计算机病毒蠕虫和特洛伊木马介绍课件.ppt

计算机病毒、蠕虫和特洛伊木马,提纲,计算机病毒网络蠕虫特洛伊木马,计算机病毒,病毒结构模型病毒的分类引导型病毒文件型病毒宏病毒病毒举例病毒防范,计算机病毒的结构,传染条件判断,传染代码,表现及破坏条件判断,破坏代码,传染模块,表现模块,计算机病毒的分类,按攻击平台分类：DOS,Win32，MAC，Unix按危害分类：良性、恶性按代码形式：源码、中间代码、目标码按宿主分类：引导型主引导区操作系统引导区文件型操作系统应用程序宏病毒,引导型病毒引导记录,主引导记录（MBR）,A,引导型病毒系统引导过程,Power On,CPU&ROM BIOS Initializes,POST Tests,Look for boot device,MBR bootPartition Table Load,DOS Boot Sector Runs,Loads IO.SYSMSDOS.SYS,DOS Loaded,引导型病毒感染与执行过程,系统引导区,引导正常执行,病毒,引导系统,病毒体,病毒的激活过程,内存空间,空闲区,带病毒程序,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,空闲区,正常程序,正常程序,正常程序,int8,是,破坏！,int8,举例小球病毒（Bouncing Ball),在磁盘上的存储位置,文件分配表,病毒的第二部分,000号扇区,001号扇区,第一个空簇,正常的引导扇区,正常的引导扇区,病毒的第一部分,感染后的系统启动过程,启动,将病毒程序的第一部分送入内存高端,将第二部分装入内存，与第一部分拼接在一起,读入真正的Boot 区代码，送到0000:TC00处,修改INT 13 中断向量，指向病毒,转移到 0000:TC00处，开始真正的系统引导,触发条件修改后的INT 13,进入INT 13中断,病毒检测原理,特征匹配例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C:POP AXJMP F000AF1APUSHF行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟,防范与检测,数据备份不要用移动介质启动（设置CMOS选项）设置CMOS的引导记录保护选项安装补丁，并及时更新安装防病毒软件，及时更新病毒定义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护,文件型病毒文件结构,.COM文件.EXE 文件,PSP Header(256 bytes),Code,Data,StackSegment(s)(64K Bytes),代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像,PSP Header(512 bytes),Code Segment(s)(64K),Data Segment(s)(64K),Stack Segment(s)(64K),其他可执行的文件类型,.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,病毒程序,程序头,文件型病毒感染机理,文件型病毒举例,最简单的病毒Tiny-32(32 bytes)寻找宿主文件打开文件把自己写入文件关闭文件,MOV AH,4E;setup to find a fileINT 21;find the host fileMOV AX,3D02;setup to open the host fileINT 21;open host fileMOV AH,40;setup to write file to diskINT 21;write to fileDB*.COM;what files to look for,宏病毒（Macro Virus）,历史：1980年，Dr.Fredrick Cohen and Ralf Burger 论文1994年，Microsoft Word 第一例宏病毒Word,Excel,Access,PowerPoint,Project,Lotus AmiPro,Visio,Lotus 1-2-3,AutoCAD,Corel Draw.使用数据文件进行传播，使得反病毒软件不再只关注可执行文件和引导区DOE ViRT 统计，85%的病毒感染归因于宏病毒易于编写，只需要一两天的时间，1015行代码大量的用户：90 Million MS Office Users人们通常不交换程序，而交换数据,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,注意事项,Macro 可以存在模板里，也可以存在文档里RTF文件也可以包含宏病毒通过IE 浏览器可以直接打开，而不提示下载,提纲,计算机病毒网络蠕虫特洛伊木马,蠕虫（Worm）,一个独立的计算机程序，不需要宿主自我复制，自主传播（Mobile）占用系统或网络资源、破坏其他程序不伪装成其他程序，靠自主传播利用系统漏洞；利用电子邮件（无需用户参与）,莫里斯蠕虫事件,发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail 的debug模式Fingerd的缓冲区溢出口令猜测,CR I,主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台主要行为利用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！,CR II,Inspired by RC I影响波及全球国内影响尤其广泛主要行为所利用缺陷相同只感染windows2000系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程,Nimda 简介,影响系统：MS win9x,wind2k,win XP传播途径：Email、文件共享、页面浏览、MS IIS目录遍历、Code Red 后门影响群发电子邮件，付病毒扫描共享文件夹，扫描有漏洞的IIS,扫描有Code Red后门的IIS Server,红色代码病毒,红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬，在美国等地大规模蔓延。2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存，不通过文件载体。利用IIS缓冲区溢出漏洞（2001年6月18日发布）,CodeRed I,在侵入一台服务器后，其运行步骤是：设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着使用RVA（相对虚拟地址）查找GetProcAddress的函数地址，然后就获得其他socket、connect、send、recv、closesocket等函数地址；如果C:notworm在，不再进一步传染；传染其他主机。创造100个线程，其中99个用户感染其他WEB服务器，被攻击IP通过一个算法计算得出；篡改主页，如果系统默认语言为“美国英语”，第100个进程就将这台服务的主页改成“Welcome to http:/!,Hacked By Chinese!”，并持续10个小时。（这个修改直接在内存中修改，而不是修改*.htm文件）；如果时间在20：00UTC和23：59UTC之间，将反复和白宫主页建立连接，并发送98k字节数据，形成DDOS攻击。,CodeRed II,增加了特洛依木马的功能，并针对中国网站做了改进计算IP的方法进行了修改，使病毒传染的更快；检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复感染，若不存在则创建CodeRedII原子；创建300个线程进行传染，若系统默认语言为简体中文或繁体中文，则创建600个线程；检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会爆发而使系统不断重新启动。在系统中安装一个特洛依木马：拷贝系统目录cmd.exe到IIS的脚本执行目录下，改名为root.exe；将病毒体内的木马解压缩写到C盘和D盘的explorer.exe木马每次系统和启动都会运行，禁止系统的文件保护功能，并将C盘和D盘通过web服务器共享,CodeRed II,攻击形式http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻击的IP地址，dir可以是任意命令，比如删除系统中的文件，向外发送机密数据等，这个后门后来也成为了nimda病毒的一个传播模式。下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir 200 2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir+.200,红色代码病毒的检测和防范,针对安装IIS的windows系统；是否出现负载显著增加（CPU/网络）的现象；用netstat an检查是否有许多对外的80端口连接在web日志中检查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这样的攻击记录；查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe；检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。在任务管理器中检查是否存在两个explorer.exe进程。,提纲,计算机病毒网络蠕虫特洛伊木马,特洛伊木马,名字来源：古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,最简单的木马举例,ls#!/bin/sh/bin/mail/etc/passwdls,PATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin,特洛依木马举例,Back OrificeCult of the Dead Cow在1998年8月发布,公开源码软件，遵守GPL，是功能强大的远程控制器木马。boserver.exe、boconfig.exe、bogui.exe在BO服务器上启动、停止基于文本的应用程序目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。共享。创建共享资源HTTP服务。启动或停止HTTP服务。击键记录。将BO服务器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。（可以获得用户口令）,特洛依木马,视频输入、播放。捕捉服务器屏幕到一个位图文件中。网络连接。列出和断开BO服务器上接入和接出的连接，可以发起新连接。查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。端口重定向。注册表锁住或重启计算机。传输文件,特洛依木马,使用netstat a 检查是否还有未知端口监听(默认31337)检测和删除注册表HLMsoftwaremicrosoftwindowscurrentVersionrunservices键值，是否有“Name Data.exe”，若有则删除C:windowssystem目录：删除“.exe”文件和windll.dll文件,特洛依木马,其他木马国外subsever、dagger、ACKcmdC、DeepThroat、SatansBackdoor 等国内（更常见）冰河、广外女生、netspy、黑洞等,删除木马的通用方法,Win.ini文件windows节中run=和loadsystem.ini文件boot节的shell=explorer.exeAutoexec.bat文件win命令注册表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper,更高级的木马技术,服务器端程序文件的隐藏问题：磁盘上的文件、系统中的进程木马：DLL 陷阱防范：DLL 签名技术隐藏端口监听寄生：选择一个已经打开的端口，如80潜伏：不使用TCP/UDP,使用ICMP突破防火墙的限制反弹端口型木马：,突破防火墙的限制:反弹端口型木马,Web Server,病毒、蠕虫与木马的比较,提纲,网络攻击方法窃听口令破解端口扫描和信息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码,1、用爱心来做事，用感恩的心做人。2、人永远在追求快乐，永远在逃避痛苦。3、有多大的思想，才有多大的能量。4、人的能量=思想+行动速度的平方。5、励志是给人快乐，激励是给人痛苦。6、成功者绝不给自己软弱的借口。7、你只有一定要，才一定会得到。8、决心是成功的开始。9、当你没有借口的那一刻，就是你成功的开始。10、命运是可以改变的。11、成功者绝不放弃。12、成功永远属于马上行动的人。13、下定决心一定要，才是成功的关键。14、成功等于目标，其他都是这句话的注解。15、成功是一个过程，并不是一个结果。16、成功者学习别人的经验，一般人学习自己的经验。17、只有第一名可以教你如何成为第一名。18、学习需要有计划。19、完全照成功者的方法来执行。20、九十九次的理论不如一次的行动来得实际。21、一个胜利者不会放弃，而一个放弃者永远不会胜利。22、信心、毅力、勇气三者具备，则天下没有做不成的事。23、如果你想得到，你就会得到，你所需要付出的只是行动。24、一个缺口的杯子，如果换一个角度看它，它仍然是圆的。25、对于每一个不利条件，都会存在与之相对应的有利条件。26、一个人的快乐，不是因为他拥有的多，而是他计较的少。27、世间成事，不求其绝对圆满，留一份不足，可得无限美好。28记住：你是你生命的船长；走自己的路，何必在乎其它。29、你要做多大的事情，就该承受多大的压力。30、如果你相信自己，你可以做任何事。31、天空黑暗到一定程度，星辰就会熠熠生辉。32、时间顺流而下，生活逆水行舟。33、生活充满了选择，而生活的态度就是一切。34、人各有志，自己的路自己走。35、别人的话只能作为一种参考，是不能左右自己的。36、成功来自使我们成功的信念。37、相互了解是朋友，相互理解是知己。38、没有所谓失败，除非你不再尝试。39、有时可能别人不在乎你，但你不能不在乎自己。40、你必须成功，因为你不能失败。41、羡慕别人得到的，不如珍惜自己拥有的。42、喜欢一个人，就该让他（她）快乐。43、别把生活当作游戏，谁游戏人生，生活就惩罚谁，这不是劝诫，而是-规则！44、你要求的次数愈多，你就越容易得到你要的东西，而且连带地也会得到更多乐趣。45、把气愤的心境转化为柔和，把柔和的心境转化为爱，如此，这个世间将更加完美。46、一份耕耘，一份收获，付出就有回报永不遭遇过失败，因我所碰到的都是暂时的挫折。47、心如镜，虽外景不断变化，镜面却不会转动，这就是一颗平常心，能够景转而心不转。48、每件事情都必须有一个期限，否则，大多数人都会有多少时间就花掉多少时间。49、人，其实不需要太多的东西，只要健康地活着，真诚地爱着，也不失为一种富有。50、生命之长短殊不重要，只要你活得快乐，在有生之年做些有意义的事，便已足够。51、活在忙与闲的两种境界里，才能俯仰自得，享受生活的乐趣，成就人生的意义。52、一个从来没有失败过的人，必然是一个从未尝试过什么的人。53、待人退一步，爱人宽一寸，人生自然活得很快乐。54、经验不是发生在一个人身上的事件，而是一个人如何看待发生在他身上的事。55、加倍努力，证明你想要的不是空中楼阁。胜利是在多次失败之后才姗姗而来。,