导图社区 2020信息安全工程师(第二版)第十四章: 恶意代码防护技术原理与应用
叙述了恶意代码的概念和分类,重点分析了计算机病毒、特洛伊木马和网络蠕虫的运行机制以及防范技术原理和工具。同时,还给出了其他可以代码的有关概念。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
社区模板帮助中心,点此进入>>
互联网9大思维
安全教育的重要性
组织架构-单商户商城webAPP 思维导图。
个人日常活动安排思维导图
域控上线
西游记主要人物性格分析
17种头脑风暴法
python思维导图
css
CSS
第14章 恶意代码防范技术原理
14.1 恶意代码概述
14.1.1 恶意代码定义与分类
是网络安全的主要威胁
Malicious Code,它是一种违背目标系统安全策略的程序代码,会造成目标信息系统泄露、资源滥用,破坏系统的完整性及可用性
病毒是一种恶意代码
主动传播
网络蠕虫
其他
被动传播
病毒
特洛伊木马
间谍软件
逻辑炸弹
14.1.2 恶意代码攻击模型
侵入系统嗯
维持和提升已有权限
隐蔽
潜伏
破坏
重复前面5步对新的目标实施攻击
14.1.3 恶意代码生存技术
反跟踪技术
加密技术
模糊变换技术
自动生产技术
变形技术
三线程技术
进程注入技术
通信隐藏技术
内核级隐藏技术
lkm隐藏
内存映射隐藏
14.1.4 恶意代码攻击技术
超级管理技术
端口反向连接技术
缓冲区溢出攻击技术
14.1.5 恶意代码分析技术
分析方法
静态分析
反恶意代码软件检查
字符串分析
脚本分析
静态反编译分析
静态反汇编分析
动态分析
文件监测
进程监测
注册表 监测
网络活动监测
动态反汇编分析
14.1.6 恶意代码防范策略
组织管理上必须加强恶意代码的安全防范意识
通过技术手段实现恶意代码防御
14.2 计算机病毒分析与防护
计算机病毒是恶意代码的一种类型
14.2.1 计算机病毒概念与特性
它是一组具有自我复制、传播能力的程序代码
四个基本特点
隐蔽性
传染性
潜伏性
破坏性
14.2.2 计算机病毒组成与运行机制
三部分组成
复制传染部件 replicator
隐藏部件 concealer
破坏部件 bomb
生命周期
计算机病毒的复制传播阶段
计算机病毒的激活阶段
14.2.3 计算机病毒常见类型与技术
引导型病毒
宏病毒 macro viruses
多态病毒
隐藏病毒
14.2.4 计算机病毒防范策略与技术
查找计算机病毒源
阻断计算机病毒传播途径
主动查杀计算机病毒
计算机病毒应急响应和灾备
14.2.5 计算机病毒防护方案
基于单击计算机病毒防护
基于网络计算机病毒防护
基于网络分级病毒防护
基于邮件网关病毒防护
基于网关防护
14.3 特洛伊木马分析与防护
14.3.1 特洛伊木马概念与特性
具有伪装能力、隐藏执行非法功能的恶意代码
自身不具备自我传播能力
14.3.2 特洛伊木马分类
本地
网络
14.3.3 特洛伊木马运行机制
寻找攻击目标
收集目标系统的信息
将木马植入目标系统
木马隐藏
攻击意图实现,激活木马
14.3.4 特洛伊木马植入技术
文件捆绑法
邮件附件
web网页
14.3.5 特洛伊木马隐藏技术
本地活动行为隐藏技术
文件隐藏
进程隐藏
通信连接隐藏
远程通信远程隐藏技术
通信内容加密技术
通信端口复用技术
网络隐藏通道
14.3.6 特洛伊木马存活技术
反监测技术
14.3.7 特洛伊木马防范技术
基于查看开放端口检测
基于重要文件系统检测
基于系统注册表检测
检测具有隐藏能力的
基于网络检测
基于网络阻断
14.4 网络蠕虫分析与防护
14.4.1 概念与特性
一种具有自我复制和传播能力、可独立自动运行的恶意代码
14.4.2 组成与运行机制
组成
探测模块
蠕虫引擎模块
负载模块
运行机制
已经感染蠕虫的主机在网络上搜索易感染目标主机
已经感染蠕虫的主机把蠕虫代码传送易感染目标主机上
易感染目标主机执行蠕虫代码,感染目标主机系统
14.4.3 常用技术
扫描技术
随机扫描
顺序扫描
选择性扫描
漏洞利用技术
14.4.4 防范技术
监测与预警技术
传播抑制技术
漏洞检测与系统加固技术
免疫技术
阻断和隔离技术
清除技术
14.5 僵尸网络分析与防护
14.5.1 概念与特性
是指攻击者利用入侵手段将僵尸程序植入目标计算机上,进而操纵受害机执行恶意活动的网络
14.5.2 僵尸网络运行机制与技术
第一步 僵尸程序的传播
第二步 对僵尸程序进行远程命令操作和控制,将受害目标机组成一个网络
第三步 攻击者通过僵尸网络的控制服务器,给僵尸程序发送攻击命令,执行攻击活动
14.5.3 防范技术
威胁监测
网络检测
主动遏制
僵尸程序查杀
14.6 其他恶意代码分析与防护
14.6.1 逻辑炸弹
一段依附在其他软件中,并具有触发执行破坏能力的程序代码
14.6.2 陷门
软件系统的一段代码,允许用户避开系统安全机制而访问系统
14.6.3 细菌
是指具有自我复制功能的独立程序
14.6.4 间谍软件
是指在用户不知情的情况下被安装在计算机中各种软件,执行用户非期望的功能
14.7 恶意代码防护主要产品与技术指标
14.7.1 恶意代码防护主要产品
终端防护产品
安全网关产品
恶意代码监测产品
恶意代码仿佛产品:补丁管理系统
恶意代码应急响应
14.7.2 主要技术指标
检测能力
检测准确性
阻断能力
14.8 恶意代码防护技术应用
14.8.1 终端防护
终端上安装一个恶意代码防护代理程序,该代理程序按照终端管理中心下发的安全策略进行安全控制
14.8.2 APT防护
高级持续威胁APT通常利用电子邮件作为攻击目标系统
14.9 本章小结
叙述了恶意代码的概念和分类,重点分析了计算机病毒、特洛伊木马和网络蠕虫的运行机制以及防范技术原理和工具。同时,还给出了其他可以代码的有关概念
