计算机病毒蠕虫和特洛伊木马介绍(-)课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《计算机病毒蠕虫和特洛伊木马介绍(-)课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 蠕虫 特洛伊木马 介绍 课件
- 资源描述:
-
1、计算机病毒、蠕虫和特洛伊木马提纲计算机病毒网络蠕虫特洛伊木马计算机病毒 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范计算机病毒的结构传染条件判断传染代码表现及破坏条件判断破坏代码传染模块表现模块计算机病毒的分类 按攻击平台分类:DOS,Win32,MAC,Unix 按危害分类:良性、恶性 按代码形式:源码、中间代码、目标码 按宿主分类:引导型 主引导区 操作系统引导区 文件型 操作系统 应用程序 宏病毒引导型病毒引导记录 主引导记录(MBR)55AA主引导程序(446字节)分区1(16 字节)主分区表(64字节)分区2(16 字节)分区3(16 字节)分区4(1
2、6 字节)结束标记(2字节)引导代码及出错信息A引导型病毒系统引导过程Power OnCPU&ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded引导型病毒感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。病毒的激活过程空闲区。内存空间int8int21int2Fint4A时钟中断处理DOS中断处理外设处理中断实时时种警报中断空闲区带病毒程序空闲区空闲区正
3、常程序病 毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空闲区正常程序正常程序。正常程序正常程序正常程序int8是26日?是,破坏!int8举例小球病毒(Bouncing Ball)在磁盘上的存储位置文件分配表病毒的第二部分000号扇区001号扇区第一个空簇FF7正常的引导扇区正常的引导扇区病毒的第一部分感染后的系统启动过程启动将病毒程序的第一部分送入内存高端将第二部分装入内存,与第一部分拼接在一起读入真正的Boot 区代码,送到0000:TC00处修改INT 13 中断向量,指向病毒转移到 0000:TC00处
4、,开始真正的系统引导触发条件修改后的INT 13进入INT 13中断是否为读盘?执行正常的INT 13程序执行正常的INT 13程序N所读盘是否是自身?Y修改INT8 开始发作Y是否整点或半点Y执行正常的INT 13程序Y是否带病毒?N调用传染过程感染磁盘N不发作执行正常的INT 13程序N病毒检测原理 特征匹配 例如,在香港病毒:1F 58 EA 1A AF 00 F0 9C:POP AXJMP F000 AF1APUSHF 行为监控 对中断向量表的修改 对引导记录的修改 对.exe,.com文件的写操作 驻留内存 软件模拟防范与检测 数据备份 不要用移动介质启动(设置CMOS选项)设置CM
5、OS的引导记录保护选项 安装补丁,并及时更新 安装防病毒软件,及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护文件型病毒文件结构.COM文件.EXE 文件PSP Header(256 bytes)Code,Data,StackSegment(s)(64K Bytes)代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像 PSP Header(512 bytes)Code Segment(s)(64K)Data Segment(s)(64K)Stack Segment(s)(64K)其他可执行的文件类型.
6、BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD正常正常程序程序正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头程序头程序头程序头程序头程序头程序头程
7、序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头文件型病毒感染机理文件型病毒举例 最简单的病毒Tiny-32(32 bytes)寻找宿主文件 打开文件 把自己写入文件 关闭文件MOV AH,4E;
8、setup to find a fileINT 21;find the host fileMOV AX,3D02;setup to open the host fileINT 21;open host fileMOV AH,40;setup to write file to diskINT 21;write to fileDB *.COM;what files to look for宏病毒(Macro Virus)历史:1980年,Dr.Fredrick Cohen and Ralf Burger 论文 1994年,Microsoft Word 第一例宏病毒 Word,Excel,Access
9、,PowerPoint,Project,Lotus AmiPro,Visio,Lotus 1-2-3,AutoCAD,Corel Draw.使用数据文件进行传播,使得反病毒软件不再只关注可执行文件和引导区 DOE ViRT 统计,85%的病毒感染归因于宏病毒 易于编写,只需要一两天的时间,1015行代码 大量的用户:90 Million MS Office Users 人们通常不交换程序,而交换数据宏病毒工作机理有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot激活病毒注意事项 Macro 可以存在模板里,也可以存在文档里 RTF文件也可以包含宏
10、病毒 通过IE 浏览器可以直接打开,而不提示下载提纲计算机病毒网络蠕虫特洛伊木马蠕虫(Worm)一个独立的计算机程序,不需要宿主 自我复制,自主传播(Mobile)占用系统或网络资源、破坏其他程序 不伪装成其他程序,靠自主传播 利用系统漏洞;利用电子邮件(无需用户参与)莫里斯蠕虫事件 发生于1988年,当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh,rexec:用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测CR I 主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计,至8月初已经感染超过25万台 主要行为利
11、用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中 文 保 护(是 中 文windows就不修改主页)攻击白宫!CR II Inspired by RC I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统,由于一些参数的问题,只会导致NT死机 休眠与扫描:中文windows,600个线程Nimda 简介 影响系统:MS win9x,wind2k,win XP 传播途径:Email、文件共享、页面浏览、MS IIS目录遍历、Code Red 后门 影响 群发电子邮件,付病毒 扫描共享文件夹,扫描有漏洞的
12、IIS,扫描有Code Red后门的IIS Server红色代码病毒 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬,在美国等地大规模蔓延。2001年8月初,出现变种coderedII,针对中文版windows系统,国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存,不通过文件载体。利用IIS缓冲区溢出漏洞(2001年6月18日发布)CodeRed I在侵入一台服务器后,其运行步骤是:设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着使用RVA(相对虚拟地址)查找GetProcAddress的函数地址,然后就获得其他socket、connect、s
展开阅读全文