《病毒复习重点[参考]》由会员分享,可在线阅读,更多相关《病毒复习重点[参考](10页珍藏版)》请在金锄头文库上搜索。
1、病毒复习重点 一、选择题( 20 分) 二、判断题( 10 分) 三、名词解释( 5 道 20 分) 四、简答题(5 道 30 分) 五、分析题( 2 道 20 分) 第一章:计算机病毒概述 一、计算机病毒的定义(狭义、广义) (1)广义计算机病毒:凡是能够引起计算机故障、破坏计算机数据的程序统称 为计算机病毒。 (2)狭义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能 或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 二、计算机病毒的命名规则(常见的一些前缀含义) (1)通用命名规则: 1. 按病毒发作的时间命名(如“黑色星期五”) 2. 按病毒发作症状
2、命名(如“小球”病毒) 3. 按病毒的传染方式命名(如黑色星期五病毒,又命名为疯狂拷贝病毒) 4. 按病毒自身宣布的名称或包含的标志命名(CIH 病毒的命名源于其含有“ CIH” 字符) 5. 按病毒发现地命名(如“黑色星期五”又称Jerusalem( 耶路撒冷 )病毒) 6. 按病毒的字节长度命名(如黑色星期五病毒又称作1813 病毒) (2)国际上对病毒命名的惯例 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀 +病 毒名+后缀” ,即三元组命名规则: ?前缀表示该病毒发作的操作平台或者病毒的类型,而 DOS 下的病毒一般是没 有前缀。 ?病毒名 为该病毒的名称及其家族。
3、?后缀一般可以不要,只是以此区别在该病毒家族中各病毒的不同,可以为字 母,或者为数字以说明此病毒的大小。 (4)病毒前缀: ppt (5)病毒名由以下6 字段组成: 1. 主行为类型; 2. 子行为类型; 3. 宿主文件类 型;4. 主名称; 5. 版本信息; 6. 主名称变种 第二章: Windows文件型病毒 一、PE的概念、 PE文件包含哪些? .exe 、.dll、.sys 、.scr (1)PE的意思就是 Portable Executable(可移植、可执行 ) ,它是 Win32可执 行文件的标准格式。 (2)在 Win32系统中,PE文件可以认为 .exe 、.dll、.sys
4、 、.scr类型的文件, 这些文件在磁盘上存贮的格式都是有一定规律的。 二、PE的名词: 入口点、文件偏移地址、RVA 、基地址 (1)入口点( entry point) :程序执行的第一行代码。 (2)文件偏移地址( File offset ) :PE文件存储在磁盘上,各数据段的地址称 为文件偏移地址或物理地址(raw offset ) 。文件偏移地址从 PE文件的第一个字 节开始计数,起始值为0。 (3)基地址( Image base) :文件执行时将被映射到指定的内存地址,这个初始 内存地址称为基地址,该值由PE 文件本身决定。默认,EXE :0 x00400000, DLL:0 x10
5、00000。用链接程序的 /BASE选项改变该值。 (4)虚拟地址( Virtual Address, VA) :386 保护模式下,程序访问存储器所 使用的逻辑地址称为虚拟地址(VA ) ,也称内存偏移地址( memory offset ) 。 (5)相对虚拟地址( Relative Virtual Address,RVA ) :指内存中相对于PE 文件装入地址(基地址)的偏移量(RVA=VA imagebase ) 。 三、PE文件的总体层次结构、 PE HEADER 的结构: 四、病毒往往先于HOST 程序获得控制权。运行Win32病毒的一般流程 (1)重定位;(2)截获 API 函数地
6、址;(3)搜索感染目标文件; (4)内存文件 映射; (5)实施感染 五、魔术数字 USHORT e_magic; / 魔术数字 六、病毒感染 PE文件的基本步骤 (1)判断目标文件开始的两个字节是否为“MZ ” ; (2)判断 PE文件标记“ PE ” ; (3)判断感染标记,如果已被感染过则跳出继续执行HOST 程序,否则继续; (4)获得 Directory(数据目录 ) 的个数,每个数据目录信息占8 个字节; (5)得到节表起始位置: Directory的偏移地址 +数据目录占用的字节数 =节表 起始位置; (6)得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节) : 节表起
7、始位置 +节的个数 (每个节表占用的字节数28H)=目前最后节表的末尾 偏移; (7)开始写入节表 写入节名 (8 字节) ; 写入节的实际字节数 (4 字节); 写入新节在内存中的开始偏移地址(4 字节),同时可以计算出病毒入口位置: 上节在内存中的开始偏移地址+(上节大小 / 节对齐 +1)节对齐 =本节在内存中的 开始偏移地址; 写入本节 ( 即病毒节 )在文件中对齐后的大小; 写入本节在文件中的开始位置: 上节在文件中的开始位置+上节对齐后的大小 =本节 (即病毒 ) 在文件中的开始位 置; (8)修改映像文件头中的节表数目; (9)修改 AddressOfEntryPoint(即程序
8、入口点指向病毒入口位置) ,同时保存 旧的 AddressOfEntryPoint,以便返回 HOST 继续执行; (10)更新 SizeOfImage( 内存中整个 PE映像尺寸 =原 SizeOfImage+病毒节经过 内存节对齐后的大小 ); (11)写入感染标记 ( 后面例子中是放在PE头中) ; (12)写入病毒代码到新添加的节中: ECX= 病毒长度 ESI=病毒代码位置 ( 并不一定等于病毒执行代码开始位置) EDI=病毒节写入位置 ( 后面例子是在内存映射文件中的相应位置) (13)将当前文件位置设为文件末尾。 第三章:特洛伊木马 一、特洛伊木马的概念、特洛伊木马的特点 (1)
9、定义:特洛伊木马 (Trojan Horse),简称木马: ?是一种恶意程序; ?是一种基于 远程控制 的黑客工具; ?为攻击者提供 远程访问 和控制系统 的权限,进而使攻击者在用户的计算机中 修改文件、注册表、控制鼠标、监视/ 控制键盘,或窃取用户信息等。 ?采用伪装、欺骗 等手段进入被攻击的计算机系统中,窃取信息,实施远程监 控; ?主要意图:窃取信息与数据。 ?为广义病毒。 ?木马:一般不具有自我复制、主动感染传播特点。 (2)特点:没有复制能力;伪装、欺骗能力;里应外合完整的木马程序由两个 部分组成:服务端(被控制端) 、客户端(控制端)。 二、特洛伊木马的结构 木马系统软件一般由 木
10、马配置程序 、控制程序 和木马程序 ( 服务器程序 ) 三部 分组成。 三、运用木马实施网络入侵的过程 (1)配置木马; (2)传播木马;(3)运行木马; (4)信息反馈;(5)建立连接; (6)远程控制。 四、木马控制端与服务端连接的建立 (1)端口反弹型木马连接 1. 半反弹型连接 ?入侵者连接“肉鸡”,向其发送指令。 ?目标机器连接“肉鸡”后,将会收到这个指令。 ?目标机器解析命令后,将会连接入侵者的机器。这样,一个端口反弹型通信 就建立起来。 2. 全反弹型连接 ?入侵者连接“肉鸡”,向其发送指令。 ?目标机器连接“肉鸡”后,将会收到这个指令。 ?指令被解析后在目标机器上执行,然后将执
11、行结果传回“肉鸡”。 五、获得服务端的IP 地址的方法 通过信息反馈 或端口扫描 获取服务器 IP 地址。 六、木马常用的传播方式 (1)邮件附件 控制端将木马伪装之后添加到附件中,发送给收件人。 (2)OICQ 、QQ 等聊天工具软件传播 在进行聊天时,利用文件传送功能发送伪装过的木马程序给对方。 (3)通过提供软件下载的网站(Web/FTP/BBS)传播: 木马程序一般非常小,只有是几K 到几十 K,如果把木马捆绑到其它正常文 件上,用户是很难发现的,所以,有一些网站被人利用,提供的下载软件往往捆 绑了木马文件,在用户执行这些下载的文件的同时,也运行了木马。 (4)通过一般的病毒和蠕虫传播
12、 (5)通过带木马的磁盘和光盘进行传播等。 七、木马的隐藏方式 ?在任务栏里隐藏 ?在任务管理器里隐藏 ?定制端口: 控制端攻击者可以在102465535间任选一个端口作为木马端口。 ?隐藏通讯 ?新型隐身技术 八、木马的启动方式 (1)集成 ( 捆绑)到合法的应用程序中:应用程序启动,则木马也被启动;即使 木马被删除,运行捆绑了木马的应用程序,木马又被安装。 (2)隐藏在开机自动加载的系统配置文件中: 如:Autoexec.bat 、Winstart.bat和 Config.sys中 (3)隐藏在能够设置开机启动项的文件中: 如:Win.ini (Windows 字段中的 load ,run
13、 命令) System.ini (boot 字段等) (4)隐藏在应用程序的启动配置文件中 (5)伪装在普通文件中(例:JPEG 木马) (6)内置到注册表中:隐形于启动组中 (7)修改文件关联 (8)修改运行可执行文件的方式 (9)设置在超级链接中 九、检测和清除木马的方法 (1)检测和清除木马的工具: ?病毒扫描工具。 ?扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。 (2)检测和清除木马的一般流程: 查看端口 断开网络连接 查找并停止木马进程、线程清除木马启动 项及木马文件 (3)特洛伊木马入侵的明显证据: ?受害计算机上意外地打开了某个端口。 ?查找与端口关联的程序和
14、服务。 ?有了 PID,用任务管理器就可以方便地根据PID 找到对应的程序,以便终止 之。 ?查看是否有木马用来隐藏、启动自己的地方,如果有则进行删除。 第四章:网络蠕虫 一、蠕虫和病毒之间的区别和联系 病毒蠕虫 存在形式寄生独立个体 复制机制插入到宿主程序 (文件) 中自身的拷贝 传染机制宿主程序运行系统存在漏洞 (Vulnerability) 搜 索 机 制 ( 传染目标 ) 主要是针对本地文件主要针对网络上的其它计算机 触发传染计算机使用者程序自身 影响重点文件系统网络性能、系统性能 计算机使用 者角色 病毒传播中的关键环节无关 防治措施从宿主程序中摘除为系统打补丁 (Patch) 二、
15、蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的 重要因素。 三、可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒 四、世界上第一个破坏性计算机蠕虫、一些著名的蠕虫名称 (1)1988年 11 月 2 日,世界上第一个破坏性计算机蠕虫正式诞生 Morris 蠕虫利用 sendmail 的漏洞、 fingerD的缓冲区溢出漏洞及REXE 的漏洞进 行传播。 (2)2001 年 7 月 19 日,CodeRed蠕虫爆发,在爆发后的9 小时内就攻击了 25 万台安装有 Microsoft的 IIS 网页服务器。 (3)2001年 9 月 18日,Nimda蠕虫被发现,不同于以
16、前的蠕虫,Nimda开始结 合病毒技术。 (4)蠕虫 W32/Slammer 、 “冲击波” (worm.Blaster)、 “震荡波”(Worm.sasser) 、 狙击波蠕虫 (Zotob) 、 (威金、熊猫烧香结合了病毒技术) 。 五、缓冲区溢出相关内容 缓冲区溢出 (1)定义: 指因为人们向程序中提交的数据超出了数据接收区所能容纳的最大长度, 从而使提交的数据超过相应的边界而进入了其他区域。如果是人为蓄意提交超长 数据且对系统正常运行造成了不良影响, 那么我们就说发生了缓冲区溢出攻击。 (2)后果: 过长的字符串覆盖了相邻的存储单元而造成程序异常, 严重的会造成死机、 系 统或进程重启等 ; 可让攻击者执行恶意代码或特定指令, 甚至获得超级权限等, 从而引发其他 的攻击。 (3)原因: 缺少必要的边界检查。理想情况是,程序检查数据长度并且不允许输入超过 缓冲区长度的字符串。 但是绝大多数程序都会假设数据长度总是与所分配的存储 空间相匹配。最明显的缺少边界检查的语言是:C、C+ 。 (4)分类:缓冲区溢出大致分为栈溢出和堆溢出。除此之外还有函数指针、 off-
