1、2023-1-141第五章第五章 计算机病毒及恶意代码计算机病毒及恶意代码 本章学习重点掌握内容:本章学习重点掌握内容:n传统病毒原理传统病毒原理n脚本病毒原理脚本病毒原理n网络蠕虫原理网络蠕虫原理n木马技术木马技术n网络钓鱼技术网络钓鱼技术n僵尸网络僵尸网络2023-1-142第五章第五章 计算机病毒及恶意代码计算机病毒及恶意代码n5.1 计算机病毒概述计算机病毒概述n5.2 传统的计算机病毒传统的计算机病毒n5.3 脚本病毒脚本病毒n5.4网络蠕虫网络蠕虫n5.5木马技术木马技术n5.6网络钓鱼网络钓鱼n5.7僵尸网络僵尸网络n5.8浏览器劫持浏览器劫持n5.9 流氓软件流氓软件2023-
2、1-1435.1计算机病毒概述计算机病毒概述 n5.1.1 计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程使用,并能自我复制的一组计算机指令或者程序代码。序代码。”2023-1-1445.1计算机病毒概述计算机病毒概述n5.1.2计算机病毒历史n1977年,美国著名的贝尔实验室中设计磁芯大战年,美国著名的贝尔实验室中设计磁芯大战(Core War)的游戏,第一步将计算机病毒感染)的游戏,第一步将计算机病毒感染性的概念体现出
3、来性的概念体现出来 n第一个具备完整特征的计算机病毒出现于第一个具备完整特征的计算机病毒出现于1987年,年,病毒病毒C-BRAIN,由一对巴基斯坦兄弟:由一对巴基斯坦兄弟:Basit和和Amjad所写。目的是防止他们的软件被任意盗拷。所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件,只要有人盗拷他们的软件,C-BRAIN就会发作,就会发作,将盗拷者的硬盘剩余空间给吃掉。将盗拷者的硬盘剩余空间给吃掉。2023-1-1455.1.2计算机病毒历史nDOS病毒病毒,破坏表现:唱歌、删除文件、格式化硬破坏表现:唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒盘、屏幕上
4、显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等如耶路撒冷、米开朗基罗、猴子病毒等。n基于基于Windows运行环境的病毒,随着微软运行环境的病毒,随着微软Office软件的普及,出现了宏病毒,各种脚本病毒也日益软件的普及,出现了宏病毒,各种脚本病毒也日益增多著名病毒如增多著名病毒如 CIH病毒等。病毒等。n网络时代病毒已经突破了传统病毒的技术,融合许网络时代病毒已经突破了传统病毒的技术,融合许多网络攻击技术,如蠕虫技术、木马技术、流氓软多网络攻击技术,如蠕虫技术、木马技术、流氓软件、网络钓鱼等,。件、网络钓鱼等,。2023-1-1465.1计算机病毒概述计算机病毒概述n5
5、.1.3 计算机病毒特征n破坏性破坏性 计算机所有资源包括硬件资源和软件资源,计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏软件所能接触的地方均可能受到计算机病毒的破坏n隐蔽性隐蔽性。通过隐蔽技术使宿主程序的大小没有改变,。通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。以至于很难被发现。n潜伏性潜伏性 长期隐藏在系统中,只有在满足特定条件时,长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。才启动其破坏模块。n传染性传染性 指病毒具有把自身复制到其它程序中的特性指病毒具有把自身复制到其它程序中的特性 2023-1-1475.1.3 计算机病
6、毒特征n网络病毒又增加很多新的特点网络病毒又增加很多新的特点 n主动通过网络和邮件系统传播主动通过网络和邮件系统传播 n计算机的病毒种类呈爆炸式增长计算机的病毒种类呈爆炸式增长n变种多,容易编写,并且很容易被修改,生成很多变种多,容易编写,并且很容易被修改,生成很多病毒变种病毒变种 n融合多种网络技术,并被黑客所使用融合多种网络技术,并被黑客所使用 2023-1-1485.2 传统的计算机病毒传统的计算机病毒n5.2.1 计算机病毒的基本机制分为三大模块:传染机制、破坏机制、触发机制。n计算机病毒的传染机制计算机病毒的传染机制 n指计算机病毒由一个宿主传播到另一个宿主程序,由一个指计算机病毒由
7、一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。系统进入另一个系统的过程。n触发机制触发机制n计算机病毒在传染和发作之前,要判断某些特定条件是否计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。满足,这个条件就是计算机病毒的触发条件。n3、破坏机制、破坏机制 n良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。标主机系统或信息产生严重破坏。2023-1-1495.2 传统的计算机病毒传统的计算机病毒n5.2.2 病毒分析Windows环境下,主要病毒有文件型病毒
8、、引环境下,主要病毒有文件型病毒、引导性病毒和宏病毒等导性病毒和宏病毒等 n文件型病毒文件型病毒n文件型病毒主要感染可执行文件,文件型病毒主要感染可执行文件,Windows环境环境下主要为下主要为.EXE文件,为文件,为PE格式文件格式文件nPE是是 Win32环境自身所带的执行体文件格式。环境自身所带的执行体文件格式。2023-1-14105.2.2 病毒分析nPE文件结构如图文件结构如图5-1所示所示 MS-DOS头部MS-DOS实模式残余程序PE文件标志”PE00”(4字节)PE文件头(14H字节)PE文件可选头Section table(节表)Section1Section2Secti
9、on3 2023-1-14115.2.2 病毒分析n当运行一个当运行一个PE可执行文件时可执行文件时 n当当PE文件被执行,文件被执行,PE装载器检查装载器检查 DOS MZ header 里的里的 PE header 偏移量。如果找到,则偏移量。如果找到,则跳转到跳转到 PE header。nPE装载器检查装载器检查 PE header 的有效性。如果有效,的有效性。如果有效,就跳转到就跳转到PE header的尾部。的尾部。n紧跟紧跟 PE header 的是节表。的是节表。PE装载器读取其中装载器读取其中的节信息,并采用文件映射方法将这些节映射到的节信息,并采用文件映射方法将这些节映射到
10、内存,同时附上节表里指定的节属性。内存,同时附上节表里指定的节属性。nPE文件映射入内存后,文件映射入内存后,PE装载器将处理装载器将处理PE文件中文件中类似类似 import table(引入表)逻辑部分。(引入表)逻辑部分。2023-1-14125.2.2 病毒分析n感染感染PE文件,必须满足两个基本条件:文件,必须满足两个基本条件:n是能够在宿主程序中被调用,获得运行权限;主要采用重定是能够在宿主程序中被调用,获得运行权限;主要采用重定位的方法,改位的方法,改PE文件在系统运行文件在系统运行PE文件时,病毒代码可以获文件时,病毒代码可以获取控制权,在执行完感染或破坏代码后,再将控制权转移
11、给取控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码。方法有:正常的程序代码。方法有:n可以修改文件头中代码开始执行位置(可以修改文件头中代码开始执行位置(AddressOfEntryPoint)n在在PE文件中添加一个新节文件中添加一个新节 n 病毒进行各种操作时需调用病毒进行各种操作时需调用API函数函数,有两种解决方案。,有两种解决方案。n在感染在感染PE文件的时候,可以搜索宿主的引入函数节的相关地址。文件的时候,可以搜索宿主的引入函数节的相关地址。n解析导出函数节,尤其是解析导出函数节,尤其是Kernel32.DLL 2023-1-14135.2.2 病毒分析n宏病毒宏
12、病毒 n就是使用宏语言编写的程序,可以在一些数据处就是使用宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件中数据库、演示文档等数据文件中 n感染过程感染过程 n改写改写Word宏宏n改写文档自动执行宏,如改写文档自动执行宏,如AutoOpen、FileSave FilePrint等等等等 2023-1-14145.2.2 病毒分析n转换成文档模板的宏转换成文档模板的宏 n当宏病毒获得运行权限之后,把所当宏病毒获得运行权限之后,把所关联的宿主文档转换成模板格式,关联的宿主文档转换成模板格式,然后把所有
13、宏病毒复制到该模板之然后把所有宏病毒复制到该模板之中中 n感染其它感染其它Word文档文档 n当其它的当其它的Word文件打开时,由于自文件打开时,由于自动调用该模板因而会自动运行宏病动调用该模板因而会自动运行宏病毒毒 WordExcelAutoOpenAuto_Open AutoCloseAuto_CloseAutoExec AutoExit AutoNew Auto_Activate Auto_Deactivate2023-1-14155.2.2 病毒分析n宏病毒具有如下特点宏病毒具有如下特点 n传播快传播快nWord文档是交流最广的文件类型。人们大多对外来的文档是交流最广的文件类型。人们
14、大多对外来的文档文件基本是直接浏览使用,这给文档文件基本是直接浏览使用,这给Word宏病毒传播宏病毒传播带来很多便利。带来很多便利。n 制作、变种方便制作、变种方便nWord使用宏语言使用宏语言WordBasic来编写宏指令。用户很方来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变,立即就生产出了一种新的宏病毒以改变,立即就生产出了一种新的宏病毒.n 破坏性大破坏性大2023-1-14165.2 传统的计算机病毒传统的计算机病毒n5.2.3 传统计算机病毒防御n文件型病毒一般采用以下一些方法文件型病毒一般采用以下一些方
15、法 n安装最新版本、有实时监控文件系统功能的防病毒软件。安装最新版本、有实时监控文件系统功能的防病毒软件。n及时更新病毒引擎,最好每周更新一次,并在有病毒突发事及时更新病毒引擎,最好每周更新一次,并在有病毒突发事件时立即更新。件时立即更新。n经常使用防毒软件对系统进行病毒检查。经常使用防毒软件对系统进行病毒检查。n对关键文件,如系统文件、重要数据等,在无毒环境下备份。对关键文件,如系统文件、重要数据等,在无毒环境下备份。n在不影响系统正常工作的情况下对系统文件设置最低的访问在不影响系统正常工作的情况下对系统文件设置最低的访问权限。权限。2023-1-14175.2.3 传统计算机病毒防御n宏病
16、毒的预防与清除宏病毒的预防与清除n找到一个无毒的找到一个无毒的Normal.dot 文件的备份,将位于文件的备份,将位于“MSOffice Template”文件夹下的通用模板文件夹下的通用模板Normal.dot文件替换掉;文件替换掉;n对于已染病毒的文件,先打开一个无毒对于已染病毒的文件,先打开一个无毒Word文件,文件,按照以下菜单打开对话框:工具按照以下菜单打开对话框:工具-宏宏-安全性,安全性,设置安全性为高设置安全性为高 2023-1-14185.3 脚本病毒脚本病毒 n5.3.1 脚本病毒概述n脚本病毒依赖一种特殊的脚本语言(如:脚本病毒依赖一种特殊的脚本语言(如:VBScrip
17、t、JavaScript等)起作用,同时需要应用环境能够正等)起作用,同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令,脚本病确识别和翻译这种脚本语言中嵌套的命令,脚本病毒可以在多个产品环境中进行。毒可以在多个产品环境中进行。n脚本病毒具有如下特征脚本病毒具有如下特征 n编写简单。由于脚本的简单性,使以前对病毒不了编写简单。由于脚本的简单性,使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。解的人都可以在很短的时间里编出一个新型病毒。n病毒源码容易被获取、变种多。其源代码可读性非病毒源码容易被获取、变种多。其源代码可读性非常强常强 2023-1-14195.3.1 脚本病毒
18、概述n感染力强。采用脚本高级语言可以实现多种复杂操感染力强。采用脚本高级语言可以实现多种复杂操作,感染其它文件或直接自动运行。作,感染其它文件或直接自动运行。n破坏力强。破坏力强。脚本病毒可以寄生于脚本病毒可以寄生于HTML或邮件通过或邮件通过网络传播,其传播速度非常快。脚本病毒不但能够网络传播,其传播速度非常快。脚本病毒不但能够攻击被感染的主机,获取敏感信息,删除关键文件;攻击被感染的主机,获取敏感信息,删除关键文件;更可以攻击网络或者服务器,造成拒绝服务攻击,更可以攻击网络或者服务器,造成拒绝服务攻击,产生严重破坏。产生严重破坏。n传播范围广。这类病毒通过传播范围广。这类病毒通过HTML文
19、档,文档,Email附附件或其它方式,可以在很短时间内传遍世界各地。件或其它方式,可以在很短时间内传遍世界各地。n采用多种欺骗手段。脚本病毒为了得到运行机会,采用多种欺骗手段。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,往往会采用各种让用户不大注意的手段,2023-1-14205.3 脚本病毒脚本病毒n5.3.2 脚本病毒原理n脚本病毒的传播分析脚本病毒的传播分析n 脚本病毒一般是直接通过自我复制来感染文件的,病毒中的脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其它同类程序中间:绝大部分代码都可以直接附加在其它同类程序中间:n脚本病毒通过网
20、络传播的几种方式脚本病毒通过网络传播的几种方式n通过电子邮件传播通过电子邮件传播 n通过局域网共享传播通过局域网共享传播n感染感染HTML、ASP、JSP、PHP等网页通过浏览器传播等网页通过浏览器传播 n通过通过U盘自动运行传播盘自动运行传播n其它的传播方式其它的传播方式 2023-1-14215.3.2 脚本病毒原理n脚本病毒的获得控制权的方法分析脚本病毒的获得控制权的方法分析n修改注册表项修改注册表项 修改自动加载项修改自动加载项n通过映射文件执行方式通过映射文件执行方式n欺骗用户,让用户自己执行欺骗用户,让用户自己执行ndesktop.ini和和folder.htt互相配合互相配合n如
21、果用户的目录中含有这两个文件,当用户进入该目录时,如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发就会触发folder.htt中的病毒代码。中的病毒代码。n直接复制和调用可执行文件直接复制和调用可执行文件2023-1-14225.3 脚本病毒脚本病毒n5.3.3 脚本病毒防御n脚本病毒要求被感染系统具有如下支持能力:脚本病毒要求被感染系统具有如下支持能力:nVBScript代码是通过代码是通过Windows Script Host来解来解释执行的,释执行的,wscript.exe就是该功能的相关支持程就是该功能的相关支持程序。序。n绝大部分绝大部分VBS脚本病毒运行的时候需要对象脚
22、本病毒运行的时候需要对象FileSystemObject的支持。的支持。n通过网页传播的病毒需要通过网页传播的病毒需要ActiveX的支持的支持n通过通过Email传播的病毒需要邮件软件的自动发送功传播的病毒需要邮件软件的自动发送功能支持。能支持。2023-1-14235.3.3 脚本病毒防御n因此可以采用以下方法防御脚本病毒因此可以采用以下方法防御脚本病毒n可以通过打开可以通过打开“我的计算机我的计算机”,依次点击,依次点击查看查看文件夹选文件夹选项项文件类型文件类型在文件类型中将后缀名为在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这
23、样这些文件就的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。不会被执行了。n在在IE设置中将设置中将ActiveX插件和控件以及插件和控件以及Java相关的组件全部禁止,相关的组件全部禁止,可以避免一些恶意代码的攻击。方法是:打开可以避免一些恶意代码的攻击。方法是:打开IE,点击,点击“工工具具”“Internet选项选项”“安全安全”“自定义级别自定义级别”,在,在“安全设置安全设置”对话框中,将其中所有的对话框中,将其中所有的ActiveX插件和控件以及与插件和控件以及与Java相关的组相关的组件全部禁止即可。件全部禁止即可。n禁用文件系统对象禁用文件系统对象FileSyste
24、mObject,用用regsvr32 scrrun.dll/u这条命令就可以禁止文件系统对象。这条命令就可以禁止文件系统对象。n禁止邮件软件的自动收发邮件功能禁止邮件软件的自动收发邮件功能nWindows默认的是默认的是“隐藏已知文件类型的扩展名称隐藏已知文件类型的扩展名称”,将其修改为,将其修改为显示所有文件类型的扩展名称。显示所有文件类型的扩展名称。n选择一款好的防病毒软件并做好及时升级。选择一款好的防病毒软件并做好及时升级。2023-1-14245.4网络蠕虫网络蠕虫 n5.4.1 网络蠕虫概述网络蠕虫是一种智能化、自动化并综合网络攻击、网络蠕虫是一种智能化、自动化并综合网络攻击、密码学
25、和计算机病毒技术,不要计算机使用者密码学和计算机病毒技术,不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过网攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点。络从一个节点传播到另外一个节点。2023-1-14255.4.1 网络蠕虫概述n网络蠕虫具有以下特征网络蠕虫具有以下特征n主动攻击。从搜索漏洞,到利用搜索结果攻击系统,到攻击主动攻击。从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本,整个流程全由蠕虫自身主动完成。成功后复制副本,整个流程全由蠕虫自身主动完成。n利用软件漏洞。
26、蠕虫利用系统的漏洞获得被攻击的计算机系利用软件漏洞。蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。统的相应权限,使之进行复制和传播过程成为可能。n造成网络拥塞。在传播的过程中,蠕虫需要判断其它计算机造成网络拥塞。在传播的过程中,蠕虫需要判断其它计算机是否存活;判断特定应用服务是否存在;判断漏洞是否存在是否存活;判断特定应用服务是否存在;判断漏洞是否存在等等,这将产生大量的网络数据流量。同时出于攻击网络的等等,这将产生大量的网络数据流量。同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量,当大量的机器感染蠕需要,蠕虫也可以产生大量恶意流量,当大量的机器感染蠕
27、虫时,就会产生巨大的网络流量,导致整个网络瘫痪。虫时,就会产生巨大的网络流量,导致整个网络瘫痪。n消耗系统资源。蠕虫入侵到计算机系统之后,一方面由于要消耗系统资源。蠕虫入侵到计算机系统之后,一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源;搜索目标主机、漏洞、感染其它主机需要消耗一定的资源;另一方面,许多蠕虫会恶意耗费系统的资源。另一方面,许多蠕虫会恶意耗费系统的资源。2023-1-14265.4.1 网络蠕虫概述n留下安全隐患。大部分蠕虫会搜集、扩散、暴露系留下安全隐患。大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等),并在系统中留下后统敏感信息(如用户信息等),并在系
28、统中留下后门。门。n行踪隐蔽。蠕虫的传播过程中,不需要用户的辅助行踪隐蔽。蠕虫的传播过程中,不需要用户的辅助工作,其传播的过程中用户基本上不可察觉。工作,其传播的过程中用户基本上不可察觉。n反复性。即使清除了蠕虫留下的任何痕迹,如果没反复性。即使清除了蠕虫留下的任何痕迹,如果没有修补计算机系统漏洞,网络中的计算机还是会被有修补计算机系统漏洞,网络中的计算机还是会被重新感染。重新感染。n破坏性:越来越多的蠕虫开始包含恶意代码,破坏破坏性:越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越被攻击的计算机系统,而且造成的经济损失数目越来越大,见表来越大,见表5-3。20
29、23-1-1427 蠕虫造成的损失对照表蠕虫造成的损失对照表 病毒名称持续时间造成损失莫里斯蠕虫(MORRIS)1988年6000多台计算机感染,占但是互联网的10%,直接经济损失达一千多万美元爱虫病毒(ILOVEYOU)2000年5月至今众多用户计算机被感染,损失超过100亿美元红色代码(Code Red)2001年7月100多万台计算机感染,直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器,损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元冲击波(Blaster)2003年20亿100亿美元,受到感染的计算机不
30、计其数霸王虫(Sobig.F)2003年50亿100亿美元,超过100万台计算机被感染震荡波(Sasser)2004年8月损失估计:数千万美元2023-1-14285.4网络蠕虫网络蠕虫n5.4.2 网络蠕虫工作机制网络蠕虫工作机制 网络蠕虫的工作机制分为网络蠕虫的工作机制分为3个阶段:信息收集、攻击渗透、现场处理个阶段:信息收集、攻击渗透、现场处理n信息收集。按照一定的策略搜索网络中存活的主机,收集目标主信息收集。按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻
31、击的主机,否则放弃攻击。用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。n攻击渗透。通过收集的漏洞信息尝试攻击,一旦攻击成功,则获攻击渗透。通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。得控制该主机的权限,将蠕虫代码渗透到被攻击主机。n现场处理。当攻击成功后,开始对被攻击的主机进行一些处理工现场处理。当攻击成功后,开始对被攻击的主机进行一些处理工作,将攻击代码隐藏,为了能使被攻击主机运行蠕虫代码,还要作,将攻击代码隐藏,为了能使被攻击主机运行蠕虫代码,还要通过注册表将蠕虫程序设为自启动状态;可以完成它想完成的任通过注册表将蠕虫程序设为自启动状态
32、;可以完成它想完成的任何动作,如恶意占用何动作,如恶意占用CPU资源;收集被攻击主机的敏感信息,可资源;收集被攻击主机的敏感信息,可以危害被感染的主机,删除关键文件。以危害被感染的主机,删除关键文件。2023-1-14295.4网络蠕虫网络蠕虫n5.4.3 网络蠕虫扫描策略n网络蠕虫扫描越是能够尽快地发现被感染主机,那么网络蠕虫扫描越是能够尽快地发现被感染主机,那么网络蠕虫的传播速度就越快。网络蠕虫的传播速度就越快。n随机扫描。随机选取某一段随机扫描。随机选取某一段IP地址,然后对这一地址段上的地址,然后对这一地址段上的主机扫描。由于不知道哪些主机已经感染蠕虫,很多扫描是主机扫描。由于不知道哪
33、些主机已经感染蠕虫,很多扫描是无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散,网络上存在大量的蠕虫时,蠕虫造成的网络流量就变得散,网络上存在大量的蠕虫时,蠕虫造成的网络流量就变得非常巨大。非常巨大。n选择扫描。选择性随机扫描将最有可能存在漏洞主机的地址选择扫描。选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。选择性随机扫描算法简单,容易实现,若与本地优机生成。选择性随机扫描算法简单,容易实现,若与本地优先原则结合则能达到更好的传播
34、效果。红色代码和先原则结合则能达到更好的传播效果。红色代码和“Slammer”的传播采用了选择性随机扫描策略。的传播采用了选择性随机扫描策略。2023-1-14305.4.3 网络蠕虫扫描策略n顺序扫描。顺序扫描是被感染主机上蠕虫会随机选顺序扫描。顺序扫描是被感染主机上蠕虫会随机选择一个择一个C类网络地址进行传播,根据本地优先原则,类网络地址进行传播,根据本地优先原则,网络地址段顺序递增。网络地址段顺序递增。n基于目标列表的扫描。基于目标列表的扫描。基于目标列表扫描是指网络基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表,搜寻感染目蠕虫根据预先生成易感染的目标列表,搜寻感染目标,。标,
35、。n基于基于DNS扫描。扫描。从从DNS服务器获取服务器获取IP地址来建立地址来建立目标地址库,优点在于获得的目标地址库,优点在于获得的IP地址块针对性强和地址块针对性强和可用性高。关键问题是如何从可用性高。关键问题是如何从DNS服务器得到网络服务器得到网络主机地址,以及主机地址,以及DNS服务器是否存在足够的网络主服务器是否存在足够的网络主机地址。机地址。2023-1-14315.4网络蠕虫网络蠕虫n扫描策略设计的原则有三点扫描策略设计的原则有三点 n尽量减少重复的扫描,使扫描发送的数据包尽量是尽量减少重复的扫描,使扫描发送的数据包尽量是没有被感染蠕虫的机器;没有被感染蠕虫的机器;n保证扫描
36、覆盖到尽量大的可用地址段,包括尽量大保证扫描覆盖到尽量大的可用地址段,包括尽量大的范围,扫描的地址段为互联网上的有效地址段;的范围,扫描的地址段为互联网上的有效地址段;n处理好扫描的时间分布,使得扫描不要集中在某一处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。时间内发生。2023-1-14325.4网络蠕虫网络蠕虫n5.4.4 网络蠕虫传播模型n分为分为3个阶段个阶段 n慢速发展阶段,漏洞被蠕虫设计者发现,并利用漏洞设计蠕慢速发展阶段,漏洞被蠕虫设计者发现,并利用漏洞设计蠕虫发布于互联网,大部分用户还没有通过服务器下载补丁,虫发布于互联网,大部分用户还没有通过服务器下载补丁,网络蠕虫
37、只是感染了少量的网络中的主机。网络蠕虫只是感染了少量的网络中的主机。n快速发展阶段,如果每个感染蠕虫的可以扫描并感染的主机快速发展阶段,如果每个感染蠕虫的可以扫描并感染的主机数为数为W,n为感染的次数,那么感染主机数扩展速度为为感染的次数,那么感染主机数扩展速度为Wn,感染蠕虫的机器成指数幂急剧增长。感染蠕虫的机器成指数幂急剧增长。n缓慢消失阶段,随着网络蠕虫的爆发和流行,人们通过分析缓慢消失阶段,随着网络蠕虫的爆发和流行,人们通过分析蠕虫的传播机制,采取一定措施及时更新补丁包,并采取措蠕虫的传播机制,采取一定措施及时更新补丁包,并采取措删除本机存在的蠕虫,感染蠕虫数量开始缓慢减少。删除本机存
38、在的蠕虫,感染蠕虫数量开始缓慢减少。2023-1-14335.4网络蠕虫网络蠕虫n5.4.5 网络蠕虫防御和清除网络蠕虫防御和清除 n给系统漏洞打补丁。蠕虫病毒大多数都是利用系统给系统漏洞打补丁。蠕虫病毒大多数都是利用系统漏洞进行传播的,因此在清除蠕虫病毒之前必须将漏洞进行传播的,因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。蠕虫病毒利用的相关漏洞进行修补。n清除正在运行的蠕虫进程。每个进入内存的蠕虫一清除正在运行的蠕虫进程。每个进入内存的蠕虫一般会以进程的形式存在,只要清除了该进程,就可般会以进程的形式存在,只要清除了该进程,就可以使蠕虫失效。以使蠕虫失效。n删除蠕虫病毒的自启
39、动项,感染蠕虫主机用户一般删除蠕虫病毒的自启动项,感染蠕虫主机用户一般不可能启动蠕虫病毒,蠕虫病毒需要就自己启动。不可能启动蠕虫病毒,蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。需要在这些自启动项中清除蠕虫病毒的设置。2023-1-14345.4.5 网络蠕虫防御和清除网络蠕虫防御和清除n删除蠕虫文件。可以通过蠕虫在注册表的键值可以删除蠕虫文件。可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置,对于那些正在运行或被调用知道病毒的躲藏位置,对于那些正在运行或被调用的文件无法直接删除,可以借助于相关工具删除。的文件无法直接删除,可以借助于相关工具删除。n利用自动防护工具,如个人
40、防火墙软件。通过个人利用自动防护工具,如个人防火墙软件。通过个人防火墙软件可以设置禁止不必要的服务。另外也可防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有那些恶意的流量。以设置监控自己主机有那些恶意的流量。2023-1-14355.5木马技术木马技术 n5.5.1 木马技术概述n指隐藏在正常程序中的一段具有特殊功能的恶指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、意代码,是具备破坏和删除文件、发送密码、记录键盘和记录键盘和DoS攻击等特殊功能的后门程序。攻击等特殊功能的后门程序。它与控制主机之间建立起连接,使得控制者能它与控制主机之间建立起连
41、接,使得控制者能够通过网络控制受害系统,最大的特征在于隐够通过网络控制受害系统,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有秘性,偷偷混入对方的主机里面,但是却没有被对方发现。这与战争中的木马战术十分相似,被对方发现。这与战争中的木马战术十分相似,因而得名木马程序。因而得名木马程序。2023-1-14365.5.1 木马技术概述n木马的发展历程木马的发展历程 n第一代木马出现在网络发展的早期,是以窃取网络密码为主第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,这种木马通过伪装成一个合法的程序诱骗用户上当。要任务,这种木马通过伪装成一个合法的程序诱骗用户上当。第一代木马还
42、不具有传染性,在隐藏和通信方面也均无特别第一代木马还不具有传染性,在隐藏和通信方面也均无特别之处。之处。n第二代木马在技术上有了很大的进步,它使用标准的第二代木马在技术上有了很大的进步,它使用标准的C/S架架构,提供远程文件管理、屏幕监视等功能,在隐藏、自启动构,提供远程文件管理、屏幕监视等功能,在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木马的服和操纵服务器等技术上也有很大的发展。由于植入木马的服务端程序会打开连接端口等候客户端连接,比较容易被用户务端程序会打开连接端口等候客户端连接,比较容易被用户发现。冰河、发现。冰河、BO2000等都是典型的第二代木马。等都是典型的第二代木
43、马。n第三代木马改变主要在网络连接方式上,特征是不打开连接第三代木马改变主要在网络连接方式上,特征是不打开连接端口进行侦听,而是使用端口进行侦听,而是使用ICMP通信协议进行通信或使用通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端,以突破防火墙的端口反弹技术让服务器端主动连接客户端,以突破防火墙的拦截。增加了查杀难度,如网络神偷拦截。增加了查杀难度,如网络神偷(Netthief)、灰鸽子木、灰鸽子木马等。马等。2023-1-14375.5.1 木马技术概述n第四代木马在进程隐藏方面做了较大改动,让木马第四代木马在进程隐藏方面做了较大改动,让木马服务器运行时没有进程。如服务器运
44、行时没有进程。如rootkit技术,嵌入木技术,嵌入木马通过替换系统程序、马通过替换系统程序、DLL、甚至是驱动程序,替、甚至是驱动程序,替换之后还能够提供原来程序正常的服务从而实现木换之后还能够提供原来程序正常的服务从而实现木马的隐藏。木马不是单独的进程或者以注册服务的马的隐藏。木马不是单独的进程或者以注册服务的形式出现,无法通过形式出现,无法通过“任务管理器任务管理器”查看到正在运查看到正在运行的木马。需要专门的工具才能发现以及专业的木行的木马。需要专门的工具才能发现以及专业的木马查杀工具才能清除。马查杀工具才能清除。n第五代木马实现了与病毒紧密结合,利用操作系统第五代木马实现了与病毒紧密
45、结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。木马那样需要欺骗用户主动激活。2023-1-14385.5.1 木马技术概述n木马特征木马特征 n隐蔽性。隐蔽性是木马的首要特征。木马类软件的隐蔽性。隐蔽性是木马的首要特征。木马类软件的SERVER端程序在被控主机系统上运行时,会使用端程序在被控主机系统上运行时,会使用各种方法来隐藏自己。各种方法来隐藏自己。n自动运行性。木马程序通过修改系统配置文件,在自动运行性。木马程序通过修改系统配置文件,在目标主机系统启动时自动运行或加载。目标主机系统启动时自动运行或加
46、载。n欺骗性。木马程序要达到其长期隐蔽的目的,就必欺骗性。木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防用户发现。需借助系统中已有的文件,以防用户发现。2023-1-14395.5.1 木马技术概述n自动恢复性。很多的木马程序中的功能模块已不再自动恢复性。很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相是由单一的文件组成,而是具有多重备份,可以相互恢复。系统一旦被植入木马,只删除某一个木马互恢复。系统一旦被植入木马,只删除某一个木马文件来进行清除是无法清除干净的。文件来进行清除是无法清除干净的。n破坏或信息收集。木马通常具有搜索破坏或信息收集。木马
47、通常具有搜索Cache中的口中的口令、设置口令、扫描目标机器的令、设置口令、扫描目标机器的IP地址、进行键盘地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。记录、远程注册表的操作、以及锁定鼠标等功能。2023-1-14405.5木马技术木马技术n5.5.2 木马的实现原理与攻击技术在了解木马攻击技术之前,需要先了解木马欺骗技术,在了解木马攻击技术之前,需要先了解木马欺骗技术,木马欺骗技术是木马欺骗用户安装、欺骗用户运行以木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有及隐藏自己的关键技术。木马欺骗技术主要有:n伪装成其它类型的文件伪装成其它类型的
48、文件,可执行文件需要伪装其它文件。如,可执行文件需要伪装其它文件。如伪装成图片文件伪装成图片文件 n 合并程序欺骗。合并程序是可以将两个或两个以上的可执行合并程序欺骗。合并程序是可以将两个或两个以上的可执行文件文件(exe文件文件)结合为一个文件,以后只需执行这个合并文结合为一个文件,以后只需执行这个合并文件,两个可执行文件就会同时执行。件,两个可执行文件就会同时执行。2023-1-14415.5.2 木马的实现原理与攻击技术n插入其它文件内部。利用运行插入其它文件内部。利用运行flash文件和影视文件具有可以文件和影视文件具有可以执行脚本文件的特性,一般使用执行脚本文件的特性,一般使用“插马
49、插马”工具将脚本文件插工具将脚本文件插入到入到swf、rm等类型的等类型的flash文件和影视文件中文件和影视文件中 n伪装成应用程序扩展组件。黑客们通常将木马程序写成为任伪装成应用程序扩展组件。黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中何类型的文件然后挂在一个常用的软件中。n利用利用WinRar制作成自释放文件,把木马程序和其它常用程序制作成自释放文件,把木马程序和其它常用程序利用利用WinRar捆绑在一起,将其制作成自释放文件。捆绑在一起,将其制作成自释放文件。n在在Word文档中加入木马文件,在文档中加入木马文件,在Word文档末尾加入木马文文档末尾加入木马文件,只
50、要别人点击这个所谓的件,只要别人点击这个所谓的Word文件就会中木马。文件就会中木马。2023-1-14425.5.2 木马的实现原理与攻击技术n一个木马程序要通过网络入侵并控制被植入的计算机,需要采用一个木马程序要通过网络入侵并控制被植入的计算机,需要采用以下四个环节以下四个环节:n首先是向目标主机植入木马,通过网络将木马程序植入到被控制首先是向目标主机植入木马,通过网络将木马程序植入到被控制的计算机;的计算机;n启动和隐藏木马,木马程序一般是一个单独文件需要一些系统设启动和隐藏木马,木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序,为了防止被植入者发现和删除置来让计算机
