返回
网络攻击恶意代码的快速定位方法new

网络攻击恶意代码的快速定位方法new

ID:35999962

大小:33.00 KB

页数:4页

时间:2019-04-29

网络攻击恶意代码的快速定位方法new_第1页
网络攻击恶意代码的快速定位方法new_第2页
网络攻击恶意代码的快速定位方法new_第3页
网络攻击恶意代码的快速定位方法new_第4页
资源描述:

《网络攻击恶意代码的快速定位方法new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络攻击恶意代码的快速定位方法作者:罗文华秦玉海    日期:2005-02-06摘要:作为计算机犯罪证据的恶意代码的定位与识别,传统方法的工作量和工作难度是比较大的。本文将描述一种针对网络攻击所使用的恶意代码进行快速定位的方法,该方法抽象出典型网络攻击代码的一般性特征,同时紧密结合网络程序的实际特点,从程序代码的各个组成部分出发进行讨论,进而保证网络攻击恶意代码定位的快速与准确,最后通过实例说明该方法的具体使用。 关键词:恶意代码;头文件;主程序参数;程序主体;程序输出 一、引言    在当今社会,通过互联网络以计算机系统为作案对象并以计算机系统为作案工具的犯罪活动

2、越来越多,因此存在于计算机及相关外围设备(包括网络介质)中的电子证据,已经成为新的诉讼证据之一。电子证据的表现形式多种多样,包括文本、图片、音频及视频等,然而其中一种重要的表现形式则是犯罪嫌疑人下载、修改或自行编写的能够用于网络攻击的程序代码,我们称其为网络攻击恶意代码。该形式的电子证据与其他形式电子证据在鉴定过程中的不同之处在于界定程序代码是否与案件相关或其是否属于网络攻击恶意代码并不像界定文本、图片、音频及视频那样直观,通常要对搜寻到的程序代码进行仔细阅读,透彻理解代码含义并结合具体案情才能做出正确的判断。但是这样做,稍具计算机常识的人都会知道,其工作量和工作难度是比较大

3、的。因此,如何能够做到网络攻击代码定位的快速与准确,是目前计算机犯罪案件办案人员较为关注的课题。本文将描述一种针对网络攻击所使用的恶意代码进行识别的具有普遍意义的方法,该方法抽象出典型网络攻击恶意代码的一般性特征,同时结合网络程序的实际特点,从头文件、主程序参数、程序主体、程序输出等四个方面讨论网络攻击恶意代码的快速定位。 二、快速定位网络攻击恶意代码的方法    网络攻击形式层出不穷,其所使用的代码也各有不同。由于历史以及编程语言自身的原因,目前大部分的网络攻击代码都是由C语言编写的。对于一段完整的C语言程序代码来说,通常都要包括头文件、函数定义、全局变量定义、主程序实现以

4、及函数具体实现等部分,而对于主程序及函数的具体实现,又常常需要有参数传递以及结果输出,因此本文从以下四个方面讨论定位网络攻击恶意代码的方法。1.头文件   如果一段完整的程序代码能够用于网络攻击,那么代码中必然包括系统提供的功能函数的调用,而要想正确调用功能函数,必然需要包含相关的头文件。因此通过头文件,我们可以判定程序代码是否属于网络程序代码,从而将不属于网络程序的代码排除在进一步审查的范围之外。以下头文件代码在网络攻击恶意代码中最为常见:#include<sys/socket.h>:提供socket函数及数据结构#include<netdb.h>:提供设置及获取域名的函数

5、#include<netinet/in.h>:定义数据结构sockaddr_in#include<arpa/inet.h>:提供IP地址转换函数#include<sys/ioctl.h>:提供对I/O控制的函数另外,如果具体案情涉及到口令破解、用户权限非法获取或修改、密码验证等问题时,则还可能要用到以下头文件代码:#include<fcntl.h>:提供对文件控制的函数#include<shadow.h>:提供对/etc/shadow文件访问的函数#include<pwd.h>:提供对/etc/passwd文件访问的函数#include<crypt.h>:提供使用DES加密算

6、法的加密函数以上头文件代码主要是在Linux或Unix操作系统环境下使用的,对于Windows操作系统头文件中则还会出现#include<winsock.h>,希望读者注意区别。2.主程序参数   一段程序代码所要完成的功能通常能够通过主程序参数体现出来。比如网络攻击中较为常见的端口攻击,在主程序参数中就常常包含被攻击者的IP地址以及端口号等信息。下表列出的是典型的网络攻击类型及其所需的主程序参数。需要说明的是,网络嗅探对于参数的要求不是必须的,但是用于犯罪目的的网络嗅探程序代码通常会控制嗅探器只抓取源地址或者目的地址是指定IP地址的报文;对于常见的木马攻击,因为其具体技术可

7、分解为端口攻击、漏洞扫描等多种类型,因此在这里并不单独列出。3.程序主体   一般完成较为复杂功能的程序中都包含有循环语句,网络攻击程序也不例外。一些典型的网络攻击代码,其最核心的功能都是在循环语句中实现的。端口扫描使用循环语句探测目标主机的哪些端口处于监听状态;拒绝服务攻击利用循环语句完成向受害计算机发送有害报文的目的。网络攻击程序中的循环语句主要有以下两个特点:(1)多为单循环语句在网络攻击代码中实现核心功能的程序代码往往并非多重循环语句,而为单循环语句。这样处理主要是因为对于大多数网络攻击来说,单

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。