计算机侦查技术8.ppt

linying@ 网络犯罪侦察技术 林英.信息安全 第八章 病毒原理与防治 Outline 病毒概述 病毒主流技术及原理 病毒的潜伏隐藏机制 单机反病毒软件 网络版反病毒软件 手动反病毒 2003年CERT报告了3784个漏洞 2003年微软共公布51个安全公告 2004年截止到8.10共公布26个安全公告 系统漏洞 2003年的重大漏洞 2003.3 RPC漏洞 ——冲击波Worm Blaster、Worm.SdBotRPC、Worm.AutoRooter 5月 SendMail被发现存在严重安全漏洞 6月 IIS被发现存在4个严重漏洞 7月 针对Cisco路由设备的攻击漏洞 10月 Windows Message服务被发现存在严重漏洞 ………… 2004年的重大漏洞 2004.4 微软MS04-011、012、013远程执行代码漏洞 ——“震荡波”及变种（I-Worm/Sasser） 2004.6 Cisco IOS拒绝服务漏洞 苹果Mac系统首发重大漏洞 2004.7 Microsoft Task Scheduler和HTML帮助远程控制漏洞 2004.8 Oracle发现多个重大安全漏洞 病毒概述 计算机病毒是一种特殊的程序，它能够对自身进行复制和传播，而且往往是在用户不知情的情况下进行。病毒可以通过电子邮件发送附件，通过磁盘传递程序，或者将文件复制到文件服务器中。当下一位用户收到已被病毒感染的文件或磁盘时，同时也就将病毒传播到自己的计算机中。而当用户运行感染病毒的软件时，或者从感染病毒的磁盘启动计算机时，病毒程序也就同时被运行了。 程序型病毒：文件型病毒主要以感染文件扩展名为.COM、.EXE和，.OVL等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。 引导型病毒：以硬盘和软盘的非文件区域（系统区域）为感染对象。引导型病毒会去改写磁盘上的引导扇区（BOOT SECTOR）的内容，软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。 宏病毒：以具有宏功能的数据文件为感染对象。Microsoft Word或Excel文档和模板文件极容易遭受攻击。由于被感染文件通常会通过网络共享或下载，因此宏病毒的传播速度相当惊人。 特洛伊木马型程序：木马本身并不会自我复制，被广义归类成病毒。木马病毒是指在用户的机器里运行服务端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序的控制端，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。 有危害的移动编码：基于ASP等技术的浏览Internet网页动态下载的程序代码，也称为“脚本”。此类正常代码不归类为病毒，但恶意代码一样会对数据和系统造成危害，因此也广义归类为病毒。通常以VB或Java结合HTML语言形成。 网络蠕虫病毒：蠕虫是一种通过网络传播的病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，网络的发展使得蠕虫可以在短短的时间内蔓延世界，造成网络瘫痪。 事实上，随着病毒的不断发展，综合型的病毒已比较常见，已不易明确分类。 病毒的发展趋势 病毒更新换代向多元化发展 依赖网络进行传播 攻击方式多样（邮件87%，网页，局域网等） 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 伪装的更巧妙。 “网络天空” 及变种（I-Worm/NetSky）甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具，它们是大名鼎鼎的：冲击波、MYDOOM、雏鹰等网络蠕虫。 病毒的传播速度越来越快 病毒散布有“多快”（从最初被发现到大量主机被感染） 1997 : WM/Cap : 2 个月 1999 : WM/Melissa : 1 天 2000 : VBS/Loveletter: 4 小时 2001 : CodeRed : 1 小时 2004 : worm.witty :半小时 病毒的危害越来越大 占用系统资源，使被感染主机运行速度变得极为缓慢甚至崩溃，正常应用无法运行。 占用大量网络带宽，甚至使网络瘫痪。 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 反复重启系统，如冲击波、震荡波等 攻击防病毒软件。 放置木马、后门，偷取商业信息及个人、企业用户的隐私。 其他 病毒带来的威胁 近年来全球重大电脑病毒疫情及损失的统计图： 实例：SQL Slammer 病毒