計(jì)算機(jī)病毒與防范技術(shù)第4章課件

計(jì)算機(jī)病毒與防范技術(shù)-計(jì)算機(jī)病毒與防范技術(shù)-1第4章網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲的定義蠕蟲的起源發(fā)展蠕蟲的行為特征蠕蟲的工作原理蠕蟲的防范典型蠕蟲代碼的分析-第4章網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲的定義-蠕蟲的原始定義蠕蟲病毒通常由兩部分組成：一個(gè)主程序和一個(gè)引導(dǎo)程序主程序的主要功能是搜索和掃描，這個(gè)程序能夠讀取系統(tǒng)的公共配置文件，獲得與本機(jī)聯(lián)網(wǎng)的客戶端信息，檢測到網(wǎng)絡(luò)中的哪臺機(jī)器沒有被占用，從而通過系統(tǒng)的漏洞，將引導(dǎo)程序建立到遠(yuǎn)程計(jì)算機(jī)上引導(dǎo)程序?qū)嶋H上是蠕蟲病毒主程序（或一個(gè)程序段）自身的一個(gè)副本-蠕蟲的原始定義蠕蟲病毒通常由兩部分組成：一個(gè)主程序和一個(gè)引導(dǎo)蠕蟲的原始定義主程序和引導(dǎo)程序都有自動(dòng)重新定位（autorelocation）的能力這些程序或程序段都能夠把自身的副本重新定位在另一臺機(jī)器上-蠕蟲的原始定義主程序和引導(dǎo)程序都有自動(dòng)重新定位（autore蠕蟲與病毒之間的區(qū)別及聯(lián)系病毒蠕蟲存在形式寄生獨(dú)立個(gè)體復(fù)制機(jī)制插入到宿主程序(文件)中自身的拷貝傳染機(jī)制宿主程序運(yùn)行系統(tǒng)存在漏洞(Vulnerability)搜索機(jī)制(傳染目標(biāo))主要是針對本地文件主要針對網(wǎng)絡(luò)上的其它計(jì)算機(jī)觸發(fā)傳染計(jì)算機(jī)使用者程序自身影響重點(diǎn)文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性能計(jì)算機(jī)使用者角色病毒傳播中的關(guān)鍵環(huán)節(jié)無關(guān)防治措施從宿主程序中摘除為系統(tǒng)打補(bǔ)丁(Patch)-蠕蟲與病毒之間的區(qū)別及聯(lián)系病毒蠕蟲存在形蠕蟲的行為特征主動(dòng)攻擊行蹤隱蔽利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)器漏洞造成網(wǎng)絡(luò)擁塞消耗系統(tǒng)資源，降低系統(tǒng)性能產(chǎn)生安全隱患反復(fù)性破壞性-蠕蟲的行為特征主動(dòng)攻擊-蠕蟲定義的進(jìn)一步說明蠕蟲的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性，這也是區(qū)分蠕蟲和病毒的重要因素?？梢酝ㄟ^簡單的觀察攻擊程序是否存在載體來區(qū)分蠕蟲與病毒-蠕蟲定義的進(jìn)一步說明蠕蟲的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立蠕蟲的起源和發(fā)展1980年，XeroxPARC的研究人員JohnShoch和JonHupp在研究分布式計(jì)算、監(jiān)測網(wǎng)絡(luò)上的其他計(jì)算機(jī)是否活躍時(shí)，編寫了一種特殊程序，Xerox蠕蟲-蠕蟲的起源和發(fā)展1980年，XeroxPARC的研究人員J蠕蟲的起源和發(fā)展1988年11月2日，世界上第一個(gè)破壞性計(jì)算機(jī)蠕蟲正式誕生Morris蠕蟲利用sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)行傳播Morris在證明其結(jié)論的同時(shí)，也開啟了蠕蟲新紀(jì)元-蠕蟲的起源和發(fā)展1988年11月2日，世界上第一個(gè)破壞性計(jì)算蠕蟲的起源和發(fā)展2001年7月19日，CodeRed蠕蟲爆發(fā)，在爆發(fā)后的9小時(shí)內(nèi)就攻擊了25萬臺安裝有Microsoft的IIS網(wǎng)頁服務(wù)器。-蠕蟲的起源和發(fā)展2001年7月19日，CodeRed蠕蟲爆發(fā)蠕蟲的起源和發(fā)展2001年9月18日，Nimda蠕蟲被發(fā)現(xiàn)，不同于以前的蠕蟲，Nimda開始結(jié)合病毒技術(shù)。它通過電子郵件、網(wǎng)絡(luò)鄰近共享文件、IE瀏覽器的內(nèi)嵌MIME類型自動(dòng)執(zhí)行漏洞、IIS服務(wù)器文件目錄遍歷的漏洞、CodeRedⅡ和sadmind/IIS蠕蟲留下的后門共五種方式進(jìn)行傳播。-蠕蟲的起源和發(fā)展2001年9月18日，Nimda蠕蟲被發(fā)現(xiàn)，蠕蟲的起源和發(fā)展在2003年1月25日，蠕蟲W32/Slammer通過Microsoft的SQL服務(wù)器和MSDE2000（MicrosoftSQLServerDesktopEngine）的漏洞進(jìn)行傳播。2003年7月21日，微軟公司公布Windows系統(tǒng)的一個(gè)RPC漏洞，2003年8月11日，“沖擊波”(worm.Blaster)開始在互聯(lián)網(wǎng)上傳播。-蠕蟲的起源和發(fā)展在2003年1月25日，蠕蟲W32/Slam蠕蟲的起源和發(fā)展2004年4月13日，微軟公布了一個(gè)嚴(yán)重等級的安全公告“MS04-011”。5月1日，一個(gè)新的蠕蟲—“震蕩波”(Worm.sasser)開始在互聯(lián)網(wǎng)肆虐該病毒利用windows平臺的LSASS(LocalSecurityAuthoritysubsystemServices)漏洞進(jìn)行傳播成為2004年當(dāng)之無愧的“毒王”-蠕蟲的起源和發(fā)展2004年4月13日，微軟公布了一個(gè)嚴(yán)重等級蠕蟲的起源和發(fā)展2005年8月14日狙擊波蠕蟲(Zotob)爆發(fā)，它利用了8月9日微軟發(fā)布的即插即用(PnP)中的漏洞(Ms05-039)，用戶電腦感染了該蠕蟲之后，在某些情況下會出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象。2006年威金、熊貓燒香結(jié)合了病毒技術(shù)，具有很強(qiáng)的破壞性，中毒后計(jì)算機(jī)上面的EXE文件都會被破壞-蠕蟲的起源和發(fā)展2005年8月14日狙擊波蠕蟲(Zotob)蠕蟲程序的實(shí)體結(jié)構(gòu)蠕蟲的基本結(jié)構(gòu)-蠕蟲程序的實(shí)體結(jié)構(gòu)蠕蟲的基本結(jié)構(gòu)-蠕蟲的基本結(jié)構(gòu)蠕蟲程序的功能結(jié)構(gòu)-蠕蟲的基本結(jié)構(gòu)蠕蟲程序的功能結(jié)構(gòu)-蠕蟲的工作方式蠕蟲的工作方式一般是“目標(biāo)定位→攻擊→復(fù)制”-蠕蟲的工作方式蠕蟲的工作方式一般是“目標(biāo)定位→攻擊→復(fù)制”-蠕蟲的工作方式蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計(jì)算機(jī)中掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然后對這一地址段上的主機(jī)進(jìn)行掃描沒有優(yōu)化的掃描程序可能會不斷重復(fù)上面這一過程，大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞-蠕蟲的工作方式蠕蟲的掃描策略-蠕蟲的工作方式對掃描策略的改進(jìn)在IP地址段的選擇上，可以主要針對當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描，對外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描對掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描把掃描分散在不同的時(shí)間段進(jìn)行-蠕蟲的工作方式對掃描策略的改進(jìn)-蠕蟲的工作方式掃描策略設(shè)計(jì)的原則盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小保證掃描覆蓋到盡量大的范圍處理好掃描的時(shí)間分布，使得掃描不要集中在某一時(shí)間內(nèi)發(fā)生怎樣找到一個(gè)合適的策略需要在考慮以上原則的前提下進(jìn)行分析，甚至需要試驗(yàn)驗(yàn)證-蠕蟲的工作方式掃描策略設(shè)計(jì)的原則-蠕蟲的工作方式蠕蟲常用的掃描策略隨機(jī)掃描目前大多數(shù)蠕蟲所選擇的掃描策略蠕蟲通過產(chǎn)生偽隨機(jī)數(shù)列的方法，在互聯(lián)網(wǎng)地址空間中隨機(jī)的選取IP地址進(jìn)行掃描隨機(jī)掃描具有算法簡單、易實(shí)現(xiàn)的特點(diǎn)。但隨機(jī)掃描容易引起網(wǎng)絡(luò)阻塞-蠕蟲的工作方式蠕蟲常用的掃描策略-蠕蟲的工作方式選擇性隨機(jī)掃描會對整個(gè)地址空間的IP隨機(jī)抽取進(jìn)行掃描所選的目標(biāo)地址按照一定的算法隨機(jī)生成，互聯(lián)網(wǎng)地址空間中未分配的或者保留的地址塊不在掃描之列典型的有Slapper蠕蟲和Slammer蠕蟲。Slammer蠕蟲傳播非?？欤饕?yàn)樗捎肬DP1434（SQLSERVER）端口的非連接的掃描，而且采用了大量線程的掃描方式，使得其掃描主要受帶寬的限制-蠕蟲的工作方式選擇性隨機(jī)掃描-蠕蟲的工作方式順序掃描宿主主機(jī)上的蠕蟲會隨機(jī)選擇一個(gè)C類網(wǎng)絡(luò)地址進(jìn)行順序傳播該策略的不足是對同一臺主機(jī)可能重復(fù)掃描，引起網(wǎng)絡(luò)擁塞W32.Blaster是典型的順序掃描蠕蟲-蠕蟲的工作方式順序掃描-蠕蟲的工作方式初始列表掃描（hitlist）蠕蟲程序在釋放之前，預(yù)先形成一個(gè)易感主機(jī)的初試列表，然后對該列表地址進(jìn)行嘗試攻擊和傳播一般是選擇網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)主機(jī)-蠕蟲的工作方式初始列表掃描（hitlist）-蠕蟲的工作方式初始列表生成方法有兩種，其一是通過小規(guī)模的掃描或者互聯(lián)網(wǎng)的共享信息產(chǎn)生初始列表，其二是通過分布式掃描可以生成全面的列表數(shù)據(jù)庫缺點(diǎn)是攻擊者收集這些攻擊目標(biāo)時(shí)往往要花費(fèi)很長的時(shí)間，在這個(gè)過程中所利用的漏洞有可能會被修復(fù)，而失去攻擊的機(jī)會-蠕蟲的工作方式-蠕蟲的工作方式可路由地址掃描蠕蟲依據(jù)網(wǎng)絡(luò)的路由信息，對地址空間進(jìn)行選擇性掃描的一種策略蠕蟲的設(shè)計(jì)者通常利用BGP路由表的公開信息獲取互連網(wǎng)路由的IP地址前輟，從而達(dá)到驗(yàn)證BGP數(shù)據(jù)庫可用性的目的提高了蠕蟲的傳播速度，但蠕蟲傳播時(shí)必須攜帶一個(gè)路由IP地址庫-蠕蟲的工作方式可路由地址掃描-蠕蟲的工作方式DNS掃描蠕蟲程序從DNS服務(wù)器上獲取所記錄的IP地址來建立蠕蟲掃描的目的地址庫所建立的目標(biāo)地址庫具有針對性和可用性強(qiáng)的特點(diǎn)但蠕蟲程序需要攜帶大量的地址庫，因此傳播速度比較慢-蠕蟲的工作方式DNS掃描-蠕蟲的工作方式分治掃描網(wǎng)絡(luò)蠕蟲之間相互協(xié)作、快速搜索易感染主機(jī)的一種策略網(wǎng)絡(luò)蠕蟲發(fā)送地址庫的一部分給每臺被感染的主機(jī)，然后每臺主機(jī)再去掃描它所獲得的地址不足是存在“壞點(diǎn)”問題。在蠕蟲傳播的過程中，如果一臺主機(jī)死機(jī)或崩潰，那么所有傳給它的地址庫就會丟失。這個(gè)問題發(fā)生得越早，影響就越大-蠕蟲的工作方式分治掃描-蠕蟲的工作方式有三種方法能夠解決這個(gè)問題：（1）在蠕蟲傳遞地址庫之前產(chǎn)生目標(biāo)列表；（2）通過計(jì)數(shù)器來控制蠕蟲的傳播情況，蠕蟲每感染一個(gè)節(jié)點(diǎn)，計(jì)數(shù)器加1，然后根據(jù)計(jì)數(shù)器的值來分配任務(wù)；（3）蠕蟲傳播的時(shí)候隨機(jī)決定是否重傳數(shù)據(jù)庫-蠕蟲的工作方式有三種方法能夠解決這個(gè)問題：-蠕蟲的工作方式置換列表掃描所有蠕蟲共用一張與整個(gè)地址空間相對應(yīng)的偽隨機(jī)置換列表，并通過該表來選擇掃描目標(biāo)被感染的主機(jī)以其在置換列表上的位置為掃描起點(diǎn)，并由該起點(diǎn)始沿著置換列表向下掃描，尋找新的漏洞主機(jī)。當(dāng)它掃描到某一點(diǎn)并發(fā)現(xiàn)該點(diǎn)所對應(yīng)的主機(jī)已經(jīng)被感染，會立即停止掃描，并在置換列表中隨機(jī)選擇一個(gè)新的起點(diǎn)繼續(xù)掃描確保了對整個(gè)網(wǎng)絡(luò)的徹底掃描，也避免了對同一臺機(jī)器的重復(fù)掃描-蠕蟲的工作方式置換列表掃描-蠕蟲的工作方式蠕蟲快速傳播的關(guān)鍵在于設(shè)計(jì)良好的掃描策略一般情況下，采用DNS掃描傳播的蠕蟲速度最慢，選擇性隨機(jī)掃描和路由掃描比隨機(jī)掃描的速度要快對于初始列表掃描，當(dāng)列表超過1M字節(jié)時(shí)，蠕蟲傳播的速度就會比路由掃描蠕蟲慢；當(dāng)列表大于6M時(shí)，蠕蟲傳播速度比隨機(jī)掃描還慢-蠕蟲的工作方式蠕蟲快速傳播的關(guān)鍵在于設(shè)計(jì)良好的掃描策略-蠕蟲的工作方式目前，網(wǎng)絡(luò)蠕蟲首先采用路由掃描，再利用隨機(jī)掃描進(jìn)行傳播是最佳選擇掃描發(fā)送的探測包是根據(jù)不同的漏洞進(jìn)行設(shè)計(jì)的不同的漏洞有不同的攻擊手法，關(guān)鍵的問題是對漏洞的理解和利用-蠕蟲的工作方式目前，網(wǎng)絡(luò)蠕蟲首先采用路由掃描，再利用隨機(jī)掃描蠕蟲的工作方式蠕蟲的攻擊機(jī)制緩沖區(qū)溢出漏洞內(nèi)存損壞漏洞-蠕蟲的工作方式蠕蟲的攻擊機(jī)制-漏洞與緩沖區(qū)溢出介紹漏洞是指任何軟件、硬件或?qū)崿F(xiàn)中存在的缺陷，這些缺陷在滿足一定的條件時(shí)，可導(dǎo)致信息泄漏或資源失控或服務(wù)失效攻擊代碼是指可以用來體現(xiàn)漏洞的程序代碼，通過執(zhí)行這些程序代碼，可以展示漏洞，即出現(xiàn)信息泄漏或資源失控或服務(wù)失效這些結(jié)果。-漏洞與緩沖區(qū)溢出介紹漏洞是指任何軟件、硬件或?qū)崿F(xiàn)中存在的缺陷漏洞與緩沖區(qū)溢出介紹緩沖區(qū)指的是程序運(yùn)行時(shí)內(nèi)存中一塊連續(xù)的區(qū)域緩沖溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上-漏洞與緩沖區(qū)溢出介紹緩沖區(qū)指的是程序運(yùn)行時(shí)內(nèi)存中一塊連續(xù)的區(qū)漏洞與緩沖區(qū)溢出介紹voidMyCopy(char*str){

chardstbuffer[256];strcpy(buffer,str);}intmain(){inti;

charsrcbuffer[512];for(i=0;i<511;i++)srcuffer[i]=’C’;MyCopy(srcbuffer);return0;}-漏洞與緩沖區(qū)溢出介紹voidMyCopy(char*str漏洞與緩沖區(qū)溢出介紹在C語言標(biāo)準(zhǔn)庫中就有許多能提供溢出的函數(shù)，如strcat()，strcpy()，sprintf()，vsprintf()，bcopy()，gets()和scanf()等等據(jù)統(tǒng)計(jì)，因特網(wǎng)上80%的攻擊采用了緩沖區(qū)溢出后執(zhí)行攻擊者的攻擊代碼-漏洞與緩沖區(qū)溢出介紹在C語言標(biāo)準(zhǔn)庫中就有許多能提供溢出的函數(shù)漏洞與緩沖區(qū)溢出介紹緩沖區(qū)溢出大致分為棧溢出和堆溢出。除此之外還有函數(shù)指針、off-by-one溢出、格式字符串攻擊等等。在.data、.bss和heap中溢出的情形，都稱為堆溢出這些數(shù)據(jù)區(qū)的特點(diǎn)是：數(shù)據(jù)的增長由低地址向高地址，而棧溢出則相反。-漏洞與緩沖區(qū)溢出介紹緩沖區(qū)溢出大致分為棧溢出和堆溢出。除此之漏洞與緩沖區(qū)溢出介紹近幾年爆發(fā)的蠕蟲都利用了緩沖區(qū)溢出技術(shù)W32/SlammerWorm.sasserworm.BlasterZotob溢出點(diǎn)定位是緩沖區(qū)溢出技術(shù)的核心-漏洞與緩沖區(qū)溢出介紹-漏洞與緩沖區(qū)溢出介紹隨著將來高級類型安全語言、編譯器、虛擬機(jī)等技術(shù)的應(yīng)用，作為軟件漏洞之王的緩沖區(qū)溢出可能會逐漸消亡，程序設(shè)計(jì)中的邏輯錯(cuò)誤將可能取代緩沖區(qū)溢出，成為漏洞的新主流-漏洞與緩沖區(qū)溢出介紹隨著將來高級類型安全語言、編譯器、虛擬機(jī)蠕蟲的工作方式復(fù)制復(fù)制模塊通過原主機(jī)和新主機(jī)的交互，將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)復(fù)制過程有很多種方法，可以利用系統(tǒng)本身的程序?qū)崿F(xiàn)，也可以用蠕蟲自帶的程序?qū)崿F(xiàn)復(fù)制過程實(shí)際就是一個(gè)文件傳輸?shù)倪^程。-蠕蟲的工作方式復(fù)制-蠕蟲的防治策略從它的實(shí)體結(jié)構(gòu)來考慮，如果破壞了它的實(shí)體組成的一個(gè)部分，則破壞了其完整性，使其不能正常工作，從而達(dá)到阻止其傳播的目的從它的功能組成來考慮，如果使其某個(gè)功能組成部分不能正常工作，也同樣能達(dá)到阻止其傳播的目的-蠕蟲的防治策略從它的實(shí)體結(jié)構(gòu)來考慮，如果破壞了它的實(shí)體組成的蠕蟲的防治策略具體可以分為如下一些措施修補(bǔ)系統(tǒng)漏洞分析蠕蟲行為重命名或刪除命令解釋器(Interpreter)防火墻(Firewall)公告更深入的研究-蠕蟲的防治策略具體可以分為如下一些措施-蠕蟲的防范購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并注意隨時(shí)更新提高防殺毒意識，不要輕易點(diǎn)擊陌生的站點(diǎn)不隨意查看陌生郵件，尤其是帶有附件的郵件防范局域網(wǎng)連接和資源共享帶來的安全隱患-蠕蟲的防范購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并注意隨時(shí)更新-典型蠕蟲代碼的分析紅色代碼2(Worm.codeRedⅡ)背景病發(fā)癥狀漏洞介紹掃描策略程序流程-典型蠕蟲代碼的分析紅色代碼2(Worm.codeRedⅡ)-紅色代碼2(Worm.codeRedⅡ)病發(fā)癥狀在“

WINNT\SYSTEM32\LOGFILES\W3SVCI”目錄下的日志文件中含有以下內(nèi)容:GET，/default.ida，XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9O90%u6858%uebd3%u7801%u909o%u6858%uebd3%u780l%u909o%u9090%us190%u00e3%u0003%u8b00%u53lb%u53ff%u0078%u0000%u00=a-紅色代碼2(Worm.codeRedⅡ)病發(fā)癥狀GET，/d紅色代碼2(Worm.codeRedⅡ)使用netstat-a命令，在1025以上端口出現(xiàn)很多SYN-SENT連接請求，或者1025號以上的大量端口處于監(jiān)聽狀態(tài)在以下目錄中存在“Root.exe”文件C:\inetPub\Scripts\Root.exeD:\inetPub\Scripts\Root.exeC:\Programfiles\Commonfiles\System\MSADC\Root.exeD:\Programfiles\Commonfiles\System\MSADC\Root.exe在C，D盤根目錄下存在以下文件:C:\Explorer.exe，D:\Explorer.exe-紅色代碼2(Worm.codeRedⅡ)使用netstat-紅色代碼2(Worm.codeRedⅡ)掃描策略“紅色代碼Ⅱ”采取選擇隨機(jī)掃描的策略掃描的IP地址由以下策略獲取:假設(shè)隨機(jī)生成的IP地址的點(diǎn)分十進(jìn)制格式為A.B.C.D，再假設(shè)本機(jī)的IP地址是E.F.G.H，則隨機(jī)生成的IP地址規(guī)則如下:（1）隨機(jī)生成1一254之間的隨機(jī)數(shù)，賦值給A，B，C，D（2）37.5%的概率生成的IP地址為E.F.C.D。即生成的IP前十六位和本機(jī)地址的前十六位相同，后十六位隨機(jī)生成-紅色代