网络的攻击与防范-理论与实践 第2篇 网络攻击篇 第9章 利用病毒和木马进行.pptVIP

第二篇 网络攻击篇 第9章 利用病毒和木马进行网络攻击 第9章 利用病毒和木马进行网络攻击 计算机病毒对计算机系统所产生的破坏效应，使人们清醒地认识到其所带来的危害性。现在，每年的新病毒数量都是以指数级在增长，而且由于近几年传输媒质的改变和因特网的大面积普及，导致计算机病毒感染的对象开始由工作站（终端）向网络部件（代理、防护和服务器设置等）转变，病毒类型也由文件型向网络蠕虫型改变。现今，世界上很多国家的科研机构都在深入地对病毒的实现和防护进行研究。 第9章 利用病毒和木马进行网络攻击 9.1 计算机病毒 9.2 蠕虫病毒 9.3 木马的原理分析 9.4?反病毒技术 9.5 实验：利用木马进行攻击 9.1计算机病毒 病毒是一段具有自我复制能力的代理程序，它将自己的代码写入宿主程序的代码中，以感染宿主程序，每当运行受感染的宿主程序时病毒就自我复制，然后其副本感染其他程序，如此周而复始。它一般隐藏在其他宿主程序中，具有潜伏能力，自我繁殖能力，被激活产生破坏能力。 9.1计算机病毒 9.1.1 计算机病毒的基本结构 9.1.2 计算机病毒的分类 9.1.3 计算机病毒的工作原理 9.1.4 计算机病毒的传播途径及危害 9.1.1 计算机病毒的基本结构 计算机病毒的机构基本相似，一般说来是由以下3个程序模块组成： 引导模块； 传染模块； 破坏与表现模块。 9.1.2 计算机病毒的分类 1、按感染对象分类 据感染对象的不同，病毒可分为三类： （1）引导型病毒， （2）文件型病毒； （3）混合型病毒。 2、按感染系统分类 根据针对的系统不同，病毒分为3类： DOS病毒； 宏病毒； Windows病毒。 3、按感染方式分类 根据病毒的感染方式不同，可以分为： 源码型病毒； 入侵型病毒； 操作系统型病毒； 外壳病毒。 9.1.3 计算机病毒的工作原理 文件型的病毒将自身附着到一个文件当中,通常是附着在可执行的应用程序上。(如:一个字处理程序或DOS程序)。通常文件型的病毒是不会感染数据文件的。然而数据文件可以包含有嵌入的可执行的代码，如：宏。 9.1.3 计算机病毒的工作原理 引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，然后再继续PC机的启动进程。大多数情况，在这台染有引导型病毒的机器对可读写的软盘进行读写操作，那么这块软盘也就会被感染。 9.1.3 计算机病毒的工作原理 混合型病毒有上面所说的两类病毒的某些特性。有代表性的有：当执行一个被感染的文件，它将感染硬盘的引导扇区或分区扇区，并且感染在机器上使用过的软盘，或感染在带毒系统上进行格式化操作的软盘。 9.1.3 计算机病毒的工作原理 宏病毒主要感染一般的设置文件，如：WORD模版，导致以后所编辑的文档都会带有可感染的宏病毒。 欺骗病毒――这种病毒能够以某种长度存在，从而将自己从可能被注意的程序中隐蔽起来。 9.1.3 计算机病毒的工作原理 多形性病毒 多形性病毒又名幽灵病毒，是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时采用随机方法对病毒主体进行加密，因而完全多形性病毒的主要不同样本中甚至不存在连续两个相同的字节。这种病毒主要是针对查毒软件而设计的，使得查毒软件的编写更困难，并且还会带来许多误报。 9.1.3 计算机病毒的工作原理 伙伴病毒：这种病毒通过一个文件传播，首先该文件将代替用户本希望运行的文件被执行，之后再运行原始的文件。例如：MYAPP.EXE文件可能通过创建名为MYAPP.COM的文件被感染。因为根据DOS的工作方式，当用户在C提示符下敲入MYAPP时，MYAPP.COM将代替MYAPP.EXE文件而运行。MYAPP.COM首先运行它带有感染性的程序，然后再默默地执行MYAPP。EXE文件。 9.1.4 计算机病毒的传播途径及危害 目前计算机病毒的传播途径主要有： 通过软盘、ROM、磁盘等介质传播； 通过计算机网络通信引起的病毒传播； 通过点对点通信系统和无线信道传播 9.1.4 计算机病毒的传播途径及危害 计算机病毒的危害主要有： 降低计算机或网络系统正常的工作效率 ； 破坏计算机系统与用户的数据； 窃取重要信息?。 9.2 蠕虫病毒 蠕虫也是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。它可以修改删除别的程序，也可以通过疯狂的自我复制来占尽网络资源，从而使网络资源瘫痪。同时蠕虫又具有病毒和入侵者双重特点：像病毒那样，它可以进行自我复制，并可能被当作假指令去执行，像入侵者那样，它以穿透网络系统为目标。 9.2 蠕虫病毒 9.2.1蠕虫病