（计算机系统结构专业论文）关于计算机网络蠕虫及其防御检测技术的研究与实现.pdf

摘要 摘要 随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益 增加。在网络环境下，多样化的传播途径和复杂的应用环境使网络蠕虫的发生率 增高、潜伏性变强、覆盖面更广，网络蠕虫成为恶意代码研究中的首要课题。近 年来，国内外政府、研究机构都非常重视网络蠕虫研究以及相关的防御技术的研 究。现在对蠕虫的研究大部分专注于理论方面的研究，很少有专门针对蠕虫技术 细节方面的研究，蠕虫的查杀技术更是被各大杀毒公司所保密，这些都导致了用 户对杀毒软件功效的不准确定位。因此，本论文试图从技术层面来对蠕虫及其反 制技术的研究，并以公正的态度看待蠕虫及其杀毒软件所使用的技术。 本文第一章首先对研究课题的意义和国内外情况进行了调研。第二章对蠕虫 的定义、分类、与计算机病毒的区别等进行了研究，并选取各个不同时期爆发的 典型蠕虫进行了分析。在此基础上，对蠕虫的发展趋势做出了一些前瞻性的判断。 第三章分析了软件漏洞的现状、未来发展趋势以及软件漏洞与蠕虫爆发的关 系。在分析了一种具有缓冲区溢出漏洞的服务器模型后，提出了一种基于远程缓 冲区溢出技术的蠕虫实现模型，并对模型中的探测模块、攻击模块、传输模块和 拓展模块进行了研究与实现，特别对攻击模块使用的s h e l l c o d e 技术进行了详细 探讨和结果分析。最后还对蠕虫在军事领域、打击犯罪等方面的应用进行了研究。 第四章在分析了网络蠕虫的增长模型后，对基于网络的蠕虫防御和检测技术 进行了研究。具体涉及到了路由器访问控制列表保护、防火墙的保护、网络入侵 检测系统设置、蜜罐技术、黑洞技术、e t h i c a l 蠕虫、反击技术等等。 第五章针对目前反蠕虫技术始终滞后于蠕虫爆发的现状，阐述了主动防御的 必要。随后介绍了实时监控系统的相关内容与技术，分析了蠕虫进程隐藏技术( 特 别是现在日益流行的r o o t l o t 技术) ，设计并实现了基于主机的进程实时监控系统， 对蠕虫进程的产生、枚举以及关键函数的调用进行了监控。 关键字：网络蠕虫，软件漏洞，蜜罐技术，s h e l l c o d e ，r o o t l d t a b s 仃a c t w i t ht h ee x p l o s i v eg r o w t ho f n e t w o r ka p p l i c a t i o n sa n dc o m p l e x i t y , t h et h r e a to f i n t e m e tw o i t i l sa g a i n s tn e t w o r ks e c u r i t yb e c o m e si n c r e a s i n g l ys e r i o u s e s p e c i a l l y u n d e rt h ee n v i r o n m e n to fi n t e m e t ，t h ev a r i e t yo ft h ep r o p a g a t i o nw a y sa n dt h e c o m p l e x i t yo f t h ea p p l i c a t i o ne n v i r o n m e n tr e s u l ti nw o f u lw i t h m u c hh i g h e rf r e q u e n c y o fo u t b r e a k ，m u c hd e e p e rl a t e n c ya n dm o r ew i d e rc o v e r a g e ，a n dn e t w o r kw o r l n sh a v e b e e nap r i m a r yi s s u ef a c e db ym a l i c i o u sc o d er e s e a r c h e r s i nr e s e n ty e a r s ，t h e g o v e r n m e n t so fd o m e s t i ca n do v e r s e a sa l lw o r k e dh a r do nt h es u b j e c t so fn e t w o r k w o r l n $ a n dt h ec o r r e s p o n d i n ga n t i - w o r l nt e c h n i q u e b u tn o wm o s tr e s e a r c ha b o u t w o r u l sf o c u so nt h e 曲s t r a c tt h e o r yo f w o r m 1 i t t e rr e s e a r c hf o c u so nt h ew o f u l sd e t a i l t e c h n i q u e , a n dt h ea n t i w o n l lt e c h n i q u ew a sa l s oc o v e r e db ym a n ya n t i v i r l 坶 c o m p a n i e s ，t h e s el e dt ot h er e s u l tt h a tm a n y u s e l 墨d o n te v a l u a t et h ea n t i v i r u ss o t t w a r e e f f i c i e n c yc o r r e c t l y s ot h i sp a p e rf o c u s e so nt h ed e t a i lt e c h n i q u eo fw o r ma n d a n t i w o n l lb a s e do nt h ea t t i t u d ew i t h o u tf e a ro rf a v o r i nc h a p t e r1 ，t h i sp a p e ri n t r o d u c e dt h em e a n i n ga n di m p o r t a n c eo f t h i ss u b j e c t i n c h a p t e r2 ，t h i sp a p e ri n t r o d u c e dt h ew o r r ud e f i n i t i o n , c l a s s i f i c a t i o n , d i f f e r e n c ew i t h c o m p u t e rv i r u sa n ds oo n , m a d ea n a l y s i so fs o m et y p t e a lw o r n l $ w h i c hb r o k eo u ta t d i f f e r e n tt i m e b a s e do nt h ea n a l y s i s ，t h ep a p e ra n t i c i p a t e dt h ew o r m s d e v e l o p m e n t t r e n d s i nc h a p t e r3 ，t h i sp a p e ri n t r o d u c e dt h ep r e s e n ts i t u a t i o na n dt h ed e v e l o p m e n t t r e n d so fs o f t w a r eb u g s ，t h e na n a l y z e dt h er e l a t i o n s h i pw i t hw o r u l s a f t e ra n a l y z i n g o n es e r v e r - m o d e lw h i c hh a db u f f e ro v e r f l o wd e f e c t , t h ep a p e rb r o u g h tu pan e t w o r k w o n t lm o d e lb a s e do nr e m o t eb u f f e ro v e r f l o wt e c h n i q u e , t h e na c c o m p l i s h e dt h ep r o b e m o d u l e ，a t t a c km o d u l e ，t r a n s p o r tm o d u l ea n de x t e n dm o d u l e e s p e c i a l l yf o c u so nt h e s h e l l c o d ep r o g r a m m i n go fa t t a c km o d u l e a tl a s t ，t h ep a p e rd i ds o m eu s e f u lr e s e a r c h o nh o wt ou s ew o r l l li nm i l i t a r ya f f a i r s ，a t t a c k i n gc g i m i u a l sa n ds oo n i nc h a p t e r4 ，t h ep a p e ra n a l y z e dt h ee x p l o s i v eg r o w t hm o d e l ，t h e ni n t r o d u c e dt h e d e f e n s ea n dd e t e c t i o na g a i n s tw o r r l a sb a s e do nn e t w o r k t h i sr e f e r e n c e dt ot h eu s i n g m r o u t e ra c c e s sl i s t s ，f i r e w a l lp r o t e c t i o n ，n e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m s ，h o n e y p o t s y s t e m s ，b l a c kh o l em o n i t o r i n g ，c o u n t e r a t t a c k sa n ds oo n i nc h a p t e r5 ，t h i sp a p e rp r e s e n t e dt h es i t u a t i o nw h i c ht h ea n t i w o r l nt e c h n i q u e w a sa l w a y sa f t e rt h ew o r m s b r e a k i n go u t ，t h e ni n t r o d u c e dt h en e c e s s a r yo fp r o a c t i v e d e f e n d s e t h e nt h ep a p e ri n t r o d u c e ds o m et e c h n i q u ea n dc o n t e n ta b o u tr e a l t i m e p r o c e s s e sm o n i t o rs y s t e m , a n a l y z e dt h ep r o c e s s e s h i d d e nt e c h n i q u e ( e s p e c i a l l yt h e r o o t k i tt e c h n i q u e ) ，d e s i g n e da n da c c o m p l i s h e dt h ep r o c e s s e sr e a l t i m em o n i t o rs y s t e m i no r d e rt om o n i t o rt h ep r o c e s s e s b i r t h , p r o c e s s e sl i s t i n ga n d c a l l i n gf u n c t i o n sr e f e rt o t h ep r o c e s s e s k e yw o r d s ：n e t w o r kw o r m ，s o f t w a r eb u g ，h o n e y p o t ，s h e l l c o d e ，r o o t l d t i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：墨查：量!日期：二吖年1 2 月分日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 日期：0 口。，年1 2 月f 日 第一章引言 1 1 研究课题的意义 第一章引言 由于1 9 8 8 年m o r r i s 蠕虫事件的发生和网络技术及有关技术的发展，科学家 们越来越认识到：原先采取的传统的、静态的安全保密措施已不足以抵御计算机 黑客入侵及有组织的信息手段的攻击，必须建立新的安全机制。于是美国国防部 在随后的1 9 8 9 年资助卡内基梅隆大学为其建立了世界上第一个“计算机应急小 组( c e r t ) ”及其协调中心( c e r t c c ) 。c e r t c c 的主要职能是对软件中的安 全漏洞提供咨询，对病毒和蠕虫的爆发提供警报，向计算机用户提供保证计算机 系统安全的技术，并在处理计算机安全事故的行动中进行协调。c e r t 的成立标 志着信息安全由静态保护向动态防护的转变。c e r t c c 成立不久，美国陆海空三 军和国防部、国家安全局及国防通信局、美国联邦调查局、能源局、商业部、航 空航天局等重要部门也陆续成立了应急处理机构，已经逐步形成了覆盖全美国的 应急网络。自c e r t 成立以来，统计到的i n t e m e t 安全威胁事件每年以指数增长， 近年来的增长态势变得的尤为迅猛。这些安全威胁事件给i t 带来巨大的经济损 失。以美国为例，其每年因为网络安全造成的经济损失超过1 7 0 亿美元。这同时 也使网络信息安全问题得到了世界各国的重视。 在全球信息化浪潮的冲击下，我国信息化建设也已进入高速发展阶段，电子 商务、电子政务、网络金融和网络媒体等蓬勃发展起来，这些与国民经济、社会 稳定息息相关的领域急需信息安全的保障。我国于1 9 9 9 年5 月成立了“中国教育 和科研网计算机应急小组( c c e r t ) ”，2 0 0 0 年1 0 月组建了“国家计算机网络应 急技术处理协调中心( 简称c n c e r t c c ) ”。与美国和其它发达国家相比，我国 在计算机应急响应方面的研究起步较晚，水平相对落后。因此，解决我国的信息 安全问题刻不容缓。 信息是当今全球经济的“硬通货”。个人和企业都在依靠信息的全球发布和 存储来进行管理、商业交易并做出个人决策。但是，我们所依赖的信息正日益处 于风险之中。网络威胁、自然灾害、用户错误和系统故障使得关键信息资产的安 电子科技大学硕士学位论文 全性和可靠性暴露于危险中。人类步入了二十一世纪，信息产业飞速发展，互联 网正在迅速地发展和普及，伴随而来的是计算机病毒等恶意代码的日益猖狂。 根据国际著名病毒研究机构i c s a ( 国际计算机安全联盟，i n t e r n a t i o n a l c o m p m e rs e c u r i t y a s s o c i a t i o n ) 的统计， 9 3 的病毒来自网络，其中包括e m a i l 、 目前通过磁盘传播的病毒仅占7 ，剩下 网页、q q 和m s n 等传播渠道。瑞星公 司发布中国大陆地区2 0 0 6 年上半年计算机病毒疫情和互联网安全报告，该报 告显示，2 0 0 6 年上半年被截获的病毒共有1 1 9 4 0 2 个，是去年同期的5 倍多。公 安部公共信息网络安全监察局发布的中国计算机病毒疫情调查技术分析报告显 示，计算机通过光盘、磁盘等存储介质传播的比例明显下降，而通过网络下载和 网络浏览感染病毒的数量增幅最大。通过电子邮件传播的比例也有所上升。计算 机病毒网络化的趋势愈加明显，如何有效防御网络病毒是今后的防病毒工作的重 要课题。 1 2 国内外研究情况及不足 网络蠕虫虽然早在1 9 8 8 年就显示出它巨大破坏力和危害性，但当时i n t e r a c t 没有普及，因而也没有引起人们更多的注意。1 9 8 8 年m o m s 蠕虫的爆发之后， 吸引了一批研究人员对m o m s 蠕虫做分1 析讨论，以e u g e n eh s p a f f o r d 等人为代 表给出了对m o m s 蠕虫的详尽分析。从此以后的l o 年间，基本上对于蠕虫的研 究处于停滞状态，这段时间的研究主流是计算机病毒。 1 9 9 8 年s t e v er w l l i t e 呼吁加大对蠕虫的研究力度，他指出，目前的防病毒 技术都是针对文件系统的，这些技术在防治蠕虫时不再适用。2 0 0 0 年，i b m 开 展i a nw h a l l e y 项目，目的是开发一个自动蠕虫检测和分析的软硬件环境，项目中 定义的蠕虫包含了所有能利用网络传播的恶意代码( 如邮件病毒) ，主要技术为用 虚拟机构造蠕虫传播的网络环境。2 0 0 1 年，j o s en a z a r i o 等人讨论了蠕虫的技术 发展趋势，给出了蠕虫的一个功能模型框架，他们提出的很多思路非常具有启发 意义。2 0 0 1 年c o d e r e d 蠕虫爆发后，针对蠕虫的研究逐渐重新成为热点。比较突 出的有n i c h o l a sw e a v e r ( p h dc a n d i d a t eo f u cb e r k e l e y ) ，他给出了几种蠕虫的快速 传播策略，并预言了可以在半个小时之内感染整i n t e m e t 的蠕虫将要出现。之前 对蠕虫的研究大都集中在对个体典型蠕虫的分析，2 0 0 5 年p e t e rs z o r 出版的“t h e a r t o f c o m p m e r v h - u s r e s e a r c ha n d d e f e n s e ”是的第一本系统全面的介绍了病毒、 2 第一章引言 蠕虫及其相关的检测和防御技术的书籍，其中涉及到了各个操作系统平台下病毒、 蠕虫的相关技术，但大部分内容都停留在表面，并没有对各项技术进行深入的探 讨。国内在蠕虫方面的研究起步较晚，大部分仍然是借鉴国外的研究成果来做的 进一步分析总结。 在蠕虫防御和检测方面，对蠕虫的检测、防御从来就没有和病毒等恶意代码 分开过，但毕竟蠕虫有其自身的行为特点，现有的大部分研究都是根据蠕虫的网 络特性，并结合入侵检测方面的内容而做的，而专门对蠕虫主机方面的防御检测 的研究稍显不足。1 9 9 9 年c h e u n gs 等人提出了著名的g r i d s ，该系统通过收集 计算计和网络活动的数据以及它们之间的连接，建立和分析节点间的行为图，通 过与预定义的行为模式图进行匹配，检测网络蠕虫是否存在。2 0 0 3 年，j o h n 等人 提出了一种采用可编程逻辑设备( p r o g r a m m a b l el o s i cd e v i c e s ，p l d s ) 对抗网络 蠕虫的防范系统。该系统通过捕获流经网络入口的数据包，与内容匹配服务器提 供的特征串或规则表达式进行匹配，根据结果做出放行或阻断等响应。在国内， 对蠕虫的网络检测基本上也是跟国外差不多。如2 0 0 4 年，卿斯汉等人提出了一种 基于网络关联分析的网络蠕虫的预警方法，该方法通过统计主机数据传输行为来 判断主机是否被网络蠕虫感染，实现网络蠕虫的预警。 综上所述，相对于国外已经较为成型的蠕虫抽象理论，关于整个蠕虫在实现 过程中使用的具体技术的探讨仍然很少、很零碎。此外，相对于网络防御的研究， 对蠕虫的基于主机的防御和检测技术的探讨较少，而且没有根据现有蠕虫的自身 行为特点做一些有针对性的研究。所以本论文定位在对蠕虫技术细节，从主机和 网络两方面对防御、检测技术进行研究与实现。 1 3 本论文需解决的问题 本论文主要针对w i n d o w 5 平台下蠕虫及其反制技术的研究。这两方面涉及 的领域很广，包括了操作系统、计算机网络、信息安全、系统结构、人工智能、 社会工程学、编程技术等方面的内容。涉及的内容也很复杂，包括了w i n d o w s 操 作系统中很多未公开、未文档化的结构和黑客使用的很多未知的技术。所以在非 常有限的时间和精力的情况下，掌握所有蠕虫相关的技术的不可能的，本论文试 图在蠕虫及其反制技术的某些方面取得一些阶段性的成果。 3 电子科技大学硕士学位论文 本论文在对蠕虫的研究方面需要解决的问题有：首先对蠕虫的定义、分类、 与恶意代码的关系等有一个清晰的认识，对蠕虫历史、现状以及发展趋势有一个 详细的调研。第二，针对软件漏洞与蠕虫爆发有着密切的关系，需要对软件漏洞 的相关技术进行研究。但是本论文专注于蠕虫模型的建立，所以不会过多的讨论 漏洞的相关技术。最后，对大量蠕虫实例进行归纳总结后，分析并掌握蠕虫使用 的技术，建立通用的蠕虫模型并对蠕虫的用途进行一些可行性的研究。 在蠕虫的防御和检测方面需要解决的问题有：网络蠕虫的防御分为基于网络 的防御和基于主机的防御。对基于网络的蠕虫防御的研究必须分析得出一种企业 级安全体系架构，对架构中各个组成部分的功能有较深入的认识。对基于主机的 蠕虫防御涉及到主机的很多方面，针对某些蠕虫不以文件形式存在的情况，可以 设计出一套针对蠕虫进线程产生、运行等情况的监控系统。为了能够达到从核心 态( r i n 窑0 级) 来对进线程进行监控，还必须对w i n d o w s 的驱动模型进行研究。 对于w i n d o w s 这样非开源的操作系统，必须熟悉操作系统的运行机制和函数调用 机制，才能对监控系统能够达到的监控程度进行较深入的剖析。 4 第二章蠕虫的相关介绍 2 1 蠕虫的定义 第二章蠕虫的相关介绍 蠕虫这个生物学名词在工1 9 8 2 年由x c r o rp a r c 的j o h nf s h o c h 等人最早引 入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动 到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模 型试验，在他们的文章中蠕虫的破坏性和不易控制己经初露端倪。1 9 8 8 年m o r r i s 蠕虫爆发后不久，互联网工作组就发布了关于蠕虫和病毒定义的文档r f c l l 3 5 ， 在文档中对蠕虫的定义是：a “w o r m i sap r o g r a mt h a tc a n r u ni n d e p e n d e n t l y , w i l l c o p s u m ct h er e s o u r c e so fi t sh o s t 台o mw i t h i ni no r d e rt om a i n t a i ni t s e l f , a n dc a n p r o p a g a t eac o m p l e t ew o r k i n gv e r s i o no fi t s e l fo nt oo t h e rm a c h i n e s ( 蠕虫是可以独 立运行的程序。为了维护自身的生存，它会从内部消耗主机的资源。并且它会自 我复制到其它的机器上。1 。 2 2 蠕虫与恶意代码 蠕虫是恶意代码( m a l w a r e ) 的一个主要分支，但是恶意代码的种类很多， 除此之外还有计算机病毒、木马、后门、r o o t k i t 等。表2 一l 列出了常见的几种 恶意代码。 表2 1 恶意代码的分类 恶意代码类型定义特征典型实例 计算机病毒( v i r u s )感染宿主文件( 可执行程序和文字处c i h 、m i c h e l a n g e l o 理文档等) ，复制的过程需要计算机用 户的参与( 通过打开文件、读取电子 邮件，以及导入一个系统或执行一个 己感染的可执行程序等) 5 电子科技大学硕士学位论文 蠕虫( w o )作为一个独立可运行的程序存在，通m o r r i s 、c o d e r e d 、 过网络传播，自动复制，通常无需计s l a m m e r 、b l a s t e r 、z o t o b 算机用户的参与 恶意移动代码( m a l i c i o u s由轻量级程序组成，这些程序从远端c r o s ss i t es c r i p t i n g m o b i l ec o d e ) 系统下载并且在用户主机上执行。有 ( x s s ) 代表性的开发工具有 j a v a s c r i p t ，v b s c r i p t ，j a v a ，a c t i v e x 等 后门( b a c k d o o r ) 绕过一般的安全控制为攻击者提供进n e t c a t 和v n c ( v i r t u a l 入目标计算机的通道n e t w o r kc o m p u t i n g ) 。可 被用做远端管理工具或非 法攻击的工具 特洛伊木马( t r o j a n将自己伪装成为有用的或正常的程s e t i r i 、h y d a n h o r s e )序，但却实现一些有恶意的操作 用户级r o o t k i t替换或修改系统管理员和用户使用的 l i u xr o o t k i t ( l r k ) 系列、 可执行程序 u n i v e r s a lr o o t k i t 、 f a k e g i n a 内核级r o o t k i t控制操作系统的中心内核，用来隐藏a d o r e、k i s ( k e r n e l 和创建后门i n t r u s i o ns y s t e m ) 组合恶意代码组合以上不同的技术以增强其破坏力l i o n 、b u g b e a r b ( c o m b i n a t i o nm a l w a r e ) 清晰的理解每种恶意代码有助于实施全面的防御措施。但在实际应用当中， 这些类型之间都存在一定的交叉。一些程序既是病毒，又是蠕虫。同样，一些蠕 虫又可能携带后门或r o o t k j t 。这些都是来源于攻击者渴望利用一切有段来进行破 坏的目的。 2 3 蠕虫的分类 蠕虫可以根据传播方法、安装方法和发起方法等进行分类。v i r u s l i s t 根据蠕 虫的传播方式对网络蠕虫进行了分类1 】： 6 第二章蠕虫的相关介绍 ( 1 ) e m a i l 蠕虫 e m a i l 蠕虫通过感染e m a i l 邮件进行传播。蠕虫可能以附件的形式或者在e m a i l 里面包含被蠕虫感染的网站链接地址。在这两种方法中e m a i l 都是蠕虫传播的媒 介。在第一种方式中蠕虫通过用户点击附件来激活，第二种方式蠕虫通过用户点 击链接的网址来激活。 e m a i l 蠕虫通常使用以下方法感染e n l a i l ：使用s m t pa p i 函数直接连接s m t p 服务器；m so u t l o o k 服务；w i n d o w sm a p i 函数等。 为了传播得更广，m a i l 蠕虫使用以下技术在受害主机上收集e m a i l 地址：扫 描本地m so u t l o o k 地址簿；扫描w a b 地址数据库；扫描文件中与e m a i l 地址有 相似结构的字符串；扫描e m a i l 收件箱或发信箱里的地址； 以上是e m a i l 蠕虫获取地址比较常用的方法，一些蠕虫甚至可以根据常用的用 户名和域名来构造新的e m a i l 地址。 ( 2 ) i m ( i n s t a n tm e s s a g e ) 蠕虫 这种蠕虫的传播方式比较单一。它们使用即时消息应用程序( o i c q ，i c q 或 m s n 等) 向联系列表中的每个用户发送自身或下载链接。最近几年在国内比较常 见的是q q 尾巴等。i m 蠕虫与e m a i l 蠕虫的传播方式差不多，区别只在于传播媒 介的不同。 ( 3 ) i n t e m e t 蠕虫 i n t e m e t 蠕虫使用以下的技术进行传播：拷贝自身到其它网络资源；利用操作 系统或软件的漏洞渗透计算机或网络；p i g g y b a c k i n g ( 利用其它的恶意软件作为载 体进行传播) 。 在第一种情况，蠕虫在远程主机通过操作系统提供的服务扫描可用的网络资 源或者有漏洞的主机，然后拷贝自身到可以读写的文件夹，最后尝试与这些被感 染的主机连接并激活蠕虫。 在第二种情况中，蠕虫扫描i n t e m e t 中具有严重软件漏洞并且开放相应端口的 计算机，向目标计算机发送具有下载功能的数据包或请求，然后蠕虫的一部分代 码或全部代码将会传输到目标计算机执行。 在第三种情况中，病毒编写者使用蠕虫或木马等载体传播新的蠕虫。这些病 毒编写者首先必须确认载体已经在受害主机上安装了后门。在大多数情况下，后 门都可以接收病毒编写者发送的命令：比如z o m b i e s 在受害主机上安装的后门可 7 电子科技大学硕士学位论文 以接收下载和执行文件的命令，通过这种方式可以传播新的蠕虫。现在的许多蠕 虫为了更加有效的传播，都使用多种方法进行传播。 ( 4 ) i r c ( i n t e m e tr e l a yc h a t ) 蠕虫 i r c 蠕虫的目标是一些聊天的通路，使用的传播方法和上面提到的发送恶意 链接或感染的文件到用户联系列表差不多。发送感染的文件的效果要差些，因为 接收者可以向发送者进行确认后才接收文件。 ( 4 ) 文件共享网络蠕虫 随着现在p 2 p 技术的广泛应用，利用p 2 p 的蠕虫也越来越多的通过拷贝自身 到共享文件夹进行传播。蠕虫将自身伪装成一般的文件并接入到p 2 p 网络，然后 网络将会通知其它的用户进行下载并执行该文件。更加复杂的p 2 p 蠕虫将会初始 化特殊文件共享的网络协议：它会为所有下载文件的请求提供感染文件的下载。 2 4 蠕虫与病毒的区别 网络蠕虫与传统的计算计病毒相比，其具有的明显特征是，网络蠕虫可以通 过网络进行传播，会主动攻击目标系统。但蠕虫和病毒都具有传染性和复制功能， 这两个主要特性上的一致，导致二者之间是非常难区分的，尤其是近年来，越来 越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病 毒的技术，更加剧了这种情况。但对计算机蠕虫和计算机病毒进行区分还是非常 必要的，因为通过对它们之间的区别、不同功能特性的分析，可以确定谁是对抗 计算机蠕虫的主要因素，可以找出有针对性的有效对抗方案，同时也为对它们的 进一步研究奠定初步的理论基础。 “计算机病毒”这个术语是由l m a d l e m a n 引入的，但计算机病毒的第一个 形式化定义则出自e c o h e n 。他给出了一个著名的关于计算机病毒的非形式化定 义：“计算机病毒是一个程序，它能够通过自身( 或自己的一个变体) 包含在其他 程序中进行传染。通过这种传染性质，一个病毒能够传播到整个的计算机系统或 网络( 通过用户的授权感染他们的程序) 。每个被病毒传染的程序表现像一个病毒， 因此传染不断扩散【2 】【3 】。”表2 2 列举了蠕虫和病毒的一些主要差别。 第二章蠕虫的相关介绍 表2 2 ：病毒与蠕虫的区别 病毒蠕虫 存在形式寄生于宿主独立个体 复制形式插入到宿主程序( 文件) 中自身的拷贝 传染机制宿主程序运行通过网络传播 攻击目标针对本地文件针对网络上其它计算机 触发传染感染程序的执行蠕虫程序自身 影响重点文件系统网络性能、系统漏洞 计算机使用者角色 病毒传播中关键环节 某些蠕虫需要用户参与 防治措施从宿主文件中摘除为系统打补丁，删除蠕虫等 相互通信不存在可能存在蠕虫网络 尽管蠕虫和病毒有很多不同之处，但从广义上定义，凡能够引起计算机故障， 破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，人们也把蠕虫 称为是一种病毒。如果把网络上的计算机看成“文件”，整个网络看成一个“系统”， 蠕虫的行为就更像病毒了，所以才导致了“蠕虫”和“病毒”两个不同词汇的混 淆使用。 2 5 蠕虫简史和分析 蠕虫( w o r m ) 这个名词来自于j o h nb r u n n e r 在1 9 7 2 年出版的一本叫做 s h o c k w a v er i d e r ) 的科幻小说中。在书中，一个被称为“绦虫”的程序在个 连接着全球数百万系统未来数据网中传播。小说中的s h o c k w a v er i d e r 帮助建立 了非常强大的自我复制代码的概念。不久，这个概念在实际病毒和蠕虫中得到了 实现。 蠕虫在因特网出现的早期就作为世界的一部分而存在了，研究人员一直希望 能够利用互联网络来进行应用程序的开发。1 9 7 1 年，在b o l tb e r a n e ka n d n e w m a n ( b b n ) ，一名叫b o bt h o m a s 的研究员发明了一个程序。这个程序可以通 过空中交通管制系统的一个网络运行，这一系统也是这个早期实例中一个令人震 惊的目标。t h o m a 称这个程序为“c r e e p e r ( 爬行者) ”，它可以在系统与系统之间传 播，在计算机之间复制代码以帮助空中交通控制器处理自己的工作，提醒管制者什 么时候系统脱离制定计算机的控制而由另外计算机的控制。然而，c r e e p e r 并不是 9 电子科技大学硕士学位论文 真正意义上的蠕虫，c r e e p e r 不在众多目标机上安装自己，仅保持一个实体漫步于 因特网并从以前的系统中离开，就好像是向前传播一样。 几年以后的1 9 7 8 年，第一个真正的蠕虫由施乐公司帕洛阿尔托研究所( x e r o x p a r c ) 的研究人员编写出来。图2 一l 描绘了蠕虫发展的示意图，从x e r o xp a r c 到m o r r i s 蠕虫、u n i x 和w i n d o w s 蠕虫，虽然蠕虫作为两条分支各自独立的发展， 但它们的传播和感染的理念、方法等是相同的。 图2 一l 蠕虫发展路线图 1 0 第二章蠕虫的相关介绍 1 9 7 8 年，施乐公司帕洛阿尔托研究所( x e r o xp a r c ) 的研究人员j o h nes h o c h 和j o na h u p p 编写了最早的蠕虫，用来尝试进行分布式计算( d i s t r i b u t e d c o m p u t a t i o n ) 【4 】。整个程序由几个段( s e g m e n t ) 组成，这些段分布在网络中的不同 计算机上，它们能够判断出计算机是否空闲，并向处于空闲状态的计算机迁移。 当某个段被破坏掉时，其它段能重新复制出这个段。研究人员编写蠕虫的目的是 为了辅助科学实验。然而，一次偶然，蠕虫使网络上的主机崩溃并拒绝主机执行 正常的操作。这次偶然的事件使得研究人员不得不终止了他们的实验。 1 9 8 8 年1 1 月2 日，m o r r i s 蠕虫发作，m o r r i s 蠕虫通过f i n g e r d 、s e n d m a l l 、 r e x e c r s h 三种系统服务中存在漏洞进行传播，对基于v a x ( v i r t u a la d d r e s s e x t e n t i o n ) 系统中运行的f i n g e r d 中的缓冲区溢出漏洞来进行攻击；利用d e b u g 命令发送邮件；利用远程s h e l l 命令攻击新的目标主机并尝试破解系统的密码。几 天之内感染了联入互联网中6 0 0 0 0 台计算机中的6 0 0 0 台，其中大部分是美国国 防军事科研单位与有关大专院校，损失超过一千万美元。它造成的影响是如此之 大，使它在后来的1 0 几年里，被反病毒厂商作为经典病毒案例( 虽然m o r r i s 是 蠕虫而非病毒) 。m o r r i s 蠕虫作为一个研究项目是由c o m e l l 大学的博士生r o b e r tt m o r r i s 编写的。1 9 9 0 年，他被判有罪并处以3 年缓刑、1 万美元罚金和4 0 0 小时 的社区义务劳动。 1 9 8 9 年1 0 月1 6 日，w a n k 蠕虫被报告，它使用d c l 语言编写。利用一些 简单的漏洞感染在d e c n e t 上面运行的v m s 系统，c i a c ( c o m p u t e ri n c i d e n t a d v i s o r yc a p a b i l i t y ) 统计大概有6 0 到7 0 个系统被感染。w a n k 没有进行过多的 破坏，但表现出来强烈的政治意味，自称是抗议核刽子手的蠕虫( w o r m sa g a i n s t t h e n u c l e a r k i l l e r s ) ，将被攻击的d e c v m s 计算机的提示信息改为“表面上高喊和平， 背地里却准备战争( y o ut a l ko f t i m e so f p e a c ef o ra l l ，a n dt h e np r e p a r ef o rw a r ) ”。 这个早期蠕虫的爆发反映了蠕虫编写者的政治意图和个人主张，这在以后爆发的 蠕虫中也屡见不鲜。 在2 0 世纪9 0 年代后期，随着个人计算机的普及和计算机网络的应用，网络 蠕虫得到了真正快速的发展。蠕虫技术因操作系统的不同而不同，针对目前 w i n d o w s 操作系统在市场上占有统治地位，本论文专注于w i n d o w s 平台蠕虫的技 术，所以下面只简要介绍了w i n d o w s 平台下一些比较著名的蠕虫。 电子科技大学硕士学位论文 ( 1 ) 1 9 9 9 年7 月，由t r e n tw a d d i n g t o n 编写的i i sw o r m 蠕虫利用m i c r o s o f t 公司的i i s 4 0 的一个缓冲区漏洞进行传播，这个漏洞允许攻击者注入并执行二进 制代码。代码执行后会连接到已经被感染的主机下载蠕虫文件( i i s w o r m e x e ) 。一 旦蠕虫在新的主机运行后，它会查找本机上的h t m 文件，确定下一个攻击的地 址。据e e y e 安全小组统计，在攻击的开始阶段，9 0 的w i n d o w sw e b 服务器都 存在这个漏洞。i i sw o r m 是第一个攻击i i s 服务器的蠕虫。 ( 2 ) 2 0 0 0 年5 月3 日，i l 0 v e y o u 蠕虫首先在香港发现。蠕虫的作者是菲 律宾人，使用v i s u a lb a s i c 脚本语言构造名为“l o v e l e t t e r - f o r - y o u t x t v b s ”蠕 虫附件并查找m i c r o s o f to u t l o o k 的地址簿，通过主题为“i l o v e y o u ”的e - m a i l 进行传播。蠕虫利用了社会工程学的技术来迷惑用户，通过用户点击邮件的附件 得以执行。当蠕虫得到执行后便用自身的拷贝修改音乐文件，图像文件等。同时 它还会搜索被感染主机的账号和密码并通过e - m a i l 发送给蠕虫作者。估计造成的 损失在1 0 0 亿一1 5 0 亿美元之间，但由于当时菲律宾没有关于制造病毒的法律， 所以i l o v e y o u 蠕虫的作者并没有受到指控。图2 2 是i l o v e y o u 蠕虫发送 的邮件的截图。 图2 2i l 0 v e l 0 u 蠕虫发送的e m a i l ( 3 ) 2 0 0 1 年7 月1 9 日，c o d e r e d 蠕虫爆发，在爆发后的9 小时内就攻击了 2 5 万台安装有m i c r o s o f t 的i i s 网页服务器。造成的损失估计超过2 0 亿美元，随 后几个月内产生了威力更强的几个变种，其中c o d e r c di i 蠕虫造成的损失估计 1 2 亿美元。由于2 0 0 1 年4 月1 日的中美撞机事件导致了2 0 0 1 年5 月1 日前后的 所谓中美黑客大战，而c o d e r e d 蠕虫产生的时间刚好是黑客大战的尾声，并且 c o d e r e d 蠕虫在被攻击的计算机的网页上留下“h a c k e db yc h i n e s e ! ”字样，所以 有计算机专家推断c o d e r e d 为中国黑客编写。如图2 3 所示： 1 2 第二章蠕虫的相关介绍 图2 3c o d e r e d 蠕虫攻击网站的截图 c o d e r e di i 在传染过程中，如果发现被感染的计算机使用的是中文系统，就 会把攻击线程数从3 0 增加到6 0 ，从而造成更大的破坏。根据这个特征，有计算 机专家推断c o d e r e di i 蠕虫是他国技术人员对中国技术人员的一种报复。 c o d e r e x t 蠕虫的名字取自一种软饮料， ( i n d e x i n gs e r v i c e 中的漏洞) 进行传播， 通过微软公司的h s 服务的i d a 漏洞 并采用了很多相当高级的编程技术( 其 中包括引入了用户模式r o o t k j t 的组件r