计算机病毒、蠕虫和特洛伊木马介绍-网络安全基础课讲义.pptVIP

计算机病毒、蠕虫和特洛伊木马 提纲 计算机病毒 网络蠕虫 特洛伊木马 计算机病毒 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范 计算机病毒的结构 计算机病毒的分类 按攻击平台分类：DOS,Win32，MAC，Unix 按危害分类：良性、恶性 按代码形式：源码、中间代码、目标码 按宿主分类： 引导型 主引导区 操作系统引导区 文件型 操作系统 应用程序 宏病毒 引导型病毒—引导记录 主引导记录（MBR） 引导型病毒——系统引导过程 引导型病毒—感染与执行过程 病毒的激活过程 举例—小球病毒（Bouncing Ball) 在磁盘上的存储位置 感染后的系统启动过程 触发条件－－修改后的INT 13 病毒检测原理 特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AX JMP F000∶AF1A PUSHF 行为监控 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存 软件模拟 防范与检测 数据备份 不要用移动介质启动（设置CMOS选项） 设置CMOS的引导记录保护选项 安装补丁，并及时更新 安装防病毒软件，及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护 文件型病毒—文件结构 .COM文件 .EXE 文件 其他可执行的文件类型 .BAT .PIF .SYS .DRV .OVR .OVL .DLL .VxD 文件型病毒感染机理 文件型病毒举例 最简单的病毒Tiny-32(32 bytes) 寻找宿主文件 打开文件 把自己写入文件 关闭文件 宏病毒（Macro Virus） 历史： 1980年，Dr. Fredrick Cohen and Ralf Burger 论文 1994年，Microsoft Word 第一例宏病毒 Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw. 使用数据文件进行传播，使得反病毒软件不再只关注可执行文件和引导区 DOE ViRT 统计，85%的病毒感染归因于宏病毒 易于编写，只需要一两天的时间，10－15行代码 大量的用户：90 Million MS Office Users 人们通常不交换程序，而交换数据 宏病毒工作机理 注意事项 Macro 可以存在模板里，也可以存在文档里 RTF文件也可以包含宏病毒 通过IE 浏览器可以直接打开，而不提示下载 提纲 计算机病毒 网络蠕虫 特洛伊木马 蠕虫（Worm） 一个独立的计算机程序，不需要宿主 自我复制，自主传播（Mobile） 占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞； 利用电子邮件（无需用户参与） 莫里斯蠕虫事件 发生于1988年，当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh，rexec：用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测 CR I 主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计，至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:\notworm文件是否存在以判断是否感染 中文保护（是中文windows就不修改主页） 攻击白宫！ CR II Inspired by RC I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统，由于一些参数的问题，只会导致NT死机 休眠与扫描：中文windows，600个线程 Nimda 简介 影响系统：MS win9x, wind2k, win XP 传播途径： Email、文件共享、页面浏览、 MS IIS目录遍历、Code Red 后门 影响 群发电子邮件，付病毒 扫描共享文件夹， 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server 红色代码病毒 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。 2001年7月中旬，在美国等地大规模蔓延。 2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存，不通过文件载体。 利用IIS缓冲区溢出漏洞（2001年6月18日发布） CodeRed I 在侵入一台服务器后，其运行步骤是： 设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着使用RVA（相对虚拟地址）查找GetProcAddress的函数