计算机安全-2.2 病毒分析

《计算机安全-2.2 病毒分析》由会员分享，可在线阅读，更多相关《计算机安全-2.2 病毒分析（48页珍藏版）》请在金锄头文库上搜索。

1、13:27:44,1,计算机安全技术,计算机病毒分析,13:27:44,2,1 计算机病毒的状态,计算机病毒在传播过程中存在两种状态，即静态和动态 静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载(拷贝)实现 因为静态病毒尚未被加载、尚未进入内存，不可能获取系统的执行权限 病毒之所以处于静态，有两种可能 没有用户启动该病毒或运行感染了该病毒的文件 该病毒存在于不可执行它的系统中 当病毒完成初始引导，进入内存后，便处于动态。动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用，都是动

2、态病毒的“杰作”,13:27:44,3,1 计算机病毒的状态,计算机病毒的基本流程与状态转换 病毒由静态转变为动态的过程，称为病毒的启动。实际上，病毒的启动过程就是病毒的首次激活过程 内存中的动态病毒又有两种状态：可激活态和激活态。 当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于可激活态 一般而言，动态病毒都是可激活的 系统正在执行病毒代码时，动态病毒就处于激活态 病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态 对于处于不同状态的病毒，应采用不同的分析、清除手段,13:27:44,4,1 计算机病毒的状态,计算机病毒的基本流程与状态转换,13:2

3、7:44,5,2 计算机病毒的基本环节,计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节： 分发拷贝阶段 潜伏繁殖阶段 破坏表现阶段 在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒 我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延,13:27:44,6,病毒的目的,快速传染 隐藏自己 变形,13:27:44,7,病毒感染的一般过程,计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机，并借助操作系统和宿主程序的运行，复制自身，大量繁殖。计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权。

4、 寻找感染的突破口。 将病毒程序嵌入感染目标中。,13:27:44,8,文件型病毒传染原理和特征,13:27:44,9,核心态与用户态,操作系统代码、设备驱动程序代码使用特权级0(Ring 0)，工作于系统核心态 普通的用户程序使用特权极3(Ring 3) ，工作在用户态,Windows 2000/XP下 普通应用程序 对核心态功能的 调用示意,13:27:44,10,获取API函数地址,Win32程序一般运行在Ring 3级，处于保护模式 Win32下的系统功能调用，不是通过中断实现，而是通过调用动态连接库中的API函数实现 Win32 PE病毒和普通Win32 PE程序一样需要调用API函

5、数实现某些功能，但是对于Win32 PE病毒来说，它只有代码节，并不存在引入函数节 病毒就无法象普通PE程序那样直接调用相关API函数，而应该先找出这些API函数在相应DLL中的地址,13:27:44,11,搜索感染目标文件,搜索文件是病毒寻找目标文件的非常重要的功能 在Win32汇编中，通常采用如下几个API函数进行文件搜索 FindFirstFile 根据文件名查找文件 FindNextFile 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件 FindClose 用来关闭由FindFirstFile函数创建的一个搜索句柄,13:27:44,12,病毒感染技术,感染是

6、一个病毒赖以长期存活的根本，所以要大规模的搜索，感染感染再感染！ FindFirstFile，FindNextFile，FindClose，除非你hook了某些系统API（参考Win32.Kriz)，否则这三个API是Win32病毒必备的、搜索再搜索，感染再感染。 目前Win32病毒分为两个主流，一类最常见，覆盖host程序最后一个section的relocation，或者干脆直接缀在最后一个section后面，把它扩大一些。这种技术很简单，例子可参见Funlove，有着复杂的polymorphism引擎，体积比较大的病毒一般也都用这种技术。 第二类就是像Elkern那样把自己尽可能地插进ho

7、st体内，尽可能地插，对于VC编译出来的PE文件，它的file alignment是4K，所以section之间的空隙加起来很可能有4，5K，足可以容下一个Win32病毒。这种技术比较麻烦一些，调试也复杂，主要流行的有Elkern。,13:27:44,13,蠕虫传染原理,13:27:44,14,蠕虫与漏洞,网络蠕虫最大特点是利用各种漏洞进行自动传播 根据网络蠕虫所利用漏洞的不同，又可以将其细分 邮件蠕虫 主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议)漏洞,MIME描述漏洞,13:27:44,15,蠕虫与

8、漏洞,网页蠕虫（木马） 主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种 用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播 系统漏洞蠕虫 利用RPC溢出漏洞的冲击波、冲击波杀手 利用LSASS溢出漏洞的震荡波、震荡波杀手 系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫,13:27:4

9、4,16,蠕虫的工作方式与扫描策略,蠕虫的工作方式一般是“扫描攻击复制”,13:27:44,17,蠕虫的工作方式与扫描策略,蠕虫的扫描策略 现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中 扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描 没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞 对扫描策略的改进 在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描 对扫描次数进行限制，只进行几次扫描 把扫描分散在不同的时间段进行,13:27:44,18,蠕虫的

10、工作方式与扫描策略,蠕虫常用的扫描策略 选择性随机扫描(包括本地优先扫描) 可路由地址扫描(Routable Scan) 地址分组扫描(Divide-Conquer Scan) 组合扫描(Hybrid Scan) 极端扫描(Extreme Scan),13:27:44,19,感染的主机数与感染强度示意图,13:27:44,20,木马的传染方式,13:27:44,21,特洛伊木马的定义,特洛伊木马(Trojan Horse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而

11、在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息 古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控,13:27:44,22,特洛伊木马的定义,木马与病毒 一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的 特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中 木马一般不具有普通

12、病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类 木马的最终意图是窃取信息、实施远程监控 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性,13:27:44,23,特洛伊木马的结构,木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成,13:27:44,24,特洛伊木马的基本原理,运用木马实施网络入侵的基本过程,13:27:44,25,特洛伊木马的基本原理,用netstat查看木马打开的端口,13:27:44,26,特洛伊木马的基本原理,木马控制端与服务端连接的建立

13、控制端要与服务端建立连接必须知道服务端的木马端口和IP地址 由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址 获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描,13:27:44,27,特洛伊木马的基本原理,木马控制端与服务端连接的建立,13:27:44,28,特洛伊木马的基本原理,木马通道与远程控制 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作,13:27:44,29,特洛伊木马的基本原理,木马的基本原理 特洛伊木马

14、包括客户端和服务器端两个部分，也就是说，木马其实是一个服务器-客户端程序 攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程 攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马 获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的,13:27:44,30,特洛伊木马的传播方式,木马常用的传播方式，有以

15、下几种： 以邮件附件的形式传播 控制端将木马伪装之后添加到附件中，发送给收件人 通过OICQ、QQ等聊天工具软件传播 在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方 通过提供软件下载的网站(Web/FTP/BBS)传播 木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马 通过一般的病毒和蠕虫传播 通过带木马的磁盘和光盘进行传播,13:27:44,31,特洛伊木马技术的发展,木马的发展及成熟，大致也经历了两个阶段 Unix阶段 Windows阶

16、段 木马技术发展至今，已经经历了4代 第一代木马 只是进行简单的密码窃取、发送等，没有什么特别之处 第二代木马 在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一 第三代木马 在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度 第四代木马 在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(Process Status API)，实现木马程序的隐藏,13:27:44,32,驻留在内存,为了生存，病毒要尽可能长时间地驻留在内存中，而不是host程序一结束就完蛋了。 有三种种方法，一是象Funlove那样在系统目录里释放一个文件，并修改注册表或者建立一个系统服务。这种方式很普通，也很普遍，大多数病毒包括蠕虫都这么干。 另一种方式则是感染所有的已运行进程。在Win2K下很容易实现,CreateRemoteThread，但要想在所有Win32平台下实现，则要比较高的技巧。 工作在ring 0病毒，内核模式病毒。,13:27:44,33,内