计算机反病毒 实验5 蠕虫病毒

《反病毒技术》实验报告

实验名称计算机蠕虫分析

实验时间实验地点东六E301

专业班级信安0901 学号20092077 姓名赵杨

实验过程记录

Internet蠕虫感染症状的分析

1）进程分析

进程分析的主要目的是通过分析操作系统进程的详细信息，发现可疑进程。Windows操作系统自带的“任务管理器”程序可以得到操作系统进程列表，不过，这个列表对于分析可疑进程来讲有些简单，需要一些辅助工具来得到更详细的信息。

微软提供了一个比较适用的进程分析工具——Process Explorer[2]来得到关于进程的更详细的信息，比如进程打开了什么文件、哪些动态链接库等。

网络分析

通常采用两种方式分析程序所产生的网络数据，一种是检查运行该程序的主机上的网络连接情况，一种是捕获程序所产生的网络数据，使用网络协议分析的方法认识这些数据

蠕虫的网络行为分析

Wireshark是用来分析网络数据的程序，本实验中的目的在于通过对蠕虫产生的网络数据的捕获、显示、分析，认识蠕虫的网络数据特征。

分析思考

1）应该如何防御计算机蠕虫的攻击？

(1)建立网络病毒检测系统，在第一时间内检测到网络异常和病毒攻击。

(2)建立紧急情况响应系统，在病毒爆发第一时间提供解决方案。

(3)建立灾难备份系统。特别是对于数据库系统必须采用定期备份及多机备份措施，防止意外灾难下的数据丢失。

(4)加强安全管理水平，提高安全意识。蠕虫病毒常常利用系统漏洞进行攻击，要在第一时间内保持系统

和应用软件的安全性，保持各种操作系统和应用软件的更新和及时进行安全补丁操作。

(5)在与Internet连接节处建立防火墙式防杀毒系统，将病毒隔离在局域网之外；对邮件服务器进行监控，防止带毒邮件传入局域网；建立局域网内部软件升级服务体系，包括各种操作系统的升级与安全补丁，各种常用应用软件的升级话各种杀毒软件病毒库的升级。

2）计算机蠕虫的传播和感染是如何发生的？

蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播，病毒利用了操作系统的漏洞，过网络和电子邮件等途径传播

蠕虫程序的一般传播过程为：

1.扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

2.攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限(一般为管理员权限)，获得一个shell。

3.复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。传播模块实现的实际上是自动入侵的功能。