一种网络蠕虫专杀工具的设计与实现.pdfVIP

一种网络蠕虫专杀工具的设计与实现?涑嫘形L卣鞣治?王益宗左志宏沈大勇?蛲?，????引言??谙低成洗唇ㄒ桓龌コ馓?如???????????????????＼??·计算机科学?????????n???缱涌萍即笱Ъ扑慊?蒲в牍こ萄г?成都??????????????????年????，利用微软最新漏洞传播的狙击波蠕虫???甖???J荚谕?洗笏链úィ?该蠕虫利用了??日微软发布的即插即用中的漏洞???????谖⑷矸⒉及踩üǜ婧蠖潭痰?天之内即出现该蠕虫，表明病毒作者利用漏洞的能力越来越强。计算机受该蠕虫感染之后，在某些情况下会出现系统频繁重启的现象。同时，该病毒会在用户电脑上开设后门，方便黑客对其进行远程控制。这不禁让我们回想起??年曾广泛传播并且威力巨大的冲击波蠕虫和??年的震荡波蠕虫，他们同样是利用了微软操作系统的漏洞并且行为方式及其相似。网络蠕虫的种类成千上万，变种更是不计其数，但总脱离不了以下一些归纳的行为特征：?以确保只有?龈腥镜娜涑嬖谠诵小???粗谱陨淼揭韵挛恢茫?％???％＼??．??如???．??。??谧⒉岜碇刑砑悠舳?睿?热纾???????????＼????＼?—“???????”一??．??如???蘒。??～????躍????＼?????躓???＼???????＼???—???”???甧??????．??等等。??薷南旅娴募?担???—????狹???＼???＼??????????＼???????????躍??设置为???筗???／?的共享访问服务。??ü?掣鯰?端口????端口??拥????衿????赥?端口?如???丝?开启一个???瘛?摘要近年来，越来越多的网络蠕虫利用了微软????僮飨低匙陨淼穆┒丛谕?缟辖?写úズ推苹担?⒊?现出传播速度越来越快，破坏范围越来越广的趋势，这给计算机和网络安全提出了挑战。在每次蠕虫大规模爆发后，杀毒公司都会推出相应的蠕虫专杀工具，专杀工具以其针对性强和快速有效而被用户所接受。本文在总结了一些具有共性的网络蠕虫?寤鞑ǎ?鸬床ǎ?鸦鞑ǖ鹊?的行为特征，提出了一种蠕虫专杀工具的设计并用???言进行了描述实现。关键词网络蠕虫，冲击波，震荡波，狙击波?—????狧???—?????????????．????．??????畁?????????????痵???，??????．????琣?????????．?????琤???，???，??????．???凼??????，????琒???琙??·?????????????瑃? ．?唬畐?．??—??猚????：?胬萏没士崖黁尘?ㄉ惫ぞ叩纳杓朴胧迪?工作。系统把它作为一个线程，一个其他应用程序??婊???虬凑找欢ㄋ惴ú?鷏?刂罚??试图进行扫描感染这些地址的主机，通过利用系统或软件漏洞?鏜????，蠕虫会在目标系统上打开??丝贐?????端口?暮竺牛?⒔?懈腥尽???诟腥镜氖焙颍?《纠?肐??璧姆绞皆?网络中寻找具有漏洞的系统，发现后就会对系统进行攻击，连接系统的??丝冢?⒅踩胂低持幸桓鲈?程????嗽冻蘏??释放一个文件?甌?????甌???宋募?邪??幸欢蜦?命令脚本，执行其中的??疟荆?梢愿粗疲????ィ??畉?文件到新感染的系统上。??ü?桓腥局骰?F舻腇?煞?窈捅净??的??疟荆?略兀????ィ躻????如?—?．??蠕虫文件并在新目标上执行。??增加一些错误的对应项到系统的????件，会导致无法通过域名访问网站或者更新病毒库，如：??．?????甤??鹊取?以上括号内的蠕虫名称，端口号，脚本文件等都是与狙击波蠕虫的行为特征相对应的。??程序的主要函数??查找并终止蠕虫进程要在内存中查找蠕虫进程前提是要获取蠕虫进，程的名称，可以在查找开始时对系统中所有的进程、进行快照，并将快照存储在一个?????????峁怪校?缓蠼ɑ?怪写娲⒌慕?痰拿?种?个与蠕虫的名称进行比较，以确定内存中是否存在蠕虫的进程。对内存中的进程进行快照并不能查找采用了隐藏技术的蠕虫。蠕虫隐藏是个比较复杂的问题，大致可以分为伪隐藏和真隐藏。伪隐藏，就是指程序的进程仍然存在，但因为蠕虫在运行时并不注册为一个系统的服务，所以系统不认为它是一个进程，这样，程序就会从任务列表中消失了，这种方法只适用于?????南低场６杂赪?????????龋?J迪秩涑娴恼嬉?乜梢圆捎???睦菇丶际酰?ü??⒁桓龊筇ǖ南低彻匙樱??截???腅?????????认喙氐暮??来实现对进程和服务的遍历调用的控制。真隐藏则是让程序彻底消失，不以一个进程或者服务的方式的线程，把自身注入其他应用程序的地址空间，而这个应用程序对于系统来说，是一个绝对安全的程序，这样，就达到了彻底隐藏的效果，从而导致了查杀蠕虫难度的增加。现在的一些蠕虫程序可能考虑到功能越强大，体积也越庞大，这势必会对传播速度感染范围产生影响，