1、计算机病毒与防范技术计算机病毒与防范技术- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系第第4 4章章 网络蠕虫网络蠕虫u网络蠕虫的定义网络蠕虫的定义u蠕虫的起源发展蠕虫的起源发展u蠕虫的行为特征蠕虫的行为特征u蠕虫的工作原理蠕虫的工作原理u蠕虫的防范蠕虫的防范u典型蠕虫代码的分析典型蠕虫代码的分析- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的原始定义u蠕虫病毒通常由两部分组成:一个主程序和一个引导程序u主程序的主要功能
2、是搜索和扫描,这个程序能够读取系统的公共配置文件,获得与本机联网的客户端信息,检测到网络中的哪台机器没有被占用,从而通过系统的漏洞,将引导程序建立到远程计算机上u引导程序实际上是蠕虫病毒主程序(或一个程序段)自身的一个副本- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的原始定义u主程序和引导程序都有自动重新定位(autorelocation)的能力u这些程序或程序段都能够把自身的副本重新定位在另一台机器上- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北
3、京工业大学计算机学院信息安全系蠕虫与病毒之间的区别及联系病病 毒毒蠕蠕 虫虫存在形式存在形式寄生独立个体复制机制复制机制插入到宿主程序(文件)中自身的拷贝传染机制传染机制宿主程序运行系统存在漏洞(Vulnerability)搜索机制搜索机制(传染目标传染目标)主要是针对本地文件主要针对网络上的其它计算机触发传染触发传染计算机使用者程序自身影响重点影响重点文件系统网络性能、系统性能计算机使用者角色计算机使用者角色病毒传播中的关键环节无关防治措施防治措施从宿主程序中摘除为系统打补丁(Patch)- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京
4、工业大学计算机学院信息安全系蠕虫的行为特征u主动攻击u行踪隐蔽u利用系统、网络应用服务器漏洞u造成网络拥塞u消耗系统资源,降低系统性能u产生安全隐患u反复性u破坏性- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫定义的进一步说明u蠕虫的定义中强调了自身副本的完整性和独独立性,这也是区分蠕虫和病毒的重要因素。u可以通过简单的观察攻击程序是否存在载载体来区分蠕虫与病毒- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发
5、展u1980年,Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时,编写了一种特殊程序,Xerox蠕虫- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发展u1988年11月2日,世界上第一个破坏性计算机蠕虫正式诞生 Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播uMorris在证明其结论的同时,也开启了蠕虫新纪元- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算
6、机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发展u2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台安装有Microsoft的IIS网页服务器。- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发展u2001年9月18日,Nimda蠕虫被发现,不同于以前的蠕虫,Nimda开始结合病毒技术。u它通过电子邮件、网络邻近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历的漏洞、CodeRed和sadmind/IIS蠕虫留下的后
7、门共五种方式进行传播。- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发展u在2003年1月25日,蠕虫W32/Slammer通过Microsoft的SQL服务器和MSDE2000(Microsoft SQL Server Desktop Engine)的漏洞进行传播。u2003年7月21日,微软公司公布Windows系统的一个RPC漏洞,2003年8月11日,“冲击波”(worm.Blaster)开始在互联网上传播。- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信
8、息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发展u2004年4月13日,微软公布了一个严重等级的安全公告“MS04-011”。5月1日,一个新的蠕虫“震荡波”(Worm.sasser)开始在互联网肆虐u该病毒利用windows平台的 LSASS(Local Security Authority subsystem Services)漏洞进行传播u成为2004年当之无愧的“毒王”- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的起源和发展u2005年8月14日狙击波蠕虫(Zotob)爆发,它
9、利用了8月9日微软发布的即插即用(PnP)中的漏洞(Ms05-039),用户电脑感染了该蠕虫之后,在某些情况下会出现系统频繁重启的现象。u2006年威金、熊猫烧香结合了病毒技术,具有很强的破坏性,中毒后计算机上面的EXE文件都会被破坏- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系u蠕虫程序的实体结构蠕虫的基本结构- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的基本结构u蠕虫程序的功能结构- -计算机病毒与防范技术计算机病
10、毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u蠕虫的工作方式一般是“目标定位攻击复制”- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u蠕虫的扫描策略 现在流行的蠕虫采用的传播技术目标,一般是尽快地传播到尽量多的计算机中 扫描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机进行扫描 没有优化的扫描程序可能会不断重复上面这一过程,大量蠕虫程序的扫描引起严重的网络拥塞- -计算机病毒与防范技术计算机病毒与防范技术
11、 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u对扫描策略的改进 在IP地址段的选择上,可以主要针对当前主机所在的网段进行扫描,对外网段则随机选择几个小的IP地址段进行扫描 对扫描次数进行限制,只进行几次扫描 把扫描分散在不同的时间段进行- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u扫描策略设计的原则 尽量减少重复的扫描,使扫描发送的数据包总量减少到最小 保证扫描覆盖到尽量大的范围 处理好扫描的时间分布,使得扫描不要集中在某一时间内发生 怎
12、样找到一个合适的策略需要在考虑以上原则的前提下进行分析,甚至需要试验验证- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u蠕虫常用的扫描策略 随机扫描随机扫描 目前大多数蠕虫所选择的扫描策略 蠕虫通过产生伪随机数列的方法,在互联网地址空间中随机的选取IP地址进行扫描 随机扫描具有算法简单、易实现的特点。但随机扫描容易引起网络阻塞- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 选择性随机扫描选择性随机
13、扫描 会对整个地址空间的IP随机抽取进行扫描 所选的目标地址按照一定的算法随机生成,互联网地址空间中未分配的或者保留的地址块不在扫描之列 典型的有Slapper蠕虫和Slammer蠕虫。Slammer蠕虫传播非常快,主要因为它采用UDP1434(SQL SERVER)端口的非连接的扫描,而且采用了大量线程的扫描方式,使得其扫描主要受带宽的限制- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 顺序扫描顺序扫描 宿主主机上的蠕虫会随机选择一个C类网络地址进行顺序传播 该策略的不足是对同一台主机可能重复
14、扫描,引起网络拥塞 W32.Blaster是典型的顺序扫描蠕虫- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 初始列表扫描(初始列表扫描(hit list) 蠕虫程序在释放之前,预先形成一个易感主机的初试列表,然后对该列表地址进行尝试攻击和传播 一般是选择网络中的关键节点主机- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 初始列表生成方法有两种,其一是通过小规模的扫描或者互联网的共享信息产生初始列
15、表,其二是通过分布式扫描可以生成全面的列表数据库 缺点是攻击者收集这些攻击目标时往往要花费很长的时间,在这个过程中所利用的漏洞有可能会被修复,而失去攻击的机会- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 可路由地址扫描可路由地址扫描 蠕虫依据网络的路由信息,对地址空间进行选择性扫描的一种策略 蠕虫的设计者通常利用BGP路由表的公开信息获取互连网路由的IP地址前辍,从而达到验证BGP数据库可用性的目的 提高了蠕虫的传播速度,但蠕虫传播时必须携带一个路由IP地址库- -计算机病毒与防范技术计算机病
16、毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 DNS扫描扫描 蠕虫程序从DNS服务器上获取所记录的IP地址来建立蠕虫扫描的目的地址库 所建立的目标地址库具有针对性和可用性强的特点 但蠕虫程序需要携带大量的地址库,因此传播速度比较慢- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 分治扫描分治扫描 网络蠕虫之间相互协作、快速搜索易感染主机的一种策略 网络蠕虫发送地址库的一部分给每台被感染的主机,然后每台主机再去扫描它所获得的地址 不
17、足是存在“坏点”问题。在蠕虫传播的过程中,如果一台主机死机或崩溃,那么所有传给它的地址库就会丢失。这个问题发生得越早,影响就越大- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 有三种方法能够解决这个问题:(1)在蠕虫传递地址库之前产生目标列表;(2)通过计数器来控制蠕虫的传播情况,蠕虫每感染一个节点,计数器加1,然后根据计数器的值来分配任务;(3)蠕虫传播的时候随机决定是否重传数据库- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计
18、算机学院信息安全系蠕虫的工作方式 置换列表扫描置换列表扫描 所有蠕虫共用一张与整个地址空间相对应的伪随机置换列表,并通过该表来选择扫描目标 被感染的主机以其在置换列表上的位置为扫描起点,并由该起点始沿着置换列表向下扫描,寻找新的漏洞主机。当它扫描到某一点并发现该点所对应的主机已经被感染,会立即停止扫描,并在置换列表中随机选择一个新的起点继续扫描 确保了对整个网络的彻底扫描,也避免了对同一台机器的重复扫描- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 蠕虫快速传播的关键在于设计良好的扫描策略 一般
19、情况下,采用DNS扫描传播的蠕虫速度最慢,选择性随机扫描和路由扫描比随机扫描的速度要快 对于初始列表扫描,当列表超过1M字节时,蠕虫传播的速度就会比路由扫描蠕虫慢;当列表大于6M时,蠕虫传播速度比随机扫描还慢- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式 目前,网络蠕虫首先采用路由扫描,再利用随机扫描进行传播是最佳选择 扫描发送的探测包是根据不同的漏洞进行设计的 不同的漏洞有不同的攻击手法,关键的问题是对漏洞的理解和利用- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机
20、学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u蠕虫的攻击机制 缓冲区溢出漏洞 内存损坏漏洞- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍u漏洞是指任何软件、硬件或实现中存在的缺陷,这些缺陷在满足一定的条件时,可导致信息泄漏或资源失控或服务失效u攻击代码是指可以用来体现漏洞的程序代码,通过执行这些程序代码,可以展示漏洞,即出现信息泄漏或资源失控或服务失效这些结果。- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京
21、工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍u缓冲区指的是程序运行时内存中一块连续的区域u缓冲溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍void MyCopy(char*str) char dstbuffer256; strcpy(buffer,str);int main() int i; char srcbuffer512; for(i=0;i511;i+) srcufferi=C; M
22、yCopy(srcbuffer); return 0;- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍u在C语言标准库中就有许多能提供溢出的函数,如strcat(),strcpy(),sprintf(),vsprintf(),bcopy(),gets()和scanf()等等u据统计,因特网上80%的攻击采用了缓冲区溢出后执行攻击者的攻击代码- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍u
23、缓冲区溢出大致分为栈溢出和堆溢出。除此之外还有函数指针、off-by-one溢出、格式字符串攻击等等。u在.data、.bss和heap中溢出的情形,都称为堆溢出u这些数据区的特点是:数据的增长由低地址向高地址,而栈溢出则相反。- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍u近几年爆发的蠕虫都利用了缓冲区溢出技术 W32/Slammer Worm.sasser worm.Blaster Zotobu溢出点定位是缓冲区溢出技术的核心- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北
24、京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系漏洞与缓冲区溢出介绍u随着将来高级类型安全语言、编译器、虚拟机等技术的应用,作为软件漏洞之王的缓冲区溢出可能会逐渐消亡,程序设计中的逻辑错误将可能取代缓冲区溢出,成为漏洞的新主流- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的工作方式u复制 复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机并启动 复制过程有很多种方法,可以利用系统本身的程序实现,也可以用蠕虫自带的程序实现 复制过程实际就是一个文件传输的过程。- -计算机病毒与
25、防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的防治策略u从它的实体结构来考虑,如果破坏了它的实体组成的一个部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的u从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播的目的- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的防治策略u具体可以分为如下一些措施 修补系统漏洞 分析蠕虫行为 重命名或删除命令解释器(Interpreter) 防火墙(Fi
26、rewall) 公告 更深入的研究- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系蠕虫的防范u购买主流的网络安全产品,并注意随时更新u提高防杀毒意识,不要轻易点击陌生的站点u不随意查看陌生邮件,尤其是带有附件的邮件u防范局域网连接和资源共享带来的安全隐患- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系典型蠕虫代码的分析u红色代码2(Worm.codeRed) 背景 病发症状 漏洞介绍 扫描策略 程序流程- -计算机病毒与防范技术
27、计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系红色代码2(Worm.codeRed)u病发症状 在“ WINNTSYSTEM32LOGFILESW3SVCI”目录下的日志文件中含有以下内容:GETGET,/default.ida/default.ida,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
28、XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
29、XXXXXX%u9090%u6858%ucbd3%u7801%u9O90%u6858%uebd3%u7801%u909ou9090%u6858%ucbd3%u7801%u9O90%u6858%uebd3%u7801%u909o%u6858%uebd3%u780l%u909o%u9090%us190%u00e3%u0003%u8b00%u6858%uebd3%u780l%u909o%u9090%us190%u00e3%u0003%u8b00%u53lb%u53ff%u0078%u0000%u00=a%u53lb%u53ff%u0078%u0000%u00=a- -计算机病毒与防范技术计算机病毒与
30、防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系红色代码2(Worm.codeRed) 使用netstat-a命令,在 1025以上端口出现很多SYN-SENT连接请求,或者1025号以上的大量端口处于监听状态 在以下目录中存在“Root.exe”文件 C:inetPubScriptsRoot.exe D:inetPubScriptsRoot.exe C:ProgramfilesCommonfilesSystemMSADCRoot.exe D:ProgramfilesCommonfilesSystemMSADCRoot.exe 在C,D盘根目录下存
31、在以下文件: C:Explorer.exe,D:Explorer.exe- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系红色代码2(Worm.codeRed)u扫描策略 “红色代码”采取选择随机扫描的策略 扫描的IP地址由以下策略获取: 假设随机生成的IP地址的点分十进制格式为A.B.C.D,再假设本机的IP地址是E.F.G.H,则随机生成的IP地址规则如下:(1)随机生成1一254之间的随机数,赋值给A,B,C,D(2)37.5%的概率生成的IP地址为E.F.C.D。即生成的IP前十六位和本机地址的前十六位相
32、同,后十六位随机生成- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系红色代码2(Worm.codeRed)(3)50%的概率生成的IP地址为E.B.C.D。即生成的IP前八位和本机地址的前八位相同,后二十四位随机生成(4)12.5%的概率生成的IP地址为A.B.C.D。即目标主机的工P地址全部随机生成(5)如果生成的IP地址与本机相同,则重新生成(6)如果生成的IP地址中A的值为127或者为224,则重新生成IP地址- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所
33、有:北京工业大学计算机学院信息安全系红色代码2(Worm.codeRed)- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系典型蠕虫代码的分析u冲击波(worm.Blaster) 背景 病发症状 漏洞介绍 扫描策略 程序流程- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系冲击波(worm.Blaster)u漏洞介绍 由函数 引起的,函数的第六个参数“SzName”文件名如果超长的话,就会引起缓冲区溢出CoGetInstanceFr
34、omFile(COSERVERINFO*PServerlnfo,CLSID*Pelsid,Iunknown*punkouter,DWORD dwClsCtx,DWORD grfMode,OLECHAR*szName, ULONG cmq,MULTl_QI*rgmqResults) - -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系冲击波(worm.Blaster)- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系典型蠕虫代码的分析u震荡波(worm.sasser.D) 背景 病发症状 漏洞介绍 扫描策略 程序流程- -计算机病毒与防范技术计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系版权所有:北京工业大学计算机学院信息安全系典型蠕虫代码的分析- -