《信息通信网络概论课件》由会员分享,可在线阅读,更多相关《信息通信网络概论课件(57页珍藏版)》请在金锄头文库上搜索。
1、All rights reserved 2012, Southeast University第二章 黑客、远程攻击与计算机病毒 东南大学信息安全研究中心 蒋 睿 2012年2月 R.1信息通信网络概论All rights reserved 2012, Southeast University内容提要内容提要黑客与远程攻击缓冲区溢出及拒绝服务攻击计算机病毒2信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击黑客(黑客(1)几个概念n黑客“hacker”:指那些酷爱计算机的人。分类:一种是对电脑有强烈兴趣的人;另
2、一种是为了逃避现实而把自己淹没在虚拟世界的人道德准则通往计算机的路不止一条所有的信息都应当是免费的打破计算机集权在计算机上创造艺术和美计算机将使生活更美好n骇客“cracker”:以个人私利为目的对网站进行恶意侵犯的罪犯。n红客“honker”:具备一定网络技术、编程技巧和遵守红客原则的人士。红客原则:成员不得利用自身技术进行对网络安全不利的活动不得违反国家关于网络安全的相应法律法规更不得无端入侵普通用户和合法网站,违者从联盟名单中剔除3信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击黑客(黑客(2)国外知
3、名黑客组织n总共1946个。第一为“银色上帝(Silver Lords)”,PoisonBox排第二,”中国红客联盟(HUC)”列第25。国内主要组织成员n中国红客联盟http:/n绿色兵团http:/n中国鹰派http:/n中国黑客联盟http:/因特网上的战争n中美黑客大战2002年4月,美国PoisonBox,Prophet及MIH等黑客组织相继对我国网站发动袭击,导致40多家网站中断,200多家网站页面被篡改。4月30日,“中国红客联盟”发出总动员令,宣布向美国网站发动反击,导致美国白宫网站中断两个多小时。至5月8日,攻破美国网站1600多个,其中主要政府和军方网站900多个。4信息通
4、信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击黑客(黑客(3)n其他相关黑客事件其他五次中国红客行动:1997年,1999年5月,1999年7月,2000年1月,2003年2月。美国“911”事件后,对阿富汗塔利班网站的猛烈入侵等。黑客主要工具分类n安全扫描类、网络监听类、远程控制类、入侵工具类、加密解密类安全扫描类nSATAN,NESSUS,ISS,Retina及X-way等网络监听类nSniffer,NetXRay,Sniffit和网络刺客等远程控制类nPcAnywhere,ReachOut,Remotel
5、y Anywhere,Remotely Possible/ControllT,Bo2000,冰河等5信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击黑客(黑客(4)入侵工具类n拒绝服务型工具,分布式拒绝服务工具,邮件炸弹工具,OICQ炸弹工具加密解密类n查看“*”密码工具(007 Password Recovery)n破解ZIP文件密码工具(Advanced ZIP Password Recovery)n破解Access数据库密码工具(Access密码读取工具)nE-mail密码破解工具(EmailCrk)
6、nWindows NT密码破解工具(LophtCrack)nUNIX破解工具(John the Ripper和Crack Jack)6信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击远程攻击(远程攻击(1)远程攻击手段n收集信息,获取访问权限,拒绝服务,逃避检测攻击的一般目标n系统型攻击n数据型攻击攻击的一般过程n寻找目标和收集信息掌握目标在网络上的域名使用nslookup和tracert等实用程序,查找与该域名对应的IP地址,截取DNS服务器中登记的所有主机名称和IP地址的对应清单除了root用户帐号外,
7、还应知道一个普通用户帐号利用目标主机的finger功能来源于电子邮件地址利用X.500功能猜测习惯性常用帐号7信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击远程攻击(远程攻击(2)n系统安全弱点的探测利用ping和一些服务端口扫描工具,查看服务是否处于活动状态,并且等候其连接请求。利用ISS和SATAN等工具对网络或子网扫描,寻找安全漏洞。寻找内部落脚点。n隐藏自己并实施攻击获得对攻击目标系统的访问权限毁掉入侵痕迹,在目标系统中建立后门在目标系统中安装探测器软件,收集黑客感兴趣的一切信息进一步发现受损系统
8、在网络中的信任等级,展开对整个系统的攻击在受损系统上获得特许访问权,毁坏重要数据,破坏整个系统信息8信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击远程攻击(远程攻击(3)攻击的主要方式n利用系统缺陷或后门n利用用户淡薄的安全意识n利用防火墙的安全隐患n内部用户的窃密、泄密和破坏n网络监督和系统安全评估性手段的缺乏n制造口令攻击和拒绝服务n利用电子邮件与web的缺陷9信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击口令、
9、口令、IP欺骗与木马(欺骗与木马(1)口令攻击n攻击原理:字典加穷举攻击。开机密码SETUP密码用DEBUG手工清除 _o 7016 _o 7116 _q下载Comspwd,SYSTEM密码:CMOS放电ZIP文件破解Advanced ZIP Password Recovery:200万密码/秒;未注册(4位)Advanced ARJ Password Recovery:/Advanced RAR Password Recovery10信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击口令、口令、IP欺骗与木
10、马(欺骗与木马(2)Windows NT/2000口令破解原理方法:采用NT平台的口令审计工具LophtCrack,用字典攻击法、混合攻击法(hybrid)、蛮力攻击法(brute force)进行破解。步骤:获得口令的hash散列值破解得到口令的hash散列值UNIX系统采用John the Ripper工具进行破解n防范办法安全知识教育口令的选择牢记几个要点11信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击口令、口令、IP欺骗与木马(欺骗与木马(3)IP欺骗nIP欺骗的概念是一种通过伪造来自某个受信任
11、地址的数据包来让某台计算机认证另一台计算机的复杂技术。nIP欺骗原理利用信任关系:同一网段;UNIX中相互信任的用户利用IP协议面向非连接的特性利用TCP协议的序列号nIP欺骗步骤选定目标主机发现信任模式,并找到一个被目标主机信任的主机12信息通信网络概论All rights reserved 2012, Southeast University黑客与远程攻击黑客与远程攻击口令、口令、IP欺骗与木马(欺骗与木马(4)使被信任主机丧失工作能力(SYN Flood等),采样目标主机发出的TCP序列号,猜测出它的数据序列号伪装成被信任的主机,与目标主机建立起基于地址验证的应用连接连接成功后,放置一系
12、统后门,以进行非授权操作nIP欺骗工具Hunt(Linux/UNIX) http:/lin.fsid.cvut.cz/kra/index.htmlIpspoof(UNIX/UNIX) http:/Spoofit(Linux/UNIX) http:/Uggernaut(UNIX/UNIX) http:/staff.washington.edu/nIP欺骗防范避免基于地址的信任策略:使用Telnet、SSH及SKEY等进行包过滤使用加密方法:通信时要求加密传输和验证使用随机初始序列号13信息通信网络概论All rights reserved 2012, Southeast University木马
13、(木马(1)木马n特洛伊木马概念特洛伊木马是一个包含在一个合法程序中的非法程序,该非法程序在用户未知的情况下被执行。特洛伊木马一般有两个程序:一个是服务器程序,一个是控制器程序。如果计算机被安装了服务器程序,则黑客可使用控制器进入计算机,通过命令服务器程序达到控制计算机的目的。n木马的危害用户的机密信息将被窃用户的计算机系统易遭病毒侵袭n木马的基本机制木马需要一种启动方式,一般在注册表启动组中木马要在内存中才能发挥作用木马会打开特别的端口,以便黑客和木马联系(NETSPY是7306,SUB7是1243,冰河是7626)14信息通信网络概论All rights reserved 2012, So
14、utheast University木马(木马(2)n木马的基本功能读和写的功能运行程序功能查看及终止目标计算机进程功能能方便地编辑注册表,能捆绑到其他软件上,能改变安装地点及启动方式,能改变端口,上网自动通知n木马的生存能力隐蔽性:木马的启动:注册表、 win.ini、 system.ini。在硬盘上的位置:Windows 98中在c:windows和c:windowssystem; Windows NT/2000中在c:winntsystem32。木马文件名:与Windows的系统文件接近。木马的文件属性木马的图标木马开放的端口15信息通信网络概论All rights reserved 2
15、012, Southeast University木马(木马(3)木马运行时的隐蔽木马在内存中的隐蔽顽固性:即使木马被发现存在于计算机中,也很难被删除。潜伏能力n对付木马的常用工具Regedit,Tcpview,ATM,Lockdown,NukeNabber,Norton等防火墙产品n木马的发现和清除用防火墙软件或杀毒软件手工删除首先备份,然后验证木马,终止该程序在内存中的运行,然后删除n典型木马冰河,Bo2000,PCAnyWhere等16信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(1)基本概念(buff
16、er overflow)n程序在内存中的位置n堆栈是一个先入后出的队列,它的生长方向与内存的生长方向相反缓冲区溢出的原理n向一个有限空间的缓冲区复制超长的字符串,而程序自身却没有进行有效的检验,导致程序运行失败,系统重新启动,甚至停机。n一个缓冲区溢出应用程序使用这个溢出的数据将汇编语言代码放到计算机的内存中,通常是产生root权限的地方。n单单的缓冲区溢出并不会产生安全问题,只有将溢出送到能够以root权限运行命令的区域才会产生威胁。17信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(2)n一个简单的溢出:
17、void function (char *str) char buffer16 strcpy (buffer, str); 缓冲区溢出实例解析n制造缓冲区溢出18信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(3)n通过缓冲区溢出获得用户shell19信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(4)n利用缓冲区溢出的攻击20信息通信网络概论All rights reserved 2012, Southeast Univers
18、ity缓冲区溢出(缓冲区溢出(5)21信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(6)缓冲区溢出程序组成n准备一段可以调出的Shell代码n申请一个缓冲区,将Shell代码填入缓冲区低端n估算Shell代码在堆栈的可能起始位置,将该位置写入缓冲区的高端n将该缓冲区作为一个有着缓冲区溢出错误的一个入口参数,并执行该有着错误的程序22信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(7)漏洞与攻击的分析n代码放置的方法殖入法利用已
19、经存在的代码n控制程序转移的方法激活记录(Activation Records)函数指针(Founction Pointers)长跳转缓冲区(Longjmp buffers)n代码殖入和流程控制技术综合代码殖入和激活记录把代码作为参数,利用缓冲区溢出改变程序的参数,使程序指针指向libc中特定的代码段。23信息通信网络概论All rights reserved 2012, Southeast University缓冲区溢出(缓冲区溢出(8)缓冲区溢出的保护n编写正确的代码n非执行的缓冲区n数组边界检查Compaq C编译器C的数组边界检查存储器存取检查类型-安全语言n程序指针完整性检查手写的堆
20、栈监测堆栈保护指针保护24信息通信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(1)拒绝服务概述n拒绝服务(Denial of Service),简称DoSn主要表现企图湮没一个网络,中断正常的网络流量企图破坏两个机器之间的连接,禁止访问可用服务企图阻止某一特定用户对网络上服务的访问企图破坏一个特定系统或人,使其不能提供正常服务拒绝服务模式n资源消耗型消耗网络带宽:ping,Finger,Smurf等消耗磁盘空间:大量Mail信息、出错Log信息、垃圾文件(公开目录,共享区域)消耗CPU资源和内存共享25信息通信
21、网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(2)n配置修改型改变路由信息修改Windows NT注册表修改UNIX的各种配置文件n物理破坏型计算机,路由器,网络配线室,网络主干段,电源,其他设备等n服务利用型:利用TCP/IP协议栈的漏洞,如允许碎片包,大数据包,IP路由选择,半公开TCP连接,数据包Flood等拒绝服务常见手段分析n死亡之Ping(Ping of Death)原理:向目标端口发送大量超大尺寸的ICMP包来实现目标平台:Windows 9x实现:在命令行输入“ping _165535”26信息通
22、信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(3)nTeardropIP碎片入侵 原理:链路层具有最大传输单元MTU特性,它限制了数据帧的最大长度。如果IP层要传输的数据包长度超过了MTU,则IP层就要对数据包进行分片,使每片长度小于等于MTU。每一IP分片各自路由,到达目的主机后在IP层重组,IP首部中的数据保证正确完成分片的重组。若在IP分组中指定一个非法的偏移值,将造成某些协议软件出现缓冲区覆盖,导致系统崩溃。目标平台:Linux/ Windows 9x/NT实现:默认发送两个UDP数据包第一个:MF=1
23、,偏移量=0,作为IP包的第一个分片第二个:MF=0,偏移量=0x3,偏移字节数0x3*8=24,为最后一个分片接收端重组分组的过程27信息通信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(4)nLand原理:向目标机发送源地址与目的地址一样的数据包,造成目标机解析Land包占用太多资源,从而使网络功能完全瘫痪。目标平台:Linux、UNIX、Windows 9x/NT后果:造成死锁使系统崩溃nSmurf原理:结合使用IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,导致目标系统拒绝为正常系统进行服务。目标平
24、台:任何应答ICMP数据的系统28信息通信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(5)nSYN Flood原理:正常的一个TCP连接需要连接双方进行3个动作,即“三次握手”。可以利用这一过程,建立数以万计的半连接,消耗掉CPU的时间及内存,使服务器无法回应正常用户的请求。防范:缩短SYN Timeout时间;设置SYN Cookie等29信息通信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(6)分布式拒绝服务(DDoS)nDD
25、oS概念DDoS是在传统的DoS基础上,利用更多的傀儡机来发动攻击,以比从前更大的规模来进攻受害者。DDoS入侵的主要表现:大量等待的TCO连接;大量无用的源地址为假的数据包;网络拥塞;受害主机无法及时处理正常请求;系统死机。nDDoS的体系结构30信息通信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(7)nDDoS工作原理分析前提是有许多无关主机可以被入侵者支配入侵者通过常规手段进入这些主机在所侵入的主机上安装入侵软件从攻击控制台向各攻击服务器发出对特定目标攻击的命令n分布式拒绝服务常用工具Tribe Floo
26、d Network(TFN)TrinooStacheldrahtshaftMstream31信息通信网络概论All rights reserved 2012, Southeast University拒绝服务攻击(拒绝服务攻击(8)n防范企业网管理员主机上的设置网络设备上的设置:防火墙,路由器ISP/ICP管理员骨干网络运营商32信息通信网络概论All rights reserved 2012, Southeast University作业作业描述IP欺骗的原理及过程。为什么采用6位口令靠不住?如何知道自己的电脑中了木马?中了木马后如何防治?缓冲区溢出攻击的步骤有哪些?如何防止此类攻击?黑客攻
27、击的手段主要有哪些?如何防止?能否完全防止拒绝服务攻击?为什么?33信息通信网络概论All rights reserved 2012, Southeast UniversityARP欺骗欺骗原理n在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。n在正常情况下这个缓存表能够有效的保证数据传输的一对一性,其他主机无法截获其中的通讯信息。n但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的
28、ARP缓存表里的相应信息。 分类n对路由器ARP表的欺骗n对内网PC 的网关欺骗34信息通信网络概论All rights reserved 2012, Southeast University对路由器对路由器ARP表的欺骗表的欺骗原理n攻击者通过截获网关数据,并伪造大量错误的MAC 地址以一定的频率发向网关,使路由器ARP 缓存溢出,造成真实的地址信息无法通过更新保存在路由器中,造成路由器与真实IP 之间无法通信,这种攻击可造成网络中断。攻击者网关大量错误的MAC地址用户A用户B35信息通信网络概论All rights reserved 2012, Southeast University对内
29、网对内网PC的网关欺骗(的网关欺骗(1)原理n攻击者通过伪造网关,将网关的MAC 地址修改为攻击者本身,让网内其他用户向攻击者发送数据,而不是通过正常路由器(网关)进行转发,通过这种攻击方式,攻击者能够通过获悉网内通信信息,并通过抓包软件能够获取信息内容。示例n首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03。n同时主机B向网关发送一个ARP响应包说192.168.1.2的MAC是03-03
30、-03-03-03-03,同样网关也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。36信息通信网络概论All rights reserved 2012, Southeast University对内网对内网PC的网关欺骗(的网关欺骗(2)37信息通信网络概论All rights reserved 2012, Southeast University对内网对内网PC的网关欺骗(的网关欺骗(3)n当主机A想要与主机C通讯时,它直接把应该发送给网关(192.168.1.1)的数据包发送到03-03-03-03-03-03这个M
31、AC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关。n当从主机C返回的数据包到达网关后,网关也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通讯。n这样就成功的实现了一次ARP欺骗攻击。38信息通信网络概论All rights reserved 2012, Southeast University对内网对内网PC的网关欺骗(的网关欺骗(4)39信息通信网络概论All rights reserved 2012, Southea
32、st University计算机病毒概念(计算机病毒概念(1)定义n计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征n传染性n未经授权而执行n隐蔽性n潜伏性n破坏性n不可预见性计算机病毒的分类n按传染方式引导型病毒40信息通信网络概论All rights reserved 2012, Southeast University计算机病毒概念(计算机病毒概念(2)文件型病毒混合性病毒蠕虫病毒宏病毒n按连接方式源码型病毒入侵型病毒操作系统型病毒外壳型病毒n按破坏性良性病毒恶性病毒41信息通信网络概论All
33、 rights reserved 2012, Southeast University计算机病毒工作原理(计算机病毒工作原理(1)计算机病毒基本结构组成n整个病毒代码由3部分组成:引导部分、传染部分和表现部分n引导部分是将病毒主体加载到内存,为传染部分做准备n传染部分是将病毒代码复制到传染目标上去n表现部分则是用来表现病毒的破坏性工作机理n引导机理寄生对象:磁盘引导扇区;可执行文件寄生方式:替代法;链接法引导过程:驻留内存;窃取系统控制权 ;恢复系统功能42信息通信网络概论All rights reserved 2012, Southeast University计算机病毒工作原理(计算机病毒
34、工作原理(2)n传染机理传染方式 :被动传染 ;主动传染 传染过程 :通过引导模块将传染模块驻留内存中;修改系统中断向量入口地址(例如INT 13H或INT 21H),使该中断向量指向病毒程序传染模块 。 n破坏表现机理设计原则、工作原理与传染机制基本相同 。通过修改某一中断向量入口地址(一般为时钟中断INT 8H,或与时钟中断有关的其它中断,如INT 1CH),使该中断向量指向计算机病毒程序的破坏模块。 破坏目标和攻击部位主要是:系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。43信息通信网络概论All rights reserved 201
35、2, Southeast University典型计算机病毒(典型计算机病毒(1)引导型病毒n包括软盘引导型病毒、硬盘主引导记录病毒、分区引导记录病毒n工作原理:通过修改正常的磁盘引导记录来首先获得控制权,再修改相关的系统服务,以达到隐身、感染和驻留内存的目的。44信息通信网络概论All rights reserved 2012, Southeast University典型计算机病毒(典型计算机病毒(2)45信息通信网络概论All rights reserved 2012, Southeast University典型计算机病毒(典型计算机病毒(3)文件型病毒n通过修改可执行文件入口点来控制
36、计算机。n病毒感染COM文件。n病毒感染EXE文件。nCIH病毒CIH病毒传播的主要途径是Internet和电子邮件。当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。 CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。 46信息通信网络概论All rights reserved 2012, Southeast University典型计算机病毒(典型计算机病毒
37、(4)Word宏病毒n概念:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。 n特点病毒代码具有开放性真正跨平台的病毒n作用机制:word宏病毒至少包含一个以上的自动宏(AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew等),或一个以上的标准宏(, 等)。一旦病毒宏侵入word系统,它就会替代原有的正常宏,使word系统在读取染毒文件时遭受感染,导致以后所有新建的DOC文件都被感染。n宏病毒与传统的文件型病毒有很大不同,它不感染.EXE和.COM等可执行文件,而是将病毒代码以“宏”的形式潜伏在Office文件中,主要感染Word和Excel等文件,
38、当采用Office软件打开这些染毒文件时,这些代码就会被执行并产生破坏作用。 47信息通信网络概论All rights reserved 2012, Southeast University典型计算机病毒(典型计算机病毒(5)nMelissa(梅丽莎)病毒 Melissa(梅丽莎)病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件Out1ookExpress的Word宏病毒 。这种病毒是一种Word文档附件,由E-mall携带传播扩散。 运行过程该病毒关闭Microsoft Word宏安全。 保存一个新的全局模板文件。 该病毒覆盖在其目录中找到的第一个文档。如果时间的分钟
39、数与日期中的号数相同,那么该病毒在当前活动文档中插入一段文字“K-W-Y-J-I-B-O Kwyjibo. Twenty-two points, plus triple-word-score, plus fifty-points for using all my letters. Games over. Im outta here” 。 之后,Melissa读取用户的Outlook地址簿,并向地址簿中的前50个邮件地址发送该病毒。 48信息通信网络概论All rights reserved 2012, Southeast University典型计算机病毒(典型计算机病毒(6)蠕虫病毒n定义:
40、计算机蠕虫是自包含的程序(或一套程序),它能传播其自身功能的拷贝或它的某些部分到其他的计算机系统中(经过网络连接)。蠕虫病毒不需要将其自身附着到宿主程序。n蠕虫的基本程序结构 传播模块:负责蠕虫的传播 。隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。 目的功能模块:实现对计算机的控制、监视或破坏等功能。 n工作机理:蠕虫程序进入操作系统后,产生一个线程来执行它第一步,蠕虫寻找一个网络接口,通过这一接口向与它相连的计算机发送它自己的一个拷贝第二步,蠕虫在内存中精确地复制自己,由一个进程复制为两个,再复制为四个,不断重复,占据绝大多数的内存资源,直至系统瘫痪。49信息通信网络概论All ri
41、ghts reserved 2012, Southeast University典型计算机病毒(典型计算机病毒(7)n熊猫烧香病毒 概念:熊猫烧香病毒是一个感染型的蠕虫病毒,病毒进程“spoclsv.exe”。病毒发作时的表现:运行过程拷贝文件 :把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe。 添加注册表自启动 :添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunsvcshare-C:WINDOWSSystem32Driversspoclsv.exe。50信息通信网络概论All
42、 rights reserved 2012, Southeast University典型计算机病毒(典型计算机病毒(8)病毒发作 每隔1秒寻找桌面窗口,并关闭窗口标题程序;中止系统进程 每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享 每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享 每隔6秒删除安全软件在注册表中的键值 感染文件:病毒会感染扩展名为exe、pif、com、src的文件,把自己附加到文件的头部。删除文件:病毒会删除扩展名为gho的文件。 51信息通信网络概论All rights reserved 2012, Southeast Univer
43、sity病毒的防范与清除(病毒的防范与清除(1)病毒防范的原理n病毒免疫原理:传染标识n针对某种病毒进行免疫 n基于完整性检查的免疫:为可执行程序增加一个免疫外壳,同时在免疫外壳中记录有关用于恢复自身的信息。 防病毒技术n病毒特征代码法 :将新发现的病毒加以分析后,根据其特征编成病毒代码,加入数据库中。当执行杀毒程序扫描程序文件时,用作病毒代码对比,从而检测是否有病毒。 n校验和法 :在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染。n人工智能检测技术 :首先总结病毒行为,在对电脑行为进行常驻内存式监测时,如果发现与总结
44、的病毒行为有吻合的情况,给出警报。 52信息通信网络概论All rights reserved 2012, Southeast University病毒的防范与清除(病毒的防范与清除(2)n软件模拟法 :开始运行时,使用特征代码法监测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时,启动软件模拟模块,监测病毒的运行,待病毒自身的密码破译后,再运用特征代码法来识别病毒的种类。 n先知扫描法:根据统计分析原理,将病毒行为归纳为知识库,对病毒进行检测。 病毒清除的原理n清除内存中的病毒 n清除磁盘中的病毒 n病毒发作后的善后处理 病毒的清除方法n手工清除:使用DEBUG,PCTOOLS等工具,需要熟练的技能
45、和丰富的知识 。n软件自动杀毒。 53信息通信网络概论All rights reserved 2012, Southeast UniversityCIH病毒手工防范病毒手工防范CIH病毒识别n运行“写字板” Notepad.exe软件 n搜索特征串“CIH v” :若搜索出一大堆符合查找特征的可执行文件,则表明该计算机已经感染了CIH病毒。 CIH病毒查找与防范nWindows PE文件中搜索IMAGE_NT_SIGNATURE字段(0x00004550 )其代表的识别字符为“PE00” 。n查看其前一个字节是否为0x00n若发现病毒:先处理掉两个转跳点,即搜索:5E CC 56 8B F0
46、特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改90(nop)。n接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串,将其全部修改为90。54信息通信网络概论All rights reserved 2012, Southeast University常见杀毒软件常见杀毒软件瑞星杀毒软件2009版 金山毒霸2009版 江民杀毒软件2009版 诺顿杀毒软件2009版卡巴斯基杀毒软件2009版 Mcafee VirusScan2009版 55信息通信网络概论All rights reserved 2012, Southeast University作业作业计算机病毒的工作原理是什么? 文件型病毒的原理及结构是什么?是否会感染Word、Excel文件? 许多宏病毒不能被手工清除的主要原因是什么?56信息通信网络概论All rights reserved 2012, Southeast University57信息通信网络概论
