病毒木馬的工作原理及其防范

1、 目錄目錄 病毒的起源和發(fā)展病毒的起源和發(fā)展 病毒的定義及分類病毒的定義及分類 VBS病毒的起源與發(fā)展及其危害病毒的起源與發(fā)展及其危害 蠕蟲病毒蠕蟲病毒 緩沖區(qū)溢出與病毒攻擊的原理緩沖區(qū)溢出與病毒攻擊的原理 木馬程序木馬程序 計(jì)算機(jī)日常使用的安全建議計(jì)算機(jī)日常使用的安全建議 一、病毒的起源和發(fā)展 病毒的起源和發(fā)展病毒的起源和發(fā)展 1949年，計(jì)算機(jī)的先驅(qū)者馮年，計(jì)算機(jī)的先驅(qū)者馮.諾依曼在論文諾依曼在論文復(fù)雜自動(dòng)機(jī)組織論復(fù)雜自動(dòng)機(jī)組織論中，中， 提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制；提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制；20世紀(jì)世紀(jì)60年代初，美國(guó)貝爾年代初，美國(guó)貝爾 實(shí)驗(yàn)室，三個(gè)年輕的程序員編

2、寫了一個(gè)名為實(shí)驗(yàn)室，三個(gè)年輕的程序員編寫了一個(gè)名為“磁芯大戰(zhàn)磁芯大戰(zhàn)”的游戲，游戲的游戲，游戲 中通過復(fù)制自身來擺脫對(duì)方的控制，這就是病毒的第一個(gè)雛形。中通過復(fù)制自身來擺脫對(duì)方的控制，這就是病毒的第一個(gè)雛形。 20世紀(jì)世紀(jì)70年代，美國(guó)作家雷恩在年代，美國(guó)作家雷恩在P1的青春的青春一書中闡述了一種能夠一書中闡述了一種能夠 自我復(fù)制的計(jì)算機(jī)程序，并第一次稱之為自我復(fù)制的計(jì)算機(jī)程序，并第一次稱之為“計(jì)算機(jī)病毒計(jì)算機(jī)病毒”。 1983年年11月，在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上，美國(guó)計(jì)算機(jī)專家首次月，在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上，美國(guó)計(jì)算機(jī)專家首次 將病毒程序在將病毒程序在VAX/750計(jì)算機(jī)上進(jìn)行實(shí)驗(yàn)

3、，世界上第一個(gè)計(jì)算機(jī)病毒就計(jì)算機(jī)上進(jìn)行實(shí)驗(yàn)，世界上第一個(gè)計(jì)算機(jī)病毒就 這樣誕生在實(shí)驗(yàn)室中。這樣誕生在實(shí)驗(yàn)室中。 20世紀(jì)世紀(jì)80年代后期，巴基斯坦有兩個(gè)以編軟件為生的兄弟，為了打擊年代后期，巴基斯坦有兩個(gè)以編軟件為生的兄弟，為了打擊 盜版軟件，設(shè)計(jì)出了一個(gè)名為盜版軟件，設(shè)計(jì)出了一個(gè)名為“巴基斯坦智囊巴基斯坦智囊”的病毒，該病毒只傳染的病毒，該病毒只傳染 軟盤引導(dǎo)區(qū)，成為世界上流行的第一個(gè)真正的病毒。軟盤引導(dǎo)區(qū)，成為世界上流行的第一個(gè)真正的病毒。 一、病毒的起源和發(fā)展一、病毒的起源和發(fā)展 計(jì)算機(jī)病毒是一組人為設(shè)計(jì)的程序，這種特殊的程序隱計(jì)算機(jī)病毒是一組人為設(shè)計(jì)的程序，這種特殊的程序隱 藏在計(jì)算機(jī)

4、系統(tǒng)中，能夠把自身或自身的一部分復(fù)制到其它藏在計(jì)算機(jī)系統(tǒng)中，能夠把自身或自身的一部分復(fù)制到其它 程序上，給計(jì)算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞。這種程程序上，給計(jì)算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞。這種程 序的活動(dòng)方式與生物學(xué)上的病毒非常相似，所以被稱為序的活動(dòng)方式與生物學(xué)上的病毒非常相似，所以被稱為計(jì)算計(jì)算 機(jī)病毒機(jī)病毒。 計(jì)算機(jī)病毒的危害主要體現(xiàn)在以下方面：計(jì)算機(jī)病毒的危害主要體現(xiàn)在以下方面： 破壞文件分配表或目錄區(qū)破壞文件分配表或目錄區(qū) 刪除文件、修改或破壞文件中的數(shù)據(jù)刪除文件、修改或破壞文件中的數(shù)據(jù) 大量復(fù)制自身，減少磁盤可用的存儲(chǔ)空間大量復(fù)制自身，減少磁盤可用的存儲(chǔ)空間 修改或破壞系統(tǒng)信

5、息修改或破壞系統(tǒng)信息 非法格式化磁盤，非法加密或解密用戶文件非法格式化磁盤，非法加密或解密用戶文件 在磁盤上產(chǎn)生壞扇區(qū)在磁盤上產(chǎn)生壞扇區(qū) 降低系統(tǒng)運(yùn)行速度降低系統(tǒng)運(yùn)行速度 病毒的起源和發(fā)展病毒的起源和發(fā)展 二、病毒的定義和分類 計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，具有獨(dú)特的計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，具有獨(dú)特的 復(fù)制能力。計(jì)算機(jī)病毒可以快速地傳染，并很難解除。它們復(fù)制能力。計(jì)算機(jī)病毒可以快速地傳染，并很難解除。它們 把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用 戶傳送到另一個(gè)用戶時(shí)，病毒就隨著文件一起被傳播了。戶傳送到另一個(gè)用

6、戶時(shí)，病毒就隨著文件一起被傳播了。 計(jì)算機(jī)病毒確切定義是能夠通過某種途徑潛伏在計(jì)算計(jì)算機(jī)病毒確切定義是能夠通過某種途徑潛伏在計(jì)算 機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活具有機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活具有 對(duì)計(jì)算機(jī)資源進(jìn)行破壞的一組程序或指令的集合。對(duì)計(jì)算機(jī)資源進(jìn)行破壞的一組程序或指令的集合。 病毒的定義和分類病毒的定義和分類 一、一、 病毒的定義病毒的定義 計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒的特點(diǎn) 1）可執(zhí)行性）可執(zhí)行性 當(dāng)用戶運(yùn)行正常程序時(shí)，病毒伺機(jī)竊取到系統(tǒng)的控制當(dāng)用戶運(yùn)行正常程序時(shí)，病毒伺機(jī)竊取到系統(tǒng)的控制 權(quán)，得以搶先運(yùn)行。權(quán)，得以搶先運(yùn)行。 2）破壞性）破壞性

7、 無(wú)論何種病毒程序，一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的無(wú)論何種病毒程序，一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的 運(yùn)行造成不同程度的影響。運(yùn)行造成不同程度的影響。 3）傳染性）傳染性 把自身復(fù)制到其他程序中的特性。把自身復(fù)制到其他程序中的特性。 是計(jì)算機(jī)病毒最重要的特征，是判斷一段程序代碼是是計(jì)算機(jī)病毒最重要的特征，是判斷一段程序代碼是 否為計(jì)算機(jī)病毒的依據(jù)。否為計(jì)算機(jī)病毒的依據(jù)。 病毒可以附著在其它程序上，通過磁盤、光盤、計(jì)算病毒可以附著在其它程序上，通過磁盤、光盤、計(jì)算 機(jī)網(wǎng)絡(luò)等載體進(jìn)行傳染，被傳染的計(jì)算機(jī)又成為病毒的生存機(jī)網(wǎng)絡(luò)等載體進(jìn)行傳染，被傳染的計(jì)算機(jī)又成為病毒的生存 的環(huán)境及新傳染源。的環(huán)境及新傳染

8、源。 病毒的定義和分類病毒的定義和分類 4）潛伏性）潛伏性 病毒發(fā)作是由觸發(fā)條件來確定。為了防止用戶察覺，病毒發(fā)作是由觸發(fā)條件來確定。為了防止用戶察覺， 計(jì)算機(jī)病毒會(huì)想方設(shè)法隱藏自身。通常粘附在正常程序之中計(jì)算機(jī)病毒會(huì)想方設(shè)法隱藏自身。通常粘附在正常程序之中 或磁盤引導(dǎo)扇區(qū)中，或者磁盤上標(biāo)為壞簇的扇區(qū)中，以及一或磁盤引導(dǎo)扇區(qū)中，或者磁盤上標(biāo)為壞簇的扇區(qū)中，以及一 些空閑概率較大的扇區(qū)中，即非法可存儲(chǔ)性。些空閑概率較大的扇區(qū)中，即非法可存儲(chǔ)性。 5）針對(duì)性）針對(duì)性 針對(duì)不同的操作系統(tǒng)、不同的應(yīng)用軟件。針對(duì)不同的操作系統(tǒng)、不同的應(yīng)用軟件。 6）衍生性）衍生性 具有依附其他媒體而寄生的能力。具有依附

9、其他媒體而寄生的能力。 在傳播的過程中自動(dòng)改變自己的形態(tài)，從而衍生出另在傳播的過程中自動(dòng)改變自己的形態(tài)，從而衍生出另 一種不同于原版病毒的新病毒，這種新病毒稱為病毒變種。一種不同于原版病毒的新病毒，這種新病毒稱為病毒變種。 7）抗反病毒軟件性）抗反病毒軟件性 有變形能力的病毒能更好地在傳播過程中隱蔽自己，有變形能力的病毒能更好地在傳播過程中隱蔽自己， 使之不易被反病毒程序發(fā)現(xiàn)及清除，并具有反殺的能力。使之不易被反病毒程序發(fā)現(xiàn)及清除，并具有反殺的能力。 病毒的定義和分類病毒的定義和分類 病毒的傳播方式：病毒的傳播方式： 通過文件系統(tǒng)傳播；通過文件系統(tǒng)傳播； 通過電子郵件傳播；通過電子郵件傳播；

10、通過局域網(wǎng)傳播；通過局域網(wǎng)傳播； 通過即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；通過即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播； 利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播； 利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等； 利用欺騙等社會(huì)工程的方法傳播。利用欺騙等社會(huì)工程的方法傳播。 病毒的定義和分類病毒的定義和分類 三、 VBS病毒的起源與發(fā)展 及其危害 VBS病毒的起源與發(fā)展及其危害 VBS病毒的運(yùn)行基礎(chǔ)是微軟公司提供的腳本程序：病毒的運(yùn)行基礎(chǔ)是微軟公司提供的腳本程序：WSH （Windows Scripting Host）。）。

11、WSH通用的中文譯名為通用的中文譯名為 “Windows腳本宿主腳本宿主”。 應(yīng)該說，應(yīng)該說，WSH的優(yōu)點(diǎn)在于它使用戶可以充分利用腳本來的優(yōu)點(diǎn)在于它使用戶可以充分利用腳本來 實(shí)現(xiàn)計(jì)算機(jī)工作的自動(dòng)化。計(jì)算機(jī)病毒制造者也正是利用腳實(shí)現(xiàn)計(jì)算機(jī)工作的自動(dòng)化。計(jì)算機(jī)病毒制造者也正是利用腳 本語(yǔ)言來編制病毒，并利用本語(yǔ)言來編制病毒，并利用WSH的支持功能，讓這些隱藏著的支持功能，讓這些隱藏著 病毒的腳本在網(wǎng)絡(luò)中傳播。病毒的腳本在網(wǎng)絡(luò)中傳播?！癐 Love You”病毒便是一個(gè)典型病毒便是一個(gè)典型 的代表。的代表。 一、一、 VBS的運(yùn)行基礎(chǔ)的運(yùn)行基礎(chǔ) 當(dāng)微軟在推出當(dāng)微軟在推出WHS后不久，在后不久，在Wi

12、ndows 95操作系統(tǒng)中操作系統(tǒng)中 就發(fā)現(xiàn)了利用就發(fā)現(xiàn)了利用WHS的病毒，隨后又出現(xiàn)了更為厲害的的病毒，隨后又出現(xiàn)了更為厲害的 “Happly Time（歡樂時(shí)光）（歡樂時(shí)光）”病毒，這種病毒不斷的利用自病毒，這種病毒不斷的利用自 身的復(fù)制功能，把自身復(fù)制到計(jì)算機(jī)內(nèi)的每一個(gè)文件夾內(nèi)。身的復(fù)制功能，把自身復(fù)制到計(jì)算機(jī)內(nèi)的每一個(gè)文件夾內(nèi)。 2000年年5月月4日在歐美地區(qū)爆發(fā)的日在歐美地區(qū)爆發(fā)的“宏病毒宏病毒”網(wǎng)絡(luò)蠕蟲病網(wǎng)絡(luò)蠕蟲病 毒。由于通過電子郵件系統(tǒng)傳播，宏病毒在短短幾天內(nèi)狂襲毒。由于通過電子郵件系統(tǒng)傳播，宏病毒在短短幾天內(nèi)狂襲 全球數(shù)以百萬(wàn)計(jì)的電腦。包括微軟、全球數(shù)以百萬(wàn)計(jì)的電腦。包括微

13、軟、Intel等公司在內(nèi)的眾多等公司在內(nèi)的眾多 大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，全球經(jīng)濟(jì)損失達(dá)數(shù)十億美元。大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，全球經(jīng)濟(jì)損失達(dá)數(shù)十億美元。2004 年爆發(fā)的年爆發(fā)的“新歡樂時(shí)光新歡樂時(shí)光”病毒也給全球經(jīng)濟(jì)造成了巨大損失。病毒也給全球經(jīng)濟(jì)造成了巨大損失。 二、二、 VBS病毒的發(fā)展和危害病毒的發(fā)展和危害 VBS病毒的起源與發(fā)展及其危害 1、VBS腳本病毒如何感染、搜索文件腳本病毒如何感染、搜索文件 VBS腳本病毒一般是直接通過自我復(fù)制來感染文件的，病毒腳本病毒一般是直接通過自我復(fù)制來感染文件的，病毒 中的絕大部分代碼都可以直接附加在其他同類程序的中間，中的絕大部分代碼都可以直接附加在其他同

14、類程序的中間， 譬如新歡樂時(shí)光病毒可以將自己的代碼附加在譬如新歡樂時(shí)光病毒可以將自己的代碼附加在.htm文件的尾文件的尾 部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句，而愛蟲病毒則部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句，而愛蟲病毒則 是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原 文件名作為病毒文件名的前綴，文件名作為病毒文件名的前綴，vbs作為后綴。作為后綴。 2、VBS腳本病毒通過網(wǎng)絡(luò)傳播的幾種方式及代碼分析腳本病毒通過網(wǎng)絡(luò)傳播的幾種方式及代碼分析 通過通過E-mail附件傳播附件傳播 通過局域網(wǎng)共享傳播通過局域網(wǎng)共享傳播 三、三、 VB

15、S病毒的發(fā)展和危害病毒的發(fā)展和危害 VBS病毒的起源與發(fā)展及其危害 四、蠕蟲病毒 蠕蟲病毒 n蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng) 絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子 郵件。郵件。 n蠕蟲病毒是自包含的程序蠕蟲病毒是自包含的程序(或是一套程序或是一套程序)，它能，它能 傳播自身功能的拷貝或自身（蠕蟲病毒）的某些傳播自身功能的拷貝或自身（蠕蟲病毒）的某些 部分到其他的計(jì)算機(jī)系統(tǒng)中部分到其他的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連通常是經(jīng)過網(wǎng)絡(luò)連 接接)。 n蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)蠕蟲病毒的

16、傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局局 域網(wǎng)條件下的共享文件夾，電子郵件域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)，網(wǎng)絡(luò) 中的惡意網(wǎng)頁(yè)，大量存在著漏洞的服務(wù)器等都成中的惡意網(wǎng)頁(yè)，大量存在著漏洞的服務(wù)器等都成 為蠕蟲傳播的良好途徑為蠕蟲傳播的良好途徑 n。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi) 蔓延全球蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性會(huì)而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性會(huì) 使得人們手足無(wú)策使得人們手足無(wú)策 蠕蟲與漏洞 n網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是 利用各種漏洞進(jìn)行自利用各種漏洞進(jìn)行自 動(dòng)傳播動(dòng)傳播 n根據(jù)網(wǎng)絡(luò)蠕蟲所利用根據(jù)網(wǎng)絡(luò)蠕蟲

17、所利用 漏洞的不同，又可以漏洞的不同，又可以 將其細(xì)分將其細(xì)分 n郵件蠕蟲郵件蠕蟲 n主要是利用主要是利用 MIME(Multipurp ose Internet Mail Extension Protocol，多用途，多用途 的網(wǎng)際郵件擴(kuò)充協(xié)的網(wǎng)際郵件擴(kuò)充協(xié) 議議)漏洞漏洞 包含蠕蟲 的郵件 非法的 MIME頭部 解出的 蠕蟲程序 感染機(jī)器 Content-Type: audio/x-wav; name=worm.exe Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdL

18、T05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw MIME描述漏洞描述漏洞 蠕蟲與漏洞 網(wǎng)頁(yè)蠕蟲（木馬）網(wǎng)頁(yè)蠕蟲（木馬） n主要是利用主要是利用IFrame漏洞和漏洞和MIME漏洞漏洞 n網(wǎng)頁(yè)蠕蟲可以分為兩種網(wǎng)頁(yè)蠕蟲可以分為兩種 n用一個(gè)用一個(gè)IFrame插入一個(gè)插入一個(gè)Mail框架，同樣利用框

19、架，同樣利用MIME漏洞執(zhí)行蠕漏洞執(zhí)行蠕 蟲，這是直接沿用郵件蠕蟲的方法蟲，這是直接沿用郵件蠕蟲的方法 n用用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個(gè)漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個(gè) 包含特殊代碼的頁(yè)面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)包含特殊代碼的頁(yè)面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn) 行它，完成蠕蟲傳播行它，完成蠕蟲傳播 系統(tǒng)漏洞蠕蟲系統(tǒng)漏洞蠕蟲 n利用利用RPC溢出漏洞的沖擊波、沖擊波殺手溢出漏洞的沖擊波、沖擊波殺手 n利用利用LSASS溢出漏洞的震蕩波、震蕩波殺手溢出漏洞的震蕩波、震蕩波殺手 n系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生系

20、統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗并嘗 試溢出，然后將自身復(fù)制過去試溢出，然后將自身復(fù)制過去 n它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬 于最不受歡迎的一類蠕蟲于最不受歡迎的一類蠕蟲 蠕蟲的工作方式與掃描策略 n蠕蟲的工作方式一般是蠕蟲的工作方式一般是“掃描掃描攻擊攻擊復(fù)制復(fù)制” 隨機(jī)生成 IP地址 有些蠕蟲給出確定的地址范圍， 還有一些給出傾向性策略，用于 產(chǎn)生某個(gè)范圍內(nèi)的IP地址 地址探測(cè) 主機(jī)是否 存在? 漏洞是否 存在? 攻擊、傳染 現(xiàn)場(chǎng)處理 虛線框內(nèi)的所有工作 可以在一個(gè)數(shù)據(jù)包內(nèi)完成 是是

21、否否 蠕蟲的工作方式與掃描策略 n蠕蟲的掃描策略蠕蟲的掃描策略 n現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到 盡量多的計(jì)算機(jī)中盡量多的計(jì)算機(jī)中 n掃描模塊采用的掃描策略是：隨機(jī)選取某一段掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然地址，然 后對(duì)這一地址段上的主機(jī)進(jìn)行掃描后對(duì)這一地址段上的主機(jī)進(jìn)行掃描 n沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過程，大量蠕沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過程，大量蠕 蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞 n對(duì)掃描策略的改進(jìn)對(duì)掃描策略的改進(jìn) n在在IP地址段的選擇

22、上，可以主要針對(duì)當(dāng)前主機(jī)所在的網(wǎng)段地址段的選擇上，可以主要針對(duì)當(dāng)前主機(jī)所在的網(wǎng)段 進(jìn)行掃描，對(duì)外網(wǎng)段則隨機(jī)選擇幾個(gè)小的進(jìn)行掃描，對(duì)外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃地址段進(jìn)行掃 描描 n對(duì)掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描對(duì)掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描 n把掃描分散在不同的時(shí)間段進(jìn)行把掃描分散在不同的時(shí)間段進(jìn)行 蠕蟲的工作方式與掃描策略 n蠕蟲常用的掃描策略蠕蟲常用的掃描策略 n選擇性隨機(jī)掃描選擇性隨機(jī)掃描(包括本地優(yōu)先掃描包括本地優(yōu)先掃描) n可路由地址掃描可路由地址掃描(Routable Scan) n地址分組掃描地址分組掃描(Divide-Conquer Scan) n組合掃描組

23、合掃描(Hybrid Scan) n極端掃描極端掃描(Extreme Scan) 從傳播模式進(jìn)行安全防御 n對(duì)蠕蟲在網(wǎng)絡(luò)中產(chǎn)生的異常，有多種的對(duì)蠕蟲在網(wǎng)絡(luò)中產(chǎn)生的異常，有多種的 的方法可以對(duì)未知的蠕蟲進(jìn)行檢測(cè)，比的方法可以對(duì)未知的蠕蟲進(jìn)行檢測(cè)，比 較通用的方法是對(duì)流量異常的統(tǒng)計(jì)分析，較通用的方法是對(duì)流量異常的統(tǒng)計(jì)分析， 主要包括對(duì)主要包括對(duì)TCP連接異常的分析和連接異常的分析和ICMP 數(shù)據(jù)異常分析的方法。數(shù)據(jù)異常分析的方法。 從傳播模式進(jìn)行安全防御 n在蠕蟲的掃描階段，蠕蟲會(huì)隨機(jī)的或者偽隨機(jī)的在蠕蟲的掃描階段，蠕蟲會(huì)隨機(jī)的或者偽隨機(jī)的 生成大量的生成大量的IP地址進(jìn)行掃描，探測(cè)漏洞主機(jī)。這地

24、址進(jìn)行掃描，探測(cè)漏洞主機(jī)。這 些被掃描主機(jī)中會(huì)存在許多空的或者不可達(dá)的些被掃描主機(jī)中會(huì)存在許多空的或者不可達(dá)的IP 地址，從而在一段時(shí)間里，蠕蟲主機(jī)會(huì)接收到大地址，從而在一段時(shí)間里，蠕蟲主機(jī)會(huì)接收到大 量的來自不同路由器的量的來自不同路由器的ICMP不可達(dá)數(shù)據(jù)包。流量不可達(dá)數(shù)據(jù)包。流量 分析系統(tǒng)通過對(duì)這些數(shù)據(jù)包進(jìn)行檢測(cè)和統(tǒng)計(jì)，在分析系統(tǒng)通過對(duì)這些數(shù)據(jù)包進(jìn)行檢測(cè)和統(tǒng)計(jì)，在 蠕蟲的掃描階段將其發(fā)現(xiàn)，然后對(duì)蠕蟲主機(jī)進(jìn)行蠕蟲的掃描階段將其發(fā)現(xiàn)，然后對(duì)蠕蟲主機(jī)進(jìn)行 隔離，對(duì)蠕蟲其進(jìn)行分析，進(jìn)而采取防御措施。隔離，對(duì)蠕蟲其進(jìn)行分析，進(jìn)而采取防御措施。 n將將ICMP不可達(dá)數(shù)據(jù)包進(jìn)行收集、解析，并根據(jù)源不可

25、達(dá)數(shù)據(jù)包進(jìn)行收集、解析，并根據(jù)源 和目的地址進(jìn)行分類，如果一個(gè)和目的地址進(jìn)行分類，如果一個(gè)IP在一定時(shí)間（在一定時(shí)間（T） 內(nèi)對(duì)超過一定數(shù)量（內(nèi)對(duì)超過一定數(shù)量（N）的其它主機(jī)的同一端口）的其它主機(jī)的同一端口 （P）進(jìn)行了掃描，則產(chǎn)生一個(gè)發(fā)現(xiàn)蠕蟲的報(bào)警）進(jìn)行了掃描，則產(chǎn)生一個(gè)發(fā)現(xiàn)蠕蟲的報(bào)警 （同時(shí)還會(huì)產(chǎn)生其它的一些報(bào)警）。（同時(shí)還會(huì)產(chǎn)生其它的一些報(bào)警）。 用Sniffer進(jìn)行蠕蟲檢測(cè) n一般進(jìn)行流量分析時(shí)，首先關(guān)注的是產(chǎn)一般進(jìn)行流量分析時(shí)，首先關(guān)注的是產(chǎn) 生網(wǎng)絡(luò)流量最大的那些計(jì)算機(jī)。利用生網(wǎng)絡(luò)流量最大的那些計(jì)算機(jī)。利用 Sniffer的的Host Table功能，將所有計(jì)算功能，將所有計(jì)算 機(jī)按

26、照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序機(jī)按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序 發(fā)包數(shù)量前列的IP地址為的主機(jī)，其從網(wǎng)絡(luò) 收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445 個(gè)； 這對(duì)HTTP協(xié)議來說顯然是不正常的，HTTP協(xié)議是基 于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一 般來說光發(fā)包不收包是種類似于廣播的 同樣，我們可以發(fā)現(xiàn)，如下IP地址存在同 樣的問題 首先我們對(duì)IP地址為的主機(jī)產(chǎn) 生的網(wǎng)絡(luò)流量進(jìn)行過濾 蠕蟲病毒流量分析 發(fā)出的數(shù)據(jù)包的內(nèi)容 五、緩沖區(qū)溢出與病毒 攻擊的原理 緩沖區(qū)溢出與病毒攻擊的原理 緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位緩

27、沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位 數(shù)超過緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理數(shù)超過緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理 想情況是，程序檢查數(shù)據(jù)長(zhǎng)度并且不允許輸入超過緩沖區(qū)長(zhǎng)度想情況是，程序檢查數(shù)據(jù)長(zhǎng)度并且不允許輸入超過緩沖區(qū)長(zhǎng)度 的字符串。大多數(shù)程序都會(huì)假設(shè)數(shù)據(jù)長(zhǎng)度總是與所分配的存儲(chǔ)的字符串。大多數(shù)程序都會(huì)假設(shè)數(shù)據(jù)長(zhǎng)度總是與所分配的存儲(chǔ) 空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的 緩沖區(qū)又被稱為堆棧，在各個(gè)操作進(jìn)程之間，指令被臨時(shí)存儲(chǔ)緩沖區(qū)又被稱為堆棧，在各個(gè)操作進(jìn)程之間，指令被臨時(shí)存儲(chǔ) 在

28、堆棧當(dāng)中，堆棧也會(huì)出現(xiàn)緩沖區(qū)溢出。在堆棧當(dāng)中，堆棧也會(huì)出現(xiàn)緩沖區(qū)溢出。 當(dāng)一個(gè)超長(zhǎng)的數(shù)據(jù)進(jìn)入到緩沖區(qū)時(shí)，超出部分就會(huì)被寫當(dāng)一個(gè)超長(zhǎng)的數(shù)據(jù)進(jìn)入到緩沖區(qū)時(shí)，超出部分就會(huì)被寫 入其他緩沖區(qū)，其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的入其他緩沖區(qū)，其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的 指針、或者是其他程序的輸出內(nèi)容，這些內(nèi)容都被覆蓋或者破指針、或者是其他程序的輸出內(nèi)容，這些內(nèi)容都被覆蓋或者破 壞掉了?？梢娨恍〔糠?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一壞掉了?？梢娨恍〔糠?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一 個(gè)程序或者操作系統(tǒng)崩潰。個(gè)程序或者操作系統(tǒng)崩潰。 一、一、 緩沖區(qū)溢出緩沖區(qū)溢出 緩沖區(qū)溢出是由編程

29、錯(cuò)誤引起的。如果緩沖區(qū)被寫滿，而緩沖區(qū)溢出是由編程錯(cuò)誤引起的。如果緩沖區(qū)被寫滿，而 程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時(shí)緩沖程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時(shí)緩沖 區(qū)溢出就會(huì)發(fā)生。區(qū)溢出就會(huì)發(fā)生。 緩沖區(qū)溢出之所以泛濫，是由于開放源代碼程序的本質(zhì)決緩沖區(qū)溢出之所以泛濫，是由于開放源代碼程序的本質(zhì)決 定的。某些編程語(yǔ)言對(duì)于緩沖區(qū)溢出是具有免疫力的，例如定的。某些編程語(yǔ)言對(duì)于緩沖區(qū)溢出是具有免疫力的，例如 Perl能夠自動(dòng)調(diào)節(jié)字節(jié)排列的大小，能夠自動(dòng)調(diào)節(jié)字節(jié)排列的大小，Ada 95能夠檢查和阻止緩能夠檢查和阻止緩 沖區(qū)溢出。但是被廣泛使用的沖區(qū)溢出。但是被廣泛使用的C

30、語(yǔ)言卻沒有建立檢測(cè)機(jī)制。標(biāo)語(yǔ)言卻沒有建立檢測(cè)機(jī)制。標(biāo) 準(zhǔn)準(zhǔn)C語(yǔ)言具有許多復(fù)制和添加字符串的函數(shù)，這使得標(biāo)準(zhǔn)語(yǔ)言具有許多復(fù)制和添加字符串的函數(shù)，這使得標(biāo)準(zhǔn)C語(yǔ)語(yǔ) 言很難進(jìn)行邊界檢查。言很難進(jìn)行邊界檢查。C+語(yǔ)言略微好一些，但是仍然存在緩語(yǔ)言略微好一些，但是仍然存在緩 沖區(qū)溢出情況。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意沖區(qū)溢出情況。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意 義的，最多造成應(yīng)用程序錯(cuò)誤，但是，如果輸入的數(shù)據(jù)是經(jīng)過義的，最多造成應(yīng)用程序錯(cuò)誤，但是，如果輸入的數(shù)據(jù)是經(jīng)過 “黑客黑客”或者病毒精心設(shè)計(jì)的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是或者病毒精心設(shè)計(jì)的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是“黑黑 客客”或者

31、病毒的攻擊程序代碼，一旦多余字節(jié)被編譯執(zhí)行，或者病毒的攻擊程序代碼，一旦多余字節(jié)被編譯執(zhí)行， “黑客黑客”或者病毒就有可能為所欲為，獲取系統(tǒng)的控制權(quán)?；蛘卟《揪陀锌赡転樗麨?，獲取系統(tǒng)的控制權(quán)。 二、緩沖區(qū)溢出的根源在于編程錯(cuò)誤二、緩沖區(qū)溢出的根源在于編程錯(cuò)誤 緩沖區(qū)溢出與病毒攻擊的原理 緩沖區(qū)溢出是目前導(dǎo)致緩沖區(qū)溢出是目前導(dǎo)致“黑客黑客”型病毒橫行的主要原因。型病毒橫行的主要原因。 從從“紅色代碼紅色代碼”到到“Slammer”，再到，再到 “沖擊波沖擊波”，都是利用，都是利用 緩沖區(qū)溢出漏洞的典型病毒案例。緩沖區(qū)溢出是一個(gè)編程問題，緩沖區(qū)溢出漏洞的典型病毒案例。緩沖區(qū)溢出是一個(gè)編程問題，

32、防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā)防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā) 程序時(shí)仔細(xì)檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外，用程序時(shí)仔細(xì)檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外，用 戶需要經(jīng)常登錄操作系統(tǒng)和應(yīng)用程序提供商的網(wǎng)站，跟蹤公布戶需要經(jīng)常登錄操作系統(tǒng)和應(yīng)用程序提供商的網(wǎng)站，跟蹤公布 的系統(tǒng)漏洞，及時(shí)下載補(bǔ)丁程序，彌補(bǔ)系統(tǒng)漏洞。的系統(tǒng)漏洞，及時(shí)下載補(bǔ)丁程序，彌補(bǔ)系統(tǒng)漏洞。 三、緩沖區(qū)溢出導(dǎo)致三、緩沖區(qū)溢出導(dǎo)致“黑客黑客”病毒橫行病毒橫行 緩沖區(qū)溢出與病毒攻擊的原理 沖擊波病毒沖擊波病毒 警惕程度：警惕程度： 病毒類型：蠕蟲病毒病毒類型：蠕蟲病毒 發(fā)作

33、時(shí)間：隨機(jī)發(fā)作時(shí)間：隨機(jī) 傳播途徑：網(wǎng)絡(luò)傳播途徑：網(wǎng)絡(luò)/RPC/RPC漏洞漏洞 依賴系統(tǒng)：依賴系統(tǒng)： Windows 2000 Windows 2000 Windows XP Windows XP Windows Server 2003 Windows Server 2003 RPC RPC（Remote Procedure Call Protocol） 遠(yuǎn)程過程調(diào)用遠(yuǎn)程過程調(diào)用協(xié)議協(xié)議 它是一種通過網(wǎng)絡(luò)從遠(yuǎn)程計(jì)算機(jī)程序它是一種通過網(wǎng)絡(luò)從遠(yuǎn)程計(jì)算機(jī)程序 上請(qǐng)求服務(wù)。上請(qǐng)求服務(wù)。 病毒原理 利用微軟公司公布的利用微軟公司公布的RPCRPC漏洞進(jìn)行漏洞進(jìn)行 傳播的，只要是計(jì)算機(jī)上有傳播的，只要是計(jì)

34、算機(jī)上有RPCRPC服服 務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī) 都存在有都存在有RPCRPC漏洞。漏洞。 DCOM 分布式組件對(duì)象模型分布式組件對(duì)象模型 微軟軟件的一系列程序接口，利用微軟軟件的一系列程序接口，利用 這個(gè)接口，客戶端程序?qū)ο竽軌蛘?qǐng)求來這個(gè)接口，客戶端程序?qū)ο竽軌蛘?qǐng)求來 自網(wǎng)絡(luò)中另一臺(tái)計(jì)算機(jī)上的服務(wù)器程序自網(wǎng)絡(luò)中另一臺(tái)計(jì)算機(jī)上的服務(wù)器程序 對(duì)象。分布式組件對(duì)象模型基于對(duì)象。分布式組件對(duì)象模型基于組件對(duì)組件對(duì) 象模型（象模型（COMCOM），COMCOM提供了一套允許同提供了一套允許同 一臺(tái)計(jì)算機(jī)上的客戶端和服務(wù)器之間進(jìn)一臺(tái)計(jì)算機(jī)上的客戶端和服務(wù)器之間進(jìn) 行通信

35、的接口。行通信的接口。 病毒運(yùn)行時(shí). 不停地利用不停地利用IPIP掃描技術(shù)尋找網(wǎng)絡(luò)上系掃描技術(shù)尋找網(wǎng)絡(luò)上系 統(tǒng)為統(tǒng)為XPXP的計(jì)算機(jī)的計(jì)算機(jī), ,找到后就利用找到后就利用DCOM RPCDCOM RPC緩緩 沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病 毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染， 使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系 統(tǒng)崩潰。另外，該病毒還會(huì)對(duì)微軟的一個(gè)統(tǒng)崩潰。另外，該病毒還會(huì)對(duì)微軟的一個(gè) 升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站 堵塞，使用戶無(wú)法通

36、過該網(wǎng)站升級(jí)系統(tǒng)。堵塞，使用戶無(wú)法通過該網(wǎng)站升級(jí)系統(tǒng)。 病毒發(fā)作 系統(tǒng)資源被大量占用，并且系統(tǒng)反復(fù)重啟，不能系統(tǒng)資源被大量占用，并且系統(tǒng)反復(fù)重啟，不能 收發(fā)郵件、不能正常復(fù)制文件、無(wú)法正常瀏覽網(wǎng)頁(yè)，收發(fā)郵件、不能正常復(fù)制文件、無(wú)法正常瀏覽網(wǎng)頁(yè)， 復(fù)制粘貼等操作受到嚴(yán)重破壞，且不能復(fù)制粘貼，有復(fù)制粘貼等操作受到嚴(yán)重破壞，且不能復(fù)制粘貼，有 時(shí)會(huì)彈出時(shí)會(huì)彈出RPCRPC服務(wù)終止的對(duì)話框。服務(wù)終止的對(duì)話框。 病毒如何進(jìn)行. 1.將自身復(fù)制到將自身復(fù)制到window目錄目錄下，并命名下，并命名 為為.msblast.exe。 病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為：病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為： “BI

37、LLY”的互斥量，目的是病毒只保證在的互斥量，目的是病毒只保證在 內(nèi)存內(nèi)存中有一份中有一份病毒體病毒體，為了避免用戶發(fā)現(xiàn)。，為了避免用戶發(fā)現(xiàn)。 病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為：病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為： “msblast.exe”的的進(jìn)程進(jìn)程，該進(jìn)程就是活，該進(jìn)程就是活 的病毒體。的病毒體。 病毒會(huì)修改注冊(cè)表，以便每次啟動(dòng)病毒會(huì)修改注冊(cè)表，以便每次啟動(dòng) 系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。 會(huì)以會(huì)以20秒為間隔，每秒為間隔，每20秒檢測(cè)一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)秒檢測(cè)一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò) 可用時(shí)，病毒會(huì)在本地建立一個(gè)服務(wù)器并啟動(dòng)一個(gè)攻擊傳可用時(shí)，病毒會(huì)在本地建立一個(gè)服務(wù)器并啟動(dòng)一個(gè)

38、攻擊傳 播線程，不斷地隨機(jī)生成攻擊地址，進(jìn)行攻擊。另外該病播線程，不斷地隨機(jī)生成攻擊地址，進(jìn)行攻擊。另外該病 毒攻擊時(shí)，會(huì)首先搜索子網(wǎng)的毒攻擊時(shí)，會(huì)首先搜索子網(wǎng)的IP地址地址，以便就近攻擊。當(dāng)，以便就近攻擊。當(dāng) 病毒掃描到計(jì)算機(jī)后，就會(huì)向目標(biāo)計(jì)算機(jī)病毒掃描到計(jì)算機(jī)后，就會(huì)向目標(biāo)計(jì)算機(jī)端口端口發(fā)送攻擊數(shù)發(fā)送攻擊數(shù) 據(jù)。成功后，便會(huì)監(jiān)聽目標(biāo)計(jì)算機(jī)的據(jù)。成功后，便會(huì)監(jiān)聽目標(biāo)計(jì)算機(jī)的端口端口，并綁定，并綁定 cmd.exe。然后然后蠕蟲蠕蟲會(huì)連接到這個(gè)端口，發(fā)送命令，回連會(huì)連接到這個(gè)端口，發(fā)送命令，回連 到發(fā)起進(jìn)攻的主機(jī)，將到發(fā)起進(jìn)攻的主機(jī)，將msblast.exe傳到目標(biāo)計(jì)算機(jī)上并傳到目標(biāo)計(jì)算機(jī)上并

39、 運(yùn)行。運(yùn)行。 病毒如何進(jìn)行. 六、木馬程序 特洛伊木馬的定義 n特洛伊木馬特洛伊木馬(Trojan Horse)，簡(jiǎn)稱木馬，簡(jiǎn)稱木馬， 是一種惡意程序，是一種基于遠(yuǎn)程控制的是一種惡意程序，是一種基于遠(yuǎn)程控制的 黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄 悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無(wú)察悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無(wú)察 覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控 制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修 改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控控 制鍵盤，或竊取用

40、戶信息制鍵盤，或竊取用戶信息 n古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊 城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、 欺騙欺騙(哄騙，哄騙，Spoofing)等手段進(jìn)入被攻擊等手段進(jìn)入被攻擊 的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān) 控控 n 特洛伊木馬是一種秘密潛伏的能夠特洛伊木馬是一種秘密潛伏的能夠 通過遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序。通過遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序。 n 控制者可以控制被秘密植入木馬的控制者可以控制被秘密植入木馬的 計(jì)算機(jī)的一切動(dòng)作和資源，是惡意攻擊計(jì)算機(jī)的一切動(dòng)作和資源，是惡意

41、攻擊 者進(jìn)行竊取信息等的工具。他由黑客通者進(jìn)行竊取信息等的工具。他由黑客通 過種種途徑植入并駐留在目標(biāo)計(jì)算機(jī)里。過種種途徑植入并駐留在目標(biāo)計(jì)算機(jī)里。 n 木馬可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某木馬可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某 一端口進(jìn)行偵聽，在對(duì)目標(biāo)計(jì)算機(jī)的的一端口進(jìn)行偵聽，在對(duì)目標(biāo)計(jì)算機(jī)的的 數(shù)據(jù)、資料、動(dòng)作進(jìn)行識(shí)別后，就對(duì)其數(shù)據(jù)、資料、動(dòng)作進(jìn)行識(shí)別后，就對(duì)其 執(zhí)行特定的操作，并接受執(zhí)行特定的操作，并接受“黑客黑客”指令將指令將 有關(guān)數(shù)據(jù)發(fā)送到有關(guān)數(shù)據(jù)發(fā)送到“黑客大本營(yíng)黑客大本營(yíng)”。 n 這只是木馬的搜集信息階段，黑客這只是木馬的搜集信息階段，黑客 同時(shí)可以利用木馬對(duì)計(jì)算同時(shí)可以利用木馬對(duì)計(jì)算 機(jī)進(jìn)行

42、進(jìn)一步機(jī)進(jìn)行進(jìn)一步 的攻擊！這時(shí)的目標(biāo)計(jì)算機(jī)就是大家常的攻擊！這時(shí)的目標(biāo)計(jì)算機(jī)就是大家常 聽到的聽到的“肉雞肉雞”了！了！ 2特洛伊木馬病毒的危害性 n 特洛伊木馬和病毒、蠕蟲之類的惡特洛伊木馬和病毒、蠕蟲之類的惡 意程序一樣，也會(huì)刪除或修改文件、格意程序一樣，也會(huì)刪除或修改文件、格 式化硬盤、上傳和下載文件、騷擾用戶、式化硬盤、上傳和下載文件、騷擾用戶、 驅(qū)逐其他惡意程序。驅(qū)逐其他惡意程序。 n 除此以外，木馬還有其自身的特點(diǎn)：除此以外，木馬還有其自身的特點(diǎn)： n 竊取內(nèi)容；竊取內(nèi)容； 遠(yuǎn)程控制。遠(yuǎn)程控制。 特洛伊木馬技術(shù)的發(fā)展 n木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個(gè)階段木馬的發(fā)展及成熟，大致

43、也經(jīng)歷了兩個(gè)階段 nUnix階段階段 nWindows階段階段 n木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代代 n第一代木馬第一代木馬 n只是進(jìn)行簡(jiǎn)單的密碼竊取、發(fā)送等，沒有什么特別之處只是進(jìn)行簡(jiǎn)單的密碼竊取、發(fā)送等，沒有什么特別之處 n第二代木馬第二代木馬 n在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說是國(guó)內(nèi)木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說是國(guó)內(nèi)木馬 的典型代表之一的典型代表之一 n第三代木馬第三代木馬 n在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，等類型的木馬， 利用畸形報(bào)文傳遞數(shù)據(jù)

44、，增加了查殺的難度利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度 n第四代木馬第四代木馬 n在進(jìn)程隱藏方面，做了很大的改動(dòng)，采用了內(nèi)核插入式的嵌入方式，在進(jìn)程隱藏方面，做了很大的改動(dòng)，采用了內(nèi)核插入式的嵌入方式， 利用遠(yuǎn)程插入線程技術(shù)，嵌入利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程；或者掛接線程；或者掛接PSAPI(Process Status API)，實(shí)現(xiàn)木馬程序的隱藏，實(shí)現(xiàn)木馬程序的隱藏 常見的特洛伊木馬 n常見的特洛伊木馬，例如常見的特洛伊木馬，例如Back Orifice和和 SubSeven等，都是多用途的攻擊工具包，等，都是多用途的攻擊工具包， 功能非常全面，包括捕獲屏幕、聲音、視功能非常全面

45、，包括捕獲屏幕、聲音、視 頻內(nèi)容的功能。這些特洛伊木馬可以當(dāng)作頻內(nèi)容的功能。這些特洛伊木馬可以當(dāng)作 鍵記錄器、遠(yuǎn)程控制器、鍵記錄器、遠(yuǎn)程控制器、FTP服務(wù)器、服務(wù)器、 HTTP服務(wù)器、服務(wù)器、Telnet服務(wù)器，還能夠?qū)ふ曳?wù)器，還能夠?qū)ふ?和竊取密碼。和竊取密碼。 n由于功能全面，所以這些特洛伊木馬的體由于功能全面，所以這些特洛伊木馬的體 積也往往較大，通常達(dá)到積也往往較大，通常達(dá)到100 KB至至300 KB，相對(duì)而言，要把它們安裝到用戶機(jī)器，相對(duì)而言，要把它們安裝到用戶機(jī)器 上而不引起任何人注意的難度也較大。上而不引起任何人注意的難度也較大。 常見的特洛伊木馬 n 對(duì)于功能比較單一的特洛

46、伊木馬，對(duì)于功能比較單一的特洛伊木馬， 攻擊者會(huì)力圖使它保持較小的體積，通攻擊者會(huì)力圖使它保持較小的體積，通 常是常是10 KB到到30 KB，以便快速激活而，以便快速激活而 不引起注意。這些木馬通常作為鍵記錄不引起注意。這些木馬通常作為鍵記錄 器使用，它們把受害用戶的每一個(gè)鍵擊器使用，它們把受害用戶的每一個(gè)鍵擊 事件記錄下來，保存到某個(gè)隱藏的文件，事件記錄下來，保存到某個(gè)隱藏的文件， 這樣攻擊者就可以下載文件分析用戶的這樣攻擊者就可以下載文件分析用戶的 操作了。操作了。 常見的特洛伊木馬 n Back Orifice是一個(gè)遠(yuǎn)程訪問特洛伊木馬的病毒，是一個(gè)遠(yuǎn)程訪問特洛伊木馬的病毒， 該程序使黑

47、客可以經(jīng)該程序使黑客可以經(jīng)TCP/IP網(wǎng)絡(luò)進(jìn)入并控制網(wǎng)絡(luò)進(jìn)入并控制 windows系統(tǒng)并任意訪問系統(tǒng)任何資源，通過調(diào)系統(tǒng)并任意訪問系統(tǒng)任何資源，通過調(diào) 用用cmd.exe系統(tǒng)命令實(shí)現(xiàn)自身的功能，其破壞力系統(tǒng)命令實(shí)現(xiàn)自身的功能，其破壞力 極大。極大。 n SubSeven可以作為鍵記錄器、包嗅探器使用，可以作為鍵記錄器、包嗅探器使用， 還具有端口重定向、注冊(cè)表修改、麥克風(fēng)和攝像還具有端口重定向、注冊(cè)表修改、麥克風(fēng)和攝像 頭記錄的功能。頭記錄的功能。 n SubSeven還具有其他功能：攻擊者可以遠(yuǎn)程交換鼠標(biāo)還具有其他功能：攻擊者可以遠(yuǎn)程交換鼠標(biāo) 按鍵，關(guān)閉按鍵，關(guān)閉/打開打開Caps Lock、

48、Num Lock和和Scroll Lock，禁用，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和組合鍵，注銷用戶，打開和 關(guān)閉關(guān)閉CD-ROM驅(qū)動(dòng)器，關(guān)閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯驅(qū)動(dòng)器，關(guān)閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯 示，關(guān)閉和重新啟動(dòng)計(jì)算機(jī)示，關(guān)閉和重新啟動(dòng)計(jì)算機(jī) 常見的特洛伊木馬 n在在2006年之前，冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，在國(guó)內(nèi)沒用過冰河的人等于沒用年之前，冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，在國(guó)內(nèi)沒用過冰河的人等于沒用 過木馬，由此可見冰河木馬在國(guó)內(nèi)的影響力之巨大。過木馬，由此可見冰河木馬在國(guó)內(nèi)的影響力之巨大。 n 該軟件主要用于遠(yuǎn)程監(jiān)控，自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化等。冰

49、河原作者：黃鑫，冰河的開放該軟件主要用于遠(yuǎn)程監(jiān)控，自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化等。冰河原作者：黃鑫，冰河的開放 端口端口7626據(jù)傳為其生日號(hào)。據(jù)傳為其生日號(hào)。 1自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化即在同步被控端屏幕變化 的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）；的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）； 2記錄各種口令信息：包括開機(jī)口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對(duì)話框中記錄各種口令信息：包括開機(jī)口令、屏?？诹?、各種共享資源口令及絕大多數(shù)

50、在對(duì)話框中 出現(xiàn)過的口令信息；出現(xiàn)過的口令信息； 3獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯 示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)； 4限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表 等多項(xiàng)功能限制；等多項(xiàng)功能限制； 5遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文遠(yuǎn)程文件操作：包括創(chuàng)建、上

51、傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文 本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式正常方式、最大化、最小化和隱正常方式、最大化、最小化和隱 藏方式）等多項(xiàng)文件操作功能；藏方式）等多項(xiàng)文件操作功能； 6注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作 功能；功能； 常見的特洛伊木馬 n灰鴿子（灰鴿子（Hack. Huigezi）是一個(gè)集多種控制方）是一個(gè)集多種控制方 法于一體的木馬病毒，一旦用戶電腦不幸感染，法于一體的木馬病毒

52、，一旦用戶電腦不幸感染， 可以說用戶的一舉一動(dòng)都在黑客的監(jiān)控之下，要可以說用戶的一舉一動(dòng)都在黑客的監(jiān)控之下，要 竊取賬號(hào)、密碼、照片、重要文件都輕而易舉。竊取賬號(hào)、密碼、照片、重要文件都輕而易舉。 n自自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)年，灰鴿子誕生之日起，就被反病毒專業(yè) 人士判定為最具危險(xiǎn)性的后門程序，并引發(fā)了安人士判定為最具危險(xiǎn)性的后門程序，并引發(fā)了安 全領(lǐng)域的高度關(guān)注。全領(lǐng)域的高度關(guān)注。2004年、年、2005年、年、2006 年，灰鴿子木馬連續(xù)三年被國(guó)內(nèi)各大殺毒廠商評(píng)年，灰鴿子木馬連續(xù)三年被國(guó)內(nèi)各大殺毒廠商評(píng) 選為年度十大病毒，灰鴿子也因此聲名大噪，逐選為年度十大病毒，灰鴿

53、子也因此聲名大噪，逐 步成為媒體以及網(wǎng)民關(guān)注的焦點(diǎn)。步成為媒體以及網(wǎng)民關(guān)注的焦點(diǎn)。 特洛伊木馬的定義 n木馬與病毒木馬與病毒 n一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特 點(diǎn)而定義的點(diǎn)而定義的 n特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義 的，更多情況下是根據(jù)其意圖來定義的的，更多情況下是根據(jù)其意圖來定義的 n木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程 序中得到安裝、啟動(dòng)木馬的權(quán)限，序中得到安裝、啟動(dòng)木馬的權(quán)限

54、，DLL木馬甚至采用動(dòng)態(tài)嵌木馬甚至采用動(dòng)態(tài)嵌 入技術(shù)寄生在合法程序的進(jìn)程中入技術(shù)寄生在合法程序的進(jìn)程中 n木馬一般不具有普通病毒所具有的自我繁殖、主動(dòng)感染傳播木馬一般不具有普通病毒所具有的自我繁殖、主動(dòng)感染傳播 等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說，木馬等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說，木馬 也是廣義病毒的一個(gè)子類也是廣義病毒的一個(gè)子類 n木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控 n木馬與合法遠(yuǎn)程控制軟件木馬與合法遠(yuǎn)程控制軟件(如如pcAnyWhere)的主要的主要 區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性區(qū)別在于是否具有隱蔽性、是否

55、具有非授權(quán)性 特洛伊木馬的結(jié)構(gòu) n木馬系統(tǒng)軟件一般由木馬配置程序、控制 程序和木馬程序(服務(wù)器程序)三部分組成 配置 控制 響應(yīng) 木馬程序 配置程序 控制程序 木馬服務(wù)器木馬控制端(客戶端) 特洛伊木馬的基本原理 n運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過程運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過程 木馬 信息 控制端Internet服務(wù)端 配置木馬 傳播木馬 運(yùn)行木馬 信息反饋 建立連接 遠(yuǎn)程控制 特洛伊木馬的基本原理 n木馬控制端與服務(wù)端連接的建立木馬控制端與服務(wù)端連接的建立 n控制端要與服務(wù)端建立連接必須知道服務(wù)端的控制端要與服務(wù)端建立連接必須知道服務(wù)端的 木馬端口和木馬端口和IP地址地址 n由于木馬端口是事先

56、設(shè)定的，為已知項(xiàng)，所以由于木馬端口是事先設(shè)定的，為已知項(xiàng)，所以 最重要的是如何獲得服務(wù)端的最重要的是如何獲得服務(wù)端的IP地址地址 n獲得服務(wù)端的獲得服務(wù)端的IP地址的方法主要有兩種：信息地址的方法主要有兩種：信息 反饋和反饋和IP掃描掃描 特洛伊木馬的基本原理 木馬控制端與服務(wù)端連接的建立木馬控制端與服務(wù)端連接的建立 特洛伊木馬的基本原理 n木馬通道與遠(yuǎn)程控制木馬通道與遠(yuǎn)程控制 n木馬連接建立后，控制端端口和服務(wù)端木馬端木馬連接建立后，控制端端口和服務(wù)端木馬端 口之間將會(huì)出現(xiàn)一條通道口之間將會(huì)出現(xiàn)一條通道 n控制端上的控制端程序可藉這條通道與服務(wù)端控制端上的控制端程序可藉這條通道與服務(wù)端 上的

57、木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ系哪抉R程序取得聯(lián)系，并通過木馬程序?qū)Ψ?務(wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本務(wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本 地操作地操作 控制端 程序 木馬 程序 10966267 控制端服務(wù)端 竊取密碼 文件操作 修改注冊(cè)表 系統(tǒng)操作 特洛伊木馬的傳播方式 n木馬常用的傳播方式，有以下幾種：木馬常用的傳播方式，有以下幾種： n以郵件附件的形式傳播以郵件附件的形式傳播 n控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人 n通過通過OICQ、QQ等聊天工具軟件傳播等聊天工具軟件傳播 n在進(jìn)行聊天時(shí)，利用文件傳送功能發(fā)

58、送偽裝過的木馬程序給對(duì)在進(jìn)行聊天時(shí)，利用文件傳送功能發(fā)送偽裝過的木馬程序給對(duì) 方方 n通過提供軟件下載的網(wǎng)站通過提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播傳播 n木馬程序一般非常小，只有是幾木馬程序一般非常小，只有是幾K到幾十到幾十K，如果把木馬捆綁，如果把木馬捆綁 到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被 人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這 些下載的文件的同時(shí)，也運(yùn)行了木馬些下載的文件的同時(shí)，也運(yùn)行了木馬 n通過一般的病毒和蠕蟲傳播通過一般的病毒

59、和蠕蟲傳播 n通過帶木馬的磁盤和光盤進(jìn)行傳播通過帶木馬的磁盤和光盤進(jìn)行傳播 七、計(jì)算機(jī)日常使用的 安全建議 計(jì)算機(jī)日常使用的安全建議計(jì)算機(jī)日常使用的安全建議 建立良好的安全習(xí)慣。例如：對(duì)一些來歷不明的郵件及建立良好的安全習(xí)慣。例如：對(duì)一些來歷不明的郵件及 附件不要打開，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從附件不要打開，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從 Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會(huì)使下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會(huì)使 您的計(jì)算機(jī)更安全。您的計(jì)算機(jī)更安全。 關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認(rèn)情況下，許多操關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認(rèn)情況下，許多操 作系統(tǒng)會(huì)安裝一些輔助服務(wù)，如作系統(tǒng)會(huì)安裝一些輔助服務(wù)，如FTP客戶端、客戶端、Telnet和和Web服服 務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對(duì)用戶沒有太大用務(wù)器。這些服務(wù)為攻擊者提供了方便，而又