目录
摘要 (2)
Abstract (3)
第一章蠕虫病毒概述及发展历史 (4)
1.1蠕虫病毒概述及发展历史 (4)
1.2网络蠕虫研究分析 (5)
第二章蠕虫病毒原理 (7)
2.1蠕虫病毒攻击原理 (7)
2.2蠕虫病毒与一般病毒的异同 (8)
第三章蠕虫病毒实例 (10)
3.1蠕虫病毒造成的破坏 (10)
3.2蠕虫病毒实例 (10)
第四章蠕虫病毒的防范 (14)
4.1蠕虫的特点及发展趋势 (14)
4.2如何对蠕虫病毒攻击进行防范 (14)
结束语 (16)
致谢 (17)
参考文献 (17)
摘要
随着互联网应用的深入,网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。特别是在网络环境下,多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加,传播速度更快,覆盖面也更广。蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度,提高网络的安全性能,减少不必要的经济损失,保障用户的个人资料及隐私安全,我们将对蠕虫病毒进行检测与防范。
本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。阐述网络安全现状、蠕虫病毒背景及发展历史等,通过蠕虫病毒的原理与传统病毒的区别,功能、工作机制等,对蠕虫病毒对网络安全的威胁,检测与防范做出了相对的研究。
关键词:网络安全;病毒原理;检测;防范
Abstract
As the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.
This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.
Keywords: network security; virus principle; detection; prevent
第一章蠕虫病毒概述及发展历史
1.1蠕虫病毒概述及发展历史
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫(Worm)病毒是一种通过网络传播的恶意病毒,它的出现相对于木马病毒、宏病毒来说比较晚,但是蠕虫病毒无论从传播速度、传播范围还是从破坏程度上来讲,都是以往的传统病毒所无法比拟的。网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
蠕虫病毒可以说是近年来发作最为猖獗、影响最为广泛的一类计算机病毒,它的传播主要体现在以下两个方面:
(1)利用微软的系统漏洞攻击计算机网络,网络中的客户端感染这一类病毒后,会不断自动拨号上网,并利用文件中的地址或者网络共享传播,从而导致网络服务遭到拒绝并发生死锁,最终破坏用户的大部分重要数据。“红色代码”、“尼姆达”、“sql蠕虫王”等病毒都是属于这一类病毒。
(2)利用Email邮件迅速传播。如“爱虫病毒”和“求职信病毒”。蠕虫病毒会盗取被感染计算机中邮件的地址信息,并且利用这些邮件地址复制自身病毒体以达到大量传播,对计算机造成严重破坏的目的。蠕虫病毒可以对整个互联网造成瘫痪性的后果。
蠕虫(Worm)病毒通常由两部分组成:一个主程序和一个引导程序。主程序的主要功能是搜索和扫描,这个程序能够读取系统的公共配置文件,获得与本机联网的客户端信息,检测到网络中的哪台机器没有被占用,从而通过系统的漏洞,将引导程序建立到远程计算机上。引导程序实际上是蠕虫病毒主程序(或一个程序段)自身的一个副本,而主程序和引导程序都有自动重新定位的能力。也就是说,这些程序或程序段都能够把自身的副本重新定位在另一台机器上,这就是蠕虫病毒之所以能够大面积爆发并且带来严重后果的主要原因。
在网络环境下,蠕虫病毒可以按几何增长模式进行传染。蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。因此,网络环境下对蠕虫病毒的防治必将成为计算机防毒领域的研究重点。
蠕虫病毒是一种比较古老的病毒,产生于20世纪70年代,由于蠕虫病毒一开始便是根植于网络的,因此随着网络的发展,蠕虫病毒的生命力越来越强,其破坏力也越来越大。
早期的蠕虫不属于病毒,也不具备破坏性,它只是一种网络自动工具。1972年,原来只是出于军事目的而开发的阿帕网(ARPANET)开始走向世界,成为现在的Internet,从此互联网便以极其迅猛的速度不断发展。1973年互联网上还只有25台主机,但是到了1987年,连接在互联网上的主机数则突破了10000台。由于每台主机都向广大电脑用户提供海量的信息,因此在这个信息海洋中寻找有用的资料是一件非常痛苦的事。为了解决在这个网络上的搜索问题,一群热心的技术人员便开始实验“蠕虫”程序。这种程序的构思来自于经典科幻小说《电
波骑士》,小说里描写了一种叫做“绦虫”的程序,该程序可以成群结队地出没于网上,使网络阻塞。这种蠕虫程序可以在一个局域网中的许多计算机上并行运行,并且能快速有效地检测网络的状态,进行相关信息的收集。后来,又出现了专门检测网络的爬虫程序和专门收集信息的蜘蛛程序。目前,这两种网络搜索技术还在被大量使用。
由于这类早期的蠕虫只是一种网络自动工具,因此在当时这种程序并没有被认为是病毒。编写这种工具的技术则被称之为蠕虫技术,当第一个蠕虫程序出现后,蠕虫技术便得到了很大的发展,直到1989年的莫里斯蠕虫事件的出现。
莫里斯是美国一所大学的研究生,由于父亲是贝尔实验室的研究员,因此他从小就开始接触计算机和网络,对Linux系统非常了解。不可否认的是他对那种能够控制整个网络的程序非常着迷,于是当他发现了当时操作系统中存在的几个严重漏洞时,便开始着手编写“莫里斯蠕虫”,这种蠕虫没有任何实用价值,只是利用系统的漏洞将自己在网络上进行复制。由于莫里斯在编程中出现了一个错误,将控制复制速度的变量值设得太大,从而造成了蠕虫在短时间内迅速复制,最终使大半个互联网陷入了瘫痪。由于这件事情影响太大,社会反响非常强烈,因此作者本人也受到了法律制裁。从此以后,蠕虫也是一种病毒的概念被确立起来,而这种利用系统漏洞进行传播的方式就成了现在蠕虫病毒的主要传播方式。每一次蠕虫的爆发都会给社会带来巨大的损失1988 年11 月2日,Morris 蠕虫发作,几天之内6000 台以上的Internet 服务器被感染而瘫痪,损失超过一千万美元。2001 年7月19日,CodeRed 蠕虫爆发,在爆发后的9 小时内就攻击了25 万台计算机,造成的损失估计超过20 亿美元,随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12 亿美元。2001 年9 月18 日,Nimda 蠕虫被发现,对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后,继续攀升,到现在已无法估计。目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫(如冲击波、振荡波等)出现。对蠕虫进行深入研究,并提出一种行之有效的解决方案,为企业和政府提供一个安全的网络环境成为我们急待解决的问题。
1.2网络蠕虫研究分析
Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。一直以来,人们将精力多放在如何预防、检测和消除攻击个人电脑文件系统的病毒上。随着邮件病毒的泛滥,人们逐渐意识到Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少。1998年,SteveR.White呼吁加大对蠕虫的研究力度,他指出,目前的防病毒技术都是针对文件系统的,这些技术在防治蠕虫时不再适用。他认为人们忽视蠕虫研究有两个原因,一是当时来说蠕虫很少见;二是特定蠕虫只爆发一次。对于研究者来说,每次蠕虫爆发都是一个新的待研究的蠕虫。他认为针对蠕虫的研究主要分为检测、分析和清除。2000年,IBM开展IanWhalley项目,目的是开发一个自动蠕虫检测和分析的软硬件环境,项目中定义的蠕虫包含了所有能利用网络传播的恶意代码(如邮件病毒),主要技术为用虚拟机构造蠕虫传播的网络环境。2001年,JoseNazari等人讨论了蠕虫的技术发展趋势,给出了蠕虫的一个功能模型框架,他们提出的很多思路非常具有启发意义,但他们的工作中也混淆了蠕虫和病毒的
概念。2001年,CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。比较突出的有Nicholas Weaver,他给出了几种蠕虫的快速传播策略,并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。Slammer的出现证实了他的预言,但值得注意的是Slammer,没有采用任何一种提到的快速传播策略,而依然使用的是最原始的随机目标策略David Moore( CAIDA, the Cooperative Association for Internet Data Analysis)提出了衡量防治蠕虫的技术有效性的三个参数:响应时间、防治策略、布置策略。他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。Dug Song等人对蠕虫引起的网络流量统计特征做了研究,这些工作中,一个比较突出的问题是,缺少对蠕虫整体特征的系统性分析,基本上都是针对特定的、己知的蠕虫进行研究讨论和建模。另外,在防治策略上,目前的方案大多停留在感性认识的基础上,或者仅提出功能性需求。目前针对蠕虫的研究工作还主要集中在对已有蠕虫的个体分析、检测与防范上,使蠕虫的防范工作处于一种非常被动的地位。为了改变这种被动的局面,人们正在研究能够检测与防范未知蠕虫的准确有效的方法,并己经取得了一些初见成效的成果。
第二章蠕虫病毒原理
2.1蠕虫病毒攻击原理
一、蠕虫的基本程序结构为:
1、传播模块:负责蠕虫的传播。
2、隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。
3、目的功能模块:实现对计算机的控制、监视或破坏等功能。
传播模块可以分为三个基本模块:扫描模块、攻击模块和复制模块。
蠕虫程序的一般传播过程为:
1.扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机,当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
2.攻击:攻击模块按漏洞攻击步骤自动攻击,在步骤1中找到对象,取得该主机的权限(一般为管理员权限),获得一个shell。
3.复制:复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机并启动。
我们可以看到,传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术。没有蠕虫的传播技术,也就谈不上什么蠕虫技术了。蠕虫采用的是自动入侵技术,由于程序大小的限制,自动入侵程序不可能有太强的智能性,所以自动入侵一般都采用某种特定的模式。我们称这种模式为入侵模式,它是由普通入侵技术中提取出来的。目前蠕虫使用的入侵模式只有一种,这种模式是就是蠕虫传播过程采用的模式:扫描漏洞-攻击并获得shell-利用shell。这种入侵模式也就是现在蠕虫常用的传播模式。
二、蠕虫传播的一般模式分析
1.模式:扫描-攻击-复制
从新闻中看到关于蠕虫的报道,报道中总是强调蠕虫如何发送大量的数据包,造成网络拥塞,影响网络通信速度。实际上这不是蠕虫程序的本意,造成网络拥塞对蠕虫程序的发布者没有什么好处。如果可能的话,蠕虫程序的发布者更希望蠕虫隐蔽的传播出去,因为蠕虫传播出去后,蠕虫的发布者就可以获得大量的可以利用的计算机资源,这样他获得的利益比起造成网络拥塞的后果来说显然强上万倍。但是,现有的蠕虫采用的扫描方法不可避免的会引起大量的网络拥塞,这是蠕虫技术发展的一个瓶颈,如果能突破这个难关,蠕虫技术的发展就会进入一个新的阶段。现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的电脑中,于是扫描模块采用的扫描策略是这样的:随机选取某一段IP地址,然后对这一地址段上的主机扫描。笨点的扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道那些地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。聪明点的编者会对扫描策略进行一些
改进,比如在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描。对扫描次数进行限制,只进行几次扫描。把扫描分散在不同的时间段进行。
扫描策略设计的原则有三点:
(1)尽量减少重复的扫描,使扫描发送的数据包总量减少到最小;(2)保证扫描覆盖到尽量大的范围;(3)处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析,甚至需要试验验证。
扫描发送的探测包是根据不同的漏洞进行设计的。比如,针对远程缓冲区溢出漏洞可以发送溢出代码来探测,针对web的cgi漏洞就需要发送一个特殊的http 请求来探测。当然发送探测代码之前首先要确定相应端口是否开放,这样可以提高扫描效率。一旦确认漏洞存在后就可以进行相应的攻击步骤,不同的漏洞有不同的攻击手法,只要明白了漏洞的利用方法,在程序中实现这一过程就可以了。攻击成功后,一般是获得一个远程主机的shell,对win2k系统来说就是cmd.exe,得到这个shell后我们就拥有了对整个系统的控制权。复制过程也有很多种方法,可以利用系统本身的程序实现,也可以用蠕虫自代的程序实现。复制过程实际上就是一个文件传输的过程,实现网络文件传输很简单,这里不再讨论。
2.模式的使用
既然称之为模式,那么它就是可以复用的。也就是说,我们只要简单地改变这个模式中各个具体环节的代码,就可以实现一个自己的蠕虫了。比如扫描部分和复制部分的代码完成后,一旦有一个新的漏洞出现,我们只要把攻击部分的代码补充上就可以了。
利用模式我们甚至可以编写一个蠕虫制造机。当然利用模式也可以编写一个自动入侵系统,模式化的操作程序实现起来并不复杂。
三、蠕虫传播的其他可能模式
除了上面介绍的传播模式外,还可能会有别的模式出现。
比如,我们可以把利用邮件进行自动传播也作为一种模式。这种模式的描述为:由邮件地址薄获得邮件地址-群发带有蠕虫程序的邮件-邮件被动打开,蠕虫程序启动。这里面每一步都可以有不同的实现方法,而且这个模式也实现了自动传播,所以我们可以把它作为一种蠕虫的传播模式。
随着蠕虫技术的发展,今后还会有其他的传播模式出现。
2.2蠕虫病毒与一般病毒的异同
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分传统病毒的技术,更加剧了这种情况。下表给出了传统病毒和蠕虫的一些差别:
从以上对比可发现,传统病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和传统病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与传统病毒。
目前很多破坏性很强的病毒利用了部分网络功能,例如:以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。通过分析可以知道,Windows 系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同于对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本特征。如无特殊说明,本论文以后讨论和提到的蠕虫均指网络蠕虫,是无须计算机使用者干预即可运行的独立程序,通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。通过以上分析可知,一些常见的以蠕虫为名的病毒,如“Happy99蠕虫病毒”、"Mellissa网络蠕虫宏病毒”、"Lover Letter网络蠕虫病毒”等等,都不是严格意义上的网络蠕虫。
第三章蠕虫病毒实例
3.1蠕虫病毒造成的破坏
1988年,一个由美国康奈尔大学的研究生莫里斯编写的蠕虫病毒造成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码、尼姆达病毒肆虐的时候,造成了几十亿美元的损失;北京时间2003年1月26日,一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网络的严重堵塞,由于互联网域名服务器(DNS)的瘫痪,导致网民浏览互联网网页及收发电子邮件的速度大幅减缓,此外还造成银行自动提款机的运作中断,机票等网络预订系统的运作中断,信用卡等收付款系统出现故障。专家估计,该病毒造成的直接经济损失至少在12亿美元以上。
3.2蠕虫病毒实例
“熊猫烧香”病毒解析
病毒名称:熊猫烧香英文名称:Worm.Nimaya或Worm.WhBoy
病毒别名:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
蠕虫病毒反病毒软件影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003、Win Vista
【病毒描述】
熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。该病毒除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe 可执行文件全部被改成熊猫举着三根香的模样。
“熊猫烧香”病毒感染现象如下图(1)
“金猪报喜”病毒感染现象如下图(2)
(1)“熊猫烧香”病毒感染现象
(2)“金猪报喜”病毒发作现象
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. pif.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
【传播方式】
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。金山分析:这是一个感染型的蠕虫病毒,它能感染系统中.exe,.com,.pif,.src,.html,.asp等文件,它还能中止大量的反病毒软件进程1、拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3、病毒行为
每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav\QQAV\防火墙\进程\VirusScan\网镖\杀毒\毒霸\瑞星\江民\黄山IE\超级兔子\优化大师\木马克星\木马清道夫\QQ病毒\注册表编辑器\系统配置实用程序\卡巴斯基反病毒\Symantec AntiVirus\Duba\esteem\proces\绿鹰PC\密码防盗\噬菌体\木马辅助查找器\System Safety Monitor\Wrapped gift Killer\Winsock Expert\游戏木马检测大师\msctls_statusbar32\pjf(ustc)\IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe\VsTskMgr.exe\naPrdMgr.exe\UpdaterUI.exe\TBMon.exe\scan32 .exe\Ravmond.exe\CCenter.exe\RavTask.exe\Rav.exe\Ravmon.exe\RavmonD.e xe\RavStub.exe\KVXP.kxp\kvMonXP.kxp\KVCenter.kxp\KVSrvXP.exe\KRegEx.e xe\UIHost.exe\TrojDie.kxp\FrogAgent.exe\Logo1_.exe\Logo_1.exe\Rundl13 2.exe
每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
每隔6秒删除安全软件在注册表中的键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavTask\KvMonXP\kav\KAVPersonal50\McAfeeUpdaterUI\Network Associates Error Reporting Service\ShStartEXE\YLive.exe\yassistse
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc\wscsvc\KPfwSvc\SNDSrvc\ccProxy\ccEvtMgr\ccSetMgr\SPBBCSvc\Sy mantec Core LC\NPFMntor\MskService\FireSvc
感染文件
病毒会感染扩展名为.exe,.pif,.com,.src的文件,把自己附加到文件的头部,并在扩展名为.htm,.html,.asp,.php,.jsp,.aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW\Winnt\System Volume Information\Recycled\Windows NT\WindowsUpdate\Windows Media Player\Outlook Express\Internet Explorer\NetMeeting\Common Files\ComPlus Applications\Messenger\InstallShield Installation Information\MSN\Microsoft Frontpage\Movie Maker\MSN Gamin Zone
删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”
这是一个传染型的DownLoad 使用Delphi编写
★本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染
注:不感染文件大小超过10485760字节以上的.
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
……
第四章蠕虫病毒的防范
4.1蠕虫的特点及发展趋势
蠕虫病毒的特点和发展趋势主要体现在以下几个方面:
(1)利用操作系统和应用程序的漏洞主动进行攻击:此类病毒主要包括“红色代码”和“尼姆达”以及至今依然肆虐的“求职信”等病毒。由于IE浏览器的漏洞,使得感染了“尼姆达”病毒的邮件在不通过手工打开附件的情况下就能激活病毒,而此前很多防病毒专家还一直认为,“只要不打开带有病毒的邮件的附件,病毒就不会造成危害”。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播的。Sql蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击的。
(2)传播方式多样:例如,“尼姆达”病毒和“求职信”病毒可利用的传播途径包括文件、电子邮件、Web服务器及网络共享等。
(3)病毒制作技术与传统病毒不同:许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改,从而可以产生新的变种,因此可以逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在用户上网浏览时被触发。
(3)与黑客技术相结合:与黑客技术相结合后潜在的威胁和损失更大。以“红色代码”为例,感染后的机器在web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。
4.2如何对蠕虫病毒攻击进行防范
为了防止被病毒感染,这里给出以下安全建议:
(1)购买主流的网络安全产品,并注意随时更新。
(2)提高防杀毒意识,不要轻易点击陌生的站点。
(3)不随意查看陌生邮件,尤其是带有附件的邮件。对于蠕虫病毒应当注意不要轻易运行邮件中的附件文件,如果发现邮件有异常并且没有附件时应该看一看邮件的详细信息中是否含有隐藏的病毒。
(4)对于网络管理人员,尤其是邮件服务器的管理人员来说,要经常对邮件服务器的日程流量进行统计,一旦发现邮件服务器的外发邮件流量猛增的话,就说明有可能在企业的网络中存在病毒。
对于感染了蠕虫的主机时,其防治策略是这样的:
1.与防火墙互动:通过控制防火墙的策略,对感染主机的对外访问数据进行控制,防止蠕虫对外网的主机进行感染。
2.交换机联动:通过SNMP协议进行联动,当发现内网主机被蠕虫感染时,可以切断感染主机同内网的其他主机的通讯,防止感染主机在内网的大肆传播。
3.通知HIDS(基于主机的入侵监测):装有HIDS的服务器接收到监测系统传来的信息,可以对可疑主机的访问进行阻断,这样可以阻止受感染的主机访问服务
器,使服务器上的重要资源免受损坏。
4.报警:产生报警,通知网络管理员,对蠕虫进行分析后,可以通过配置Scaner 来对网络进行漏洞扫描,通知存在漏洞的主机到Patch服务器下载补丁进行漏洞修复,防治蠕虫进一步传播。
结束语
蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制。可以不依赖于宿主程序而独立运行,从而主动的实施攻击。由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。几乎所有的传播手段都被蠕虫病毒运用的淋漓尽致,而且传播速度非常惊人。一些蠕虫病毒与网页的脚本相结合利用程序等技术隐藏在HTML页面里,当用户上网浏览含有病毒代码的网页时,病毒会自动驻留内存并伺机触发。病毒的传播者可以通过这个程序远程控制该计算机,这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。在网络环境下,蠕虫病毒可以按几何增长模式进行传染。蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度,提高网络的安全性能,减少不必要的经济损失,保障用户的个人资料及隐私安全,我们将对蠕虫病毒进行检测与防范。
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系。
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作。
致谢
在本论文的写作过程中,我的指导老师严华老师倾注了大量的心血,从选题到开题报告,从写作提纲,到一遍又一遍地指出每稿中的具体问题,严格把关,循循善诱,在此我表示衷心感谢。同时我还要感谢在我学习期间给我极大关心和支持的各位老师以及关心我的同学和朋友。
写作毕业论文是一次再系统学习的过程,毕业论文的完成,同样也意味着新的学习生活的开始。
参考文献
[1]《大规模网络蠕虫检测与传播抑制》王平;;哈尔滨工业大学
[2]《网络蠕虫检测技术研究与实现》;汪伟;浙江大学
[3]《蠕虫病毒的研究与防范》;尹俊艳;中南大学
[4]《网络蠕虫的传播模型及应用研究》;董瑜;江南大学
[5]《网络蠕虫的结构分析和相关技术研究》;李海涛;北京邮电大学
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 --------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 病毒类型:蠕虫病毒 攻击对象:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等传播途径:“冲击波”是一种利用Windows系统的RPC(远程过程调用,是一种通信协议,程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播,更隐蔽,更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机,一旦找到有漏洞的计算机,它就会利用DCOM(分布式对象模型,一种协议,能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作: 1.中止进程 按“Ctrl+Alt+Del”组合键,在“Windows 任务管理器”中选择“进程”选项卡,查找“msblast.exe”(或“teekids.exe”、“penis32.exe”),选中它,然后,点击下方的“结束进程”按钮。 提示:如不能运行“Windows 任务管理器”,可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口,输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。 2.删除病毒体 依次点击“开始→搜索”,选择“所有文件和文件夹”选项,输入关键词“msblast.exe”,将查找目标定在操作系统所在分区。搜索完毕后,在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法,查找并删除“teekids.exe“和“penis32.exe”文件。 提示:在Windows XP系统中,应首先禁用“系统还原”功能,方法是:右击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”选项卡,勾选“在所有驱动器上关闭系统还原”即可。 如不能运行“搜索”,可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口,输入以下命令: “del 系统盘符winntsystem32msblast.exe”(Windows 2000系统)或“del系统盘符windowssystemmsblast.exe”(Windows XP系统) 3.修改注册表 点击“开始→运行”,输入“regedit”打开“注册表编辑器”,依次找到“HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun”,删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。 4.重新启动计算机 重启计算机后,“冲击波”(也就是蠕虫病毒)病毒就已经从系统中完全清除了。
法律尽职调查报告(正规版) 法律尽职调查报告(正规版) 和附件三个部分。报告的前言部分主要介绍尽职调查的范围与宗旨、简称与定义、调查的方法以及对关键问题的摘要;在报告的主体部分,我们将就具体问题逐项进行评论与分析,并出具相关的法律意见书;报告的附件包括材料目录、目标公司提供的资料及文本、工商登记资料、行政批复及审批文件资料、政府机关,其他机构或目标公司声明与承诺等。附件另行装订成册。第二章正文第一部分目标公司法律情况审评 1.1目标公司的历史沿革(由目标公司自行出具公司简介并盖章) 1.2目标公司的设立 (一)目标公司于201X年5月20日向xx省xx市工商管理行政局申请设立,核定公司名称为“xx市xx热电有限责任公司”,公司住所地xx市火车站向南1公里处;营业期限二十年;注册资本为人民币壹佰万元;公司经营范围为火力发电、泵售、工业xx的生产、销售、炉渣、炉灰的销售。 (二)公司设立时股权结构为: xx(男,1956年3月27日出生,汉族,住xx省xx市东园镇南路281号),出资额人民币84万元,实际认缴出资人民币84万元,占注册资本84%; xx(男,1958年5月28日出生,汉族,住xx省xx 市三闸乡杨家寨村六社)出资人民币1 5.6万元,实际认缴出资人民币1
5.6万元,占注册资本1 5.6%。 xx(男,汉族,汉族,1969年8月23日出生,住xx省xx市马神庙街94号)出资额人民0.4万元,实际认缴出资人民币0.4万元,占注册资本0.4%。 (三)设立时验资情况: xx市xx会计师事务有限公司出具张会验字(200 3)90号验资报告(节选,以附件为准,附件一26页): “根据有关协议、章程的规定,xx市xx热电有限责任公司申请的注册资本为壹佰万元,由xx、xx、xx三位股东出资,经审验,截止201X年5月19日止,xx市xx热电有限责任公司已实际收到股东缴纳的注册资本合计人民币100万元,各股东以货币方式出资。 (四)设立时公司章程(概述,以附件为准,附件一15页): 对包括宗旨、名称及住所、公司经营范围、注册资本、股东名称及出资方 篇二: 法律尽职调查报告-201X0428 北京有限公司法律尽职调查报告(机密)二〇一二年二月二十四日第一部分导言 1、简称与定义在本报告中,除非根据上下文应另做解释,否则下列简称和术语具有以下含义(为方便阅读,下列简称和术语按其第一个字拼音字母的先后顺序排列): “本报告”指由上海方本(北京)律师事务所于201X年2月28日出具的北京有限公司之法律尽职调查报告。“本所”指上海方本(北京)律师事务所。“本所律师”或“我们”指上海方本(北京)律师事务所进行法律尽职调查之律师。“”指股份有限公司,一家根
蠕虫的行为特征描述和工作原理分析* 郑辉** 李冠一 涂菶生 (南开大学 20-333# ,天津,300071) E-mail: zhenghui@https://www.doczj.com/doc/ee12671560.html, https://www.doczj.com/doc/ee12671560.html,/students/doctor/spark/zhenghui.htm 摘要:本文详细讨论了计算机蠕虫和计算机病毒的异同,指出它们除了在复制和传染方面具有相似性之外,还有很多不同点,如蠕虫主要以计算机为攻击目标,病毒主 要以文件系统为攻击目标;蠕虫具有主动攻击特性,而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征,确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史,从中可以看到,蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成, 提出了蠕虫的统一功能结构模型,并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势,指出计算机蠕虫本质上 是黑客入侵行为的自动化,更多的黑客技术将被用到蠕虫编写当中来,由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词:蠕虫,计算机病毒,计算机网络安全,蠕虫定义,蠕虫历史,行为特征,功能模型 一、 引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害,给人们留下了深刻的印象。同时给人们一种误解,认为危害计算机的程序就是病毒。从而不加区分把计算机病毒(Virus)、计算机蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中,而且体现在病毒技术研究人员的文章[1][2]中,反病毒厂商对产品的介绍说明中,甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施,也为整体的计算机安全防护带来了一定困难。另外,同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似,尤其容易造成人们的误解。导致误解的原因有很多,一方面由于反病毒技术人员自身知识的限制,无法对这两种程序进行清楚细致的区分;另一方面虽然病毒的命名有一定的规范[4][5],但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范,利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字,这也给人们带来一些误导。为了照顾这种病毒的命名,曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征,而且容易产生误导,所以有的文献采用了含义更广泛的称谓“恶意软件”(malware)[7]来统一称呼它们。从蠕虫产生开始,十几年来,很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题(编号:2000005516)。 **作者简介:郑辉(1972~),男,吉林伊通人,博士研究生,主要研究领域为网络与信息安全。李冠一(1978~),女,辽宁鞍山人,硕士研究生,主要研究领域为模式识别,计算机视觉与图像处理等。涂奉生(1937~),江西南昌人,博士生导师,主要研究领域为CIMS, DEDS理论,制造系统及通讯理论。
研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治
1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;
【资本】尽职调查深度解析 尽职调查深度解析一、概述概述(一)尽职调查概念尽职调查概念1、概念尽职调查又称谨慎性调查,是指投资人在与目标企业达成初步合作意向后,经协商一致,投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。 财务尽职调查即由财务专业人员针对目标企业与投资有关财务状况的审阅、分析、核查等专业调查。 2、种类尽职调查的种类包括四类:法律尽职调查、财务尽职调查、业务尽职调查、其他尽职 调查。 (二)尽职调查的目的尽职调查的目的尽职调查就是要搞清楚: 1、他是谁即交易对手实际控制人的底细和管理团队 2、他在做什么,即产品或服务的类别和 市场竞争力3、他做得如何,即经营数据和财务数据收集,尤其是财务报表反映的财务状况、经营成果、现金流量及纵向、横向(同业)比较4、别人如何看,包括银行同业和竞争对手的态度5、我们如何做,在了解客户的基础上进行客户价值分析,用经验和获得的信息设计授信方案和控制措施,把交流变成可行的交易。 简言之,即做好股东背景和管控结构、行业和产品、经营和财务数据、同业态度的调查,提供我们的做法。 (三)尽职调查框架尽职调查框架(四)财务顾问尽职调查的关注要点(四)财务顾问尽职调查的关注要点11、业务、业务(11))行业/企业的业务模型、盈利模式(22))标的企业的竞争优势(33))协同效应,以及未来潜在的整合成本和整合风险 Tips:(1)在做企业尽职调查时,可以以估值模型为线索进行调查;(2)不要忽视目标公司董事会会议记录以及决策等法律文件,里面会包含公司业务的信息,特别是公司战略。 22、财务、财务(11))历史数据的真实性、可靠性(22))预测财务数据偏于保守偏于乐观 预测的依据是什么(33))是否有表外负债(44))内控制度的健全性(审计师的内控审计报告)(55)税务问题(除公司自身税务情况外,还需关注收购方案所涉及的税务问题)Tips:在做财务尽职调查时,需与审计师充分沟通,并且与业务尽职调查紧密联系。33、法律、法律(11)公司自身的法律情况:重大诉讼和法律纠纷、房产土地的权属问题等 (22)交易所涉及的法律问题:股权结构(类别股权安排,优先股东、期权等问题)、行业监管规定、交易涉及的其他监管规则等。 Tips:法律尽职调查可以分为两部分,一部分是公司本身的法律情况,需要依赖律师去尽职调
【摘要】:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】:蠕虫病毒影响防范发展
目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案(例:熊猫烧香病毒) (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)
第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致人们在二者之间非常难区分。尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,而具有破坏性的蠕虫也采取了部分传统病毒的技术,从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。
蠕虫和普通病毒的区别及防范措施 蠕虫和普通病毒区别 对于防毒杀毒长久以来都是计算机使用者比较头疼的问题,很多人都存在以上的疑问和误区。针对近年来,病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展,笔者这篇文章就以这两个祸害开刀,和大家一步一步谈谈从杀到防搞定病毒。 一、先来看看蠕虫 随着我国宽带爆炸式的发展,蠕虫病毒引起的危害开始快速的显现!蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),快速的自身复制并通过网络感染,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。相信以前的冲击波、震荡波大家一定还没忘记吧。 1、蠕虫和普通病毒区别 2、传播特点 蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播,目标是互联网内的所有计算机。这样一来局域网内的共享文件夹,电子邮件,网络中的恶意网页,大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径,使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。 3、蠕虫的预防解决 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种:软件的和人为的。 软件上的缺陷,如系统漏洞,微软IE和outlook的自动执行漏洞等等,需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷,主要是指的是计算机用
户的疏忽。例如,当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的,从而被感染上了病毒。 蠕虫病毒的防范措施 二、个人用户对蠕虫病毒的防范措施 通过上述的分析,我们了解蠕虫的特点和传播的途径,因此防范需要注意以下几点: 1、选择合适的杀毒软件 杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控!国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错,相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势,同时消耗系统资源也比较少,大家可以放心使用。 2、经常升级病毒库 没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪,病毒每天都层出不穷,再加上如今的网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒! 3、提高防患意识 不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片,软件等等。必须经过对方的确认(因为一旦对方中毒后他的QQ会自动向好友发送病毒,他自己根本不知道,这个时候只要问一问他本人就真相大白!),或者此人是你绝对可以相信的人!另外对于收发电子邮件,笔者强烈建议大家通过WEB方式(就是登陆邮箱网页)打开邮箱收发邮件(这样比使用Outlook和foxmail更安全)。虽然杀毒软件可以实时监控但是那样不仅耗费内存,也会影响网络速度! 4、必要的安全设置 运行IE时,点击“工具→Internet选项→安全”,把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是:在IE窗口中点击“工具”→“Internet 选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 5、第一时间打上系统补丁 虽然看上去可怕,但是细心的朋友注意蠕虫攻击系统的途径可以看出:最主要的方式就是利用系统漏洞,因此微软的安全部门已经加大了系统补丁的推出频率,大家一定要养成好习惯,经常的去微软网站更新系统补丁,消除漏洞(通过点击开始上端的“windows Update”)
财务尽职调查深度解析(适合学习) 一、概述 (一)尽职调查概念 1、概念 尽职调查又称谨慎性调查,是指投资人在与目标企业达成初步合作意向后,经协商一致,投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。 财务尽职调查即由财务专业人员针对目标企业与投资有关财务状况的审阅、分析、核查等专业调查。 2、种类 尽职调查的种类包括四类:法律尽职调查、财务尽职调查、业务尽职调查、 其他尽职调查。 (二)尽职调查的目的 尽职调查就是要搞清楚: 1、他是谁?即交易对手实际控制人的底细和管理团队 2、他在做什么,即产品或服务的类别和市场竞争力 3、他做得如何,即经营数据和财务数据收集,尤其是财务报表反映的财务状况、经营成果、现金流量及纵向、横向(同业)比较 4、别人如何看,包括银行同业和竞争对手的态度 5、我们如何做,在了解客户的基础上进行客户价值分析,用经验和获得的信息设计授信方案和控制措施,把交流变成可行的交易。
简言之,即做好股东背景和管控结构、行业和产品、经营和财务数据、同业态度的调查,提供我们的做法。 (三)尽职调查框架 (四)财务顾问尽职调查的关注要点 1、业务 (1)行业/企业的业务模型、盈利模式 (2)标的企业的竞争优势 (3)协同效应,以及未来潜在的整合成本和整合风险 Tips: (1)在做企业尽职调查时,可以以估值模型为线索进行调查;(2)不要忽视目标公司董事会会议记录以及决策等法律文件,里面会包含公司业务的信息,特别是公司战略。 2、财务 (1)历史数据的真实性、可靠性 (2)预测财务数据偏于保守?偏于乐观?预测的依据是什么? (3)是否有表外负债? (4)内控制度的健全性(审计师的内控审计报告) (5)税务问题(除公司自身税务情况外,还需关注收购方案所涉及的税务问题)Tips:在做财务尽职调查时,需与审计师充分沟通,并且与业务尽职调查紧密联系。
关于尽职调查的10000字深度长文解析(财务篇) 概述 尽职调查概念 1、概念 尽职调查又称谨慎性调查, 是指投资人在与目标企业达成初步合作意向后,经协商一致,投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。 财务尽职调查即由财务专业人员针对目标企业与投资有关财务状况的审阅、分析、核查等专业调查。 2、种类 尽职调查的种类包括四类: ■法律尽职调查■财务尽职调查 ■业务尽职调查■·其他尽职调查 尽职调查的目的 尽职调查就是要搞清楚: 1、他是谁?即交易对手实际控制人的底细和管理团队 2、他在做什么?即产品或服务的类别和市场竞争力 3、他做得如何?即经营数据和财务数据收集,尤其是财务报表反映的财务状况、经营成果、现金流量及纵向、横向(同业)比较 4、别人如何看?包括银行同业和竞争对手的态度 5、我们如何做?在了解客户的基础上进行客户价值分析,用经验和获得的信息设计授信方案和控制措施,把交流变成可行的交易。 简言之,即做好股东背景和管控结构、行业和产品、经营和财务数据、同业态度的调查,提供我们的做法。
尽职调查框架 财务顾问尽职调查的关注要点 1、业务 (1)行业/企业的业务模型、盈利模式 (2)标的企业的竞争优势 (3)协同效应,以及未来潜在的整合成本和整合风险 【Tips】 ?在做企业尽职调查时,可以以估值模型为线索进行调查; ?不要忽视目标公司董事会会议记录以及决策等法律文件,里面会包含公司业务的信息,特别是公司战略。 2、财务 (1)历史数据的真实性、可靠性 (2)预测财务数据偏于保守?偏于乐观?预测的依据是什么? (3)是否有表外负债? (4)内控制度的健全性(审计师的内控审计报告) (5)税务问题(除公司自身税务情况外,还需关注收购方案所涉及的税务问题)【Tips】 在做财务尽职调查时,需与审计师充分沟通,并且与业务尽职调查紧密联系。 3、法律 (1)公司自身的法律情况:重大诉讼和法律纠纷、房产土地的权属问题等 (2)交易所涉及的法律问题:股权结构(类别股权安排,优先股东、期权等问 题)、行业监管规定、交易涉及的其他监管规则等。 【Tips】 法律尽职调查可以分为两部分,一部分是公司本身的法律情况,需要依赖律师去尽职调查,投行需要关注未来的风险所在;另一部分是交易所涉及的法律问题,此部分投行要充分组织和积极参与讨论,具体的工作可以以律师为主。 4、人力资源 (1)管理层聘用和留任问题 (2)工会问题 (3)离退、内退人员负担及养老金问题 【Tips】 人事的问题对于收购后的成功整合非常重要,不容忽视;投行需要起牵头作用,具体的工作由适当的中介机构承担。 5、其他 (1)是否有历史遗留问题?比如一厂多制等
【尽职调查】刘克滥帮你了解尽职调查相关内容尽职调查相关内容你了解多少?尽职调查又称谨慎性调查,是指投资人在与目标企业达成初步合作意向后,经协商一致,投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。今天就来深度解析一下有关尽职调查的内容。 财务尽职调查即由财务专业人员针对目标企业与投资有关财务 状况的审阅、分析、核查等专业调查。 (一) 尽职调查的种类 尽职调查的种类包括四类:法律尽职调查、财务尽职调查、业务 尽职调查、其他尽职调查。 (二) 尽职调查的目的 尽职调查就是要搞清楚: 1、他是谁?即交易对手实际控制人的底细和管理团队 2、他在做什么,即产品或服务的类别和市场竞争力 3、他做得如何,即经营数据和财务数据收集,尤其是财务报表 反映的财务状况、经营成果、现金流量及纵向、横向(同业)比较 4、别人如何看,包括银行同业和竞争对手的态度 5、我们如何做,在了解客户的基础上进行客户价值分析,用经 验和获得的信息设计授信方案和控制措施,把交流变成可行的交易。 简言之,即做好股东背景和管控结构、行业和产品、经营和财务 数据、同业态度的调查,提供我们的做法。 (三) 尽职调查框架
(四)财务顾问尽职调查的关注要点 1、业务 (1)行业/企业的业务模型、盈利模式 (2)标的企业的竞争优势 (3)协同效应,以及未来潜在的整合成本和整合风险 Tips: (1)在做企业尽职调查时,可以以估值模型为线索进行调查;(2)不要忽视目标公司董事会会议记录以及决策等法律文件,里面 会包含公司业务的信息,特别是公司战略。 2、财务 (1)历史数据的真实性、可靠性 (2)预测财务数据偏于保守?偏于乐观?预测的依据是什么? (3)是否有表外负债? (4)内控制度的健全性(审计师的内控审计报告) (5)税务问题(除公司自身税务情况外,还需关注收购方案所涉及的税务问题)
蠕虫病毒深度解析 https://www.doczj.com/doc/ee12671560.html,日期:2004-11-22 15:44 作者:天极网来源:天极网 1.引言 近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的“冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。看来,蠕虫病毒不再 是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。 各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。 由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素; 可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。 2.蠕虫原始定义 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”(Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。 3.病毒原始定义 在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。 4.蠕虫/病毒
蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。在这两类蠕虫中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 木马就是在没有授权的条件下,偷偷运行的程序。 木马与病毒有两点本质的不同: 1、木马不会自动传染,病毒一定会自动传染; 2、木马是窃取资料的,病毒是破坏文件的 简单的木马只能盗取帐号、密码,很多木马可以窃取对方计算机上的全部资料,以达到完全监视完全控制的目的。 蠕虫通常是网络操作系统进行传播,目的是攻击服务器或子网,形成DDos攻击(拒绝服务)。蠕虫会开启多个线程大面积传播,在传播过程中占用宽带资源,从而达到攻击的目的,其实本身对计算机没有太大伤害。 由于蠕虫是通过网络或操作系统漏洞进行感染,所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。
企业尽职调查关注内容及财务指标分析 目录 一、企业尽职调查关注10个方面 (1) 1.1看准一个团队 (1) 1.2发掘两个优势 (1) 1.3弄清三个模式 (1) 1.4查看四个指标 (1) 1.5理清五个结构 (2) 1.6考察六个层面 (2) 1.7落实七个关注 (2) 1.8分析八个数据 (3) 1.9走好九个程序 (4) 1.10报告十个内容 (5) 二、企业尽职调查财务指标分析 (6) 2.1变现能力比率 (6) 2.2资产管理比率 (6) 2.3负债比率 (8) 2.4盈利能力比率 (9) 2.5现金流量流动性分析 (10) 2.6获取现金的能力 (11) 2.7财务弹性分析 (12)
一、企业尽职调查关注10个方面 1.1看准一个团队 投资就是投人,投资就是投团队,尤其要看准投团队的领头人。创东方对目标企业团队成员的要求是:富有激情、和善诚信、专业敬业、善于学习。 1.2发掘两个优势 在优势行业中发掘、寻找优势企业。优势行业是指具有广阔发展前景、国家政策支持、市场成长空间巨大的行业;优势企业是在优势行业中具有核心竞争力,细分行业排名靠前的优秀企业,其核心业务或主营业务要突出,企业的核心竞争力要突出,要超越其他竞争者。 1.3弄清三个模式 就是弄清目标企业是如何挣钱的。业务模式是企业提供什么产品或服务,业务流程如何实现,包括业务逻辑是否可行,技术是否可行,是否符合消费者心理和使用习惯等,企业的人力、资金、资源是否足以支持。盈利模式是指企业如何挣钱,通过什么手段或环节挣钱。营销模式是企业如何推广自己的产品或服务,销售渠道、销售激励机制如何等。好的业务模式,必须能够赢利,好的赢利模式,必须能够推行。 1.4查看四个指标 PE投资的重要目标是目标企业尽快改制上市,我们因此关注、查看目标企业近三年的上述前两个指标尤为重要。PE投资非常看重的盈利能力和成长性,我们由此关注上述的后两个指标。净利率是销售净利润率,表达了一个企业的盈利能力和抗风险能力,增长率可以迅速降低投资成本,让投资人获取更高的投资回报。把握前四个指标,则基本把握了项目的可投资性。
题目:计算机病毒解析与防范
摘要 计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。事实上人们产生上述不安的原因,在与对计算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知识有一个比较明确的认识和全面的科学态度。 关键词: 计算机病毒病毒的困扰病毒的误解病毒的认识
目录 1 绪论 (1) 2 计算机病毒的概述 (2) 2.1 计算机病毒的定义 (2) 2.2 计算机病毒的特性 (2) 3 计算机病毒的分类 (4) 3.1 计算机病毒的基本分类 (4) 4 计算机病毒防范和清除的基本原则和技术 (6) 4.1 计算机病毒防范的概念和原则 (6) 4.2 计算机病毒防范基本技术 (6) 4.3 清除计算机病毒的基本方法 (6) 4.4 典型计算机病毒的原理、防范和清除 (6) 5 “熊猫烧香”病毒剖析 (10) 总结 (11) 致谢 (12) 参考文献 (12)
1 绪论 入了信息社会,创造了计算机,计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全,计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大浪费,人们称计算机病毒为“21世纪最大的隐患”,目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。因此,研究计算机病毒及防范措施技术具有重要的意义。
2 计算机病毒的概述 随着社会的不断进步,科学的不断发展,计算机病毒的种类也越来越多, 但终究万变不离其宗! 2.1 计算机病毒的定义 一般来讲,只要能够引起计算机故障,或者能够破坏计算机中的资源的 代码,统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一 个具有法律性、权威性的定义:“计算机病毒,是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的 一组计算机指令或者程序代码。”这就是计算机病毒。 2.2 计算机病毒的特性 2.2.1 隐藏性与潜伏性 计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常内 附在正常的程序中,用户启动程序同时也打开了病毒程序。计算机病毒程序 经运行取得系统控制权,可以在不到1秒钟的时间里传染几百个程序。而 且在传染操作成后,计算机系统仍能运行,被感染的程序仍能执行,这就是 计机病毒传染的隐蔽性……计算机病毒的潜伏性则是指,某些编制巧的计算 机病毒程序,进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中,对其它系统文件进行传染,而不被人发现。 2.2.2 传染性 计算机病毒可通过各种渠道(磁盘、共享目录、邮件)从已被感染的计算机扩散到其他机器上,感染其它用户.在某情况下导致计算机工作失常。 2.2.3 表现性和破坏性 任何计算机病毒都会对机器产生一定程的影响,轻者占用系统资源,导致系统运行速度大幅降低.重者除文件和数据,导致系统崩溃。 2.2.4 可触发性病毒 具有预定的触发条件,可能是时间、日期、文类型或某些特定数据等。一旦满足触发条件,便启动感染或破坏作,使病毒进行感染或攻击;如不满足,继续潜伏。有些病毒针对特定的操作系统或特定的计算机。
尽职调查10000字深度解析 2015-10-09 1概述 尽职调查概念 1、概念 尽职调查又称谨慎性调查, 是指投资人在与目标企业达成初步合作意向后,经协商一致,投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。 财务尽职调查即由财务专业人员针对目标企业与投资有关财务状况的审阅、分析、核查等专业调查。 2、种类 尽职调查的种类包括四类: ■法律尽职调查■财务尽职调查 ■业务尽职调查■·其他尽职调查 尽职调查的目的 尽职调查就是要搞清楚:
1、他是谁?即交易对手实际控制人的底细和管理团队 2、他在做什么?即产品或服务的类别和市场竞争力 3、他做得如何?即经营数据和财务数据收集,尤其是财务报表反映的财务状况、经营成果、现金流量及纵向、横向(同业)比较 4、别人如何看?包括银行同业和竞争对手的态度 5、我们如何做?在了解客户的基础上进行客户价值分析,用经验和获得的信息设计授信方案和控制措施,把交流变成可行的交易。 简言之,即做好股东背景和管控结构、行业和产品、经营和财务数据、同业态度的调查,提供我们的做法。 尽职调查框架 财务顾问尽职调查的关注要点 1、业务 (1)行业/企业的业务模型、盈利模式 (2)标的企业的竞争优势 (3)协同效应,以及未来潜在的整合成本和整合风险【Tips】
?在做企业尽职调查时,可以以估值模型为线索进行调查; ?不要忽视目标公司董事会会议记录以及决策等法律文件,里面会包含公司业务的信息,特别是公司战略。 2、财务 (1)历史数据的真实性、可靠性 (2)预测财务数据偏于保守?偏于乐观?预测的依据是什么? (3)是否有表外负债? (4)内控制度的健全性(审计师的内控审计报告) (5)税务问题(除公司自身税务情况外,还需关注收购方案所涉及的税务问题) 【Tips】 在做财务尽职调查时,需与审计师充分沟通,并且与业务尽职调查紧密联系。 3、法律 (1)公司自身的法律情况:重大诉讼和法律纠纷、房产土地的权属问题等 (2)交易所涉及的法律问题:股权结构(类别股权安排,优先股东、期权等问题)、行业监管规定、交易涉及的其他监管规则等。 【Tips】
《网络攻击与防御》 实验报告 计算机科学与技术学院 计算机系网络教研室制
实验报告撰写要求 实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下: 1、实验报告模板为电子版。 2、下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般信息: ● 组号:例如:2-5 表示第二班第5组。 ● 实验日期:例如:05-10-06 表示本次实验日期。(年-月-日)…… ● 实验编号:例如:No.1 表示第一个实验。 ● 实验时间:例如:2学时表示本次实验所用的时间。 实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以 及完成过程等情况。模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。续页不再需要包含首页中的实验一般信息。 3、实验报告正文部分具体要求如下:
1)掌握熊猫烧香病毒的工作原理和感染方法;2)掌握手工清除熊猫病毒的基本方法。
目标主机为windows-2003 所用到的工具 o Wsyscheck o Filemon
三、实验内容与实验要求 蠕虫原理 1)蠕虫定义 2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。 蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。 请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔"。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。 蠕虫和传统病毒的区别: ?传统病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度; ?蠕虫主要是利用计算机系统漏洞进行传染,在搜索到网络中存在漏洞的计算机后,主动进行攻击。在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。 2)蠕虫的基本程序结构 ?传播模块:负责蠕虫的传播,通过检查主机或远程计算机的地址库,找到可进一步传染的其他计算机。 ?隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。 ?目的功能模块:实现对计算机的控制、监视或破坏等功能。