APKPure 安卓应用市场或不安全
近日,据“Telegram信息安全討論群”的管理员披露,热门的安卓应用市场 APKPure(网友俗称“ 大 A”)是由网站“众晶数码”所拥有的产品。APKPure 自2014年出现在大众的视线以来,受到众多网民的青睐,据该网站介绍,目前已经有数亿用户使用过 APKPure 应用市场。
据披露,“众晶数码”其实是由位于中国北京市海淀区的“众晶锐驰科技有限公司”所掌控,该公司由法人代表朱楠灏于2007年成立。APKPure 应用市场上有大量被中国本土封杀的安卓应用软件,而且该应用商店在中国需要翻墙才能使用,在当前的社会背景下,很难让人不联想到该企业是否会与中共政府有某种程度的“合作”。
众所周知,软件安装包中一旦被植入恶意代码,这将对我们的电子设备产生不可预计的危害。鉴于此,我们呼吁那些追求安全的网友们,需要安装软件时尽量从官方网站下载,下载之后对文件进行校验,养成良好的上网习惯。为了方便部分动手能力不强的网友,本频道会提供部分软件资源,频道所提供的软件都是从官方网站以及可信的途径下载的;如果您为了确保安全,还是建议有能力的网友从可信途径获取软件。
#公告 #APKPure
信息安全技术频道🔎
@tg_InternetSecurity
近日,据“Telegram信息安全討論群”的管理员披露,热门的安卓应用市场 APKPure(网友俗称“ 大 A”)是由网站“众晶数码”所拥有的产品。APKPure 自2014年出现在大众的视线以来,受到众多网民的青睐,据该网站介绍,目前已经有数亿用户使用过 APKPure 应用市场。
据披露,“众晶数码”其实是由位于中国北京市海淀区的“众晶锐驰科技有限公司”所掌控,该公司由法人代表朱楠灏于2007年成立。APKPure 应用市场上有大量被中国本土封杀的安卓应用软件,而且该应用商店在中国需要翻墙才能使用,在当前的社会背景下,很难让人不联想到该企业是否会与中共政府有某种程度的“合作”。
众所周知,软件安装包中一旦被植入恶意代码,这将对我们的电子设备产生不可预计的危害。鉴于此,我们呼吁那些追求安全的网友们,需要安装软件时尽量从官方网站下载,下载之后对文件进行校验,养成良好的上网习惯。为了方便部分动手能力不强的网友,本频道会提供部分软件资源,频道所提供的软件都是从官方网站以及可信的途径下载的;如果您为了确保安全,还是建议有能力的网友从可信途径获取软件。
#公告 #APKPure
信息安全技术频道🔎
@tg_InternetSecurity
中国進一步加大对互联网的舆论管控
中国的自媒体运营商和公众号作者近日收到通知,要求他们在发布政治、军事、经济相关的信息之前,必须取得许可证。
据报道,中国网信办1月29日召开全国视频会议,宣布将重点整治自媒体、短视频平台、热搜热榜等存在的扰乱网络传播秩序突出问题。中共宣传部副部长,网信办主任庄荣文强调“把坚持正确政治方向、舆论导向和价值取向放在首要位置”。腾讯、新浪微博等网站参加会议。
今年是中共成立100周年,网信办明确提出今年“维护好网络传播秩序,确保网络空间正能量充沛、主旋律高昂有着特殊重要的意义”。
中国自媒体运营商和公众号作者收到的这份通知警告说,如果关于涉及政治、军事和经济等话题的帖子和评论,来自没有经过批准的账号,将面临审查的风险。
浙江外国语大学教授、前新华社资深记者、前博联社创始人马晓霖1月30日微博发文说,当天中午接到新浪微博客服电话通知,今后个人微博不能再发政治、军事、经济等原创内容。他说,作为国际问题研究者和专栏作家,今后看来只能走吃喝玩乐路线了。
#中国 #中共 #网络审查
信息安全技术频道🔎
@tg_InternetSecurity
中国的自媒体运营商和公众号作者近日收到通知,要求他们在发布政治、军事、经济相关的信息之前,必须取得许可证。
据报道,中国网信办1月29日召开全国视频会议,宣布将重点整治自媒体、短视频平台、热搜热榜等存在的扰乱网络传播秩序突出问题。中共宣传部副部长,网信办主任庄荣文强调“把坚持正确政治方向、舆论导向和价值取向放在首要位置”。腾讯、新浪微博等网站参加会议。
今年是中共成立100周年,网信办明确提出今年“维护好网络传播秩序,确保网络空间正能量充沛、主旋律高昂有着特殊重要的意义”。
中国自媒体运营商和公众号作者收到的这份通知警告说,如果关于涉及政治、军事和经济等话题的帖子和评论,来自没有经过批准的账号,将面临审查的风险。
浙江外国语大学教授、前新华社资深记者、前博联社创始人马晓霖1月30日微博发文说,当天中午接到新浪微博客服电话通知,今后个人微博不能再发政治、军事、经济等原创内容。他说,作为国际问题研究者和专栏作家,今后看来只能走吃喝玩乐路线了。
#中国 #中共 #网络审查
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第9讲 应用软件安全】
(1)应用软件安全问题
1. 软件漏洞
应用软件面临的首要安全问题是软件漏洞。软件漏洞通常被认为是软件生命周期中与安全相关的设计错误、编码缺陷及运行故障等。软件漏洞通常也称为脆弱点、软件缺陷以及软件错误。
一方面,软件漏洞可能会造成软件在运行过程中出现错误结果或运行不稳定、崩溃等现象,甚至引起死机等情况。例如,应用于航天、铁路、通信、交通、军事、医疗等领域的任务关键软件,存在设计错误、编码缺陷、运行故障等不同漏洞形式时会造成严重的后果。
另一方面,软件漏洞会被黑客发现、利用,进而实施窃取隐私信息、甚至破坏系统等攻击行为。手机上的软件漏洞问题就是当前非常普遍的安全问题。
现在大家普遍使用的都是智能手机,所谓智能手机简单地说就是更像电脑的手机,除了具备传统手机接打电话的基本功能以外,由于采用了专用操作系统,可以安装更多的应用软件,从而使得手机的功能得到不断地扩充。
除了手机上的软件漏洞问题,Web应用程序的漏洞问题也是当前攻击事件频发的根源之一。
虽然目前绝大部分网络已安装有防火墙、入侵检测系统等安全设备,但并没有从根本上解决Web安全问题。
由于现实世界中存在各种恶意企图的攻击者,利用系统存在的、或是新挖掘出的安全漏洞,加上安全防护体系的缺陷、使用人员的安全意识薄弱、管理制度的薄弱等问题,Web应用安全事件层出不穷。
2. 恶意代码
应用软件的第2个主要问题是恶意代码。黑客利用软件漏洞的主要方法就是编写恶意代码,实施攻击和破坏。
一些APP应用市场为我们提供了成千上万的手机应用软件,借助这些手机APP,我们可以上网、聊天、看视频、网上购物。可是就在我们使用手机不亦乐乎的时候,有没有想过这些APP软件良莠不齐,会藏着手机病毒呢?
据统计,手机恶意程序的数量逐年翻倍。这些安装在手机中的恶意程序可以对用户进行远程控制、隐私窃取、恶意扣费。
手机上的恶意程序有多种形式。有的恶意程序,在手机卖给用户之前就被隐蔽安装在用户的手机里,用户很难发现;有的恶意程序伪装成有用的程序,用户无意下载了;有的恶意程序是被植入到正常程序中,用户很难分辨。
手机上的恶意程序还只是整个信息系统中恶意代码的冰山一角。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(1)应用软件安全问题
1. 软件漏洞
应用软件面临的首要安全问题是软件漏洞。软件漏洞通常被认为是软件生命周期中与安全相关的设计错误、编码缺陷及运行故障等。软件漏洞通常也称为脆弱点、软件缺陷以及软件错误。
一方面,软件漏洞可能会造成软件在运行过程中出现错误结果或运行不稳定、崩溃等现象,甚至引起死机等情况。例如,应用于航天、铁路、通信、交通、军事、医疗等领域的任务关键软件,存在设计错误、编码缺陷、运行故障等不同漏洞形式时会造成严重的后果。
另一方面,软件漏洞会被黑客发现、利用,进而实施窃取隐私信息、甚至破坏系统等攻击行为。手机上的软件漏洞问题就是当前非常普遍的安全问题。
现在大家普遍使用的都是智能手机,所谓智能手机简单地说就是更像电脑的手机,除了具备传统手机接打电话的基本功能以外,由于采用了专用操作系统,可以安装更多的应用软件,从而使得手机的功能得到不断地扩充。
除了手机上的软件漏洞问题,Web应用程序的漏洞问题也是当前攻击事件频发的根源之一。
虽然目前绝大部分网络已安装有防火墙、入侵检测系统等安全设备,但并没有从根本上解决Web安全问题。
由于现实世界中存在各种恶意企图的攻击者,利用系统存在的、或是新挖掘出的安全漏洞,加上安全防护体系的缺陷、使用人员的安全意识薄弱、管理制度的薄弱等问题,Web应用安全事件层出不穷。
2. 恶意代码
应用软件的第2个主要问题是恶意代码。黑客利用软件漏洞的主要方法就是编写恶意代码,实施攻击和破坏。
一些APP应用市场为我们提供了成千上万的手机应用软件,借助这些手机APP,我们可以上网、聊天、看视频、网上购物。可是就在我们使用手机不亦乐乎的时候,有没有想过这些APP软件良莠不齐,会藏着手机病毒呢?
据统计,手机恶意程序的数量逐年翻倍。这些安装在手机中的恶意程序可以对用户进行远程控制、隐私窃取、恶意扣费。
手机上的恶意程序有多种形式。有的恶意程序,在手机卖给用户之前就被隐蔽安装在用户的手机里,用户很难发现;有的恶意程序伪装成有用的程序,用户无意下载了;有的恶意程序是被植入到正常程序中,用户很难分辨。
手机上的恶意程序还只是整个信息系统中恶意代码的冰山一角。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
官宣死亡的Flash突然跳出更新?网友:这是国内特供版
https://www.cnbeta.com/articles/soft/1087099.htm
#中国 #Flash
信息安全技术频道🔎
@tg_InternetSecurity
https://www.cnbeta.com/articles/soft/1087099.htm
#中国 #Flash
信息安全技术频道🔎
@tg_InternetSecurity
cnBeta
官宣死亡的Flash突然跳出更新?网友:这是国内特供版
Adobe的Flash已经在去年底彻底被放弃,1月初官方还特别强调会拦截用户的访问请求,微软Win10也开始强制删除Flash,饱受争议的Flash终于寿终正寝了。不过在国内情况就不一样了,不少人还遇到了Flash需要更新的情况,今天微博大V@春卷也遇到了Flash更新的情况,版本更新到了34.00.105版。
【Telegram英文圈群组收集 】
Disclose.tv Chat @disclosetv_chat
We Are News Now @WeAreNewsNow
The National Pulse @thenationalpulse
Trump Supporters Chat @TrumpSupportersGroup
Mike PompeoTeam Chat @mikepompeogroupchat
Python @Python
Python Offtopic @pythonofftopic
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
Disclose.tv Chat @disclosetv_chat
We Are News Now @WeAreNewsNow
The National Pulse @thenationalpulse
Trump Supporters Chat @TrumpSupportersGroup
Mike PompeoTeam Chat @mikepompeogroupchat
Python @Python
Python Offtopic @pythonofftopic
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
【Telegram英文圈频道收集 官方频道】
经官方认证的频道
NTD @NTDNews
PragerU @Prager_U
Durov's Channel @durov
Disclose.tv @disclosetv
Donald Trump Jr @TrumpJr
CJ Pearson @thecjpearson
Charlie Kirk @CharlieKirk
Benny Johnson @BennyJohnson
The Epoch Times @epochtimes
Telegram Tips @TelegramTips
Jack Posobiec @Jack_Posobiec
Project Veritas @project_veritas
Lauren Boebert @LaurenBoebert_CO
Students For Trump @TrumpStudents
Madison Cawthorn @MadisonCawthorn
Gateway Pundit @gatewaypunditofficial
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
经官方认证的频道
NTD @NTDNews
PragerU @Prager_U
Durov's Channel @durov
Disclose.tv @disclosetv
Donald Trump Jr @TrumpJr
CJ Pearson @thecjpearson
Charlie Kirk @CharlieKirk
Benny Johnson @BennyJohnson
The Epoch Times @epochtimes
Telegram Tips @TelegramTips
Jack Posobiec @Jack_Posobiec
Project Veritas @project_veritas
Lauren Boebert @LaurenBoebert_CO
Students For Trump @TrumpStudents
Madison Cawthorn @MadisonCawthorn
Gateway Pundit @gatewaypunditofficial
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
【Telegram英文圈频道收集 信息安全&技术频道】
信息安全频道
NoGooLag @NoGoolag
BlackBox (EN) @BlackBox_EN
Infotechgram @Infotechgram
The Hacker News @thehackernews
Darkspidertechtips @darkspidertech
Cyber Security Analyst @worldcyberthreat
CompTIA A+, Network+ & Security+ @CompTIA
BlackBox (Security) Archiv @BlackBox_Archiv
cRyPtHoN™ INFOSEC (EN) @cRyPtHoN_INFOSEC_EN
Information Security 24/7 @informationsecuritylife
技术频道
Libreware @libreware
SOURCE -PRO- @source_pro
Modded Central Channel @ModdedCentral
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
信息安全频道
NoGooLag @NoGoolag
BlackBox (EN) @BlackBox_EN
Infotechgram @Infotechgram
The Hacker News @thehackernews
Darkspidertechtips @darkspidertech
Cyber Security Analyst @worldcyberthreat
CompTIA A+, Network+ & Security+ @CompTIA
BlackBox (Security) Archiv @BlackBox_Archiv
cRyPtHoN™ INFOSEC (EN) @cRyPtHoN_INFOSEC_EN
Information Security 24/7 @informationsecuritylife
技术频道
Libreware @libreware
SOURCE -PRO- @source_pro
Modded Central Channel @ModdedCentral
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
【Telegram英文圈频道收集 非官方新闻频道】
非官方新闻频道
ALX @ALXTheLord
KAGBABE @kagbabe
Q-Tip @QanonMemes
Andy Ngô @Andy_Ngo
Gab.com @gabtrends
MAGA NEWS @MAGANEWZ
TheBlaze @TheBlazeTV
Breitbart @Breitbart
Dan Bongino @DBongino
CJ Pearson @CJPearson
Newsmax TV @NewsmaxTV
GEORGENEWS @georgenews
Rogan O'Handly @DCDraino
Turning Point USA @TPUSA
Proud Boys @proudboysusa
Re5iGam Channel @Re5iGam
Breaking911 @breaking911
We The Media @WeTheMedia
The Trumpist @TheTrumpist
Daily Caller @Daily_Caller
Charlie Ward @Charlie_Ward
SantaSurfing @santasurfing
Lou Dobbs @loudobbschannel
Candace Owens @CandaceOwens
Gen. Flynn @genflynnchannel
Ben Shapiro @realBenShapiro
James Woods @JamesWoodsReal
Lin Wood @linwoodspeakstruth
Ryan Fournier @RyanAFournier
BannonWarRoom @BannonWarRoom
JuliansRum @juliansrumchannel
The Daily Wire @realDailyWire
James O'Keefe @JamesOKeefeIII
Dinesh D’Souza @Dinesh_DSouza
Mike Lindell @MichaelJLindell
The Babylon Bee @TheBabylonBee
Epoch Times @EpochTimesChannel
Steven Crowder @Steven_Crowder
Health Ranger @RealHealthRanger
Kayleigh McEnany @mcenanychannel
One America News Network @OANNTV
Mike Pompeo Team @teammikepompeo
The National Pulse @nationalpulse
Donald J. Trump @real_DonaldJTrump
The True Defender @TheTrueDefender
General McInerney @GeneralMcInerney
Michael Flynn Team @michaelflynnteam
Lauren Boebert @LaurenBoebertOfficial
David Avocado Wolfe @davidavocadowolfe
Tommy Robinson News @TommyRobinsonNews
Truth: Harder to Find @exposingthelies
Devin Nunes Channel @devinnuneschannel
Trump Supporters Channel @TrumpChannel
Bill O'Reilly Channel @billoreillychannel
Enrique’s House of Propaganda @NobleLeader
Marjorie Taylor Greene @RealMarjorieGreene
END HUMAN TRAFFICKING @ENDHUMANTRAFFICKING
Tomi Lahren Supporters @tomilahrenofficialus
Great Awakening Channel @GreatAwakeningChannel
Conservatives On Telegram @ConservativesOnTelegram
[QDrops] [8Bakes] [Crumbs] [Covfefe] @q_anonofficial8
WeThePeople News---[PioyPioyPioy] @PioyPioyPioy_BACKUP
The Patriot Party Supporters @thepatriotpartysupporters
Donald J. Trump News View (official) @donaldjtrumpnewsview
Right Side Broadcasting Network (RSBN) @RightSideBroadcastingNetwork
官方标注【SCAM】的虚假频道
Donald J. Trump @trump
Ivanka Trump Official @Ivanka2024
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
非官方新闻频道
ALX @ALXTheLord
KAGBABE @kagbabe
Q-Tip @QanonMemes
Andy Ngô @Andy_Ngo
Gab.com @gabtrends
MAGA NEWS @MAGANEWZ
TheBlaze @TheBlazeTV
Breitbart @Breitbart
Dan Bongino @DBongino
CJ Pearson @CJPearson
Newsmax TV @NewsmaxTV
GEORGENEWS @georgenews
Rogan O'Handly @DCDraino
Turning Point USA @TPUSA
Proud Boys @proudboysusa
Re5iGam Channel @Re5iGam
Breaking911 @breaking911
We The Media @WeTheMedia
The Trumpist @TheTrumpist
Daily Caller @Daily_Caller
Charlie Ward @Charlie_Ward
SantaSurfing @santasurfing
Lou Dobbs @loudobbschannel
Candace Owens @CandaceOwens
Gen. Flynn @genflynnchannel
Ben Shapiro @realBenShapiro
James Woods @JamesWoodsReal
Lin Wood @linwoodspeakstruth
Ryan Fournier @RyanAFournier
BannonWarRoom @BannonWarRoom
JuliansRum @juliansrumchannel
The Daily Wire @realDailyWire
James O'Keefe @JamesOKeefeIII
Dinesh D’Souza @Dinesh_DSouza
Mike Lindell @MichaelJLindell
The Babylon Bee @TheBabylonBee
Epoch Times @EpochTimesChannel
Steven Crowder @Steven_Crowder
Health Ranger @RealHealthRanger
Kayleigh McEnany @mcenanychannel
One America News Network @OANNTV
Mike Pompeo Team @teammikepompeo
The National Pulse @nationalpulse
Donald J. Trump @real_DonaldJTrump
The True Defender @TheTrueDefender
General McInerney @GeneralMcInerney
Michael Flynn Team @michaelflynnteam
Lauren Boebert @LaurenBoebertOfficial
David Avocado Wolfe @davidavocadowolfe
Tommy Robinson News @TommyRobinsonNews
Truth: Harder to Find @exposingthelies
Devin Nunes Channel @devinnuneschannel
Trump Supporters Channel @TrumpChannel
Bill O'Reilly Channel @billoreillychannel
Enrique’s House of Propaganda @NobleLeader
Marjorie Taylor Greene @RealMarjorieGreene
END HUMAN TRAFFICKING @ENDHUMANTRAFFICKING
Tomi Lahren Supporters @tomilahrenofficialus
Great Awakening Channel @GreatAwakeningChannel
Conservatives On Telegram @ConservativesOnTelegram
[QDrops] [8Bakes] [Crumbs] [Covfefe] @q_anonofficial8
WeThePeople News---[PioyPioyPioy] @PioyPioyPioy_BACKUP
The Patriot Party Supporters @thepatriotpartysupporters
Donald J. Trump News View (official) @donaldjtrumpnewsview
Right Side Broadcasting Network (RSBN) @RightSideBroadcastingNetwork
官方标注【SCAM】的虚假频道
Donald J. Trump @trump
Ivanka Trump Official @Ivanka2024
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
【Telegram英文圈群组频道收集】
【Collections of English Groups & Channels in Telegram】
【英文圈群组】【English Groups】
https://t.me/tg_InternetSecurity/1965
【官方频道】【Official Channels】
https://t.me/tg_InternetSecurity/1966
【信息安全&技术频道】【Information Security & Technology Channels】
https://t.me/tg_InternetSecurity/1967
【非官方新闻频道】【Non-official News Channels】
https://t.me/tg_InternetSecurity/1968
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
【Collections of English Groups & Channels in Telegram】
【英文圈群组】【English Groups】
https://t.me/tg_InternetSecurity/1965
【官方频道】【Official Channels】
https://t.me/tg_InternetSecurity/1966
【信息安全&技术频道】【Information Security & Technology Channels】
https://t.me/tg_InternetSecurity/1967
【非官方新闻频道】【Non-official News Channels】
https://t.me/tg_InternetSecurity/1968
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
Telegram
信息安全技术频道🔎
【Telegram英文圈群组收集 】
Disclose.tv Chat @disclosetv_chat
We Are News Now @WeAreNewsNow
The National Pulse @thenationalpulse
Trump Supporters Chat @TrumpSupportersGroup
Mike PompeoTeam Chat @mikepompeogroupchat
Python @Python
Python Offtopic @pythonofftopic…
Disclose.tv Chat @disclosetv_chat
We Are News Now @WeAreNewsNow
The National Pulse @thenationalpulse
Trump Supporters Chat @TrumpSupportersGroup
Mike PompeoTeam Chat @mikepompeogroupchat
Python @Python
Python Offtopic @pythonofftopic…
【信息安全知识普及 第9讲 应用软件安全】
(2)恶意代码介绍
1. 恶意代码的概念
恶意代码已经成为攻击计算机信息系统主要的载体,攻击的威力越来越大、攻击的范围越来越广。什么是恶意代码?它与大家常说的传统的计算机病毒有怎样的关系?
恶意代码(Malware,Malicious Software的缩写),是在未被授权的情况下,以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。
定义指出,恶意代码是软件或代码片段,其实现方式可以有多种,如二进制执行文件、脚本语言代码、宏代码或是寄生在其他代码或启动扇区中的一段指令。
2. 恶意代码的类型
恶意代码包括:计算机病毒(Virus),蠕虫(Worm),特洛伊木马(Trojan Horse),后门(Back Door),内核套件(Rootkit),间谍软件(Spyware),恶意脚本(Malice Script),恶意广告(Dishonest Adware),流氓软件(Crimeware),逻辑炸弹(Logic Bomb),僵尸网络(Botnet),网络钓鱼(Phishing)、垃圾信息(Spam)等恶意的或令人讨厌的软件及代码片段,近几年危害甚广的勒索软件(Ransomware)也属于恶意代码范畴。
1)计算机病毒
计算机病毒是一种计算机程序。此处的计算机为广义的、可编程的电子设备,包括数字电子计算机、模拟电子计算机、嵌入式电子系统等。
既然计算机病毒是程序,就能在CPU的控制下执行。这种执行,可以是直接执行,也可解释执行。此外,它也能像正常程序一样,存储在磁盘、内存储器中,也可固化成为固件。
大家常常把蠕虫、木马、勒索软件等称为计算机病毒,实际上蠕虫、木马、勒索软件等并不符合计算机病毒的定义。这里所讲的计算机病毒仅仅包括引导区病毒、文件型病毒以及混合型病毒。
引导区病毒,指寄生在磁盘引导扇区中的病毒。
文件型病毒,可分为感染可执行文件病毒和感染数据文件的病毒,前者主要指感染COM文件或EXE文件,甚至系统文件的病毒,如CIH病毒。后者主要指感染Word、PDF等数据文件的病毒,如宏病毒等。
混合型病毒,主要指那些既能感染引导区又能感染文件的病毒。
计算机病毒不是用户所希望执行的程序,因此病毒程序为了隐藏自己,一般不独立存在(计算机病毒本原除外),而是寄生在别的有用的程序或文档之上。
计算机病毒最特殊的地方在于它能自我复制,或者称为传染性。它的另一特殊之处是,在条件满足时能被激活,可称为潜伏性或可触发性。当然,破坏性是其主要特征。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(2)恶意代码介绍
1. 恶意代码的概念
恶意代码已经成为攻击计算机信息系统主要的载体,攻击的威力越来越大、攻击的范围越来越广。什么是恶意代码?它与大家常说的传统的计算机病毒有怎样的关系?
恶意代码(Malware,Malicious Software的缩写),是在未被授权的情况下,以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。
定义指出,恶意代码是软件或代码片段,其实现方式可以有多种,如二进制执行文件、脚本语言代码、宏代码或是寄生在其他代码或启动扇区中的一段指令。
2. 恶意代码的类型
恶意代码包括:计算机病毒(Virus),蠕虫(Worm),特洛伊木马(Trojan Horse),后门(Back Door),内核套件(Rootkit),间谍软件(Spyware),恶意脚本(Malice Script),恶意广告(Dishonest Adware),流氓软件(Crimeware),逻辑炸弹(Logic Bomb),僵尸网络(Botnet),网络钓鱼(Phishing)、垃圾信息(Spam)等恶意的或令人讨厌的软件及代码片段,近几年危害甚广的勒索软件(Ransomware)也属于恶意代码范畴。
1)计算机病毒
计算机病毒是一种计算机程序。此处的计算机为广义的、可编程的电子设备,包括数字电子计算机、模拟电子计算机、嵌入式电子系统等。
既然计算机病毒是程序,就能在CPU的控制下执行。这种执行,可以是直接执行,也可解释执行。此外,它也能像正常程序一样,存储在磁盘、内存储器中,也可固化成为固件。
大家常常把蠕虫、木马、勒索软件等称为计算机病毒,实际上蠕虫、木马、勒索软件等并不符合计算机病毒的定义。这里所讲的计算机病毒仅仅包括引导区病毒、文件型病毒以及混合型病毒。
引导区病毒,指寄生在磁盘引导扇区中的病毒。
文件型病毒,可分为感染可执行文件病毒和感染数据文件的病毒,前者主要指感染COM文件或EXE文件,甚至系统文件的病毒,如CIH病毒。后者主要指感染Word、PDF等数据文件的病毒,如宏病毒等。
混合型病毒,主要指那些既能感染引导区又能感染文件的病毒。
计算机病毒不是用户所希望执行的程序,因此病毒程序为了隐藏自己,一般不独立存在(计算机病毒本原除外),而是寄生在别的有用的程序或文档之上。
计算机病毒最特殊的地方在于它能自我复制,或者称为传染性。它的另一特殊之处是,在条件满足时能被激活,可称为潜伏性或可触发性。当然,破坏性是其主要特征。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第9讲 应用软件安全】
(2)恶意代码介绍
2. 恶意代码的类型
2)蠕虫
网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或互联网从一个节点传播到另外一个节点。该定义体现了网络蠕虫智能化、自动化和高技术化的特征,也体现了蠕虫与计算机病毒的区别。
与病毒的区别:传统计算机病毒主要感染计算机内的文件系统,而蠕虫传染的目标则是计算机。
网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。主体功能模块通常由信息搜集、扫描探测、攻击渗透、自我推进等子模块构成。实现了主体功能模块的蠕虫能够完成复制传播流程,
辅助功能模块通常包括:实体隐藏、宿主破坏、信息通信、远程控制以及自动升级等功能。包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。
计算机网络条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在漏洞的服务器等都是蠕虫传播的途径。
互联网的发展使得蠕虫可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和破坏性常常使人手足无措。
3)木马
特伊洛木马,简称木马,此名称取自希腊神话的“特洛伊木马计”。传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马弃置于特洛伊城下,敌人将这些木马作为战利品拖入城内。到了夜晚,木马内的士兵则乘特洛伊城人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
这里讨论的木马,就是这样一个有用的、或者表面上有用的程序或者命令过程,但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码,它使得非法用户达到进入系统、控制系统和破坏系统的目的。它是一种主要基于客户机/服务器方式的远程控制程序,一般由控制端和受控端两个部分组成。“中了木马”就是指被安装了木马的受控端程序。
木马一旦被植入某台机器,操纵木马的人就能通过网络像使用自己的机器一样远程控制这台机器,实施攻击。一旦控制端与受控端连接后,控制端将享有受控端的大部分操作权限,包括修改文件、修改注册表、控制鼠标、键盘等。而这些权力并不是受控端赋予的,而是通过木马程序窃取的。木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样受控端即使发现感染了木马,也不能确定其具体位置。
一般而言,木马与蠕虫的共性是自我传播,都不感染其他文件。在传播特性上,它们的微小区别是:木马需要诱骗用户上当后进行传播,而蠕虫不是。蠕虫包含自我复制程序,它利用所在的系统进行传播。
一般认为,蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(2)恶意代码介绍
2. 恶意代码的类型
2)蠕虫
网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或互联网从一个节点传播到另外一个节点。该定义体现了网络蠕虫智能化、自动化和高技术化的特征,也体现了蠕虫与计算机病毒的区别。
与病毒的区别:传统计算机病毒主要感染计算机内的文件系统,而蠕虫传染的目标则是计算机。
网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。主体功能模块通常由信息搜集、扫描探测、攻击渗透、自我推进等子模块构成。实现了主体功能模块的蠕虫能够完成复制传播流程,
辅助功能模块通常包括:实体隐藏、宿主破坏、信息通信、远程控制以及自动升级等功能。包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。
计算机网络条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在漏洞的服务器等都是蠕虫传播的途径。
互联网的发展使得蠕虫可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和破坏性常常使人手足无措。
3)木马
特伊洛木马,简称木马,此名称取自希腊神话的“特洛伊木马计”。传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马弃置于特洛伊城下,敌人将这些木马作为战利品拖入城内。到了夜晚,木马内的士兵则乘特洛伊城人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
这里讨论的木马,就是这样一个有用的、或者表面上有用的程序或者命令过程,但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码,它使得非法用户达到进入系统、控制系统和破坏系统的目的。它是一种主要基于客户机/服务器方式的远程控制程序,一般由控制端和受控端两个部分组成。“中了木马”就是指被安装了木马的受控端程序。
木马一旦被植入某台机器,操纵木马的人就能通过网络像使用自己的机器一样远程控制这台机器,实施攻击。一旦控制端与受控端连接后,控制端将享有受控端的大部分操作权限,包括修改文件、修改注册表、控制鼠标、键盘等。而这些权力并不是受控端赋予的,而是通过木马程序窃取的。木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样受控端即使发现感染了木马,也不能确定其具体位置。
一般而言,木马与蠕虫的共性是自我传播,都不感染其他文件。在传播特性上,它们的微小区别是:木马需要诱骗用户上当后进行传播,而蠕虫不是。蠕虫包含自我复制程序,它利用所在的系统进行传播。
一般认为,蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上,而木马更多体现在秘密窃取用户信息上。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第9讲 应用软件安全】
(2)恶意代码介绍
2. 恶意代码的类型
4)后门
后门是指绕过安全控制而获取对程序或系统访问权的方法。后门仅仅是一个访问系统或控制系统的通道,其本身并不具有其他恶意代码的直接攻击行为。
因此,后门和计算机病毒、蠕虫的最大差别在于,后门不会感染其它计算机。后门与木马相似之处在于,它们都是隐藏在用户系统中,本身具有一定权限,以便远程机器对本机的控制它们的区别在于,木马是一个完整的软件,而后门是系统中软件所具有的特定功能。
软件开发人员在软件开发与调试期间,为了测试一个模块,或者为了今后的修改与扩充,或者为了在程序正式运行后,当程序发生故障时能够访问系统内部信息等目的而有意识预留后门。
因此,后门通常是一个软件模块的秘密入口,而且由于程序员不会将后门写入软件的开发文档,所以用户也就无从知道后门的存在。当然,后门也可能是软件设计或编程漏洞产生的。
不论是软件开发者有意还是无意留下的后门,如果在软件开发结束后不及时删除后门,后门就可能被软件的开发者秘密使用,也可能被攻击者发现并利用而成为安全隐患。
Windows自动更新可以算是最著名的后门程序了。Windows自动更新的动作不外乎以下3个:开机时自动连上微软的网站;将计算机的状况报告给该网站以进行处理;网站通过Windows Update程序通知使用者是否有必须更新的文件,以及如何更新。
微软通过系统中的自动更新这个后门,了解我们当前系统的版本和补丁信息,并强制用户进行更新。
后门也可能是恶意的软件开发者故意放置在软件中的,还可能是攻击者为了自己能够顺利重返被入侵系统而设置的。
5)Rootkit
最初,Rootkit是攻击者用来修改Unix操作系统和保持根权限且不被发现的工具,正是由于它是用来获得root后门访问的kit工具包,所以被命名为rootkit。
目前通常所说的Rootkit是指一类特洛伊木马后门工具,通过修改现有的操作系统软件,使攻击者获得访问权限并隐藏在计算机中。
Rootkit与特洛伊木马、后门等既有联系又有区别。
首先,Rootkit属于木马的范畴,它用恶意的版本替换修改现有操作系统软件来伪装自己,从而达到掩盖其真实的恶意目的,而这种伪装和隐藏机制正是木马的特性。
此外,Rootkit还作为后门行使其职能,各种Rootkit通过后门口令,远程Shell或其它可能的后门途径,为攻击者提供绕过检查机制的后门访问通道,这是后门工具的又一特性。
应当说Rootkit技术自身并不具备恶意特性,一些具有高级特性的软件比如反病毒软件也会使用一些Rootkit技术来使自己处在攻击的最底层,进而可以发现更多的恶意攻击。
然而,Rootkit技术一旦被木马、病毒等恶意程序利用之后,它便具有了恶意特性。一般的防护软件很难检测到此类恶意软件的存在。这类恶意软件就像幕后的黑手一样在操纵着用户的计算机,而用户却一无所知。它可以拦截加密密钥、获得密码甚至攻破操作系统的驱动程序签名机制来直接攻击硬件和固件,获得网卡、硬盘甚至BIOS的完全访问权限。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(2)恶意代码介绍
2. 恶意代码的类型
4)后门
后门是指绕过安全控制而获取对程序或系统访问权的方法。后门仅仅是一个访问系统或控制系统的通道,其本身并不具有其他恶意代码的直接攻击行为。
因此,后门和计算机病毒、蠕虫的最大差别在于,后门不会感染其它计算机。后门与木马相似之处在于,它们都是隐藏在用户系统中,本身具有一定权限,以便远程机器对本机的控制它们的区别在于,木马是一个完整的软件,而后门是系统中软件所具有的特定功能。
软件开发人员在软件开发与调试期间,为了测试一个模块,或者为了今后的修改与扩充,或者为了在程序正式运行后,当程序发生故障时能够访问系统内部信息等目的而有意识预留后门。
因此,后门通常是一个软件模块的秘密入口,而且由于程序员不会将后门写入软件的开发文档,所以用户也就无从知道后门的存在。当然,后门也可能是软件设计或编程漏洞产生的。
不论是软件开发者有意还是无意留下的后门,如果在软件开发结束后不及时删除后门,后门就可能被软件的开发者秘密使用,也可能被攻击者发现并利用而成为安全隐患。
Windows自动更新可以算是最著名的后门程序了。Windows自动更新的动作不外乎以下3个:开机时自动连上微软的网站;将计算机的状况报告给该网站以进行处理;网站通过Windows Update程序通知使用者是否有必须更新的文件,以及如何更新。
微软通过系统中的自动更新这个后门,了解我们当前系统的版本和补丁信息,并强制用户进行更新。
后门也可能是恶意的软件开发者故意放置在软件中的,还可能是攻击者为了自己能够顺利重返被入侵系统而设置的。
5)Rootkit
最初,Rootkit是攻击者用来修改Unix操作系统和保持根权限且不被发现的工具,正是由于它是用来获得root后门访问的kit工具包,所以被命名为rootkit。
目前通常所说的Rootkit是指一类特洛伊木马后门工具,通过修改现有的操作系统软件,使攻击者获得访问权限并隐藏在计算机中。
Rootkit与特洛伊木马、后门等既有联系又有区别。
首先,Rootkit属于木马的范畴,它用恶意的版本替换修改现有操作系统软件来伪装自己,从而达到掩盖其真实的恶意目的,而这种伪装和隐藏机制正是木马的特性。
此外,Rootkit还作为后门行使其职能,各种Rootkit通过后门口令,远程Shell或其它可能的后门途径,为攻击者提供绕过检查机制的后门访问通道,这是后门工具的又一特性。
应当说Rootkit技术自身并不具备恶意特性,一些具有高级特性的软件比如反病毒软件也会使用一些Rootkit技术来使自己处在攻击的最底层,进而可以发现更多的恶意攻击。
然而,Rootkit技术一旦被木马、病毒等恶意程序利用之后,它便具有了恶意特性。一般的防护软件很难检测到此类恶意软件的存在。这类恶意软件就像幕后的黑手一样在操纵着用户的计算机,而用户却一无所知。它可以拦截加密密钥、获得密码甚至攻破操作系统的驱动程序签名机制来直接攻击硬件和固件,获得网卡、硬盘甚至BIOS的完全访问权限。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第9讲 应用软件安全】
(2)恶意代码介绍
2. 恶意代码的类型
6)恶意脚本
动态程序一般有两种实现方式,一是二进制方式,一是脚本方式。
二进制方式是先将我们编写的程序进行编译,变成机器可识别的指令代码(如.exe文件),然后再执行。这种编译好的程序我们只能执行、使用,不使用特殊的工具是看不到程序的内容的。
脚本是使用一种特定的描述性语言,依据一定的格式编写的可执行文件,又称作宏或批处理文件。脚本简单地说就是一条条的文字命令,这些文字命令是我们可以看到的(如可以用记事本打开查看、编辑),脚本程序在执行时,是由系统的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行。
因此,攻击者可以在脚本中加入一些破坏计算机系统的命令,这样一旦诸如浏览器这些解释器调用这类脚本时,便会使用户的系统受到攻击。
7)勒索软件
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统中的文档、邮件、数据库、源代码、图片等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件,干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
勒索软件是近年数量增长最快的恶意代码类型。主要原因在于加密手段有效,解密成本高;使用电子货币支付赎金,变现快追踪困难;勒索软件即服务(Ransomware-as-a-server)的出现,降低了攻击的技术门槛。
勒索软件服务化,开发者提供整套勒索软件的解决方案,从勒索软件的开发、传播到赎金的收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金即可租赁他们的服务就可以开展勒索软件的非法勾当。这大大降低了使用勒索软件的技术门槛,推动了勒索软件大规模爆发。
虽然各类恶意代码具有比较明显的特点,但是像WannaCry勒索软件等攻击往往结合了主动扫描、远程漏洞利用等蠕虫和木马,甚至于Rootkit的一些特点,所以人们在称呼WannaCry勒索软件的时候,又称其为勒索病毒或是木马。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(2)恶意代码介绍
2. 恶意代码的类型
6)恶意脚本
动态程序一般有两种实现方式,一是二进制方式,一是脚本方式。
二进制方式是先将我们编写的程序进行编译,变成机器可识别的指令代码(如.exe文件),然后再执行。这种编译好的程序我们只能执行、使用,不使用特殊的工具是看不到程序的内容的。
脚本是使用一种特定的描述性语言,依据一定的格式编写的可执行文件,又称作宏或批处理文件。脚本简单地说就是一条条的文字命令,这些文字命令是我们可以看到的(如可以用记事本打开查看、编辑),脚本程序在执行时,是由系统的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行。
因此,攻击者可以在脚本中加入一些破坏计算机系统的命令,这样一旦诸如浏览器这些解释器调用这类脚本时,便会使用户的系统受到攻击。
7)勒索软件
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统中的文档、邮件、数据库、源代码、图片等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件,干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
勒索软件是近年数量增长最快的恶意代码类型。主要原因在于加密手段有效,解密成本高;使用电子货币支付赎金,变现快追踪困难;勒索软件即服务(Ransomware-as-a-server)的出现,降低了攻击的技术门槛。
勒索软件服务化,开发者提供整套勒索软件的解决方案,从勒索软件的开发、传播到赎金的收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金即可租赁他们的服务就可以开展勒索软件的非法勾当。这大大降低了使用勒索软件的技术门槛,推动了勒索软件大规模爆发。
虽然各类恶意代码具有比较明显的特点,但是像WannaCry勒索软件等攻击往往结合了主动扫描、远程漏洞利用等蠕虫和木马,甚至于Rootkit的一些特点,所以人们在称呼WannaCry勒索软件的时候,又称其为勒索病毒或是木马。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
你每天上网时长多久?
Anonymous Poll
12%
2 小时以内
10%
2 - 4 小时
19%
4 - 8 小时
23%
8 - 12 小时
19%
12 - 16 小时(手机长手上了)
17%
16 - 24 小时(手长手机上了)
【信息安全知识普及 第9讲 应用软件安全】
(3)恶意代码防范
1. 恶意代码的法律惩处
越来越多的新型恶意代码造成的危害已引起世界各国高度重视。各国政府和许多组织纷纷调整自己的安全战略和行动计划,在不断加强技术防治的同时,也积极从法律规范建设和管理制度建设等方面采取措施,打击恶意代码犯罪,加强恶意代码防范。
各国关于恶意代码的法律法规都强调了两点:制作、传播恶意代码是一种犯罪行为;疏于防治恶意代码也是一种犯罪行为。
2. 恶意代码的技术防范
恶意代码检测的传统方法有许多,近年来又出现了许多新型的检测方法,各种检测方法都有一定的侧重点。面对恶意代码攻击手段多样、攻击目标扩大、攻击通道隐蔽、攻击技术纵深,采用单一技术的恶意代码检测变得越来越困难。为此,本节从一个
在网络空间环境中,攻击者可以肆意传播恶意代码,或是对正常软件进行非法篡改,以达到非法目的。可以说
Anderson 于 1972 年首次提出了
从可信软件这样一个更宏观的角度探讨恶意代码的防范问题,可信验证可从以下4个方面进行。
1)特征可信验证
软件的可信性要求其独有的特征指令序列总是处于恶意软件特征码库之外,或其 Hash 值总是保持不变。其技术核心是特征码的获取和 Hash 值的比对。
a.
b.
c.
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(3)恶意代码防范
1. 恶意代码的法律惩处
越来越多的新型恶意代码造成的危害已引起世界各国高度重视。各国政府和许多组织纷纷调整自己的安全战略和行动计划,在不断加强技术防治的同时,也积极从法律规范建设和管理制度建设等方面采取措施,打击恶意代码犯罪,加强恶意代码防范。
各国关于恶意代码的法律法规都强调了两点:制作、传播恶意代码是一种犯罪行为;疏于防治恶意代码也是一种犯罪行为。
2. 恶意代码的技术防范
恶意代码检测的传统方法有许多,近年来又出现了许多新型的检测方法,各种检测方法都有一定的侧重点。面对恶意代码攻击手段多样、攻击目标扩大、攻击通道隐蔽、攻击技术纵深,采用单一技术的恶意代码检测变得越来越困难。为此,本节从一个
系统、宏观的角度来探讨恶意代码的防范问题。在网络空间环境中,攻击者可以肆意传播恶意代码,或是对正常软件进行非法篡改,以达到非法目的。可以说
恶意软件的泛滥的根源是软件的可信问题。计算机系统链条上的任何一个环节出现问题,都会导致计算机系统的不可信,其中各种应用软件的可信性问题是一个重要环节。我们这里所关注的是恶意代码所带来的软件可信问题。Anderson 于 1972 年首次提出了
可信系统的概念,自此,应用软件的可信性问题就一直受到广泛关注。多年来,人们对于可信的概念提出了很多不同的表述。ISO/IEC15408 标准和可信计算组织将可信定义为:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用软件、病毒以及一定的物理干扰造成的破坏。从可信软件这样一个更宏观的角度探讨恶意代码的防范问题,可信验证可从以下4个方面进行。
1)特征可信验证
软件的可信性要求其独有的特征指令序列总是处于恶意软件特征码库之外,或其 Hash 值总是保持不变。其技术核心是特征码的获取和 Hash 值的比对。
a.
特征码扫描技术。首先提取新恶意软件的独有特征指令序列,并将其更新至病毒特征码库,在检测时将当前文件与特征库进行对比,判断是否存在某一文件片段与已知样本相吻合,从而验证文件的可信性。b.
完整性验证方法。无需提取软件的独有特征指令序列,首先计算正常文件的哈希值,并将其保存起来,当需要验证该文件的可信性时,只需再次计算其哈希值,并与之前保存起来的值比较,若存在差异,则说明该文件已被修改,成为不可信软件。例如,该方法常用于验证下载软件的可信性。c.
动态污点跟踪分析法。这是一种比较新颖的技术,其技术路线是:将来自于网络等不可信渠道的数据都标记为“被污染”的,且经过一系列算术和逻辑操作之后产生的新数据也会继承源数据的“是否被污染”的属性,这样一旦检测到已被污染的数据有危险操作时,都会被视为非法操作,此后系统便会报警。#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
【信息安全知识普及 第9讲 应用软件安全】
(3)恶意代码防范
2. 恶意代码的技术防范
2)身份可信验证
通常,用户获得的软件程序不是购自供应商,就是来自网络的共享软件,用户对这些软件往往非常信赖,殊不知正是由于这种盲目的信任,将可能招致重大的损失。
代码签名技术可以用来进行代码来源可信性的判断,即通过软件附带的数字证书进行合法性、完整性的验证,以免受恶意软件的侵害。从用户角度,可以通过代码签名服务鉴别软件的发布者及软件在传输过程中是否被篡改。
Windows 系统软件代码签名验证:
可以从分析软件的静态行为和动态行为两大方面进行软件的能力可信验证。
所谓静态分析是指在不运行可执行文件的前提下,对可执行文件进行分析,收集其中所包含信息的方法。
在程序加载前,首先利用反汇编工具扫描其代码,查看其模块组成和系统函数调用情况,然后与预先设置好的一系列恶意程序特征函数集作交集运算,这样可确定待验证软件的危险系统函数调用情况,并大致估计其功能和类型,从而判断出该软件的可信性。
鉴于源代码静态分析法在直接分析相应软件源代码方面的困难,动态行为可信验证技术诞生了。
所谓的动态分析是
4)环境可信验证
借助于虚拟机技术的飞速发展,虚拟化恶意软件已悄然出现。所谓虚拟化恶意软件是指,
例如,一种名为虚拟机 Rootkit(Virtual-Machine Based Rootkit,VMBR)的实验室恶意软件,对系统具有更高的控制程度,能够提供多方面的功能,并且其状态和活动对运行在目标系统中的安全检测程序来说是不可见的。VMBR在正在运行的操作系统下安装一个虚拟机监视器 VMM,并将这个原有操作系统迁移到虚拟机里,而目标系统中的软件无法访问到他们的状态,因此 VMBR 很难被检测和移除。
应当说,虚拟机恶意软件还是个新课题,它的出现提醒了我们,软件的运行环境也可能有问题,需要进行验证。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity
(3)恶意代码防范
2. 恶意代码的技术防范
2)身份可信验证
通常,用户获得的软件程序不是购自供应商,就是来自网络的共享软件,用户对这些软件往往非常信赖,殊不知正是由于这种盲目的信任,将可能招致重大的损失。
代码签名技术可以用来进行代码来源可信性的判断,即通过软件附带的数字证书进行合法性、完整性的验证,以免受恶意软件的侵害。从用户角度,可以通过代码签名服务鉴别软件的发布者及软件在传输过程中是否被篡改。
Windows 系统软件代码签名验证:
使用组合键 win+R 运行 sigverif,在弹出的“文件签名验证”窗口下,点击“开始”按钮进入文件签名的系统验证过程;返回到“文件签名验证”窗口下,点击 “高级”按钮;在弹出的“高级文件签名验证设置”窗口下,点击“查看日志”按钮,查看签名验证的记录。
3)能力可信验证可以从分析软件的静态行为和动态行为两大方面进行软件的能力可信验证。
所谓静态分析是指在不运行可执行文件的前提下,对可执行文件进行分析,收集其中所包含信息的方法。
在程序加载前,首先利用反汇编工具扫描其代码,查看其模块组成和系统函数调用情况,然后与预先设置好的一系列恶意程序特征函数集作交集运算,这样可确定待验证软件的危险系统函数调用情况,并大致估计其功能和类型,从而判断出该软件的可信性。
鉴于源代码静态分析法在直接分析相应软件源代码方面的困难,动态行为可信验证技术诞生了。
所谓的动态分析是
在一个可以控制和检测的环境下运行可执行文件,然后观察并记录其对系统的影响。ESETNod32 查毒软件中有类似技术的应用。4)环境可信验证
借助于虚拟机技术的飞速发展,虚拟化恶意软件已悄然出现。所谓虚拟化恶意软件是指,
在支持虚拟化功能的 CPU 上运行操作系统,即在目标系统和硬件层之间插入虚拟机监视器(Virtual Machine Monitor,VMM),使目标系统运行在虚拟机监控器之上,并受其完全控制。例如,一种名为虚拟机 Rootkit(Virtual-Machine Based Rootkit,VMBR)的实验室恶意软件,对系统具有更高的控制程度,能够提供多方面的功能,并且其状态和活动对运行在目标系统中的安全检测程序来说是不可见的。VMBR在正在运行的操作系统下安装一个虚拟机监视器 VMM,并将这个原有操作系统迁移到虚拟机里,而目标系统中的软件无法访问到他们的状态,因此 VMBR 很难被检测和移除。
应当说,虚拟机恶意软件还是个新课题,它的出现提醒了我们,软件的运行环境也可能有问题,需要进行验证。
#信息安全知识普及
信息安全技术频道🔎
@tg_InternetSecurity