《讲座-网络入侵与攻击》由会员分享,可在线阅读,更多相关《讲座-网络入侵与攻击(84页珍藏版)》请在金锄头文库上搜索。
1、网络入侵与攻击高文宇 网络的脆弱性 “INTERNET的美妙之处在于你和每个人都能 互相连接, INTERNET的可怕之处在于每个人 都能和你互相连接” 开放性的网络环境 协议本身的缺陷 操作系统的漏洞 人为因素Internet的困境 一般说来,可以对于信息系统 入侵和攻击手段有下面一些: (1)恶意代码攻击 病毒 特洛伊木马 蠕虫 细菌 陷门 逻辑炸弹等 (2)消息收集攻击 (3)代码漏洞攻击 (4)欺骗和会话劫持攻击 (5)分布式攻击 (6)其他攻击1 计算机病毒1.1 计算机病毒的特征1. 非授权执行性 2. 感染性 3. 潜伏性与隐蔽性 4. 寄生性 6. 破坏性 占用或消耗CPU 资
2、源以及内存空间 干扰系统运行 攻击CMOS 攻击系统数据区 攻击文件 干扰外部设备运行 破坏网络系统的正 常运行5. 可触发性 日期/时间触发 计数器触发 键盘触发 启动触发 感染触发 组合条件触发1.2 计算机病毒分类1. 按照所攻击的操 作系统分类 DOS病毒 UNIX/Linux病 毒 Windows病毒 OS/2病毒 Macintosh病 毒 手机病毒。2. 按照寄生方式和传染途 径分类 (1)引导型病毒 主引导区(master boot record,MBR)病 毒 引导区(boot record ,BR)病毒 (2)文件型病毒 可执行文件 文档文件或数据文件 Web文档 按照驻留内
3、存的方式,文 件型病毒可以分为: 驻留(Resident)病 毒 非驻留( Nonrresident)病毒 (3)目录型病毒 (4)引导兼文件型病毒 (5)CMOS病毒3. 按照传播媒介分类 (1)单机病毒 (2)网络病毒 4. 按照计算机病毒的链接 方式分类 (1)源码型病毒 (2)嵌入型病毒 (3)外壳(shell)型病毒 (4)译码型病毒 (5)操作系统型病毒 5. 按照破坏能力分类 (1)无害型 (2)无危险型 (3)危险型 (4)非常危险型1.3 计算机病毒的基本机制 1. 潜伏 (1)引导引导过程由三步组成: 驻留内存 窃取控制权 恢复系统功能 (2)隐藏 (3)捕捉(也称搜索)2
4、. 传染传染机制的作用是在特定的感染 条件下,将病毒代码复制到传染 目标上去。所以这个机制由激活 传染条件的判断部分和传染功能 的实施部分实现。 3. 表现表现机制的作用是在被传染系统 上表现出特定现象,主要是产生 破坏被传染系统的行为。大部分 病毒都是在一定条件下才会被触 发而发作表现。1.4 典型计算机病毒分析(1)DOS引导型病毒分析DOS引导型病毒是隐藏在磁盘主引 导扇区(boot sector)的病毒。主 引导扇区位于硬盘的0柱面0磁道1扇 区,其结构如图4.2所示,用于存放 主引导记录(main boot record, MBR)、硬盘主分区表(Disk Partition Tab
5、le, DPT)和引导扇区 标记(boot record ID)。保留分区信息1(16字节)分区信息2(16字节)分区信息3(16字节)分区信息4(16字节)55(1字节)AA(1字节)008A01BD 01BE 01CD 01CE 01DD01DE01ED 01EE 01FD 01FE主分区表DPT引导扇区标记主引导记录 MBR(446字节 )启动字符串主引导记录 启动程序0000008B00D9 00DAD01FF(2)DOS的自举过程系统加电或复位系统自检磁盘驱动 器中有磁 盘读主引导程序 到0000:7C00H, 并执行读IO.SYS和 MSDOS.SYS到内存 70:00处成功?系统
6、初始化读COMMAND.COM 到内存自举完成显示“非系统盘 ”提示“插入磁盘” 将本来要读入到0000:7C00H处的硬盘主引导程序转移到 0000:0600H处。 顺序读入4个分区表的自举标志,以找出自举分区:若找 不到,就转向执行INT 18H的BOOT异常,执行异常中断程 序。 找到自举分区后,检测该分区标志:如果是32位/16位 FAT并支持13号中断的扩展功能,就转向执行13#中断的 41#功能调用,进行安装检测。检测成功,就执行42号扩展 功能调用,把BOOT程序读入内存0000:7c00H处。读入成功 ,就执行0000:7c00H处的程序;读入失败,就调用13号中 断的读扇区功
7、能,把BOOT程序读入内存0000:7c00H处。(3)引导型病毒的传染过程系统加电或复位进入ROM-BIOS读引导至0000:7C00H并执行自举完成系统复位读COMMAND.COM 到内存系统加电或复位bb引导至0000:7C00H,并执行自举完成系统复位读COMMAND.COM 到内存引导区病毒并执行病毒程序修改中断向量复制病毒/感染磁盘引导型病毒的感染过程:装入内存+攻击装入过程 1 系统开机后,进入系统检测,检测 正常后,从0面0道1扇区,即逻辑0扇 区读取信息到内存的00007C00处: 2 系统开始运行病毒引导部分,将病 毒的其他部分读入到内存的某一安全 区 3 病毒修改INT
8、13H中断服务处理程 序的入口地址,使之指向病毒控制模 块并执行。 4 病毒程序全部读入后,接着读入正 常boot内容到内存0000:7C00H处, 进行正常的启动过程。 5 病毒程序伺机等待随时感染新的系 统盘或非系统盘。攻击过程 1 将目标盘的引导扇区读入内存,判 断它是否感染了病毒。 2 满足感染条件时,将病毒的全部或 一部分写入boot区,把正常的磁盘引 导区程序写入磁盘特定位置。 3 返回正常的INT 13H中断服务处理 程序,完成对目标盘的传染过程。2. COM文件型病毒分析 COM型文件是如何执行的; COM型病毒是如何寄生在COM型 文件之中的; COM型文件病毒是如何执行的。
9、(1)COM文件的加载与内存结构COM文件是一种单段执行 结构,它被分配在一个 64k字节的空间中。 这个空间中存放 COM文件 程序段前缀(program segment prefix,PSP) 一个起始堆栈。 为了运行COM文件,要还 要为它设置多个内部寄存 器的初值使4个段寄存 器CS、ES、PS、SS均指 向PSP+0h;使指令寄存 器IP指向PSP+100h COM文件的第1条指令处 。CS=DS=ES=BS中断向量表DOS常驻区程序段前缀PSPCOM文件映像堆栈区程序剩余空间DOS暂驻区0000H40:0HIP:0100HSP:FFFEHRAM最高端最大64k 字节生长方向通信区
10、70:0H未初始化数据(2)COM型文件病毒机制 病毒取得控制权的时机一般说来,当由DOS用Jump指令跳到COM程序的起点时, 是一个比较合适的时机。因为这时COM程序还没有执行, 病毒的运行也不会干扰宿主程序的运行,便于病毒自己的隐 蔽和安全。同时,系统为COM程序分配的内存空间还空闲 着,病毒可以自由地使用这些空间。 病毒取得控制权的方法 把被感染的COM文件的最开始(100H偏移处)几个字节,换成跳 转到病毒代码的Jump指令; 用Jump指令将流程转到病毒代码,完成感染和破坏过程; 病毒代码执行结束,要先恢复被替换的几个字节,再跳回到100H 偏移处,执行宿主程序。(3)已感染病毒的
11、COM型程序的执行大致过程 被感染的COM文件被加载到内存。 系统将控制权交到100H偏移处。 执行100H偏移处的跳转指令,开始执行病毒代码。 内存中的病毒代码开始搜索磁盘,寻找合适的感染目标。 找到合适的感染目标,将病毒自身复制到目标的尾部;将该目标 COM文件最开始几个字节读到内存,保存到病毒码所在的某数据区;写 一条转向该文件尾部的病毒代码的Jump指令,以便该COM文件被执行 时通过它会把控制权交给病毒代码。 病毒把COM文件的最初几个字节写回到原来的100H偏移处; 病毒代码执行一条跳转到100H偏移处的Jump指令,开始执行宿主程 序。1.5 计算机病毒防治查防杀复1. 计算机病
12、毒的预防 (1)对新购置的计算机硬软件系统 进行测试。 (2)单台计算机系统的安全使用 (3)计算机网络的安全使用 (4)重要数据文件要有备份 (5)强化安全管理 (6)防范体系与规范建设 2. 计算机病毒检测 (1)现象观测法 (2)进程监视法 (3)比较法 (4)特征代码法 (5)软件模拟法 (6)分析法3. 计算机病毒的清除(1)引导型病毒的清除 (2)文件型病毒的清除 (3)宏病毒的清除4. 病毒防治软件(1)病毒防治软件的类型 病毒扫描型软件:。 完整性检查型软件:完 行为封锁型软件: (2)病毒防治软件的选择指标 识别率 误报(false positive)率 漏报(false n
13、egative)率 检测速度 动态检测(on-the-fly scanning)能力 按需检测(on-demand scanning)能力 多平台可用性 可靠性 (3)病毒防治软件产品 国外防病毒产品及查询网站 国外防病毒产品及查询网站5. 计算机病毒侵害系统的恢复(1)首先必须对系统破坏程 度有详细而全面的了解,并根 据破坏的程度来决定采用对应 的有效清除方法和对策: (2)修复前,尽可能再次备 份重要数据文件。 (3)启动防杀计算机病毒软 件并对整个硬盘进行扫描。(4)利用防杀计算机病毒软 件清除文件中的计算机病毒。 如果可执行文件中的计算机病 毒不能被清除,应将其删除后 重新安装相应的应
14、用程序。 (5)杀毒完成后,重启计算 机,再次用防杀计算机病毒软 件检查系统中是否还存在计算 机病毒,并确定被感染破坏的 数据确实被完全恢复。 (6)对于杀毒软件无法杀除 的计算机病毒,应将计算机病 毒样本送交防杀计算机病毒软 件厂商的研究中心,以供详细 分析。2 蠕虫2.1 蠕虫的特征及其传播过程1. 蠕虫的特征 (1)存在的独立性 (2)攻击的对象是计算机(计算机病毒的攻击对象是文件系统) (3)传染的反复性(与病毒相同)。但是,病毒与蠕虫的传染机制有三点不 同: 病毒传染是一个将病毒代码嵌入到宿主程序的过程,而蠕虫的传染是自身的拷贝 ; 病毒的传染目标针对本地程序(文件),而蠕虫是针对网
15、络上的其他计算机; 病毒是在宿主程序运行时被触发进行传染,而蠕虫是通过系统漏洞进行传染。 (4)攻击的主动性 (5)破坏的严重性 (6)行踪的隐蔽性 2. 蠕虫传播的基本过程2.2 蠕虫的重要机制和功能结构1. 蠕虫的扫描机制 扫描策略改进的原则是,尽量减少重复的扫描,使 扫描发送的数据包尽量少,并保证扫描覆盖尽量大 的范围。 按照这一原则,可以有如下一些策略: (1)在网段的选择上,可以主要对当前主机所在网段进 行扫描,对外网段随机选择几个小的IP地址段进行扫描。 (2)对扫描次数进行限制。 (3)将扫描分布在不同的时间段进行,不集中在某一时 间内。 (4)针对不同的漏洞设计不同的探测包,提高扫描效率 。2. 蠕虫的隐藏手法 (1)修改蠕虫在系统中的进程号和进程名称,掩 盖蠕虫启动的时间记录。 (2)将蠕虫拷贝到一个目录下,并更换文件名为 已经运行的服务名称,使任务管理器不能终止蠕虫 运行。这时要参考ADV API32.DLL中的 OpnSCManagerA和CreateServiceA.API函数。 (3)删除自己: 在Window
