齊魯醫(yī)學計算機病毒及惡意代碼_第1頁
齊魯醫(yī)學計算機病毒及惡意代碼_第2頁
齊魯醫(yī)學計算機病毒及惡意代碼_第3頁
齊魯醫(yī)學計算機病毒及惡意代碼_第4頁
齊魯醫(yī)學計算機病毒及惡意代碼_第5頁
已閱讀5頁,還剩62頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、第五章 計算機病毒及惡意代碼 本章學習重點掌握內(nèi)容:傳統(tǒng)病毒原理腳本病毒原理網(wǎng)絡蠕蟲原理木馬技術(shù)網(wǎng)絡釣魚技術(shù)僵尸網(wǎng)絡流氓軟件2021/9/301第五章 計算機病毒及惡意代碼5.1 計算機病毒概述5.2 傳統(tǒng)的計算機病毒5.3 腳本病毒5.4網(wǎng)絡蠕蟲5.5木馬技術(shù)5.6網(wǎng)絡釣魚5.7僵尸網(wǎng)絡5.8流氓軟件5.9瀏覽器劫持2021/9/3025.1計算機病毒概述 5.1.1 計算機病毒的定義計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。 2021/9/3035.1.2計算機病毒發(fā)展歷史計算機病毒的 計算機病毒伴隨計

2、算機、網(wǎng)絡信息技術(shù)的快速發(fā)展而日趨復雜多變,其破壞性和傳播能力也不斷增強。計算機病毒發(fā)展主要經(jīng)歷了五個重要的階段。(1)原始病毒階段(第一階段)攻擊目標和破壞性比較單一。病毒程序不具有自我保護功能,較容易被人們分析、識別和清除。(2)混合型病毒階段(第二階段)1989-1991,隨著計算機局域網(wǎng)的應用與普及,給計算機病毒帶來了第一次流行高峰。主要特點:攻擊目標趨于綜合,以更隱蔽的方法駐留在內(nèi)在和傳染目標中,系統(tǒng)感染病毒后沒有明顯的特征,病毒程序具有自我保護功能,出現(xiàn)眾多病毒的變種(3)多態(tài)性病毒階段(第三階段)在每次傳染目標時,放入宿主程序中的病毒程序大部分是可變的。防病毒軟件難以查殺,如94

3、年“幽靈“病毒。(4)網(wǎng)絡病毒階段(第四階段)隨國際互聯(lián)網(wǎng)廣泛發(fā)展,依賴互聯(lián)網(wǎng)傳播的郵件病毒和宏病毒等泛濫,呈現(xiàn)出病毒傳播快、隱蔽性強、破壞性大特點?;赪indows運行環(huán)境的病毒,隨著微軟Office軟件的普及,出現(xiàn)了宏病毒,各種腳本病毒也日益增多著名病毒如 CIH病毒等(5)主動攻擊型病毒階段(第五階段)典型代表:沖擊波、震蕩波病毒和木馬等。2021/9/3045.1.2計算機病毒發(fā)展歷史計算機病毒的產(chǎn)生原因 計算機病毒的產(chǎn)生原因主要有4個方面:1) 惡作劇型2) 報復心理型3) 版權(quán)保護型4) 特殊目的型 2021/9/3055.1.3計算機病毒的命名方式病毒的命名并無統(tǒng)一的規(guī)定,基本

4、都是采用前后綴法來進行命名。一般格式為:前綴.病毒名.后綴。以振蕩波蠕蟲病毒的變種c“Worm. Sasser. c”為例,Worm指病毒的種類為蠕蟲,Sasser是病毒名,c指該病毒的變種。(1)病毒前綴(2)病毒名(3)病毒后綴2021/9/3065.1.4 計算機病毒的分類(1)1. 以病毒攻擊的操作系統(tǒng)分類(1) 攻擊DOS 系統(tǒng)的病毒(2) 攻擊Windows 系統(tǒng)的病毒用戶使用多,主要的攻擊對象(3) 攻擊UNIX 系統(tǒng)的病毒(4) 攻擊OS/2 系統(tǒng)的病毒(5) 攻擊NetWare 系統(tǒng)的病毒2以病毒的攻擊機型分類(1) 攻擊微型計算機的病毒(2) 攻擊小型機的計算機病毒(3)

5、攻擊服務器的計算機病毒2021/9/3075.1.4 計算機病毒的分類(2)3按照計算機病毒的鏈接方式分類(1) 源碼型病毒(2) 嵌入型病毒將計算機病毒的主體程序與其攻擊對象以插入方式進行鏈接,一旦進入程序中就難以清除。(3) 外殼型病毒將自身包圍在合法的主程序的周圍,對原來的程序并不作任何修改。常見、易于編寫、易發(fā)現(xiàn)。(4) 操作系統(tǒng)型病毒4按照計算機病毒的破壞能力分類根據(jù)病毒破壞的能力可劃分為4種:(1) 無害型(2) 無危險型(3) 危險型 (4) 非常危險型2021/9/3085.1.4 計算機病毒的分類(3)5按照傳播媒介不同分類(1)單機病毒(2)網(wǎng)絡病毒6按傳播方式不同分類(1

6、)引導型病毒(2)文件型病毒: .com .exe(3)混合型病毒7根據(jù)病毒特有的算法不同分類(1) 伴隨型病毒(2) 蠕蟲型病毒(3) 寄生型病毒(4) 練習型病毒(5) 詭秘型病毒(6) 變型病毒(又稱幽靈病毒)2021/9/3095.1.4 計算機病毒的分類(4)8. 按照病毒的寄生部位或傳染對象分類(1)磁盤引導區(qū)傳染的計算機病毒(2)操作系統(tǒng)傳染的計算機病毒(3)可執(zhí)行程序傳染的計算機病毒 以上三種病毒的分類,實際上可以歸納為兩大類:一類是引導區(qū)型傳染的計算機病毒;另一類是可執(zhí)行文件型傳染的計算機病毒。 2021/9/30105.1.5 計算機病毒特征根據(jù)對計算機病毒的產(chǎn)生、傳播和破

7、壞行為的分析,可以將計算機病毒概括為以下6 個主要特點。1.傳染性指病毒具有把自身復制到其它程序中的特性 2. 取得系統(tǒng)控制權(quán)3. 隱蔽性隱蔽性 。通過隱蔽技術(shù)使宿主程序的大小沒有改變,以至于很難被發(fā)現(xiàn)。 4. 破壞性破壞性 計算機所有資源包括硬件資源和軟件資源,軟件所能接觸的地方均可能受到計算機病毒的破壞5. 潛伏性潛伏性 長期隱藏在系統(tǒng)中,只有在滿足特定條件時,才啟動其破壞模塊。 6. 不可預見性2021/9/30115.1.5 計算機病毒特征網(wǎng)絡病毒又增加很多新的特點 主動通過網(wǎng)絡和郵件系統(tǒng)傳播 計算機的病毒種類呈爆炸式增長變種多,容易編寫,并且很容易被修改,生成很多病毒變種 融合多種網(wǎng)

8、絡技術(shù),并被黑客所使用 2021/9/30125.1.6病毒的組成結(jié)構(gòu)與傳播計算機病毒的組成結(jié)構(gòu)計算機病毒的種類很多,但通過分析現(xiàn)有的計算機病毒,發(fā)現(xiàn)幾乎所有的計算機病毒都是由3 個部分組成即:引導模塊傳播模塊表現(xiàn)模塊2021/9/30135.1.6病毒的組成結(jié)構(gòu)與傳播病毒傳播可分為兩種方式:(1) 用戶在進行復制磁盤或文件時,把病毒由一個載體復制到另一個載體上,或者通過網(wǎng)絡把一個病毒程序從一方傳遞到另一方,這種傳播方式叫做計算機病毒的被動傳播;(2) 計算機病毒以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件,在病毒處于激活狀態(tài)下,只要傳播條件滿足,病毒程序能主動把病毒自身傳播給另一個載

9、體或另一個系統(tǒng),這種傳播方式叫做計算機病毒的主動傳播。 2021/9/30145.1.6病毒的組成結(jié)構(gòu)與傳播計算機病毒的傳播途徑:(1) 通過不可移動的計算機硬件設備進行傳播,即利用專用ASIC 芯片和硬盤進行傳播;(2) 通過移動存儲設備來傳播,其中U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì);(3) 通過計算機網(wǎng)絡進行傳播;(4) 通過點對點通信系統(tǒng)和無線通道傳播。2021/9/30155.1.7 計算機中毒的異常表現(xiàn)1. 計算機病毒發(fā)作前的表現(xiàn)(1) 平時運行正常的計算機突然經(jīng)常性無緣無故地死機(2) 操作系統(tǒng)無法正常啟動(3) 運行速度明顯變慢(4) 正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足

10、問題(5) 打印和通訊出現(xiàn)異常(6) 無意中要求對U盤進行寫操作(7) 以往正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤 (8) 系統(tǒng)文件的時間、日期、大小發(fā)生變化(9) 無法另存為一個Word文檔(10) 磁盤空間迅速減少(11) 網(wǎng)絡驅(qū)動器卷或共享目錄無法調(diào)用。(12) 基本內(nèi)存發(fā)生變化。(13) 陌生人發(fā)來的電子郵件(14)自動鏈接到一些陌生的網(wǎng)站2021/9/30165.1.7 計算機中毒的異常表現(xiàn)2. 計算機病毒發(fā)作時的現(xiàn)象(1)提示不相關對話(2)發(fā)出音樂(3)產(chǎn)生特定的圖象(4)硬盤燈不斷閃爍(5)進行游戲算法(6)Windows桌面圖標發(fā)生變化(7)突然死機或重啟(8)自動發(fā)送電

11、子郵件(9)鼠標自己在動2021/9/30175.1.7 計算機中毒的異常表現(xiàn)3. 計算機病毒發(fā)作后的表現(xiàn)(1) 硬盤無法啟動,數(shù)據(jù)丟失(2) 系統(tǒng)文件丟失或被破壞(3) 文件目錄發(fā)生混亂(4) 部分文檔丟失或被破壞(5) 部分文檔自動加密碼(6) 修改Autoexec.bat文件,導致計算機重新啟動時格式化硬盤(7) 使部分可軟件升級主板的BIOS程序混亂,主板被破壞(8) 網(wǎng)絡癱瘓,無法提供正常的服務 2021/9/30185.2 傳統(tǒng)的計算機病毒5.2.1 計算機病毒的基本機制分為三大模塊:傳染機制、破壞機制、觸發(fā)機制。 計算機病毒的傳染機制 指計算機病毒由一個宿主傳播到另一個宿主程序,

12、由一個系統(tǒng)進入另一個系統(tǒng)的過程。 觸發(fā)機制計算機病毒在傳染和發(fā)作之前,要判斷某些特定條件是否滿足,這個條件就是計算機病毒的觸發(fā)條件。破壞機制 良性病毒表現(xiàn)為占用內(nèi)存或硬盤資源。惡性病毒則會對目標主機系統(tǒng)或信息產(chǎn)生嚴重破壞。 2021/9/30195.2.2 病毒分析Windows環(huán)境下,主要病毒有文件型病毒、引導性病毒和宏病毒等 文件型病毒文件型病毒主要感染可執(zhí)行文件,Windows環(huán)境下主要為.EXE文件,為PE格式文件PE是 Win32環(huán)境自身所帶的執(zhí)行體文件格式。 2021/9/30205.2.2 病毒分析當運行一個PE可執(zhí)行文件時 當PE文件被執(zhí)行,PE裝載器檢查 DOS MZ hea

13、der 里的 PE header 偏移量。如果找到,則跳轉(zhuǎn)到 PE header。 PE裝載器檢查 PE header 的有效性。如果有效,就跳轉(zhuǎn)到PE header的尾部。 緊跟 PE header 的是節(jié)表。PE裝載器讀取其中的節(jié)信息,并采用文件映射方法將這些節(jié)映射到內(nèi)存,同時附上節(jié)表里指定的節(jié)屬性。 PE文件映射入內(nèi)存后,PE裝載器將處理PE文件中類似 import table(引入表)邏輯部分。 2021/9/30215.2.2 病毒分析感染PE文件,必須滿足兩個基本條件:是能夠在宿主程序中被調(diào)用,獲得運行權(quán)限;主要采用重定位的方法,改PE文件在系統(tǒng)運行PE文件時,病毒代碼可以獲取控制

14、權(quán),在執(zhí)行完感染或破壞代碼后,再將控制權(quán)轉(zhuǎn)移給正常的程序代碼。方法有:可以修改文件頭中代碼開始執(zhí)行位置(AddressOfEntryPoint) 在PE文件中添加一個新節(jié) 病毒進行各種操作時需調(diào)用API函數(shù) ,有兩種解決方案。在感染PE文件的時候,可以搜索宿主的引入函數(shù)節(jié)的相關地址。解析導出函數(shù)節(jié),尤其是Kernel32.DLL 2021/9/30225.2.2 病毒分析宏病毒 就是使用宏語言編寫的程序,可以在一些數(shù)據(jù)處理系統(tǒng)中運行,存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中 感染過程 改寫Word宏改寫文檔自動執(zhí)行宏,如AutoOpen、FileSave FilePrint等等

15、 2021/9/30235.2.2 病毒分析轉(zhuǎn)換成文檔模板的宏 當宏病毒獲得運行權(quán)限之后,把所關聯(lián)的宿主文檔轉(zhuǎn)換成模板格式,然后把所有宏病毒復制到該模板之中 感染其它Word文檔 當其它的Word文件打開時,由于自動調(diào)用該模板因而會自動運行宏病毒 WordExcelAutoOpenAuto_Open AutoCloseAuto_CloseAutoExecAutoExitAutoNewAuto_ActivateAuto_Deactivate2021/9/30245.2.2 病毒分析宏病毒具有如下特點 傳播快Word文檔是交流最廣的文件類型。人們大多對外來的文檔文件基本是直接瀏覽使用,這給Word

16、宏病毒傳播帶來很多便利。 制作、變種方便Word使用宏語言WordBasic來編寫宏指令。用戶很方便就可以看到這種宏病毒的全部面目。把宏病毒稍微加以改變,立即就生產(chǎn)出了一種新的宏病毒. 破壞性大2021/9/30255.2.3 傳統(tǒng)計算機病毒防御文件型病毒一般采用以下一些方法 安裝最新版本、有實時監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時更新病毒引擎,最好每周更新一次,并在有病毒突發(fā)事件時立即更新。經(jīng)常使用防毒軟件對系統(tǒng)進行病毒檢查。對關鍵文件,如系統(tǒng)文件、重要數(shù)據(jù)等,在無毒環(huán)境下備份。在不影響系統(tǒng)正常工作的情況下對系統(tǒng)文件設置最低的訪問權(quán)限。2021/9/30265.2.3 傳統(tǒng)計算機病毒防御宏病毒

17、的預防與清除找到一個無毒的Normal.dot 文件的備份,將位于“MSOffice Template ”文件夾下的通用模板Normal.dot文件替換掉;對于已染病毒的文件,先打開一個無毒W(wǎng)ord文件,按照以下菜單打開對話框:工具-宏-安全性,設置安全性為高 2021/9/30275.3 腳本病毒 5.3.1 腳本病毒概述腳本病毒依賴一種特殊的腳本語言(如:VBScript、JavaScript等)起作用,同時需要應用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令,腳本病毒可以在多個產(chǎn)品環(huán)境中進行。腳本病毒具有如下特征 編寫簡單由于腳本的簡單性,使以前對病毒不了解的人都可以在很短的時間里編出

18、一個新型病毒。病毒源碼容易被獲取、變種多其源代碼可讀性非常強 2021/9/30285.3.1 腳本病毒概述感染力強。采用腳本高級語言可以實現(xiàn)多種復雜操作,感染其它文件或直接自動運行。破壞力強 腳本病毒可以寄生于HTML或郵件通過網(wǎng)絡傳播,其傳播速度非???。腳本病毒不但能夠攻擊被感染的主機,獲取敏感信息,刪除關鍵文件;更可以攻擊網(wǎng)絡或者服務器,造成拒絕服務攻擊,產(chǎn)生嚴重破壞。傳播范圍廣這類病毒通過HTML文檔,Email附件或其它方式,可以在很短時間內(nèi)傳遍世界各地。采用多種欺騙手段腳本病毒為了得到運行機會,往往會采用各種讓用戶不大注意的手段, 2021/9/30295.3.2 腳本病毒原理腳本

19、病毒的傳播分析 腳本病毒一般是直接通過自我復制來感染文件的,病毒中的絕大部分代碼都可以直接附加在其它同類程序中間:腳本病毒通過網(wǎng)絡傳播的幾種方式通過電子郵件傳播 通過局域網(wǎng)共享傳播感染HTML、ASP、JSP、PHP等網(wǎng)頁通過瀏覽器傳播 通過U盤自動運行傳播其它的傳播方式 2021/9/30305.3.2 腳本病毒原理腳本病毒的獲得控制權(quán)的方法分析修改注冊表項 修改自動加載項通過映射文件執(zhí)行方式欺騙用戶,讓用戶自己執(zhí)行desktop.ini和folder.htt互相配合如果用戶的目錄中含有這兩個文件,當用戶進入該目錄時,就會觸發(fā)folder.htt中的病毒代碼。直接復制和調(diào)用可執(zhí)行文件2021

20、/9/30315.3.3 腳本病毒防御腳本病毒要求被感染系統(tǒng)具有如下支持能力:VBScript代碼是通過Windows Script Host來解釋執(zhí)行的,wscript.exe就是該功能的相關支持程序。絕大部分VBS腳本病毒運行的時候需要對象FileSystemObject的支持。通過網(wǎng)頁傳播的病毒需要ActiveX的支持通過Email傳播的病毒需要郵件軟件的自動發(fā)送功能支持。2021/9/30325.3.3 腳本病毒防御因此可以采用以下方法防御腳本病毒可以通過打開“我的計算機”,依次點擊查看文件夾選項文件類型在文件類型中將后綴名為“VBS、VBE、JS、JSE、WSH、WSF”的所有針對腳

21、本文件的操作均刪除。這樣這些文件就不會被執(zhí)行了。 在IE設置中將ActiveX插件和控件以及Java相關的組件全部禁止,可以避免一些惡意代碼的攻擊。方法是:打開IE,點擊“工具”“Internet選項”“安全”“自定義級別”,在“安全設置”對話框中,將其中所有的ActiveX插件和控件以及與Java相關的組件全部禁止即可。禁用文件系統(tǒng)對象FileSystemObject, 用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統(tǒng)對象。禁止郵件軟件的自動收發(fā)郵件功能Windows默認的是“隱藏已知文件類型的擴展名稱”,將其修改為顯示所有文件類型的擴展名稱。選擇一款好的防病毒軟件并

22、做好及時升級。2021/9/30335.4網(wǎng)絡蠕蟲 5.4.1 網(wǎng)絡蠕蟲概述網(wǎng)絡蠕蟲是一種智能化、自動化并綜合網(wǎng)絡攻擊、密碼學和計算機病毒技術(shù),不要計算機使用者干預即可運行的攻擊程序或代碼。它會掃描和攻擊網(wǎng)絡上存在系統(tǒng)漏洞的節(jié)點主機,通過網(wǎng)絡從一個節(jié)點傳播到另外一個節(jié)點。 2021/9/30345.4.1 網(wǎng)絡蠕蟲概述網(wǎng)絡蠕蟲具有以下特征(2-1)主動攻擊從搜索漏洞,到利用搜索結(jié)果攻擊系統(tǒng),到攻擊成功后復制副本,整個流程全由蠕蟲自身主動完成。利用軟件漏洞蠕蟲利用系統(tǒng)的漏洞獲得被攻擊的計算機系統(tǒng)的相應權(quán)限,使之進行復制和傳播過程成為可能。造成網(wǎng)絡擁塞在傳播的過程中,蠕蟲需要判斷其它計算機是否存活

23、;判斷特定應用服務是否存在;判斷漏洞是否存在等等,這將產(chǎn)生大量的網(wǎng)絡數(shù)據(jù)流量。同時出于攻擊網(wǎng)絡的需要,蠕蟲也可以產(chǎn)生大量惡意流量,當大量的機器感染蠕蟲時,就會產(chǎn)生巨大的網(wǎng)絡流量,導致整個網(wǎng)絡癱瘓。消耗系統(tǒng)資源蠕蟲入侵到計算機系統(tǒng)之后,一方面由于要搜索目標主機、漏洞、感染其它主機需要消耗一定的資源;另一方面,許多蠕蟲會惡意耗費系統(tǒng)的資源。2021/9/30355.4.1 網(wǎng)絡蠕蟲概述留下安全隱患大部分蠕蟲會搜集、擴散、暴露系統(tǒng)敏感信息(如用戶信息等),并在系統(tǒng)中留下后門。行蹤隱蔽蠕蟲的傳播過程中,不需要用戶的輔助工作,其傳播的過程中用戶基本上不可察覺。反復性即使清除了蠕蟲留下的任何痕跡,如果沒有

24、修補計算機系統(tǒng)漏洞,網(wǎng)絡中的計算機還是會被重新感染。破壞性越來越多的蠕蟲開始包含惡意代碼,破壞被攻擊的計算機系統(tǒng),而且造成的經(jīng)濟損失數(shù)目越來越大。2021/9/3036 蠕蟲造成的損失對照表 病毒名稱持續(xù)時間造成損失莫里斯蠕蟲(MORRIS)1988年6000多臺計算機感染,占但是互聯(lián)網(wǎng)的10%,直接經(jīng)濟損失達一千多萬美元愛蟲病毒(ILOVEYOU)2000年5月至今眾多用戶計算機被感染,損失超過100億美元紅色代碼(Code Red)2001年7月100多萬臺計算機感染,直接經(jīng)濟損失超過26億美元求職信2001年12月大量病毒郵件堵塞服務器,損失達數(shù)百億美元SQL蠕蟲王2003年1月網(wǎng)絡大面

25、積癱瘓,銀行自動提款機運做中斷,直接經(jīng)濟損失超過26億美元沖擊波(Blaster)2003年20億100億美元,受到感染的計算機不計其數(shù)霸王蟲(Sobig.F)2003年50億100億美元,超過100萬臺計算機被感染震蕩波(Sasser)2004年8月?lián)p失估計:數(shù)千萬美元2021/9/30375.4.2 網(wǎng)絡蠕蟲工作機制 網(wǎng)絡蠕蟲的工作機制分為3個階段:信息收集、攻擊滲透、現(xiàn)場處理信息收集按照一定的策略搜索網(wǎng)絡中存活的主機,收集目標主機的信息,并遠程進行漏洞的分析。如果目標主機上有可以利用的漏洞則確定為一個可以攻擊的主機,否則放棄攻擊。攻擊滲透通過收集的漏洞信息嘗試攻擊,一旦攻擊成功,則獲得控

26、制該主機的權(quán)限,將蠕蟲代碼滲透到被攻擊主機?,F(xiàn)場處理當攻擊成功后,開始對被攻擊的主機進行一些處理工作,將攻擊代碼隱藏,為了能使被攻擊主機運行蠕蟲代碼,還要通過注冊表將蠕蟲程序設為自啟動狀態(tài);可以完成它想完成的任何動作,如惡意占用CPU資源;收集被攻擊主機的敏感信息,可以危害被感染的主機,刪除關鍵文件。 2021/9/30385.4.3 網(wǎng)絡蠕蟲掃描策略(2-1)網(wǎng)絡蠕蟲掃描越是能夠盡快地發(fā)現(xiàn)被感染主機,那么網(wǎng)絡蠕蟲的傳播速度就越快。 隨機掃描隨機選取某一段IP地址,然后對這一地址段上的主機掃描。由于不知道哪些主機已經(jīng)感染蠕蟲,很多掃描是無用的。這一方法的蠕蟲傳播速度較慢。但是隨著蠕蟲的擴散,網(wǎng)

27、絡上存在大量的蠕蟲時,蠕蟲造成的網(wǎng)絡流量就變得非常巨大。 選擇掃描選擇性隨機掃描將最有可能存在漏洞主機的地址集作為掃描的地址空間。所選的目標地址按照一定的算法隨機生成。選擇性隨機掃描算法簡單,容易實現(xiàn),若與本地優(yōu)先原則結(jié)合則能達到更好的傳播效果。紅色代碼和“Slammer”的傳播采用了選擇性隨機掃描策略。2021/9/30395.4.3 網(wǎng)絡蠕蟲掃描策略(2-2)順序掃描順序掃描是被感染主機上蠕蟲會隨機選擇一個C類網(wǎng)絡地址進行傳播,根據(jù)本地優(yōu)先原則,網(wǎng)絡地址段順序遞增?;谀繕肆斜淼膾呙?基于目標列表掃描是指網(wǎng)絡蠕蟲根據(jù)預先生成易感染的目標列表,搜尋感染目標,?;贒NS掃描 從DNS服務器獲

28、取IP地址來建立目標地址庫,優(yōu)點在于獲得的IP地址塊針對性強和可用性高。關鍵問題是如何從DNS服務器得到網(wǎng)絡主機地址,以及DNS服務器是否存在足夠的網(wǎng)絡主機地址。2021/9/30405.4網(wǎng)絡蠕蟲掃描策略設計的原則有三點 盡量減少重復的掃描,使掃描發(fā)送的數(shù)據(jù)包盡量是沒有被感染蠕蟲的機器;保證掃描覆蓋到盡量大的可用地址段,包括盡量大的范圍,掃描的地址段為互聯(lián)網(wǎng)上的有效地址段;處理好掃描的時間分布,使得掃描不要集中在某一時間內(nèi)發(fā)生。2021/9/30415.4.4 網(wǎng)絡蠕蟲傳播模型分為3個階段 慢速發(fā)展階段,漏洞被蠕蟲設計者發(fā)現(xiàn),并利用漏洞設計蠕蟲發(fā)布于互聯(lián)網(wǎng),大部分用戶還沒有通過服務器下載補丁

29、,網(wǎng)絡蠕蟲只是感染了少量的網(wǎng)絡中的主機??焖侔l(fā)展階段,如果每個感染蠕蟲的可以掃描并感染的主機數(shù)為W,n為感染的次數(shù),那么感染主機數(shù)擴展速度為Wn,感染蠕蟲的機器成指數(shù)冪急劇增長。緩慢消失階段,隨著網(wǎng)絡蠕蟲的爆發(fā)和流行,人們通過分析蠕蟲的傳播機制,采取一定措施及時更新補丁包,并采取措刪除本機存在的蠕蟲,感染蠕蟲數(shù)量開始緩慢減少。 2021/9/30425.4.5 網(wǎng)絡蠕蟲防御和清除 給系統(tǒng)漏洞打補丁蠕蟲病毒大多數(shù)都是利用系統(tǒng)漏洞進行傳播的,因此在清除蠕蟲病毒之前必須將蠕蟲病毒利用的相關漏洞進行修補。清除正在運行的蠕蟲進程每個進入內(nèi)存的蠕蟲一般會以進程的形式存在,只要清除了該進程,就可以使蠕蟲失效

30、。刪除蠕蟲病毒的自啟動項感染蠕蟲主機用戶一般不可能啟動蠕蟲病毒,蠕蟲病毒需要就自己啟動。需要在這些自啟動項中清除蠕蟲病毒的設置。刪除蠕蟲文件可以通過蠕蟲在注冊表的鍵值可以知道病毒的躲藏位置,對于那些正在運行或被調(diào)用的文件無法直接刪除,可以借助于相關工具刪除。利用自動防護工具,如個人防火墻軟件通過個人防火墻軟件可以設置禁止不必要的服務。另外也可以設置監(jiān)控自己主機有那些惡意的流量。2021/9/30435.5木馬技術(shù) 5.5.1 木馬技術(shù)概述指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和DoS攻擊等特殊功能的后門程序。它與控制主機之間建立起連接,使得控制

31、者能夠通過網(wǎng)絡控制受害系統(tǒng),最大的特征在于隱秘性,偷偷混入對方的主機里面,但是卻沒有被對方發(fā)現(xiàn)。這與戰(zhàn)爭中的木馬戰(zhàn)術(shù)十分相似,因而得名木馬程序。 2021/9/30445.5.1 木馬技術(shù)概述木馬的發(fā)展歷程 第一代木馬出現(xiàn)在網(wǎng)絡發(fā)展的早期,是以竊取網(wǎng)絡密碼為主要任務,這種木馬通過偽裝成一個合法的程序誘騙用戶上當。第一代木馬還不具有傳染性,在隱藏和通信方面也均無特別之處。第二代木馬在技術(shù)上有了很大的進步,它使用標準的C/S架構(gòu),提供遠程文件管理、屏幕監(jiān)視等功能,在隱藏、自啟動和操縱服務器等技術(shù)上也有很大的發(fā)展。由于植入木馬的服務端程序會打開連接端口等候客戶端連接,比較容易被用戶發(fā)現(xiàn)。冰河、BO2

32、000等都是典型的第二代木馬。第三代木馬改變主要在網(wǎng)絡連接方式上,特征是不打開連接端口進行偵聽,而是使用ICMP通信協(xié)議進行通信或使用TCP端口反彈技術(shù)讓服務器端主動連接客戶端,以突破防火墻的攔截。增加了查殺難度,如網(wǎng)絡神偷(Netthief)、灰鴿子木馬等。2021/9/30455.5.1 木馬技術(shù)概述第四代木馬在進程隱藏方面做了較大改動,讓木馬服務器運行時沒有進程。如rootkit技術(shù),嵌入木馬通過替換系統(tǒng)程序、DLL、甚至是驅(qū)動程序,替換之后還能夠提供原來程序正常的服務從而實現(xiàn)木馬的隱藏。木馬不是單獨的進程或者以注冊服務的形式出現(xiàn),無法通過“任務管理器”查看到正在運行的木馬。需要專門的工

33、具才能發(fā)現(xiàn)以及專業(yè)的木馬查殺工具才能清除。第五代木馬實現(xiàn)了與病毒緊密結(jié)合,利用操作系統(tǒng)漏洞,直接實現(xiàn)感染傳播的目的,而不必象以前的木馬那樣需要欺騙用戶主動激活。2021/9/30465.5.1 木馬技術(shù)概述木馬特征 隱蔽性隱蔽性是木馬的首要特征。木馬類軟件的SERVER端程序在被控主機系統(tǒng)上運行時,會使用各種方法來隱藏自己。自動運行性木馬程序通過修改系統(tǒng)配置文件,在目標主機系統(tǒng)啟動時自動運行或加載。欺騙性木馬程序要達到其長期隱蔽的目的,就必需借助系統(tǒng)中已有的文件,以防用戶發(fā)現(xiàn)。自動恢復性很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。系統(tǒng)一旦被植入木馬,只刪

34、除某一個木馬文件來進行清除是無法清除干凈的。破壞或信息收集木馬通常具有搜索Cache中的口令、設置口令、掃描目標機器的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能。 2021/9/30475.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)在了解木馬攻擊技術(shù)之前,需要先了解木馬欺騙技術(shù),木馬欺騙技術(shù)是木馬欺騙用戶安裝、欺騙用戶運行以及隱藏自己的關鍵技術(shù)。木馬欺騙技術(shù)主要有 :偽裝成其它類型的文件 ,可執(zhí)行文件需要偽裝其它文件。如偽裝成圖片文件 合并程序欺騙合并程序是可以將兩個或兩個以上的可執(zhí)行文件(exe文件) 結(jié)合為一個文件,以后只需執(zhí)行這個合并文件,兩個可執(zhí)行文件就會同時執(zhí)行。 2021/

35、9/30485.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)插入其它文件內(nèi)部利用運行flash文件和影視文件具有可以執(zhí)行腳本文件的特性,一般使用“插馬”工具將腳本文件插入到swf、rm等類型的flash文件和影視文件中 偽裝成應用程序擴展組件黑客們通常將木馬程序?qū)懗蔀槿魏晤愋偷奈募缓髵煸谝粋€常用的軟件中 。利用WinRar制作成自釋放文件,把木馬程序和其它常用程序利用WinRar捆綁在一起,將其制作成自釋放文件。 在Word文檔中加入木馬文件,在Word文檔末尾加入木馬文件,只要別人點擊這個所謂的Word文件就會中木馬。 2021/9/30495.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)一個木馬程序要通過網(wǎng)絡入

36、侵并控制被植入的計算機,需要采用以下四個環(huán)節(jié) :首先是向目標主機植入木馬,通過網(wǎng)絡將木馬程序植入到被控制的計算機;啟動和隱藏木馬,木馬程序一般是一個單獨文件需要一些系統(tǒng)設置來讓計算機自動啟動木馬程序,為了防止被植入者發(fā)現(xiàn)和刪除運行的木馬程序,就需要將運行的木馬程隱藏起來。植入者控制被植入木馬的主機,需要通過網(wǎng)絡通信,需要采取一定的隱藏技術(shù),使通信過程不能夠使被植入者通過防火墻等發(fā)現(xiàn)。就是植入者通過客戶端遠程控制達到其攻擊的目的,可以收集被植入者的敏感信息,可以監(jiān)視被植入者的計算機運行和動作,甚至可以用來攻擊網(wǎng)絡中的其它系統(tǒng)。2021/9/30505.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)植入技術(shù),木

37、馬植入技術(shù)可以大概分為主動植入與被動植入兩類。主動植入:就是攻擊者利用網(wǎng)絡攻擊技術(shù)通過網(wǎng)絡將木馬程序植入到遠程目標主機,這個行為過程完全由攻擊者主動掌握。被動植入:是指攻擊者預先設置某種環(huán)境,然后被動等待目標系統(tǒng)用戶的某種可能的操作,只有這種操作執(zhí)行,木馬程序才有可能植入目標系統(tǒng)。2021/9/30515.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)主動植入技術(shù)主要包括 : 利用系統(tǒng)自身漏洞植入攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動出擊。利用第三方軟件漏洞植入。 利用即時通信軟件發(fā)送偽裝的木馬文件植入 利用電子郵件發(fā)送植入木馬 2021/9/30525.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)被動植入 包括

38、:軟件下載一些非正規(guī)的網(wǎng)站以提供軟件下載為名義,將木馬捆綁在軟件安裝程序上,下載后只要一運行這些程序,木馬就會自動安裝。利用共享文件學?;騿挝坏木钟蚓W(wǎng)里為了學習和工作方便,會將許多硬盤或文件夾共享出來,甚至不加密碼,具有可寫權(quán)限。利用Autorun文件傳播這一方法主要是利用Autorun文件自動運行的特性,通過U盤植入。網(wǎng)頁瀏覽傳播這種方法利用Script/ActiveX控件、JavaApplet等技術(shù)編寫出一個HTML網(wǎng)頁,當瀏覽該頁面時,會在后臺將木馬程序下載到計算機緩存中,然后修改系統(tǒng)注冊表,使相關鍵值指向“木馬”程序。2021/9/30535.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)木馬的自動

39、加載技術(shù) 針對Windows系統(tǒng),木馬程序的自動加載運行主要有以下一些方法:修改系統(tǒng)文件。修改目標的系統(tǒng)文件以達到自動加載的目的。修改系統(tǒng)注冊表修改文件打開關聯(lián) 修改任務計劃修改組策略 替換系統(tǒng)自動運行的文件 替換系統(tǒng)DLL 作為服務啟動 利用AppInit_DLLs 注入2021/9/30545.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)木馬隱藏技術(shù) 主要分為兩類:主機隱藏和通信隱藏。主機隱藏主要指在主機系統(tǒng)上表現(xiàn)為正常的進程。主機隱藏方式很多,主要有文件隱藏、進程隱藏等。文件隱藏主要有兩種方式采用欺騙的方式偽裝成其它文件偽裝成系統(tǒng)文件, 2021/9/30555.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)進程

40、隱藏 動態(tài)鏈接庫注入技術(shù),將“木馬”程序做成一個動態(tài)鏈接庫文件,并將調(diào)用動態(tài)鏈接庫函數(shù)的語句插入到目標進程,這個函數(shù)類似于普通程序中的入口程序。Hooking API技術(shù)。通過修改API函數(shù)的入口地址的方法來欺騙試圖列舉本地所有進程的程序 2021/9/30565.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)通信隱藏主要包括通信端口隱藏、內(nèi)容隱藏采用以下技術(shù): 復用正常服務端口。直接綁定到正常用戶進程的端口,接受數(shù)據(jù)后,根據(jù)包格式判斷是不是自己的,如果是自己處理,如果不是通過的地址交給真正的服務器應用進行處理,以利用正常的網(wǎng)絡連接隱藏木馬的通信狀態(tài)。 采用其它不需要端口的協(xié)議進行通信。如ICMP協(xié)議,主要

41、缺點是防火墻可能把所有ICMP協(xié)議的信息過濾掉。利用“反彈端口”技術(shù)。木馬程序啟動后主動連接客戶,為了隱蔽起見,控制端的被動端口一般開在80。利用SPI防火墻技術(shù)隱藏。采用嗅探技術(shù) 2021/9/30575.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)遠程控制端口掃描。采用端口掃描技術(shù)獲得那些安裝了木馬主機的IP地址。一旦發(fā)現(xiàn)中了木馬的主機則添加到客戶端控制程序的木馬主機列表。郵件發(fā)送。一些木馬具有郵件發(fā)送功能,在設置木馬程序時,填入免費郵箱,一旦木馬程序啟動,就會將其植入主機的IP地址發(fā)送給植入者的郵箱。植入者根據(jù)IP地址和對應的端口與木馬建立連接通道。如網(wǎng)絡公牛等。UDP通知。植入者將自己的IP地址寫

42、到主頁空間的指定文件里,被植入的木馬讀取文件的內(nèi)容,得到客戶端的IP地址以及其它信息(主機名、IP地址、上線時間等等),然后木馬用UDP協(xié)議發(fā)送給植入者,如網(wǎng)絡神偷就是采用了該項技術(shù)。利用QQ、MSN等通信軟件2021/9/30585.5.2 木馬的實現(xiàn)原理與攻擊技術(shù)木馬危害 竊取密碼 遠程訪問控制DoS攻擊代理攻擊程序殺手2021/9/30595.5.4 木馬的防御根據(jù)木馬工作原理,木馬檢測一般有以下一些方法 :掃描端口大部分的木馬服務器端會在系統(tǒng)中監(jiān)聽某個端口,因此,通過查看系統(tǒng)上開啟了那些端口能有效地發(fā)現(xiàn)遠程控制木馬的蹤跡。 檢查系統(tǒng)進程 很多木馬在運行期間都會在系統(tǒng)中生成進程。因此,檢

43、查進程是一種非常有效的發(fā)現(xiàn)木馬蹤跡方法。檢查ini文件、注冊表和服務等自啟動項 監(jiān)視網(wǎng)絡通訊,木馬的通信監(jiān)控可以通過防火墻來監(jiān)控2021/9/30605.5.5 幾款免費的木馬專殺工具幾款免費木馬專殺工具如:Windows清理助手、惡意軟件清理助手、Atool、冰刃 冰刃(Icesword)是專業(yè)查殺木馬工具中較好的工具之一 ,殺木馬特點: 刪除文件,許多木馬文件為了防止刪除,具有寫保護功能,無法直接刪除。冰刃提供了可以完全刪除任何文件的功能。 刪除注冊表項。木馬可以隱藏注冊表項讓Windows自帶的注冊表工具rgedit無法顯示或刪除,而冰刃程序可以容易做到刪除任意的注冊表項和顯示所有的注冊

44、表項。2021/9/30615.5.5 幾款免費的木馬專殺工具終止任意的進程。冰刃程序可以刪除除idle進程、System進程、csrss進程以外的所有進程查看進程通信情況。 查看消息鉤子。 線程創(chuàng)建和線程終止監(jiān)視。 查看SPI和BHO。 其它功能。如自啟動項管理、服務查看等功能。2021/9/30625.6網(wǎng)絡釣魚 5.6.1 網(wǎng)絡釣魚技術(shù) 網(wǎng)絡釣魚是通過發(fā)送聲稱來自于銀行或其它知名機構(gòu)的欺騙性垃圾郵件,或者偽裝成其Web站點,意圖引誘收信人或網(wǎng)站瀏覽者給出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。網(wǎng)絡釣魚的攻擊方法主要有以下幾種 建立假冒

45、網(wǎng)上銀行、網(wǎng)上證券的網(wǎng)站,騙取用戶帳號密碼實施盜竊。犯罪分子建立起域名和網(wǎng)頁內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺極為相似的網(wǎng)站,引誘用戶輸入賬號密碼等信息,進而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡盜竊資金 2021/9/30635.6.1 網(wǎng)絡釣魚技術(shù)發(fā)送電子郵件,以虛假信息引誘用戶中圈套 攻擊者以垃圾郵件的形式大量發(fā)送欺詐性郵件,這些郵件多以中獎、顧問、對帳等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼,或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金 利用虛假的電子商務進行詐騙 此類犯罪活動往往是建立電子商務網(wǎng)站

46、,或是在比較知名、大型的電子商務網(wǎng)站上發(fā)布虛假的商品銷售信息,犯罪分子在收到受害人的購物匯款后就銷聲匿跡 2021/9/30645.6.1 網(wǎng)絡釣魚技術(shù)利用QQ、MSN甚至手機短信等即時通信方式欺騙用戶 冒充軟件運營商告訴某用戶中獎或者免費獲得游戲幣等方式,這一方法的主要欺騙目的是獲取游戲幣,或者通過移動服務上收取信息費。利用木馬和黑客技術(shù)等手段竊取用戶信息后實施盜竊活動 木馬制作者通過發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序,當感染木馬的用戶進行網(wǎng)上交易時,木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼,并發(fā)送給指定郵箱,用戶資金將受到嚴重威脅。2021/9/30655.6.2 網(wǎng)絡釣

47、魚的防御對于用戶端,可以采用以下措施 盡量不通過鏈接打開網(wǎng)頁,而是直接輸入域名訪問網(wǎng)絡。 對于需要輸入帳號和密碼的網(wǎng)站再三確認.給網(wǎng)絡瀏覽器程序安裝補丁,使其補丁保持在最新狀態(tài).利用已有的防病毒軟件,實時防御釣魚網(wǎng)站。 2021/9/30665.7僵尸網(wǎng)絡 5.7.1 概述僵尸網(wǎng)絡是攻擊者通過網(wǎng)絡傳播僵尸程序,利用一對多的命令與控制信道控制大量主機,攻擊其它網(wǎng)絡或主機,從而得到自己惡意目的的網(wǎng)絡。 2021/9/30675.7.1 概述 一個僵尸網(wǎng)絡由以下部分組成 僵尸(Bot):置于被控制主機,能夠按照預定義的指令執(zhí)行操作,具有一定智能的程序。僵尸計算機(Zombie):是指被植入僵尸的計算

48、機。僵尸網(wǎng)絡控制服務器可以將僵尸主機連接的IRC服務器,控制者通過該服務器向僵尸主機發(fā)送命令進行控制。2021/9/30685.7.1 概述僵尸網(wǎng)絡主要有以下危害 分布式拒絕服務攻擊(DDoS)。 發(fā)送垃圾郵件 竊取秘密。 取得非法利益資源 作為攻擊跳板 2021/9/30695.7.2 僵尸網(wǎng)絡的工作原理分析僵尸網(wǎng)絡一般采用以下幾種手段感染受害主機 主動攻擊漏洞是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權(quán),并將僵尸程序植入受害主機,從而感染成為僵尸主機。郵件病毒通常在郵件附件中攜帶僵尸程序或者在郵件內(nèi)容中包含下載執(zhí)行僵尸程序的鏈接,使得接收者主機被感染成為僵尸主機。即時通信軟件攻擊者攻陷即時通信的用戶,并利用好友列表發(fā)送執(zhí)行僵尸程序的鏈接,從而進行感染。惡意網(wǎng)站腳本在提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論