4-計(jì)算機(jī)病毒及惡意代碼課件

2023/7/281計(jì)算機(jī)病毒及惡意代碼2023/7/2825.1計(jì)算機(jī)病毒概述5.2傳統(tǒng)的計(jì)算機(jī)病毒5.3腳本病毒5.4網(wǎng)絡(luò)蠕蟲(chóng)

5.5木馬技術(shù)

5.6網(wǎng)絡(luò)釣魚(yú)

5.7僵尸網(wǎng)絡(luò)

5.8瀏覽器劫持5.9流氓軟件檢測(cè)方法2023/7/2835.1計(jì)算機(jī)病毒概述5.1.1計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?023/7/2845.1計(jì)算機(jī)病毒概述5.1.2計(jì)算機(jī)病毒歷史1977年，美國(guó)著名的貝爾實(shí)驗(yàn)室中設(shè)計(jì)磁芯大戰(zhàn)（CoreWar）的游戲，第一步將計(jì)算機(jī)病毒感染性的概念體現(xiàn)出來(lái)第一個(gè)具備完整特征的計(jì)算機(jī)病毒出現(xiàn)于1987年，病毒C-BRAIN,由一對(duì)巴基斯坦兄弟：Basit和Amjad所寫(xiě)。目的是防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會(huì)發(fā)作，將盜拷者的硬盤(pán)剩余空間給吃掉。2023/7/2855.1.2計(jì)算機(jī)病毒歷史DOS病毒,破壞表現(xiàn)：唱歌、刪除文件、格式化硬盤(pán)、屏幕上顯出各式各樣的圖形與音效。主要病毒如耶路撒冷、米開(kāi)朗基羅、猴子病毒等?；赪indows運(yùn)行環(huán)境的病毒，隨著微軟Office軟件的普及，出現(xiàn)了宏病毒，各種腳本病毒也日益增多著名病毒如CIH病毒等。網(wǎng)絡(luò)時(shí)代病毒已經(jīng)突破了傳統(tǒng)病毒的技術(shù)，融合許多網(wǎng)絡(luò)攻擊技術(shù)，如蠕蟲(chóng)技術(shù)、木馬技術(shù)、流氓軟件、網(wǎng)絡(luò)釣魚(yú)等，。2023/7/2865.1計(jì)算機(jī)病毒概述5.1.3計(jì)算機(jī)病毒特征破壞性計(jì)算機(jī)所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計(jì)算機(jī)病毒的破壞隱蔽性。通過(guò)隱蔽技術(shù)使宿主程序的大小沒(méi)有改變，以至于很難被發(fā)現(xiàn)。潛伏性長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足特定條件時(shí)，才啟動(dòng)其破壞模塊。傳染性指病毒具有把自身復(fù)制到其它程序中的特性2023/7/2875.1.3計(jì)算機(jī)病毒特征網(wǎng)絡(luò)病毒又增加很多新的特點(diǎn)主動(dòng)通過(guò)網(wǎng)絡(luò)和郵件系統(tǒng)傳播計(jì)算機(jī)的病毒種類(lèi)呈爆炸式增長(zhǎng)變種多，容易編寫(xiě)，并且很容易被修改，生成很多病毒變種融合多種網(wǎng)絡(luò)技術(shù)，并被黑客所使用2023/7/288病毒的傳播途徑移動(dòng)存儲(chǔ)設(shè)備（軟盤(pán)、光盤(pán)、磁帶、ZIP、JAZ等傳統(tǒng)媒介）電子函件BBS和新聞組Web頁(yè)面局域網(wǎng)和Internet（文件共享、FTP等）...2023/7/289病毒的分類(lèi)標(biāo)準(zhǔn)按破壞性質(zhì)劃分良性病毒、惡性病毒按所攻擊的操作系統(tǒng)劃分DOS病毒、Windows病毒、Linux病毒、Unix病毒…按表觀來(lái)劃分簡(jiǎn)單病毒、變形病毒根據(jù)感染的途徑以及采用的技術(shù)劃分引導(dǎo)型病毒、文件型病毒、混合型病毒...2023/7/2810通常采用的病毒分類(lèi)傳統(tǒng)分類(lèi)引導(dǎo)型病毒（BootVirus）、文件型病毒（FileVirus）、混合型病毒新的分類(lèi)變形病毒（Polymorphic/MutationVirus）、宏病毒（MacroVirus）、電子函件病毒（EmailVirus）、腳本病毒（ScriptVirus）、網(wǎng)絡(luò)蠕蟲(chóng)（Networkworm）、黑客程序（Hackprogram）、木馬/后門(mén)程序（Trojan/Backdoorprogram）、Java/ActiveX惡意代碼、...2023/7/2811病毒的命名國(guó)際上沒(méi)有命名的原則同一廠商對(duì)同一病毒及變種的命名一致一般采用病毒體字節(jié)數(shù)、病毒體內(nèi)的特征字符串、發(fā)作的現(xiàn)象、發(fā)作的時(shí)間以及相關(guān)的事件、病毒的發(fā)源地，等等來(lái)命名病毒。通常還會(huì)加上某些指明病毒屬性的前后綴，如W32/xxx，mmm.W97M等2023/7/28125.2傳統(tǒng)的計(jì)算機(jī)病毒5.2.1計(jì)算機(jī)病毒的基本機(jī)制分為三大模塊：傳染機(jī)制、破壞機(jī)制、觸發(fā)機(jī)制。

計(jì)算機(jī)病毒的傳染機(jī)制指計(jì)算機(jī)病毒由一個(gè)宿主傳播到另一個(gè)宿主程序，由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過(guò)程。觸發(fā)機(jī)制計(jì)算機(jī)病毒在傳染和發(fā)作之前，要判斷某些特定條件是否滿足，這個(gè)條件就是計(jì)算機(jī)病毒的觸發(fā)條件。3、破壞機(jī)制良性病毒表現(xiàn)為占用內(nèi)存或硬盤(pán)資源。惡性病毒則會(huì)對(duì)目標(biāo)主機(jī)系統(tǒng)或信息產(chǎn)生嚴(yán)重破壞。2023/7/28135.2傳統(tǒng)的計(jì)算機(jī)病毒5.2.2病毒分析Windows環(huán)境下，主要病毒有文件型病毒、引導(dǎo)性病毒和宏病毒等文件型病毒文件型病毒主要感染可執(zhí)行文件，Windows環(huán)境下主要為.EXE文件，為PE格式文件PE是Win32環(huán)境自身所帶的執(zhí)行體文件格式。2023/7/28145.2.2病毒分析PE文件結(jié)構(gòu)如圖5-1所示MS-DOS頭部MS-DOS實(shí)模式殘余程序PE文件標(biāo)志”P(pán)E\0\0”(4字節(jié))PE文件頭(14H字節(jié))PE文件可選頭Sectiontable（節(jié)表）Section1Section2Section3……2023/7/28155.2.2病毒分析當(dāng)運(yùn)行一個(gè)PE可執(zhí)行文件時(shí)當(dāng)PE文件被執(zhí)行，PE裝載器檢查DOSMZheader里的PEheader偏移量。如果找到，則跳轉(zhuǎn)到PEheader。PE裝載器檢查PEheader的有效性。如果有效，就跳轉(zhuǎn)到PEheader的尾部。緊跟PEheader的是節(jié)表。PE裝載器讀取其中的節(jié)信息，并采用文件映射方法將這些節(jié)映射到內(nèi)存，同時(shí)附上節(jié)表里指定的節(jié)屬性。PE文件映射入內(nèi)存后，PE裝載器將處理PE文件中類(lèi)似importtable（引入表）邏輯部分。2023/7/28165.2.2病毒分析感染PE文件，必須滿足兩個(gè)基本條件：是能夠在宿主程序中被調(diào)用，獲得運(yùn)行權(quán)限；主要采用重定位的方法，改PE文件在系統(tǒng)運(yùn)行PE文件時(shí)，病毒代碼可以獲取控制權(quán)，在執(zhí)行完感染或破壞代碼后，再將控制權(quán)轉(zhuǎn)移給正常的程序代碼。方法有：可以修改文件頭中代碼開(kāi)始執(zhí)行位置（AddressOfEntryPoint）在PE文件中添加一個(gè)新節(jié)病毒進(jìn)行各種操作時(shí)需調(diào)用API函數(shù)，有兩種解決方案。在感染PE文件的時(shí)候，可以搜索宿主的引入函數(shù)節(jié)的相關(guān)地址。解析導(dǎo)出函數(shù)節(jié)，尤其是Kernel32.DLL2023/7/28175.2.2病毒分析宏病毒就是使用宏語(yǔ)言編寫(xiě)的程序，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行，存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫(kù)、演示文檔等數(shù)據(jù)文件中感染過(guò)程改寫(xiě)Word宏改寫(xiě)文檔自動(dòng)執(zhí)行宏，如AutoOpen、FileSaveFilePrint等等2023/7/28185.2.2病毒分析轉(zhuǎn)換成文檔模板的宏當(dāng)宏病毒獲得運(yùn)行權(quán)限之后，把所關(guān)聯(lián)的宿主文檔轉(zhuǎn)換成模板格式，然后把所有宏病毒復(fù)制到該模板之中感染其它Word文檔當(dāng)其它的Word文件打開(kāi)時(shí)，由于自動(dòng)調(diào)用該模板因而會(huì)自動(dòng)運(yùn)行宏病毒W(wǎng)ordExcelAutoOpenAuto_OpenAutoCloseAuto_CloseAutoExec

AutoExit

AutoNew

Auto_Activate

Auto_Deactivate2023/7/28195.2.2病毒分析宏病毒具有如下特點(diǎn)傳播快Word文檔是交流最廣的文件類(lèi)型。人們大多對(duì)外來(lái)的文檔文件基本是直接瀏覽使用，這給Word宏病毒傳播帶來(lái)很多便利。制作、變種方便Word使用宏語(yǔ)言WordBasic來(lái)編寫(xiě)宏指令。用戶很方便就可以看到這種宏病毒的全部面目。把宏病毒稍微加以改變，立即就生產(chǎn)出了一種新的宏病毒.

破壞性大2023/7/28205.2傳統(tǒng)的計(jì)算機(jī)病毒5.2.3傳統(tǒng)計(jì)算機(jī)病毒防御文件型病毒一般采用以下一些方法安裝最新版本、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時(shí)更新病毒引擎，最好每周更新一次，并在有病毒突發(fā)事件時(shí)立即更新。經(jīng)常使用防毒軟件對(duì)系統(tǒng)進(jìn)行病毒檢查。對(duì)關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無(wú)毒環(huán)境下備份。在不影響系統(tǒng)正常工作的情況下對(duì)系統(tǒng)文件設(shè)置最低的訪問(wèn)權(quán)限。2023/7/28215.2.3傳統(tǒng)計(jì)算機(jī)病毒防御宏病毒的預(yù)防與清除找到一個(gè)無(wú)毒的Normal.dot文件的備份，將位于“MSOffice\Template”文件夾下的通用模板Normal.dot文件替換掉；對(duì)于已染病毒的文件，先打開(kāi)一個(gè)無(wú)毒W(wǎng)ord文件，按照以下菜單打開(kāi)對(duì)話框：工具->宏->安全性，設(shè)置安全性為高2023/7/28225.3腳本病毒5.3.1腳本病毒概述腳本病毒依賴(lài)一種特殊的腳本語(yǔ)言（如：VBScript、JavaScript等）起作用，同時(shí)需要應(yīng)用環(huán)境能夠正確識(shí)別和翻譯這種腳本語(yǔ)言中嵌套的命令，腳本病毒可以在多個(gè)產(chǎn)品環(huán)境中進(jìn)行。腳本病毒具有如下特征編寫(xiě)簡(jiǎn)單。由于腳本的簡(jiǎn)單性，使以前對(duì)病毒不了解的人都可以在很短的時(shí)間里編出一個(gè)新型病毒。病毒源碼容易被獲取、變種多。其源代碼可讀性非常強(qiáng)2023/7/28235.3.1腳本病毒概述感染力強(qiáng)。采用腳本高級(jí)語(yǔ)言可以實(shí)現(xiàn)多種復(fù)雜操作，感染其它文件或直接自動(dòng)運(yùn)行。破壞力強(qiáng)。腳本病毒可以寄生于HTML或郵件通過(guò)網(wǎng)絡(luò)傳播，其傳播速度非?？臁Ｄ_本病毒不但能夠攻擊被感染的主機(jī)，獲取敏感信息，刪除關(guān)鍵文件；更可以攻擊網(wǎng)絡(luò)或者服務(wù)器，造成拒絕服務(wù)攻擊，產(chǎn)生嚴(yán)重破壞。傳播范圍廣。這類(lèi)病毒通過(guò)HTML文檔，Email附件或其它方式，可以在很短時(shí)間內(nèi)傳遍世界各地。采用多種欺騙手段。腳本病毒為了得到運(yùn)行機(jī)會(huì)，往往會(huì)采用各種讓用戶不大注意的手段，2023/7/28245.3腳本病毒5.3.2腳本病毒原理腳本病毒的傳播分析腳本病毒一般是直接通過(guò)自我復(fù)制來(lái)感染文件的，病毒中的絕大部分代碼都可以直接附加在其它同類(lèi)程序中間：腳本病毒通過(guò)網(wǎng)絡(luò)傳播的幾種方式通過(guò)電子郵件傳播通過(guò)局域網(wǎng)共享傳播感染HTML、ASP、JSP、PHP等網(wǎng)頁(yè)通過(guò)瀏覽器傳播通過(guò)U盤(pán)自動(dòng)運(yùn)行傳播其它的傳播方式2023/7/28255.3.2腳本病毒原理腳本病毒的獲得控制權(quán)的方法分析修改注冊(cè)表項(xiàng)修改自動(dòng)加載項(xiàng)通過(guò)映射文件執(zhí)行方式欺騙用戶，讓用戶自己執(zhí)行desktop.ini和folder.htt互相配合如果用戶的目錄中含有這兩個(gè)文件，當(dāng)用戶進(jìn)入該目錄時(shí)，就會(huì)觸發(fā)folder.htt中的病毒代碼。直接復(fù)制和調(diào)用可執(zhí)行文件2023/7/28265.3腳本病毒5.3.3腳本病毒防御腳本病毒要求被感染系統(tǒng)具有如下支持能力：VBScript代碼是通過(guò)WindowsScriptHost來(lái)解釋執(zhí)行的，wscript.exe就是該功能的相關(guān)支持程序。絕大部分VBS腳本病毒運(yùn)行的時(shí)候需要對(duì)象FileSystemObject的支持。通過(guò)網(wǎng)頁(yè)傳播的病毒需要ActiveX的支持通過(guò)Email傳播的病毒需要郵件軟件的自動(dòng)發(fā)送功能支持。2023/7/28275.3.3腳本病毒防御因此可以采用以下方法防御腳本病毒可以通過(guò)打開(kāi)“我的計(jì)算機(jī)”，依次點(diǎn)擊[查看]→[文件夾選項(xiàng)]→[文件類(lèi)型]在文件類(lèi)型中將后綴名為“VBS、VBE、JS、JSE、WSH、WSF”的所有針對(duì)腳本文件的操作均刪除。這樣這些文件就不會(huì)被執(zhí)行了。在IE設(shè)置中將ActiveX插件和控件以及Java相關(guān)的組件全部禁止，可以避免一些惡意代碼的攻擊。方法是：打開(kāi)IE，點(diǎn)擊“工具”→“Internet選項(xiàng)”→“安全”→“自定義級(jí)別”，在“安全設(shè)置”對(duì)話框中，將其中所有的ActiveX插件和控件以及與Java相關(guān)的組件全部禁止即可。禁用文件系統(tǒng)對(duì)象FileSystemObject，用regsvr32scrrun.dll/u這條命令就可以禁止文件系統(tǒng)對(duì)象。禁止郵件軟件的自動(dòng)收發(fā)郵件功能Windows默認(rèn)的是“隱藏已知文件類(lèi)型的擴(kuò)展名稱(chēng)”，將其修改為顯示所有文件類(lèi)型的擴(kuò)展名稱(chēng)。選擇一款好的防病毒軟件并做好及時(shí)升級(jí)。2023/7/28285.4網(wǎng)絡(luò)蠕蟲(chóng)5.4.1網(wǎng)絡(luò)蠕蟲(chóng)概述網(wǎng)絡(luò)蠕蟲(chóng)是一種智能化、自動(dòng)化并綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過(guò)網(wǎng)絡(luò)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。2023/7/28295.4.1網(wǎng)絡(luò)蠕蟲(chóng)概述網(wǎng)絡(luò)蠕蟲(chóng)具有以下特征主動(dòng)攻擊。從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到攻擊成功后復(fù)制副本，整個(gè)流程全由蠕蟲(chóng)自身主動(dòng)完成。利用軟件漏洞。蠕蟲(chóng)利用系統(tǒng)的漏洞獲得被攻擊的計(jì)算機(jī)系統(tǒng)的相應(yīng)權(quán)限，使之進(jìn)行復(fù)制和傳播過(guò)程成為可能。造成網(wǎng)絡(luò)擁塞。在傳播的過(guò)程中，蠕蟲(chóng)需要判斷其它計(jì)算機(jī)是否存活；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等等，這將產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。同時(shí)出于攻擊網(wǎng)絡(luò)的需要，蠕蟲(chóng)也可以產(chǎn)生大量惡意流量，當(dāng)大量的機(jī)器感染蠕蟲(chóng)時(shí)，就會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)流量，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。消耗系統(tǒng)資源。蠕蟲(chóng)入侵到計(jì)算機(jī)系統(tǒng)之后，一方面由于要搜索目標(biāo)主機(jī)、漏洞、感染其它主機(jī)需要消耗一定的資源；另一方面，許多蠕蟲(chóng)會(huì)惡意耗費(fèi)系統(tǒng)的資源。2023/7/28305.4.1網(wǎng)絡(luò)蠕蟲(chóng)概述留下安全隱患。大部分蠕蟲(chóng)會(huì)搜集、擴(kuò)散、暴露系統(tǒng)敏感信息（如用戶信息等），并在系統(tǒng)中留下后門(mén)。行蹤隱蔽。蠕蟲(chóng)的傳播過(guò)程中，不需要用戶的輔助工作，其傳播的過(guò)程中用戶基本上不可察覺(jué)。反復(fù)性。即使清除了蠕蟲(chóng)留下的任何痕跡，如果沒(méi)有修補(bǔ)計(jì)算機(jī)系統(tǒng)漏洞，網(wǎng)絡(luò)中的計(jì)算機(jī)還是會(huì)被重新感染。破壞性：越來(lái)越多的蠕蟲(chóng)開(kāi)始包含惡意代碼，破壞被攻擊的計(jì)算機(jī)系統(tǒng)，而且造成的經(jīng)濟(jì)損失數(shù)目越來(lái)越大，見(jiàn)表5-3。2023/7/2831

蠕蟲(chóng)造成的損失對(duì)照表病毒名稱(chēng)持續(xù)時(shí)間造成損失莫里斯蠕蟲(chóng)(MORRIS)1988年6000多臺(tái)計(jì)算機(jī)感染，占但是互聯(lián)網(wǎng)的10%，直接經(jīng)濟(jì)損失達(dá)一千多萬(wàn)美元愛(ài)蟲(chóng)病毒(ILOVEYOU)2000年5月至今眾多用戶計(jì)算機(jī)被感染，損失超過(guò)100億美元紅色代碼(CodeRed)2001年7月100多萬(wàn)臺(tái)計(jì)算機(jī)感染，直接經(jīng)濟(jì)損失超過(guò)26億美元求職信2001年12月大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元SQL蠕蟲(chóng)王2003年1月網(wǎng)絡(luò)大面積癱瘓，銀行自動(dòng)提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過(guò)26億美元沖擊波(Blaster)2003年20億~100億美元，受到感染的計(jì)算機(jī)不計(jì)其數(shù)霸王蟲(chóng)(Sobig.F)2003年50億~100億美元，超過(guò)100萬(wàn)臺(tái)計(jì)算機(jī)被感染震蕩波(Sasser)2004年8月?lián)p失估計(jì)：數(shù)千萬(wàn)美元2023/7/28325.4網(wǎng)絡(luò)蠕蟲(chóng)5.4.2網(wǎng)絡(luò)蠕蟲(chóng)工作機(jī)制網(wǎng)絡(luò)蠕蟲(chóng)的工作機(jī)制分為3個(gè)階段：信息收集、攻擊滲透、現(xiàn)場(chǎng)處理信息收集。按照一定的策略搜索網(wǎng)絡(luò)中存活的主機(jī)，收集目標(biāo)主機(jī)的信息，，并遠(yuǎn)程進(jìn)行漏洞的分析。如果目標(biāo)主機(jī)上有可以利用的漏洞則確定為一個(gè)可以攻擊的主機(jī)，否則放棄攻擊。攻擊滲透。通過(guò)收集的漏洞信息嘗試攻擊，一旦攻擊成功，則獲得控制該主機(jī)的權(quán)限，將蠕蟲(chóng)代碼滲透到被攻擊主機(jī)?，F(xiàn)場(chǎng)處理。當(dāng)攻擊成功后，開(kāi)始對(duì)被攻擊的主機(jī)進(jìn)行一些處理工作，將攻擊代碼隱藏，為了能使被攻擊主機(jī)運(yùn)行蠕蟲(chóng)代碼，還要通過(guò)注冊(cè)表將蠕蟲(chóng)程序設(shè)為自啟動(dòng)狀態(tài)；可以完成它想完成的任何動(dòng)作，如惡意占用CPU資源；收集被攻擊主機(jī)的敏感信息，可以危害被感染的主機(jī)，刪除關(guān)鍵文件。2023/7/28335.4網(wǎng)絡(luò)蠕蟲(chóng)5.4.3網(wǎng)絡(luò)蠕蟲(chóng)掃描策略網(wǎng)絡(luò)蠕蟲(chóng)掃描越是能夠盡快地發(fā)現(xiàn)被感染主機(jī)，那么網(wǎng)絡(luò)蠕蟲(chóng)的傳播速度就越快。隨機(jī)掃描。隨機(jī)選取某一段IP地址，然后對(duì)這一地址段上的主機(jī)掃描。由于不知道哪些主機(jī)已經(jīng)感染蠕蟲(chóng)，很多掃描是無(wú)用的。這一方法的蠕蟲(chóng)傳播速度較慢。但是隨著蠕蟲(chóng)的擴(kuò)散，網(wǎng)絡(luò)上存在大量的蠕蟲(chóng)時(shí)，蠕蟲(chóng)造成的網(wǎng)絡(luò)流量就變得非常巨大。選擇掃描。選擇性隨機(jī)掃描將最有可能存在漏洞主機(jī)的地址集作為掃描的地址空間。所選的目標(biāo)地址按照一定的算法隨機(jī)生成。選擇性隨機(jī)掃描算法簡(jiǎn)單，容易實(shí)現(xiàn)，若與本地優(yōu)先原則結(jié)合則能達(dá)到更好的傳播效果。紅色代碼和“Slammer”的傳播采用了選擇性隨機(jī)掃描策略。2023/7/28345.4.3網(wǎng)絡(luò)蠕蟲(chóng)掃描策略順序掃描。順序掃描是被感染主機(jī)上蠕蟲(chóng)會(huì)隨機(jī)選擇一個(gè)C類(lèi)網(wǎng)絡(luò)地址進(jìn)行傳播，根據(jù)本地優(yōu)先原則，網(wǎng)絡(luò)地址段順序遞增。基于目標(biāo)列表的掃描?；谀繕?biāo)列表掃描是指網(wǎng)絡(luò)蠕蟲(chóng)根據(jù)預(yù)先生成易感染的目標(biāo)列表，搜尋感染目標(biāo)，。基于DNS掃描。從DNS服務(wù)器獲取IP地址來(lái)建立目標(biāo)地址庫(kù)，優(yōu)點(diǎn)在于獲得的IP地址塊針對(duì)性強(qiáng)和可用性高。關(guān)鍵問(wèn)題是如何從DNS服務(wù)器得到網(wǎng)絡(luò)主機(jī)地址，以及DNS服務(wù)器是否存在足夠的網(wǎng)絡(luò)主機(jī)地址。2023/7/28355.4網(wǎng)絡(luò)蠕蟲(chóng)掃描策略設(shè)計(jì)的原則有三點(diǎn)盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量是沒(méi)有被感染蠕蟲(chóng)的機(jī)器；保證掃描覆蓋到盡量大的可用地址段，包括盡量大的范圍，掃描的地址段為互聯(lián)網(wǎng)上的有效地址段；處理好掃描的時(shí)間分布，使得掃描不要集中在某一時(shí)間內(nèi)發(fā)生。。2023/7/28365.4網(wǎng)絡(luò)蠕蟲(chóng)5.4.4網(wǎng)絡(luò)蠕蟲(chóng)傳播模型分為3個(gè)階段慢速發(fā)展階段，漏洞被蠕蟲(chóng)設(shè)計(jì)者發(fā)現(xiàn)，并利用漏洞設(shè)計(jì)蠕蟲(chóng)發(fā)布于互聯(lián)網(wǎng)，大部分用戶還沒(méi)有通過(guò)服務(wù)器下載補(bǔ)丁，網(wǎng)絡(luò)蠕蟲(chóng)只是感染了少量的網(wǎng)絡(luò)中的主機(jī)?？焖侔l(fā)展階段，如果每個(gè)感染蠕蟲(chóng)的可以掃描并感染的主機(jī)數(shù)為W，n為感染的次數(shù)，那么感染主機(jī)數(shù)擴(kuò)展速度為Wn，感染蠕蟲(chóng)的機(jī)器成指數(shù)冪急劇增長(zhǎng)。緩慢消失階段，隨著網(wǎng)絡(luò)蠕蟲(chóng)的爆發(fā)和流行，人們通過(guò)分析蠕蟲(chóng)的傳播機(jī)制，采取一定措施及時(shí)更新補(bǔ)丁包，并采取措刪除本機(jī)存在的蠕蟲(chóng)，感染蠕蟲(chóng)數(shù)量開(kāi)始緩慢減少。2023/7/28375.4網(wǎng)絡(luò)蠕蟲(chóng)5.4.5網(wǎng)絡(luò)蠕蟲(chóng)防御和清除給系統(tǒng)漏洞打補(bǔ)丁。蠕蟲(chóng)病毒大多數(shù)都是利用系統(tǒng)漏洞進(jìn)行傳播的，因此在清除蠕蟲(chóng)病毒之前必須將蠕蟲(chóng)病毒利用的相關(guān)漏洞進(jìn)行修補(bǔ)。清除正在運(yùn)行的蠕蟲(chóng)進(jìn)程。每個(gè)進(jìn)入內(nèi)存的蠕蟲(chóng)一般會(huì)以進(jìn)程的形式存在，只要清除了該進(jìn)程，就可以使蠕蟲(chóng)失效。刪除蠕蟲(chóng)病毒的自啟動(dòng)項(xiàng)，感染蠕蟲(chóng)主機(jī)用戶一般不可能啟動(dòng)蠕蟲(chóng)病毒，蠕蟲(chóng)病毒需要就自己?jiǎn)?dòng)。需要在這些自啟動(dòng)項(xiàng)中清除蠕蟲(chóng)病毒的設(shè)置。2023/7/28385.4.5網(wǎng)絡(luò)蠕蟲(chóng)防御和清除刪除蠕蟲(chóng)文件?？梢酝ㄟ^(guò)蠕蟲(chóng)在注冊(cè)表的鍵值可以知道病毒的躲藏位置，對(duì)于那些正在運(yùn)行或被調(diào)用的文件無(wú)法直接刪除，可以借助于相關(guān)工具刪除。利用自動(dòng)防護(hù)工具，如個(gè)人防火墻軟件。通過(guò)個(gè)人防火墻軟件可以設(shè)置禁止不必要的服務(wù)。另外也可以設(shè)置監(jiān)控自己主機(jī)有那些惡意的流量。2023/7/28395.5木馬技術(shù)5.5.1木馬技術(shù)概述指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤(pán)和DoS攻擊等特殊功能的后門(mén)程序。它與控制主機(jī)之間建立起連接，使得控制者能夠通過(guò)網(wǎng)絡(luò)控制受害系統(tǒng)，最大的特征在于隱秘性，偷偷混入對(duì)方的主機(jī)里面，但是卻沒(méi)有被對(duì)方發(fā)現(xiàn)。這與戰(zhàn)爭(zhēng)中的木馬戰(zhàn)術(shù)十分相似，因而得名木馬程序。2023/7/28405.5.1木馬技術(shù)概述木馬的發(fā)展歷程第一代木馬出現(xiàn)在網(wǎng)絡(luò)發(fā)展的早期，是以竊取網(wǎng)絡(luò)密碼為主要任務(wù)，這種木馬通過(guò)偽裝成一個(gè)合法的程序誘騙用戶上當(dāng)。第一代木馬還不具有傳染性，在隱藏和通信方面也均無(wú)特別之處。第二代木馬在技術(shù)上有了很大的進(jìn)步，它使用標(biāo)準(zhǔn)的C/S架構(gòu)，提供遠(yuǎn)程文件管理、屏幕監(jiān)視等功能，在隱藏、自啟動(dòng)和操縱服務(wù)器等技術(shù)上也有很大的發(fā)展。由于植入木馬的服務(wù)端程序會(huì)打開(kāi)連接端口等候客戶端連接，比較容易被用戶發(fā)現(xiàn)。冰河、BO2000等都是典型的第二代木馬。第三代木馬改變主要在網(wǎng)絡(luò)連接方式上，特征是不打開(kāi)連接端口進(jìn)行偵聽(tīng)，而是使用ICMP通信協(xié)議進(jìn)行通信或使用TCP端口反彈技術(shù)讓服務(wù)器端主動(dòng)連接客戶端，以突破防火墻的攔截。增加了查殺難度，如網(wǎng)絡(luò)神偷(Netthief)、灰鴿子木馬等。2023/7/28415.5.1木馬技術(shù)概述第四代木馬在進(jìn)程隱藏方面做了較大改動(dòng)，讓木馬服務(wù)器運(yùn)行時(shí)沒(méi)有進(jìn)程。如rootkit技術(shù)，嵌入木馬通過(guò)替換系統(tǒng)程序、DLL、甚至是驅(qū)動(dòng)程序，替換之后還能夠提供原來(lái)程序正常的服務(wù)從而實(shí)現(xiàn)木馬的隱藏。木馬不是單獨(dú)的進(jìn)程或者以注冊(cè)服務(wù)的形式出現(xiàn)，無(wú)法通過(guò)“任務(wù)管理器”查看到正在運(yùn)行的木馬。需要專(zhuān)門(mén)的工具才能發(fā)現(xiàn)以及專(zhuān)業(yè)的木馬查殺工具才能清除。第五代木馬實(shí)現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動(dòng)激活。2023/7/28425.5.1木馬技術(shù)概述木馬特征隱蔽性。隱蔽性是木馬的首要特征。木馬類(lèi)軟件的SERVER端程序在被控主機(jī)系統(tǒng)上運(yùn)行時(shí)，會(huì)使用各種方法來(lái)隱藏自己。自動(dòng)運(yùn)行性。木馬程序通過(guò)修改系統(tǒng)配置文件，在目標(biāo)主機(jī)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行或加載。欺騙性。木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防用戶發(fā)現(xiàn)。2023/7/28435.5.1木馬技術(shù)概述自動(dòng)恢復(fù)性。很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。系統(tǒng)一旦被植入木馬，只刪除某一個(gè)木馬文件來(lái)進(jìn)行清除是無(wú)法清除干凈的。破壞或信息收集。木馬通常具有搜索Cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器的IP地址、進(jìn)行鍵盤(pán)記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能。2023/7/28445.5木馬技術(shù)5.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)在了解木馬攻擊技術(shù)之前，需要先了解木馬欺騙技術(shù)，木馬欺騙技術(shù)是木馬欺騙用戶安裝、欺騙用戶運(yùn)行以及隱藏自己的關(guān)鍵技術(shù)。木馬欺騙技術(shù)主要有：偽裝成其它類(lèi)型的文件，可執(zhí)行文件需要偽裝其它文件。如偽裝成圖片文件合并程序欺騙。合并程序是可以將兩個(gè)或兩個(gè)以上的可執(zhí)行文件(exe文件)結(jié)合為一個(gè)文件，以后只需執(zhí)行這個(gè)合并文件，兩個(gè)可執(zhí)行文件就會(huì)同時(shí)執(zhí)行。2023/7/28455.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)插入其它文件內(nèi)部。利用運(yùn)行flash文件和影視文件具有可以執(zhí)行腳本文件的特性，一般使用“插馬”工具將腳本文件插入到swf、rm等類(lèi)型的flash文件和影視文件中偽裝成應(yīng)用程序擴(kuò)展組件。黑客們通常將木馬程序?qū)懗蔀槿魏晤?lèi)型的文件然后掛在一個(gè)常用的軟件中。利用WinRar制作成自釋放文件，把木馬程序和其它常用程序利用WinRar捆綁在一起，將其制作成自釋放文件。在Word文檔中加入木馬文件，在Word文檔末尾加入木馬文件，只要?jiǎng)e人點(diǎn)擊這個(gè)所謂的Word文件就會(huì)中木馬。2023/7/28465.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)一個(gè)木馬程序要通過(guò)網(wǎng)絡(luò)入侵并控制被植入的計(jì)算機(jī)，需要采用以下四個(gè)環(huán)節(jié)：首先是向目標(biāo)主機(jī)植入木馬，通過(guò)網(wǎng)絡(luò)將木馬程序植入到被控制的計(jì)算機(jī)；啟動(dòng)和隱藏木馬，木馬程序一般是一個(gè)單獨(dú)文件需要一些系統(tǒng)設(shè)置來(lái)讓計(jì)算機(jī)自動(dòng)啟動(dòng)木馬程序，為了防止被植入者發(fā)現(xiàn)和刪除運(yùn)行的木馬程序，就需要將運(yùn)行的木馬程隱藏起來(lái)。植入者控制被植入木馬的主機(jī)，需要通過(guò)網(wǎng)絡(luò)通信，需要采取一定的隱藏技術(shù)，使通信過(guò)程不能夠使被植入者通過(guò)防火墻等發(fā)現(xiàn)。就是植入者通過(guò)客戶端遠(yuǎn)程控制達(dá)到其攻擊的目的，可以收集被植入者的敏感信息，可以監(jiān)視被植入者的計(jì)算機(jī)運(yùn)行和動(dòng)作，甚至可以用來(lái)攻擊網(wǎng)絡(luò)中的其它系統(tǒng)。2023/7/28475.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)植入技術(shù)，木馬植入技術(shù)可以大概分為主動(dòng)植入與被動(dòng)植入兩類(lèi)。主動(dòng)植入，就是攻擊者利用網(wǎng)絡(luò)攻擊技術(shù)通過(guò)網(wǎng)絡(luò)將木馬程序植入到遠(yuǎn)程目標(biāo)主機(jī)，這個(gè)行為過(guò)程完全由攻擊者主動(dòng)掌握。被動(dòng)植入，是指攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動(dòng)等待目標(biāo)系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標(biāo)系統(tǒng)。2023/7/28485.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)主動(dòng)植入技術(shù)主要包括：利用系統(tǒng)自身漏洞植入。攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動(dòng)出擊。利用第三方軟件漏洞植入。利用即時(shí)通信軟件發(fā)送偽裝的木馬文件植入利用電子郵件發(fā)送植入木馬2023/7/28495.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)被動(dòng)植入包括：軟件下載。一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。利用共享文件。學(xué)?；騿挝坏木钟蚓W(wǎng)里為了學(xué)習(xí)和工作方便，會(huì)將許多硬盤(pán)或文件夾共享出來(lái)，甚至不加密碼，具有可寫(xiě)權(quán)限。利用Autorun文件傳播。這一方法主要是利用Autorun文件自動(dòng)運(yùn)行的特性，通過(guò)U盤(pán)植入。網(wǎng)頁(yè)瀏覽傳播。這種方法利用Script/ActiveX控件、JavaApplet等技術(shù)編寫(xiě)出一個(gè)HTML網(wǎng)頁(yè)，當(dāng)瀏覽該頁(yè)面時(shí)，會(huì)在后臺(tái)將木馬程序下載到計(jì)算機(jī)緩存中，然后修改系統(tǒng)注冊(cè)表，使相關(guān)鍵值指向“木馬”程序。2023/7/28505.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬的自動(dòng)加載技術(shù)針對(duì)Windows系統(tǒng)，木馬程序的自動(dòng)加載運(yùn)行主要有以下一些方法：修改系統(tǒng)文件。修改目標(biāo)的系統(tǒng)文件以達(dá)到自動(dòng)加載的目的。修改系統(tǒng)注冊(cè)表修改文件打開(kāi)關(guān)聯(lián)修改任務(wù)計(jì)劃修改組策略替換系統(tǒng)自動(dòng)運(yùn)行的文件替換系統(tǒng)DLL作為服務(wù)啟動(dòng)利用AppInit_DLLs注入2023/7/28515.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬隱藏技術(shù)主要分為兩類(lèi)：主機(jī)隱藏和通信隱藏。主機(jī)隱藏主要指在主機(jī)系統(tǒng)上表現(xiàn)為正常的進(jìn)程。主機(jī)隱藏方式很多，主要有文件隱藏、進(jìn)程隱藏等。文件隱藏主要有兩種方式采用欺騙的方式偽裝成其它文件偽裝成系統(tǒng)文件，2023/7/28525.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)進(jìn)程隱藏動(dòng)態(tài)鏈接庫(kù)注入技術(shù)，將“木馬”程序做成一個(gè)動(dòng)態(tài)鏈接庫(kù)文件，并將調(diào)用動(dòng)態(tài)鏈接庫(kù)函數(shù)的語(yǔ)句插入到目標(biāo)進(jìn)程，這個(gè)函數(shù)類(lèi)似于普通程序中的入口程序。HookingAPI技術(shù)。通過(guò)修改API函數(shù)的入口地址的方法來(lái)欺騙試圖列舉本地所有進(jìn)程的程序2023/7/28535.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)通信隱藏主要包括通信端口隱藏、內(nèi)容隱藏采用以下技術(shù)：復(fù)用正常服務(wù)端口。直接綁定到正常用戶進(jìn)程的端口，接受數(shù)據(jù)后，根據(jù)包格式判斷是不是自己的，如果是自己處理，如果不是通過(guò)的地址交給真正的服務(wù)器應(yīng)用進(jìn)行處理，以利用正常的網(wǎng)絡(luò)連接隱藏木馬的通信狀態(tài)。采用其它不需要端口的協(xié)議進(jìn)行通信。如ICMP協(xié)議，主要缺點(diǎn)是防火墻可能把所有ICMP協(xié)議的信息過(guò)濾掉。利用“反彈端口”技術(shù)。木馬程序啟動(dòng)后主動(dòng)連接客戶，為了隱蔽起見(jiàn)，控制端的被動(dòng)端口一般開(kāi)在80。利用SPI防火墻技術(shù)隱藏。采用嗅探技術(shù)2023/7/28545.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)遠(yuǎn)程控制端口掃描。采用端口掃描技術(shù)獲得那些安裝了木馬主機(jī)的IP地址。一旦發(fā)現(xiàn)中了木馬的主機(jī)則添加到客戶端控制程序的木馬主機(jī)列表。郵件發(fā)送。一些木馬具有郵件發(fā)送功能，在設(shè)置木馬程序時(shí)，填入免費(fèi)郵箱，一旦木馬程序啟動(dòng)，就會(huì)將其植入主機(jī)的IP地址發(fā)送給植入者的郵箱。植入者根據(jù)IP地址和對(duì)應(yīng)的端口與木馬建立連接通道。如網(wǎng)絡(luò)公牛等。UDP通知。植入者將自己的IP地址寫(xiě)到主頁(yè)空間的指定文件里，被植入的木馬讀取文件的內(nèi)容，得到客戶端的IP地址以及其它信息（主機(jī)名、IP地址、上線時(shí)間等等），然后木馬用UDP協(xié)議發(fā)送給植入者，如網(wǎng)絡(luò)神偷就是采用了該項(xiàng)技術(shù)。利用QQ、MSN等通信軟件2023/7/28555.5.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬危害竊取密碼遠(yuǎn)程訪問(wèn)控制DoS攻擊代理攻擊程序殺手2023/7/28565.5木馬技術(shù)5.5.3木馬程序舉例冰河木馬冰河木馬包括兩個(gè)可運(yùn)行程序，服務(wù)器端程序G-server.exe和客戶端程序G-client.exe，默認(rèn)連接端口為7626。一旦運(yùn)行G-server，那么該程序就會(huì)在C:\Windows\System目錄下生成Kernel32.exe和Sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，Sysexplr.exe和TXT文件關(guān)聯(lián)。即使刪除了Kernel32.exe，但只要打開(kāi)TXT文件，Sysexplr.exe就會(huì)被激活，它將再次生成Kernel32.exe，因此手工刪除很難刪除干凈，必須使用專(zhuān)用的查殺工具對(duì)其進(jìn)行查殺。2023/7/28575.5.3木馬程序舉例冰河木馬控制主要包括以下方面：自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化。記錄各種口令信息。獲取系統(tǒng)信息。限制系統(tǒng)功能。遠(yuǎn)程文件操作。注冊(cè)表操作。發(fā)送信息。點(diǎn)對(duì)點(diǎn)通訊2023/7/28585.5木馬技術(shù)5.5.4木馬的防御根據(jù)木馬工作原理，木馬檢測(cè)一般有以下一些方法：掃描端口大部分的木馬服務(wù)器端會(huì)在系統(tǒng)中監(jiān)聽(tīng)某個(gè)端口，因此，通過(guò)查看系統(tǒng)上開(kāi)啟了那些端口能有效地發(fā)現(xiàn)遠(yuǎn)程控制木馬的蹤跡。檢查系統(tǒng)進(jìn)程很多木馬在運(yùn)行期間都會(huì)在系統(tǒng)中生成進(jìn)程。因此，檢查進(jìn)程是一種非常有效的發(fā)現(xiàn)木馬蹤跡方法。2023/7/28595.5.4木馬的防御檢查ini文件、注冊(cè)表和服務(wù)等自啟動(dòng)項(xiàng)監(jiān)視網(wǎng)絡(luò)通訊,木馬的通信監(jiān)控可以通過(guò)防火墻來(lái)監(jiān)控2023/7/28605.5木馬技術(shù)5.5.5幾款免費(fèi)的木馬專(zhuān)殺工具幾款免費(fèi)木馬專(zhuān)殺工具如：Windows清理助手、惡意軟件清理助手、Atool、冰刃冰刃(Icesword)是專(zhuān)業(yè)查殺木馬工具中較好的工具之一，殺木馬特點(diǎn)：刪除文件，許多木馬文件為了防止刪除，具有寫(xiě)保護(hù)功能，無(wú)法直接刪除。冰刃提供了可以完全刪除任何文件的功能。刪除注冊(cè)表項(xiàng)。木馬可以隱藏注冊(cè)表項(xiàng)讓W(xué)indows自帶的注冊(cè)表工具rgedit無(wú)法顯示或刪除，而冰刃程序可以容易做到刪除任意的注冊(cè)表項(xiàng)和顯示所有的注冊(cè)表項(xiàng)。2023/7/28615.5.5幾款免費(fèi)的木馬專(zhuān)殺工具終止任意的進(jìn)程。冰刃程序可以刪除除idle進(jìn)程、System進(jìn)程、csrss進(jìn)程以外的所有進(jìn)程查看進(jìn)程通信情況。查看消息鉤子。線程創(chuàng)建和線程終止監(jiān)視。查看SPI和BHO。其它功能。如自啟動(dòng)項(xiàng)管理、服務(wù)查看等功能。2023/7/28625.6網(wǎng)絡(luò)釣魚(yú)5.6.1網(wǎng)絡(luò)釣魚(yú)技術(shù)網(wǎng)絡(luò)釣魚(yú)是通過(guò)發(fā)送聲稱(chēng)來(lái)自于銀行或其它知名機(jī)構(gòu)的欺騙性垃圾郵件，或者偽裝成其Web站點(diǎn)，意圖引誘收信人或網(wǎng)站瀏覽者給出敏感信息（如用戶名、口令、帳號(hào)ID、ATMPIN碼或信用卡詳細(xì)信息）的一種攻擊方式。網(wǎng)絡(luò)釣魚(yú)的攻擊方法主要有以下幾種建立假冒網(wǎng)上銀行、網(wǎng)上證券的網(wǎng)站，騙取用戶帳號(hào)密碼實(shí)施盜竊。犯罪分子建立起域名和網(wǎng)頁(yè)內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺(tái)極為相似的網(wǎng)站，引誘用戶輸入賬號(hào)密碼等信息，進(jìn)而通過(guò)真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲(chǔ)蓄卡、證券交易卡盜竊資金2023/7/28635.6.1網(wǎng)絡(luò)釣魚(yú)技術(shù)發(fā)送電子郵件，以虛假信息引誘用戶中圈套攻擊者以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)帳等內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，繼而盜竊用戶資金利用虛假的電子商務(wù)進(jìn)行詐騙此類(lèi)犯罪活動(dòng)往往是建立電子商務(wù)網(wǎng)站，或是在比較知名、大型的電子商務(wù)網(wǎng)站上發(fā)布虛假的商品銷(xiāo)售信息，犯罪分子在收到受害人的購(gòu)物匯款后就銷(xiāo)聲匿跡2023/7/28645.6.1網(wǎng)絡(luò)釣魚(yú)技術(shù)利用QQ、MSN甚至手機(jī)短信等即時(shí)通信方式欺騙用戶冒充軟件運(yùn)營(yíng)商告訴某用戶中獎(jiǎng)或者免費(fèi)獲得游戲幣等方式，這一方法的主要欺騙目的是獲取游戲幣，或者通過(guò)移動(dòng)服務(wù)上收取信息費(fèi)。利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng)木馬制作者通過(guò)發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當(dāng)感染木馬的用戶進(jìn)行網(wǎng)上交易時(shí)，木馬程序即以鍵盤(pán)記錄的方式獲取用戶賬號(hào)和密碼，并發(fā)送給指定郵箱，用戶資金將受到嚴(yán)重威脅。2023/7/28655.6網(wǎng)絡(luò)釣魚(yú)5.6.2網(wǎng)絡(luò)釣魚(yú)的防御對(duì)于用戶端，可以采用以下措施盡量不通過(guò)鏈接打開(kāi)網(wǎng)頁(yè)，而是直接輸入域名訪問(wèn)網(wǎng)絡(luò)。對(duì)于需要輸入帳號(hào)和密碼的網(wǎng)站再三確認(rèn).給網(wǎng)絡(luò)瀏覽器程序安裝補(bǔ)丁，使其補(bǔ)丁保持在最新?tīng)顟B(tài).利用已有的防病毒軟件，實(shí)時(shí)防御釣魚(yú)網(wǎng)站。2023/7/28665.7僵尸網(wǎng)絡(luò)5.7.1概述僵尸網(wǎng)絡(luò)是攻擊者通過(guò)網(wǎng)絡(luò)傳播僵尸程序，利用一對(duì)多的命令與控制信道控制大量主機(jī)，攻擊其它網(wǎng)絡(luò)或主機(jī)，從而得到自己惡意目的的網(wǎng)絡(luò)。2023/7/28675.7.1概述

一個(gè)僵尸網(wǎng)絡(luò)由以下部分組成僵尸（Bot）：置于被控制主機(jī)，能夠按照預(yù)定義的指令執(zhí)行操作，具有一定智能的程序。僵尸計(jì)算機(jī)(Zombie)：是指被植入僵尸的計(jì)算機(jī)。僵尸網(wǎng)絡(luò)控制服務(wù)器：可以將僵尸主機(jī)連接的IRC服務(wù)器，控制者通過(guò)該服務(wù)器向僵尸主機(jī)發(fā)送命令進(jìn)行控制。2023/7/28685.7.1概述僵尸網(wǎng)絡(luò)主要有以下危害分布式拒絕服務(wù)攻擊(DDoS)。發(fā)送垃圾郵件竊取秘密。取得非法利益資源作為攻擊跳板2023/7/28695.7僵尸網(wǎng)絡(luò)5.7.2僵尸網(wǎng)絡(luò)的工作原理分析僵尸網(wǎng)絡(luò)一般采用以下幾種手段感染受害主機(jī)主動(dòng)攻擊漏洞。是通過(guò)攻擊系統(tǒng)所存在的漏洞獲得訪問(wèn)權(quán)，并將僵尸程序植入受害主機(jī)，從而感染成為僵尸主機(jī)。郵件病毒。通常在郵件附件中攜帶僵尸程序或者在郵件內(nèi)容中包含下載執(zhí)行僵尸程序的鏈接，使得接收者主機(jī)被感染成為僵尸主機(jī)。即時(shí)通信軟件。攻擊者攻陷即時(shí)通信的用戶，并利用好友列表發(fā)送執(zhí)行僵尸程序的鏈接，從而進(jìn)行感染。惡意網(wǎng)站腳本。在提供Web服務(wù)的網(wǎng)站中，攻擊者在HTML頁(yè)面上綁定惡意的腳本，當(dāng)訪問(wèn)者瀏覽這些網(wǎng)站時(shí)就會(huì)執(zhí)行惡意腳本，使得僵尸程序下載到主機(jī)上。欺騙安裝。偽裝成有用的軟件，在Web網(wǎng)站、FTP服務(wù)器、P2P網(wǎng)絡(luò)中提供，誘騙用戶下載并執(zhí)行。2023/7/28705.7.2僵尸網(wǎng)絡(luò)的工作原理分析隨著僵尸網(wǎng)絡(luò)技術(shù)發(fā)展，采用了以下3種通信方式基于IRC協(xié)議基于HTTP協(xié)議的命令與控制機(jī)制基于P2P協(xié)議通信2023/7/28715.7僵尸網(wǎng)絡(luò)5.7.3僵尸網(wǎng)絡(luò)的檢測(cè)和防御檢測(cè)和分析僵尸網(wǎng)絡(luò)主要采用以下方法:利用蜜罐(Honeypot)發(fā)現(xiàn)網(wǎng)絡(luò)流量研究IRCServer識(shí)別技術(shù)的研究2023/7/28725.8瀏覽器劫持瀏覽器劫持是網(wǎng)頁(yè)瀏覽器（IE等）被惡意程序修改的一種行為，惡意軟件通過(guò)操縱瀏覽器的行為，可以使用戶瀏覽器轉(zhuǎn)移到特定網(wǎng)站，取得商業(yè)利益，或者在用戶計(jì)算機(jī)端收集敏感信息，危及用戶隱私安全。2023/7/28735.8瀏覽器劫持瀏覽器劫持通過(guò)以下技術(shù)實(shí)現(xiàn)瀏覽器輔助對(duì)象實(shí)現(xiàn)瀏覽器劫持利用HOOK鉤子利用Winsock2SPI包過(guò)濾技術(shù)(ServiceProviderInterface，SPI）2023/7/28745.9流氓軟件流氓軟件是介于病毒和正規(guī)軟件之間的軟件?！傲髅ボ浖苯橛趦烧咧g，同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開(kāi)后門(mén)），給用戶帶來(lái)危害。其特點(diǎn)是：它具有一定的實(shí)用價(jià)值，一般是為方便用戶使用計(jì)算機(jī)工作、娛樂(lè)而開(kāi)發(fā)，面向社會(huì)公眾公開(kāi)發(fā)布的軟件，并且一般是免費(fèi)的，不屬于正規(guī)的商業(yè)軟件；同時(shí)也具有惡意軟件的種種特征，給用戶帶來(lái)一定危害。2023/7/28755.9流氓軟件流氓軟件具有以下特征強(qiáng)制安裝。流氓軟件一般通過(guò)與其它常用軟件捆綁在一起，強(qiáng)行安裝到用戶計(jì)算機(jī)中。難以刪除，或者無(wú)法徹底刪除。未提供通用的卸載方式，或卸載后仍然有活動(dòng)程序的行為廣告彈出。在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其它終端上彈出廣告的行為。惡意收集用戶信息。指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。其它侵犯用戶知情權(quán)、選擇權(quán)的惡意行為。2023/7/28765.9流氓軟件瀏覽器劫持的防御方法直接使用IE瀏覽器的管理加載項(xiàng)，禁用惡意的加載項(xiàng)。使用專(zhuān)用工具卸載惡意插件，如安全衛(wèi)士360、超級(jí)兔子等。專(zhuān)用工具查看是否有惡意的SPI，如冰刃IceSword.exe。2023/7/2877NiECFUDANUNIVERSITY計(jì)算機(jī)病毒檢測(cè)方法比較法校驗(yàn)和（Checksum）比對(duì)法特征字串匹配法虛擬機(jī)查毒法人工智能陷阱和宏病毒陷阱技術(shù)分析法先知掃描法（VICE，VirusInstructionCodeEmulation）2023/7/2878NiECFUDANUNIVERSITY比較法用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或文件進(jìn)行比較優(yōu)點(diǎn)：方法簡(jiǎn)單；準(zhǔn)確性高缺點(diǎn)：效率低；需要有“干凈”的備份；無(wú)法知道感染的病毒名稱(chēng)；需對(duì)不匹配的文件進(jìn)行進(jìn)一步分析2023/7/2879NiECFUDANUNIVERSITY校驗(yàn)和（Checksum）比對(duì)法利用特定算法對(duì)被檢測(cè)的引導(dǎo)扇區(qū)或文件進(jìn)行計(jì)算，得出校驗(yàn)和（Checksum），與原始備份的校驗(yàn)和進(jìn)行比較優(yōu)點(diǎn)：相對(duì)簡(jiǎn)單缺點(diǎn)：漏判率高；需實(shí)現(xiàn)知道校驗(yàn)和的算法和保存位置；無(wú)法發(fā)現(xiàn)隱形病毒2023/7/2880NiECFUDANUNIVERSITY隱形病毒的“隱身”技術(shù)將宿主程序壓縮將自身分解，嵌入在文件的空檔處保持文件的創(chuàng)建修改時(shí)間、大小、文件屬性等不變修正EXE文件的校驗(yàn)和（Checksum）2023/7/2881NiECFUDANUNIVERSITY特征字串匹配法用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的引導(dǎo)扇區(qū)或文件進(jìn)行掃描。優(yōu)點(diǎn)：準(zhǔn)確率高；效率高缺點(diǎn)：識(shí)別病毒的能力依賴(lài)特征字串；對(duì)未知病毒無(wú)能為力；特征字串的選取專(zhuān)業(yè)性高；難以對(duì)付變形病毒2023/7/2882NiECFUDANUNIVERSITY變形病毒的原理一維變形病毒通過(guò)變換加密的密鑰使得真正的病毒體被加密，每次傳播密鑰都不相同。多維變形病毒通過(guò)變換加密的密鑰，同時(shí)在病毒體內(nèi)隨機(jī)放置一些無(wú)用的指令。2023/7/2883NiECFUDANUNIVERSITY多維變形病毒示意病毒體一：MOVAX,1000HNOPMOVCX,1000HSUBA