计算机病毒、蠕虫和特洛伊木马介绍(网络安全基础课讲义)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 – 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 –
– 引导型
• 主引导区 • 操作系统引导区
– 文件型
• 操作系统 • 应用程序 • 宏病毒
引导型病毒—引导记录
• 主引导记录(MBR)
引导代码及 出错信息 主引导程序(446字节)
主分区表 A (64字节)
结束标记 (2字节)
分区1(16 字节) 分区2(16 字节) 分区3(16 字节) 分区4(16 字节)
– 检 查 c:\notworm 文 件 是 否存在以判断是否感染
–中 文 保 护 ( 是 中 文 windows就不修改主页)
– 攻击白宫!
CR II
• Inspired by RC I
– 影响波及全球 – 国内影响尤其广泛
• 主要行为
– 所利用缺陷相同 – 只感染windows2000系统,由于一些参数的问
其他可执行的文件类型
• .BAT • .PIF • .SYS • .DRV • .OVR • .OVL • .DLL • .VxD
文件型病毒感染机理
病病病毒毒病毒病程程毒病程毒序病序病程毒序病程头毒头毒序程病毒头序程病程头序毒程头序毒序头程序头程头序头序头头 正正常正常正常正正常常常
正正正常正常正常正常正常正常正常正常正常正常常正常正常正正常正常正常程常常程序程序程序程程序序序 程程程序程序程序程序程序程序程序程序程序程序序程序程序程程序程序程序序序病病程程程程程毒病毒序序序序序程毒病程头头头头头序病程毒序病毒序病程毒程毒序病程序程毒序病序程毒序程序
CodeRed II
增加了特洛依木马的功能,并针对中国网站做了改进
1. 计算IP的方法进行了修改,使病毒传染的更快; 2. 检查是否存在CodeRedII原子,若存在则进入睡眠状态防止反复
感染,若不存在则创建CodeRedII原子; 3. 创建300个线程进行传染,若系统默认语言为简体中文或繁体中
– Rsh,rexec:用户的缺 省认证
– Sendmail 的debug模式 – Fingerd的缓冲区溢出 – 口令猜测
CR I
• 主要影响Windows NT系 统和Windows 2000
– 主要影响国外网络 – 据CERT统计,至8月初已
经感染超过25万台
• 主要行为
– 利用IIS 的Index服务的 缓冲区溢出缺陷进入系 统
题,只会导致NT死机 – 休眠与扫描:中文windows,600个线程
Nimda 简介
• 影响系统:MS win9x, wind2k, win XP • 传播途径:
– Email、文件共享、页面浏览、 –MS IIS目录遍历、Code Red 后门
• 影响
– 群发电子邮件,付病毒 – 扫描共享文件夹, – 扫描有漏洞的IIS, – 扫描有Code Red后门的IIS Server
文,则创建600个线程; 4. 检查时间。病毒作者的意图是传播过程在2001年10月1日完成,
之后,蠕虫会爆发而使系统不断重新启动。 5. 在系统中安装一个特洛依木马:
① 拷贝系统目录cmd.exe到IIS的脚本执行目录下,改名为root.exe; ② 将病毒体内的木马解压缩写到C盘和D盘的explorer.exe ③ 木马每次系统和启动都会运行,禁止系统的文件保护功能,并将C盘
是自身?
Y
是否整点 或半点
Y
修改INT8 开始发作
执行正常的 INT 13程序
是否带病毒?
Y 执行正常的
INT 13程序
N
调用传染过程 感染磁盘
执行正常的 INT 13程序
病毒检测原理
• 特征匹配
– 例如,在香港病毒:1F 58 EA 1A AF 00 F0 9C:
POP AX JMP F000∶AF1A PUSHF
CodeRed I
在侵入一台服务器后,其运行步骤是:
1. 设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着 使用RVA(相对虚拟地址)查找GetProcAddress的函数地址,然 后就获得其他socket、connect、send、recv、closesocket等函数地 址;
2. 如果C:\notworm在,不再进一步传染; 3. 传染其他主机。创造100个线程,其中99个用户感染其他WEB服
• 行为监控
– 对中断向量表的修改 – 对引导记录的修改 – 对.exe, .com文件的写操作 – 驻留内存
• 软件模拟
防范与检测
• 数据备份 • 不要用移动介质启动(设置CMOS选项) • 设置CMOS的引导记录保护选项 • 安装补丁,并及时更新 • 安装防病毒软件,及时更新病毒定义码 • 限制文件共享 • 不轻易打开电子邮件的附件 • 没有病毒处理前不要使用其他移动介质 • 不要运行不可信的程序 • 移动介质写保护
保护功能是否被禁止。 • 在任务管理器中检查是否存在两个explorer.exe进程。
提纲
• 计算机病毒 • 网络蠕虫 • 特洛伊木马
文件型病毒—文件结构
• .COM文件
PSP Header (256 bytes)
Code, Data, Stack Segment(s) (64K Bytes)
代码、数据、堆栈在通 一段中 在内存中的.COM是磁 盘文件的镜像
.EXE 文件
PSP Header (512 bytes) Code Segment(s) (64K ) Data Segment(s) (64K ) Stack Segment(s) (64K )
55AA
引导型病毒——系统引导过程
Power On
CPU & ROM BIOS Initializes
POST Tests
MBR boot Partition Table Load
DOS Boot Sector Runs
Loads IO.SYS MSDOS.SYS
Look for boot device
务器,被攻击IP通过一个算法计算得出; 4. 篡改主页,如果系统默认语言为“美国英语”,第100个进程就
将这台服务的主页改成“Welcome to http://www.worm.com !, Hacked By Chinese!”,并持续10个小时。(这个修改直接在内存 中修改,而不是修改*.htm文件); 5. 如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建 立连接,并发送98k字节数据,形成DDOS攻击。
正
int8 空病闲毒区ini。n。tit8n8itn8itn8itn8t8
举例—小球病毒(Bouncing Ball)
• 在磁盘上的存储位置
000号扇区 001号扇区
正病常毒的引第导一扇部区分 文件分配表 FF7 …
第一个空簇
病毒的第二部分 …
… …
感染后的系统启动过程
启动 将病毒程序的第一部分送入内存高端
宏病毒(Macro Virus)
• 历史:
– 1980年,Dr. Fredrick Cohen and Ralf Burger 论文 – 1994年,Microsoft Word 第一例宏病毒 – Word, Excel, Access, PowerPoint, Project, Lotus AmiPro,
计算机病毒、蠕虫和特洛伊木马
提纲
• 计算机病毒 • 网络蠕虫 • 特洛伊木马
计算机病毒
• 病毒结构模型 • 病毒的分类 • 引导型病毒 • 文件型病毒 • 宏病毒 • 病毒举例 • 病毒防范
计算机病毒的结构
传染模块
传染条件判断 传染代码
表现及破坏条件判断 表现模块
破坏代码
计算机病毒的分类
• 按攻击平台分类:DOS,Win32,MAC,Unix • 按危害分类:良性、恶性 • 按代码形式:源码、中间代码、目标码 • 按宿主分类:
Visio, Lotus 1-2-3, AutoCAD, Corel Draw. – 使用数据文件进行传播,使得反病毒软件不再只关注
可执行文件和引导区 – DOE ViRT 统计,85%的病毒感染归因于宏病毒 – 易于编写,只需要一两天的时间,10-15行代码 – 大量的用户:90 Million MS Office Users – 人们通常不交换程序,而交换数据
将第二部分装入内存,与第一部分 拼接在一起
读入真正的Boot 区代码, 送到0000:TC00处
修改INT 13 中断向量,指向病毒
转移到 0000:TC00处,开始真正的系统引导
触发条件--修改后的INT 13
进入INT 13中断
不发作 N
执行正常的 INT 13程序
是否为读盘? N
Y 所读盘是否 N
和D盘通过web服务器共享
CodeRed II
• 攻击形式
http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir
其中x.x.x.x是被攻击的IP地址,dir可以是任意命令,比如删除系 统中的文件,向外发送机密数据等,这个后门后来也成为了nimda 病毒的一个传播模式。
红色代码病毒的检测和防范
• 针对安装IIS的windows系统; • 是否出现负载显著增加(CPU/网络)的现象; • 用netstat –an检查是否有许多对外的80端口连接 • 在web日志中检查是否有/default.ida?xxx..%u0078%u0000
%u00=a HTTP/1.0这样的攻击记录; • 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe 以及root.exe; • 检查注册表文件中是否增加了C和D虚拟目录,以及文件
宏病毒工作机理
有毒文件.doc
激活autoopen宏 写入
Normal.dot
启动
无毒文件.doc
Normal.dot
激活病毒
注意事项
• Macro 可以存在模板里,也可以存在文档 里
• RTF文件也可以包含宏病毒 • 通过IE 浏览器可以直接打开,而不提示下
载
提纲
• 计算机病毒 • 网络蠕虫 • 特洛伊木马
蠕虫(Worm)
• 一个独立的计算机程序,不需要宿主 • 自我复制,自主传播(Mobile) • 占用系统或网络资源、破坏其他程序 • 不伪装成其他程序,靠自主传播
– 利用系统漏洞; – 利用电子邮件(无需用户参与)
莫里斯蠕虫事件
• 发生于1988年,当时 导致大约6000台机器 瘫痪
• 主要的攻击方法
文件型病毒举例
• 最简单的病毒Tiny-32(32 bytes)
– 寻找宿主文件 – 打开文件 – 把自己写入文件 – 关闭文件
MOV AH, 4E INT 21 MOV AX, 3D02 INT 21 MOV AH, 40 INT 21 DB *.COM
;setup to find a file ;find the host file ;setup to open the host file ;open host file ;setup to write file to disk ;write to file ;what files to look for
红色代码病毒
• 红色代码病毒是一种结合了病毒、木马、 DDOS机制的蠕虫。
– 2001年7月中旬,在美国等地大规模蔓延。 – 2001年8月初,出现变种coderedII,针对中文
版windows系统,国内大规模蔓延。 – 通过80端口传播。 – 只存在与网络服务器的内存,不通过文件载
体。 – 利用IIS缓冲区溢出漏洞(2001年6月18日发布)
DOS Loaded
引导型病毒—感染与执行过程
系统引导区
。
。
。 。病。毒 病。毒
。
引导 正常执行
。
病毒的激活过程
in。t8
内 int21
int2F
存 int4A 时钟中断处理
来自百度文库
DOS中断处理
空 外设处理中断 间 实时时种警报中断
是26日?
。 带正正空病空正空空常常闲闲常毒闲。闲程程区程区程区区序序序序
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 – 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 –
– 引导型
• 主引导区 • 操作系统引导区
– 文件型
• 操作系统 • 应用程序 • 宏病毒
引导型病毒—引导记录
• 主引导记录(MBR)
引导代码及 出错信息 主引导程序(446字节)
主分区表 A (64字节)
结束标记 (2字节)
分区1(16 字节) 分区2(16 字节) 分区3(16 字节) 分区4(16 字节)
– 检 查 c:\notworm 文 件 是 否存在以判断是否感染
–中 文 保 护 ( 是 中 文 windows就不修改主页)
– 攻击白宫!
CR II
• Inspired by RC I
– 影响波及全球 – 国内影响尤其广泛
• 主要行为
– 所利用缺陷相同 – 只感染windows2000系统,由于一些参数的问
其他可执行的文件类型
• .BAT • .PIF • .SYS • .DRV • .OVR • .OVL • .DLL • .VxD
文件型病毒感染机理
病病病毒毒病毒病程程毒病程毒序病序病程毒序病程头毒头毒序程病毒头序程病程头序毒程头序毒序头程序头程头序头序头头 正正常正常正常正正常常常
正正正常正常正常正常正常正常正常正常正常正常常正常正常正正常正常正常程常常程序程序程序程程序序序 程程程序程序程序程序程序程序程序程序程序程序序程序程序程程序程序程序序序病病程程程程程毒病毒序序序序序程毒病程头头头头头序病程毒序病毒序病程毒程毒序病程序程毒序病序程毒序程序
CodeRed II
增加了特洛依木马的功能,并针对中国网站做了改进
1. 计算IP的方法进行了修改,使病毒传染的更快; 2. 检查是否存在CodeRedII原子,若存在则进入睡眠状态防止反复
感染,若不存在则创建CodeRedII原子; 3. 创建300个线程进行传染,若系统默认语言为简体中文或繁体中
– Rsh,rexec:用户的缺 省认证
– Sendmail 的debug模式 – Fingerd的缓冲区溢出 – 口令猜测
CR I
• 主要影响Windows NT系 统和Windows 2000
– 主要影响国外网络 – 据CERT统计,至8月初已
经感染超过25万台
• 主要行为
– 利用IIS 的Index服务的 缓冲区溢出缺陷进入系 统
题,只会导致NT死机 – 休眠与扫描:中文windows,600个线程
Nimda 简介
• 影响系统:MS win9x, wind2k, win XP • 传播途径:
– Email、文件共享、页面浏览、 –MS IIS目录遍历、Code Red 后门
• 影响
– 群发电子邮件,付病毒 – 扫描共享文件夹, – 扫描有漏洞的IIS, – 扫描有Code Red后门的IIS Server
文,则创建600个线程; 4. 检查时间。病毒作者的意图是传播过程在2001年10月1日完成,
之后,蠕虫会爆发而使系统不断重新启动。 5. 在系统中安装一个特洛依木马:
① 拷贝系统目录cmd.exe到IIS的脚本执行目录下,改名为root.exe; ② 将病毒体内的木马解压缩写到C盘和D盘的explorer.exe ③ 木马每次系统和启动都会运行,禁止系统的文件保护功能,并将C盘
是自身?
Y
是否整点 或半点
Y
修改INT8 开始发作
执行正常的 INT 13程序
是否带病毒?
Y 执行正常的
INT 13程序
N
调用传染过程 感染磁盘
执行正常的 INT 13程序
病毒检测原理
• 特征匹配
– 例如,在香港病毒:1F 58 EA 1A AF 00 F0 9C:
POP AX JMP F000∶AF1A PUSHF
CodeRed I
在侵入一台服务器后,其运行步骤是:
1. 设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着 使用RVA(相对虚拟地址)查找GetProcAddress的函数地址,然 后就获得其他socket、connect、send、recv、closesocket等函数地 址;
2. 如果C:\notworm在,不再进一步传染; 3. 传染其他主机。创造100个线程,其中99个用户感染其他WEB服
• 行为监控
– 对中断向量表的修改 – 对引导记录的修改 – 对.exe, .com文件的写操作 – 驻留内存
• 软件模拟
防范与检测
• 数据备份 • 不要用移动介质启动(设置CMOS选项) • 设置CMOS的引导记录保护选项 • 安装补丁,并及时更新 • 安装防病毒软件,及时更新病毒定义码 • 限制文件共享 • 不轻易打开电子邮件的附件 • 没有病毒处理前不要使用其他移动介质 • 不要运行不可信的程序 • 移动介质写保护
保护功能是否被禁止。 • 在任务管理器中检查是否存在两个explorer.exe进程。
提纲
• 计算机病毒 • 网络蠕虫 • 特洛伊木马
文件型病毒—文件结构
• .COM文件
PSP Header (256 bytes)
Code, Data, Stack Segment(s) (64K Bytes)
代码、数据、堆栈在通 一段中 在内存中的.COM是磁 盘文件的镜像
.EXE 文件
PSP Header (512 bytes) Code Segment(s) (64K ) Data Segment(s) (64K ) Stack Segment(s) (64K )
55AA
引导型病毒——系统引导过程
Power On
CPU & ROM BIOS Initializes
POST Tests
MBR boot Partition Table Load
DOS Boot Sector Runs
Loads IO.SYS MSDOS.SYS
Look for boot device
务器,被攻击IP通过一个算法计算得出; 4. 篡改主页,如果系统默认语言为“美国英语”,第100个进程就
将这台服务的主页改成“Welcome to http://www.worm.com !, Hacked By Chinese!”,并持续10个小时。(这个修改直接在内存 中修改,而不是修改*.htm文件); 5. 如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建 立连接,并发送98k字节数据,形成DDOS攻击。
正
int8 空病闲毒区ini。n。tit8n8itn8itn8itn8t8
举例—小球病毒(Bouncing Ball)
• 在磁盘上的存储位置
000号扇区 001号扇区
正病常毒的引第导一扇部区分 文件分配表 FF7 …
第一个空簇
病毒的第二部分 …
… …
感染后的系统启动过程
启动 将病毒程序的第一部分送入内存高端
宏病毒(Macro Virus)
• 历史:
– 1980年,Dr. Fredrick Cohen and Ralf Burger 论文 – 1994年,Microsoft Word 第一例宏病毒 – Word, Excel, Access, PowerPoint, Project, Lotus AmiPro,
计算机病毒、蠕虫和特洛伊木马
提纲
• 计算机病毒 • 网络蠕虫 • 特洛伊木马
计算机病毒
• 病毒结构模型 • 病毒的分类 • 引导型病毒 • 文件型病毒 • 宏病毒 • 病毒举例 • 病毒防范
计算机病毒的结构
传染模块
传染条件判断 传染代码
表现及破坏条件判断 表现模块
破坏代码
计算机病毒的分类
• 按攻击平台分类:DOS,Win32,MAC,Unix • 按危害分类:良性、恶性 • 按代码形式:源码、中间代码、目标码 • 按宿主分类:
Visio, Lotus 1-2-3, AutoCAD, Corel Draw. – 使用数据文件进行传播,使得反病毒软件不再只关注
可执行文件和引导区 – DOE ViRT 统计,85%的病毒感染归因于宏病毒 – 易于编写,只需要一两天的时间,10-15行代码 – 大量的用户:90 Million MS Office Users – 人们通常不交换程序,而交换数据
将第二部分装入内存,与第一部分 拼接在一起
读入真正的Boot 区代码, 送到0000:TC00处
修改INT 13 中断向量,指向病毒
转移到 0000:TC00处,开始真正的系统引导
触发条件--修改后的INT 13
进入INT 13中断
不发作 N
执行正常的 INT 13程序
是否为读盘? N
Y 所读盘是否 N
和D盘通过web服务器共享
CodeRed II
• 攻击形式
http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir
其中x.x.x.x是被攻击的IP地址,dir可以是任意命令,比如删除系 统中的文件,向外发送机密数据等,这个后门后来也成为了nimda 病毒的一个传播模式。
红色代码病毒的检测和防范
• 针对安装IIS的windows系统; • 是否出现负载显著增加(CPU/网络)的现象; • 用netstat –an检查是否有许多对外的80端口连接 • 在web日志中检查是否有/default.ida?xxx..%u0078%u0000
%u00=a HTTP/1.0这样的攻击记录; • 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe 以及root.exe; • 检查注册表文件中是否增加了C和D虚拟目录,以及文件
宏病毒工作机理
有毒文件.doc
激活autoopen宏 写入
Normal.dot
启动
无毒文件.doc
Normal.dot
激活病毒
注意事项
• Macro 可以存在模板里,也可以存在文档 里
• RTF文件也可以包含宏病毒 • 通过IE 浏览器可以直接打开,而不提示下
载
提纲
• 计算机病毒 • 网络蠕虫 • 特洛伊木马
蠕虫(Worm)
• 一个独立的计算机程序,不需要宿主 • 自我复制,自主传播(Mobile) • 占用系统或网络资源、破坏其他程序 • 不伪装成其他程序,靠自主传播
– 利用系统漏洞; – 利用电子邮件(无需用户参与)
莫里斯蠕虫事件
• 发生于1988年,当时 导致大约6000台机器 瘫痪
• 主要的攻击方法
文件型病毒举例
• 最简单的病毒Tiny-32(32 bytes)
– 寻找宿主文件 – 打开文件 – 把自己写入文件 – 关闭文件
MOV AH, 4E INT 21 MOV AX, 3D02 INT 21 MOV AH, 40 INT 21 DB *.COM
;setup to find a file ;find the host file ;setup to open the host file ;open host file ;setup to write file to disk ;write to file ;what files to look for
红色代码病毒
• 红色代码病毒是一种结合了病毒、木马、 DDOS机制的蠕虫。
– 2001年7月中旬,在美国等地大规模蔓延。 – 2001年8月初,出现变种coderedII,针对中文
版windows系统,国内大规模蔓延。 – 通过80端口传播。 – 只存在与网络服务器的内存,不通过文件载
体。 – 利用IIS缓冲区溢出漏洞(2001年6月18日发布)
DOS Loaded
引导型病毒—感染与执行过程
系统引导区
。
。
。 。病。毒 病。毒
。
引导 正常执行
。
病毒的激活过程
in。t8
内 int21
int2F
存 int4A 时钟中断处理
来自百度文库
DOS中断处理
空 外设处理中断 间 实时时种警报中断
是26日?
。 带正正空病空正空空常常闲闲常毒闲。闲程程区程区程区区序序序序