒的出現也是對信息系統的一大威脅。 

按照計算機病毒的鏈結方式分類

由於計算機病毒本身必須有一個攻擊對象以實現對計算機系統的攻擊，計算機病毒所攻擊的對象是計算機系統可執行的部分。

（1）源碼型病毒該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經編譯成為合法程序的一部分。 
（2）嵌入型病毒這種病毒是將自身嵌入到現有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體後也較難消除。如果同時采用多態性病毒技術，超級病毒技術和隱蔽性病毒技術，將給當前的反病毒技術帶來嚴峻的挑戰。 
（3）外殼型病毒外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易於編寫，也易於發現，一般測試文件的大小即可知。 
（4）操作系統型病毒這種病毒用它自已的程序意圖加入或取代部分操作系統進行工作，具有很強的破壞力，可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。 
這種病毒在運行時，用自己的邏輯部分取代操作系統的合法程序模塊，根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用以及病毒取代操作系統的取代方式等，對操作系統進行破壞。

2.實驗概述

2.1緩沖區溢出實驗

該實驗的目標是讓學生掌握緩沖區溢出漏洞攻擊的經驗，將課堂上學習到漏洞知識應用
到實踐中去。緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一
漏洞可以被惡意用戶利用來改變程序的流控制，甚至執行代碼的任意片段。這一漏洞的出現
是由於數據緩沖器和返回地址的暫時關閉，溢出會引起返回地址被重寫。
在本實驗中，學生將分析一個具有緩沖區溢出漏洞的程序，任務是使用一種攻擊方案來
利用漏洞並最後獲得 root 權限。另外，將帶領學生學習到系統中阻止緩沖區溢出的一些保
護機制，學生需要評價他們的攻擊方案在這些保護機制下是否起作用，並解釋原因。

2.2惡意代碼分析

• 提高用戶的安全意識
• 在系統上運行反病毒軟件並實時更新特征庫
• 特別關註ASEP 點掛接的自啟動程序(360,
• SReng, …)
• 在服務器上限制Web 訪問
• 研發並使用基於行為的、或基於異常的檢測方
• 法和方案

第九周作業