当前位置:文档之家 › 蠕虫和特洛伊木马介绍

蠕虫和特洛伊木马介绍

  • 格式:ppt
  • 大小:4.76 MB
  • 文档页数:44

下载文档原格式

  / 44

合集下载

木马的7种分类

木马的7种分类

木马的7种分类木马(trojan horse)是一种潜藏在正常程序中的恶意程序,其目的是获取非法利益或对计算机进行破坏。

木马程序可分为多种类型,根据其攻击方式、功能和传播方式进行分类。

下面将介绍木马的7种分类。

1. 远程控制型木马(remote access Trojans,简称RAT)远程控制型木马是最常见的一种木马类型。

它通过向受害者计算机植入恶意代码,使攻击者能够远程控制受害者计算机。

攻击者可以通过远程控制命令执行各种操作,如窃取用户敏感信息、监控用户活动、搭建僵尸网络等。

2. 数据窃取木马(data stealing Trojans)数据窃取木马专门设计用于窃取用户敏感数据。

它通过各种手段,如键盘记录、屏幕捕获、截取剪贴板内容等,秘密收集用户的账户信息、密码、信用卡信息等。

这些窃取到的信息可以被用于非法获利、身份盗窃等活动。

3. 下载器木马(downloader Trojans)下载器木马是一种专门用于下载其他恶意软件的木马。

它通常会首先潜藏在正常程序中,一旦被执行,它会自动下载并安装其他恶意软件,如病毒、间谍软件等。

下载器木马可以将受害者计算机变成一个感染其他恶意软件的中转站。

4. 木马拦截型木马(Trojan proxy)木马拦截型木马是一种通过截取网络流量并篡改数据的木马。

它会在受害者计算机上设置一个代理服务器,将所有的网络请求都经过这个代理服务器进行中转。

攻击者可以在中转过程中修改、删除、添加数据,从而对网络通信进行干扰、监控,甚至进行钓鱼攻击。

5. 锁定型木马(ransomware)锁定型木马是一种专门用于勒索用户的木马。

它通过植入恶意代码,将受害者计算机上的文件加密或锁定,然后要求用户支付赎金才能解锁文件。

锁定型木马对用户的数据安全构成了严重威胁,会导致用户无法访问自己的文件,造成经济和心理上的损失。

6. 蠕虫木马(worms)蠕虫木马以自我复制和传播为目的,利用计算机网络进行快速传输。

电脑常见特洛伊病毒详细介绍及杀毒方法。

电脑常见特洛伊病毒详细介绍及杀毒方法。

特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。

“特洛伊木马”(trojan horse)简称“木马”,木马和病毒都是一种人为的程序,都属于电脑病毒,据说这个名称来源于希腊神话《木马屠城记》。

古希腊有大军围攻特洛伊城,久久无法攻下。

于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。

城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。

到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。

后世称这只大木马为“特洛伊木马”。

如今黑客程序借用其名,有“一经潜入,后患无穷”之意。

完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。

“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒,程序本身在无人操控的情况下不会像蠕虫病毒复制感染,不会破坏操作系统及硬件。

但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性和迅速感染系统文件的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

木马的启动方式:木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。

常见的电脑病毒有哪些电脑病毒种类有哪些

常见的电脑病毒有哪些电脑病毒种类有哪些

常见的电脑病毒有哪些电脑病毒种类有哪些常见的电脑病毒有哪些电脑病毒种类有哪些电脑病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。

以下是店铺整理的常见的电脑病毒有哪些电脑病毒种类有哪些,欢迎阅读,希望大家能够喜欢。

根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。

根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。

无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型:这类病毒在计算机系统操作中造成严重的错误。

非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。

由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。

一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。

计算机病毒蠕虫和特洛伊木马介绍安全基础课讲义-文档资料

计算机病毒蠕虫和特洛伊木马介绍安全基础课讲义-文档资料
。 。 。
病毒的激活过程
int21
。 int8
int2F 内 int4A 存 时钟中断处理 Evaluation only. DOS中断处理 空 for .NET 3.5 Client Profile 5.2 ted with Aspose.Slides 外设处理中断 是26日? 实时时种警报中断 间 Copyright 2004-2011 Aspose Pty Ltd.
• 操作系统引导区
– 文件型
• 操作系统 • 应用程序 • 宏病毒
引导型病毒—引导记录
• 主引导记录(MBR)
引导代码及 出错信息
Evaluation only. 主引导程序(446字节) ted with Aspose.Slides for .NET 3.5 Client Profile 5.2 Copyright 2004-2011 A 分区 1(16 字节) Aspose Pty Ltd. 主分区表
修改INT 13 中断向量,指向病毒
转移到 0000:TC00处,开始真正的系统引导
触发条件--修改后的INT 13
进入INT 13中断
是否为读盘?
N
Evaluation only. Y 执行正常的5.2 Y Profile ted with Aspose.Slides .NET 3.5 Client 所读盘是否 forN 是否带病毒? INT 13程序 是自身? Copyright 2004-2011 Aspose Pty Ltd.
only. ted with Aspose.Slides for .NET 3.5 Client Profile 5.2 • 行为监控 2004-2011 Aspose Pty Ltd. –Copyright 对中断向量表的修改

4.1特洛伊木马

4.1特洛伊木马

第三部分 木马查杀技巧
如果存在隐藏进程,会以红色进程显示。
第三部分 木马查杀技巧
删除木马文件
结束掉木马进程后,就可以删除文件了,如果使用系统的资源 管理器删除木马文件,需要先设置显示隐藏文件,因为大多数木马或 病毒都会将自己设置为隐藏属性。 学习使用IceSword工具删除木马文件。
第三部分 木马查杀技巧
方法1:通过设置NTFS格式的权限来清除 1)选中dll木马文件,右键属性—安全 2) 点击高级,取消“允许父项的继承 权限传播到该对象和所有子对象” 3) 删除所有帐户
第四部分 特殊木马的处理
重启后,没有任何帐户有权限对文件进行调用,直接删除dll文件即 可。
第四部分 特殊木马的处理
DLL木马的清除技巧
被入侵后主动感染木马 网络上任何一台计算机都有被入侵成功的可能,当成功入侵一台 主机后,黑客可以放上一个功能强大的后门——木马,然后进行远程 控制。
第二部分 木马入侵
木马是如何进入系统的
利用社会工程学 “社会工程学”是指利用人性的弱点,结合心理学的知识来猜摸 对方心思,并利用得到的结果来获取想要的敏感信息。通俗来说社会 工程学就是一种非常高明的“骗术”。
第三部分 木马查杀技巧
学习使用IceSword修复注册表
解决了系统注册表编辑器无法打开的问题
第三部分 木马查杀技巧
这部分我们主要介绍了手动处理木马的常 规步骤,迄今为止,木马的种类非常多,技术 发展很快,越来越难彻底清除,除了熟悉工具 的使用方法外,还要多了解木马和病毒资讯, 丰富处理木马的经验。当然安装杀毒软件是有 简单有效的方法,打开实时监控,及时更新病 毒库。
IceSword可以直接显示隐藏文件,并可强制删除顽固文件。

电脑病毒种类和病毒名称

电脑病毒种类和病毒名称

8.程序杀手木马:上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用
9.反弹端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
8后门病毒
后门病毒的前缀是:Backdoor
如爱情后门病毒Worm.Lovgate.a/b/c
9坏性程序病毒
破坏性程序病毒的前缀是:Harm
格式化C盘(Harm.formatC.f)、杀手命令(mand.Killer)等。
10玩笑病毒
玩笑病毒的前缀是:Joke
如:女鬼(Joke.Girlghost)病毒。
感染方式:
病毒的主体程序运行时,会复制到:
%System%\wintems.exe
Mitglieder.DU生成以下注册表,以确保每次系统启动时运行病毒:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"

什么是病毒、蠕虫和特洛伊木马?-爱问知识人

什么是病毒、蠕虫和特洛伊木马?什么是病毒?病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。

它一边传播一边感染计算机。

病毒可损坏软件、硬件和文件。

病毒(n.):以自我复制为明确目的编写的代码。

病毒附着于宿主程序,然后试图在计算机之间传播。

它可能损坏硬件、软件和信息。

与人体病毒按严重性分类(从Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。

令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。

必须通过某个人共享文件和发送电子邮件来将它一起移动。

什么是蠕虫?与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它自动进行。

首先,它控制计算机上可以传输文件或信息的功能。

一旦您的系统感染蠕虫,蠕虫即可独自传播。

最危险的是,蠕虫可大量复制。

例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个Internet 的速度减慢。

当新的蠕虫爆发时,它们传播的速度非常快。

它们堵塞网络并可能导致您(以及其他每个人)等很长的时间才能查看Internet 上的网页。

蠕虫(n.):病毒的子类。

通常,蠕虫传播无需用户操作,并可通过网络分发它自己的完整副本(可能有改动)。

蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。

蠕虫的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机。

最近的蠕虫示例包括Sasser蠕虫和Blaster蠕虫。

什么是特洛伊木马?在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。

现在,特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。

最近的特洛伊木马以电子邮件的形式出现,电子邮件包含的附件声称是Microsoft 安全更新程序,但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。

木马的7种分类

木马的7种分类木马是一种恶意软件,通常指像木马一样隐藏在合法程序中,以迷惑用户并偷窃或破坏用户的数据和系统的程序。

木马的种类繁多,可以根据不同的特征进行分类。

下面是木马的7种分类:1. 远控木马远程控制木马是一种可以在远程控制的木马程序。

通过远程控制木马,黑客可以远程控制感染电脑,窃取用户的文件、账户信息、密码等。

远控木马通常会进行隐匿性处理,尽量减少对受害者电脑系统的影响,以达到长期或持续控制的效果。

2. 数据窃取木马数据窃取木马是一种专门用于窃取用户的敏感数据的木马程序。

这种类型的木马通常会窃取用户的账户信息、信用卡信息、密码等,然后通过网络传输到黑客的服务器上。

数据窃取木马对用户的隐私和安全造成了严重威胁,并且往往会导致财产损失。

3. 网络蠕虫木马网络蠕虫木马是一种具有自我复制和传播能力的木马程序。

它可以自动在网络上寻找漏洞并感染其他主机,从而扩大感染范围。

网络蠕虫木马的传播速度非常快,对网络安全造成了严重威胁,可能导致整个网络瘫痪。

4. 金融木马金融木马是一种专门用于窃取用户银行账户信息和密码的木马程序。

它通常会伪装成银行网站或在线支付平台,诱使用户输入账户信息和密码,然后将这些信息发送给黑客。

金融木马对用户的银行账户和资金造成了重大威胁,可能导致财产损失。

5. 后门木马后门木马是一种可以在系统中留下后门,使黑客可以随时再次进入感染的电脑的木马程序。

后门木马通常会隐藏在系统的某个安全漏洞中,可以在系统重新启动后自动运行,从而对系统的安全造成了严重威胁。

6. 特洛伊木马特洛伊木马是一种通过伪装成合法和实用的软件,骗取用户下载和安装的木马程序。

特洛伊木马通常会隐藏在某个看似有用的软件中,一旦用户下载并安装,木马就会感染用户的电脑,窃取用户的数据。

7. 广告木马广告木马是一种通过弹出恶意广告或强制跳转广告网页的木马程序。

它通常会在感染的电脑中安装恶意的浏览器插件或改变浏览器的默认设置,以触发广告弹窗。

病毒、蠕虫和木马的区别


相对病毒而言,我们可以简单地说,病毒破坏你的信息,而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。
四、概括性总结
从上面这些内容中我们可以知道,实际上,普通病毒和部分种类的蠕虫还有所有的木马是无法自我传播的。感染病毒和木马的常见方式,一是运行了被感染有病毒木马的程序,一是浏览网页、邮件时被利用浏览器漏洞,病毒木马自动下载运行了,这基本上是目前最常见的两种感染方式了。 因而要预防病毒木马,我们首先要提高警惕,不要轻易打开来历不明的可疑的文件、网站、邮件等,并且要及时为系统打上补丁,最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库。如果做好了以上几点,基本上可以杜绝绝大多数的病毒木马。最后,值得注意的是,不能过多依赖杀毒软件,因为病毒总是出现在杀毒软件升级之前的,靠杀毒软件来防范病毒,本身就处于被动的地位,我们要想有一个安全的网络安全环境,根本上还是要首先提高自己的网络安全意识,对病毒做到预防为主,查杀为辅。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件,修改注册表,控制鼠标,键盘,窃取信息等等。一旦中了木马,你的系统可能就会门户大开,毫无秘密可言。特洛伊木马与病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不"刻意"地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码,要使特洛伊木马传播,必须在计算机上有效地启用这些程序,例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。现在的木马一般主要以窃取用户相关信息为主要目的。

武汉纺织大学网络病毒-SQL蠕虫和特洛伊木马


程序或带有木马的其他程序执行后,木马首先会在系统中潜伏下来,
并修改系统的配置参数,每次启动系统时都能够实现木马程序的自动 加载。


计算机病毒产生原理 病毒类型及征兆 预防办法 处理方法 综述
预防办法
• 蠕虫病毒防治方法: 使用具有实时监控功能的杀毒软件,防范邮件蠕 虫的最好办法 ,就是提高自己的安全意识,不要 轻易打开带有附件的电子邮件。另外,可以启用 瑞星杀毒软件的“邮件发送监控”和“邮件接收 监控”功能,也可以提高自己对病毒邮件的防护 能力。
类似于生物病毒,它能把自身附着在各种类 型的文件上或寄生在存储媒介中,能对计算 机系统和网络进行各种破坏;有独特的复制 能力和传染性,能够自我复制——主动传染, 另一方面,当文件被复制或在网络中从一个 用户传送到另一个用户时——被动传染,它们 就随同文件一起蔓延开来
病毒感染示意图
生物病毒感染与寄生
网 络 病

小组成员: 谭宇 1207361054 罗杰 1207361071 朱作丹 1207361055 赵云烈 1207361037


计算机病毒产生原理 病毒类型及征兆 预防办法 处理方法 综述
计算机病毒(Computer Virus)
是一种具有自我复制能力的计算机程序,它 不仅能破坏计算机系统,而且还能传播、感 染到其他的系统,能影响计算机软件、硬件 的正常运行,破坏数据的正确与完整。
综述
实际上,普通病毒和部分种类的蠕虫还有所有 的木马是无法自我传播的。因而要预防病毒木马, 我们首先要提高警惕,不要轻易打开来历不明的可 疑的文件、网站、邮件等,并且要及时为系统打上 补丁,最后安装上防火墙还有一个可靠的杀毒软件 并及时升级病毒库。我们要想有一个安全的网络安 全环境,根本上还是要首先提高自己的网络安全意 ,对病毒做到预防为主,查杀为辅。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 引导型
• 主引导区 • 操作系统引导区
– 文件型
• 操作系统 • 应用程序 • 宏病毒
引导型病毒—引导记录
• 主引导记录(MBR)
引导代码及 出错信息
主引导程序(446字节)
主分区表 (64字节)
结束标记 (2字节)
A
分区1(16 字节) 分区2(16 字节) 分区3(16 字节) 分区4(16 字节) 55AA
– Rsh,rexec:用户的缺 省认证 – Sendmail 的debug模式 – Fingerd的缓冲区溢出 – 口令猜测
CR I
• 主要影响Windows NT系 统和Windows 2000
– 主要影响国外网络 – 据CERT统计,至8月初已 经感染超过25万台
• 主要行为
– 利用IIS 的Index服务的 缓冲区溢出缺陷进入系 统 – 检 查 c:\notworm 文 件 是 否存在以判断是否感染 –中 文 保 护 ( 是 中 文 windows就不修改主页) – 攻击白宫!
。 。
int21
。 int8
是26日?

。 。
举例—小球病毒(Bouncing Ball)
• 在磁盘上的存储位置
000号扇区 001号扇区
病毒的第一部分 正常的引导扇区
文件分配表 … FF7
第一个空簇
病毒的第二部分 … … …
感染后的系统启动过程
启动
将病毒程序的第一部分送入内存高端 将第二部分装入内存,与第一部分 拼接在一起 读入真正的Boot 区代码, 送到0000:TC00处 修改INT 13 中断向量,指向病毒
其中x.x.x.x是被攻击的IP地址,dir可以是任意命令,比如删除系 统中的文件,向外发送机密数据等,这个后门后来也成为了nimda 病毒的一个传播模式。 下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 – 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 –
2. 3.
4.
5.
CodeRed II
增加了特洛依木马的功能,并针对中国网站做了改进
1. 2. 3. 4. 5. 计算IP的方法进行了修改,使病毒传染的更快; 检查是否存在CodeRedII原子,若存在则进入睡眠状态防止反复 感染,若不存在则创建CodeRedII原子; 创建300个线程进行传染,若系统默认语言为简体中文或繁体中 文,则创建600个线程; 检查时间。病毒作者的意图是传播过程在2001年10月1日完成, 之后,蠕虫会爆发而使系统不断重新启动。 在系统中安装一个特洛依木马:
– Email、文件共享、页面浏览、 –MS IIS目录遍历、Code Red 后门
• 影响
– – – – 群发电子邮件,付病毒 扫描共享文件夹, 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server
红色代码病毒
• 红色代码病毒是一种结合了病毒、木马、 DDOS机制的蠕虫。
– 2001年7月中旬,在美国等地大规模蔓延。 – 2001年8月初,出现变种coderedII,针对中文 版windows系统,国内大规模蔓延。 – 通过80端口传播。 – 只存在与网络服务器的内存,不通过文件载 体。 – 利用IIS缓冲区溢出漏洞(2001年6月18日发布)
激活autoopen宏
写入 Normal.dot
有毒文件.doc
启动 无毒文件.doc Normal.dot
激活病毒
注意事项
• Macro 可以存在模板里,也可以存在文档 里 • RTF文件也可以包含宏病毒 • 通过IE 浏览器可以直接打开,而不提示下 载
提纲
• • • 计算机病毒 网络蠕虫 特洛伊木马
病毒检测原理
• 特征匹配
– 例如,在香港病毒:1F 58 EA 1A AF 00 F0 9C:
POP AX JMP F000∶AF1A PUSHF
• 行为监控
– – – – 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存
• 软件模拟
防范与检测
• • • • • • • • • • 数据备份 不要用移动介质启动(设置CMOS选项) 设置CMOS的引导记录保护选项 安装补丁,并及时更新 安装防病毒软件,及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护
文件型病毒—文件结构
• .COM文件
PSP Header (256 bytes) Code, Data, Stack Segment(s) (64K Bytes) 代码、数据、堆栈在通 一段中 在内存中的.COM是磁 盘文件的镜像
.EXE 文件
PSP Header (512 bytes) Code Segment(s) (64K ) Data Segment(s) (64K ) Stack Segment(s) (64K )
计算机病毒、蠕虫和特洛伊木马
提纲
• • • 计算机病毒 网络蠕虫 特洛伊木马
计算机病毒
• • • • • • • 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范
计算机病毒的结构
传染条件判断 传染模块
传染代码
表现模块
表现及破坏条件判断 破坏代码
计算机病毒的分类
• • • • 按攻击平台分类:DOS,Win32,MAC,Unix 按危害分类:良性、恶性 按代码形式:源码、中间代码、目标码 按宿主分类:
宏病毒(Macro Virus)
• 历史:
– 1980年,Dr. Fredrick Cohen and Ralf Burger 论文 – 1994年,Microsoft Word 第一例宏病毒 – Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw.
蠕虫(Worm)
• • • • 一个独立的计算机程序,不需要宿主 自我复制,自主传播(Mobile) 占用系统或网络资源、破坏其他程序 不伪装成其他程序,靠自主传播
– 利用系统漏洞; – 利用电子邮件(无需用户参与)
莫里斯蠕虫事件
• 发生于1988年,当时 导致大约6000台机器 瘫痪 • 主要的攻击方法
红色代码病毒的检测和防范
• • • • 针对安装IIS的windows系统; 是否出现负载显著增加(CPU/网络)的现象; 用netstat –an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx..%u0078%u0000 %u00=a HTTP/1.0这样的攻击记录; • 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe 以及root.exe; • 检查注册表文件中是否增加了C和D虚拟目录,以及文件 保护功能是否被禁止。 • 在任务管理器中检查是否存在两个explorer.exe进程。
转移到 0000:TC00处,开始真正的系统引导
触发条件--修改后的INT 13
进入INT 13中断
是否为读盘?
N N
执行正常的 INT 13程序
Y
所读盘是否 是自身?
是否带病毒?
Y 执行正常的
INT 13程序
不发作 N 执行正常的 INT 13程序
Y
是否整点 或半点
N
调用传染过程 感染磁盘
Y
修改INT8 开始发作 执行正常的 INT 13程序
DOS Loaded
引导型病毒—感染与执行过程
系统引导区
。 。。。 病毒 引导 正常执行
。 病毒
。 。 。
病毒的激活过程
内 int2F int4A 存 时钟中断处理 DOS中断处理 空 外设处理中断 实时时种警报中断 间
正常程序 正常程序 正常程序 空闲区 空闲区 带病毒程序 空闲区 空闲区 空闲区 int8 int8 int8 int8 int8 病 毒 int8 int8
CR II
• ed by RC I
– 影响波及全球 – 国内影响尤其广泛
• 主要行为
– 所利用缺陷相同 – 只感染windows2000系统,由于一些参数的问 题,只会导致NT死机 – 休眠与扫描:中文windows,600个线程
Nimda 简介
• 影响系统:MS win9x, wind2k, win XP • 传播途径:
CodeRed I
在侵入一台服务器后,其运行步骤是:
1. 设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着 使用RVA(相对虚拟地址)查找GetProcAddress的函数地址,然 后就获得其他socket、connect、send、recv、closesocket等函数地 址; 如果C:\notworm在,不再进一步传染; 传染其他主机。创造100个线程,其中99个用户感染其他WEB服 务器,被攻击IP通过一个算法计算得出; 篡改主页,如果系统默认语言为“美国英语”,第100个进程就 将这台服务的主页改成“Welcome to !, Hacked By Chinese!”,并持续10个小时。(这个修改直接在内存 中修改,而不是修改*.htm文件); 如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建 立连接,并发送98k字节数据,形成DDOS攻击。