引子: 看到litdg翻译的《震网的秘密兄弟(一)》,感觉有些地方跟我想象的不一样,所以在litdg兄的基础上就行了更新,我是搞工业自动化的,恰巧阴差阳错的跟信息安全有了些交集,所以以ICS(工业控制系统)的视角,来阐述我对原文的理解。 真正用来破坏伊朗核设施的震网病毒,其复杂程度超出了所有人的预料。 作为第一个被发现的网络攻击武器,震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。围绕震网病毒的分析主要有: (1)它是如何攻击位于Natanz的伊朗核设施的? (2)它是如何隐藏自己的? (3)它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。 因为,震网病毒并不是一个而是一对。大家的注意力全都关注着震网病毒的“简单功能”,即该功能用来改变铀浓缩的离心机转速,而另外一个被忽视的功能是却是更加的复杂和隐秘的。这一“复杂功能”对于了解ICS(IndustrialControl System的简称)信息安全的人来说
简直是梦魇,奇怪的是“复杂功能”竟然先于“简单功能”出现。“简单功能”在几年后才出现,不久即被发现。 随着伊朗的核计划成为世界舆论的中心,这有利于我们更清晰的了解通过程序来尝试破坏其核计划。震网病毒对于伊朗核计划的真实影响并不确定,因为到底有多少控制器真正的被感染,并不清楚,没有这方面的消息。但是不管怎样,通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。我在过去的三年里对震网病毒进行分析,不但分析其计算机代码,还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。我的发现如下全景图所示,它包含震网病毒的第一个不为人知的变种(“复杂功能”),这一变种需要我们重新评估其攻击。事实上这一变种要比公众所认知的网络武器危险的多。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个变种(“复杂功能”),至少是我们已知的第一个。对于第一个震网病毒变种,在五年后(2012)大家基于震网病毒的第二个变种(“简单功能”)的了解基础上,才意识到这是震网病毒。如果没有后来的“简单功能”版本,老的震网病毒(“复杂功能”)可能至今沉睡在反病毒研究者的档案中,并且不会被认定为历史上最具攻击性的病毒之一。 今天,我们已经知道,拥有“复杂功能”的震网病毒包含一个payload,该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。 后来的震网病毒,被大家熟知的那个“简单功能”版,控制离心机的转速,通过提高其转速而起到破坏离心机的效果。老版本的震网病毒(“复杂功能”)其Payload采用了不同的策略,它用来破坏用于保护离心机的Safe系统。 译者注:工控系统中通常会部署Safe系统,当现场的控制器和执行器出现异常的时候,该Safe系统会运行,紧急停车防止事故发生。而本文论述的震网病毒“复杂功能”版,将Safe系统也攻陷了。震网病毒的“简单功能”版在没有“复杂功能”的配合下是不能够损坏离心机的,因为离心机的转速不正常的情况下,Safe系统就会工作,会停止离心机的运转,这样伊朗的技术人员能够迅速的发现震网病毒。只有Safe系统也被破坏的情况下,震网病毒的“简单功能”才能够随意的控制离心机的转速。当然伊朗的Safe系统与工业现场的传统意义上的Safe系统有所不同,该Safe系统可以说是辅助系统,因为其离心机质量不过关,必须通过该Safe系统保证整体系统的正常运转。工业现场中很重要的一点是连续长时间的稳定运行。 Safe系统通常部署在发生异常的条件下,可能导致设备毁坏或生命财产损失的地方。在Natanz,我们看见一个特殊的安全保护系统,通过它的部署可以使得过时且不可靠的离
Stuxnet蠕虫驱动分析 这里只是分析文字, 贴图影响速度, 就不贴了, 具体看附件pdf文档, 难免有错误之处, 欢迎指正! 一. Stuxnet蠕虫(超级工厂病毒)简单说明 能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击,被称为是新时代网络战争开始的标志, 也有人宣称是"政府发动的网路战争、带有圣经讯息、最高机密等",呵呵,有点雷人! windows下最主要的传播途径是攻击快捷方式自动执行漏洞(MS10-046), WindowsServer服务的远程溢出漏洞 (MS08-067)以及打印后台程序服务中的远程代码执行漏洞(MS10-061)。 病毒成功攻击了伊朗核电站,造成伊朗核电站推迟发电.由于能够对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,因此也能攻击我国的钢铁、电力、能源、化工等重要行业, Stuxnet超级工厂病毒直到2010-09-25,才在传入国内网络.我是在近两个月前才收到的,当时只需要简单分析用户态的部分样本,因此没有对驱动进行分析.后来闲着没事时,就分析了驱动部分.不过,此病毒强大之处大部分都在用户态实现. 二.Stuxnet蠕虫(超级工厂病毒)驱动(mrxnet.sys)分析 从Stuxnet蠕虫病毒样本中提取出了两个驱动文件,mrxnet.sys(17k),mrxcls.sys(26k),其中驱动mrxnet.sys在蠕 虫通过u盘驱动器传播时被用来隐藏特定文件,这个驱动是一个文件系统过滤驱动,支持三种文件系统ntfs, fastfat和cdfs文件系统.驱动文件mrxcls.sys则被用于向用户空间中注入代码,被注入的模块被放在一个配 置文件中,这应该就是最初让卡巴斯基头痛的"父进程注入"技术,轻松地绕过卡巴.这里单就只分析驱动
手机病毒原理分析解决方法 电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。其实手机也一样,手机病毒是病毒的一个分支,虽然其存在只有短短数年,但在将来很可能大量涌现。下面一起看看具体分析 具体分析 病毒类型:手机病毒 病毒目的:破坏手机系统,狂发短信等 手机病毒的始作俑者 我用手机的时间很长了,大概在上世纪90年代中后期就开始了。那个时候还没有手机病毒这个东东存在。为什么我敢这么肯定呢,因为我对最早的手机病毒记忆深刻。那是在2000年6月左右,短信炸弹病毒在西班牙现身,向许多手机用户发送了骂人的短信。 当时,我才配了电脑没有多久,正忙着在电脑知识方面“充
电”,听说这条新闻后,感觉该病毒的编写者无聊至极,尽做些损人不利己的事情。不过,短信炸弹病毒并不能算是真正的手机病毒,充其量就是一个流氓,偏爱手机的流氓。 病毒危害:中了手机病毒,轻则图标被窜改,某些程序不能运行,重则手机上的资料被删除,在机主不知道的情况下向电话簿中的所有用户发送带病毒的短信,造成系统变慢,甚至出现死机。可以说,手机病毒比PC平台上的病毒还要可恨一点,在它传播过程中会狂发短信让你破费。 蓝牙助病毒传播 在电脑上,碰到病毒并不稀奇,不过手机碰到病毒就真的很稀奇了。那年是2004年,我换了带蓝牙的手机(Symbian操作系统),美滋滋地带着它出差,有一天我发现手机特别的慢。 后来我才知道自己中了蓝牙恶霸病毒,一个通过蓝牙传播的蠕虫病毒,它会自动在蓝牙中寻找新的手机或其他设备,一旦发现猎物,就会发送病毒文件,所以我的手机不慢才怪。这个病毒是第一个真正意义上的手机病毒。 病毒原理:我们可以把手机当成一台袖珍的电脑,这样就容
收稿时间:2011-07-15 作者简介:李战宝(1964-),男,河南,副研究员,本科,主要研究方向:国外信息安全研究;潘卓(1986-),女,黑龙江,翻译,本科,主要研究方向:国外信息安全研究。 李战宝,潘卓 (1.国家信息技术安全研究中心,北京 100084) 摘 要:2010年伊朗发生的“震网”病毒事件震动全球,成为业界瞩目的热点。文章介绍了“震网” 病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等,并探讨了该事件带来的启示。 关键词:“震网”病毒;数据采集与监视控制系统;工业控制系统 中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)09-0230-03 The Perspective of Stuxnet Viru LI Zhan-bao, PAN Zhuo ( 1. National Research Center for Information Technology Security, Beijing 100084, China ) Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it became a hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus, its operating environment, its ways and features of infection, as well as its harm and preventive measures. We also explore several inspirations referred to this event to our people, all of this as for reference only. Key words: stuxnet virus; SCADA; ICS doi:10.3969/j.issn.1671-1122.2011.09.070 透视“震网”病毒 1 “震网”病毒震动业界 近期,“震网”病毒(Stuxnet病毒)成为业界热议的焦点之一,信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一,并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一,且病毒攻击将更具目的性、精确性和破坏性。 根据著名网络安全公司赛门铁克的研究反映,早在2009年6月,“震网”病毒首例样本就被发现。2010年6月,“震网”病毒开始在全球范围大肆传播,截至2010年9月,已感染超过4.5万网络及相关主机。其中,近60%的感染发生在伊朗,其次为印尼和印度(约30%),美国与巴基斯坦等国家也有少量计算机被感染。数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。德国GSMK公司专家认为,“震网”病毒对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。2010年8月布什尔核电站推迟启动的事件,将“震网”病毒推向前台,并在社会各界迅速升温。2010年11月29日,伊朗总统内贾德公开承认,黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。据报道,“震网”病毒可能破坏了伊朗核设施中的1,000台离心机[1]。一位德国计算机高级顾问指出,由于“震网”病毒的侵袭,伊朗的核计划至少拖后了两年[2]。 据悉,2010年7月,我国某知名安全软件公司就监测到了“震网”病毒的出现,并发现该病毒已经入侵我国。该公司反病毒专家警告说,“震网”病毒也有可能在我国企业中的大规模传播。2010年10月3日,中国国家计算机病毒应急处理中心向我国网络用户发出“震网”病毒的安全预警,要求我国能源、交通、水利等部门立即采取措施,加强病毒防范工作。 由于“震网”病毒在伊朗感染的计算机占全球范围的60%,其首要目标就是伊朗的核设施,且技术实现复杂,很多专家推测该病毒发起的攻击很可能是某些国家出于政治目的而操纵实施的。以色列记者罗纳 伯格曼曾撰写《与伊朗的秘密战争》中透露:“如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的‘秘密战争’,伊朗的核武研发项目早已实现突破。”书中列举,以色列曾通过欧洲公司向伊朗出售一些工业变电器,通过某种操控,该设备能在瞬间产生数万伏高压电,而在过去几年中,伊朗多处核设施发生供电事故。以色列新闻网站https://www.doczj.com/doc/4a12171097.html, 2010年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。因此,有媒体认为,美国和以色列最有可能是发动该病毒袭击的幕后操纵者。
手机病毒的分析及对策 摘要:目前手机的功能越来越丰富,已不再局限于通话,更多的功能被植入到手机中来。从聊天到手机上网,各种各样的资源开始涌入我们的手机。在此期间,手机病毒也就应运而生。随着3G时代的来临,接入互联网获取大量信息已成为手机的重要功能之一,这也相应地给手机感染病毒增加了机会。但是无论是思想上的重视程度还是研究资金上的投资力度都远远落后与手机病毒的发展,大家对此似乎都呈一种观望的态度。为了更有效地对手机病毒进行防范,对手机病毒的研究已经刻不容缓。本文首先对手机病毒的概念、类型、原理以及发展趋势等进行了介绍,然后列举了几个手机病毒的攻击实例,并就其中三种典型的手机病毒进行具体的分析,包括它们所造成影响、实现机理以及删除方法等。由于目前手机病毒主要通过短消息或上网下载Java小程序等方式感染病毒,因此我们又对短消息业务系统及Java小程序的安全风险进行了分析,并提出相应的对策。 关键词:手机病毒、趋势、特点、对策
Analysis and Countermeasure of mobile phone viruses Abstract:The function of the mobile phone is more and more abundant at present. It has already no longer confined to conversing. More functions have been planted into the mobile phone. From chatting to surfing in the Internet with mobile phone, various resources begin to pour into our mobile phone. During this period, the virus of the mobile phone arises at the historic moment too. With the arrival of 3G era, it is the one of the important functions of the mobile phone to be insertted into Internet and obtain a large number of information, and it increased the chance for the mobile phone to be infected with the virus too.But no matter the attention degree on the thought, or the dynamics of investment on the research fund, far lag behind the development with the virus of the mobile phone. Everybody seems to present a kind of attitude looked around to this. In order to take precautions against the virus of the mobile phone more effectively, the study on virus of the mobile phone has been already very urgent.Then enumerated the attack instances of several pieces of mobile phone virus, and carry concrete analysis on three kinds of typical mobile phone virus among them, including influence, realizing mechanism and deleting the method,etc. Because mobile phone infect with the virus through short news and a Java applet download from Internet, so we have analysed to the security risks of the business system of short news and a Java applet, and put forward the corresponding countermeasure. Key Words:mobile phone virus、tendency 、characteristic 、countermeasure
2011-2012学年第 1 学期 考试科目网络与信息安全 姓名 年级 专业 11年12 月20 日
手机病毒的发展现状 手机病毒正逐渐取代电脑病毒成为新的互联网应用问题。近期的研究发现,从去年6月至今年1月,攻击Android系统的恶意程序增加了4倍,而整体的手机攻击行为增加了2倍。诺基亚的Symbian、苹果的IOS和谷歌的Android等,各个智能手机平台都面临着这个问题。调查表明,58.8%的手机用户表示自己面临安全威胁,超过90%的手机用户遭受垃圾短信困扰,89%曾遭恶意骚扰;47%因感染手机病毒而被骗订SP业务。 目前利用手机病毒牟利的黑色产业链已形成,其手法包括直接扣费、用别人的短信打广告和后台推广软件等。统计数据显示,中国手机安全软件的激活用户已超过7240万。业内估计,通过各种手机恶意软件以及病毒“吸费”行为的黑色产业链,每年收入达10亿元。 手机的病毒数量09-10年之内增加了250%,这么大的增长幅度主要是由于基数不大而造成的,如果在传统PC领域增长1%就是非常大的幅度了。Android一直说是开放的,一旦开放带来的问题可能比其它系统更加严峻了,达到了400%。Android Market从玩儿游戏到查数据,人们疯狂下载各种应用程序至手机,这也给了黑客一个入侵手机的好机会。苹果app store下载应用程序,需经过苹果的认证。但Google的Android Market则让开发者直接发布他们所写的程序。因此,Android的开放性同时也使它更为脆弱,易被黑客利用。 我们国家的情况:2011年1月19日,中国互联网信息中心在京发布了《第27次中国互联网发展状况统计报告》显示,截至2010年12月底,我国网民规模达到4.57亿,较2009年底增加7330万人,我国手机网民规模达3.03亿,依然是拉动中国总体网民规模攀升的主要动力,但用户手机网民增幅较2009年趋缓,最引人注目的是,网络购物用户年增长48.6%,是用户增长最快的应用,预示着更多的经济活动步入互联网时代。所以我预测,今后利用手机的违法犯罪活动会越来越多。 我国用户使用移动终端产品类型的分类:目前国内智能手机还是占主导,之后是平板电脑。使用移动终端产品进行互联网应用的情况:目前浏览网页还是最多的,其次就是通过它进行即时通讯,包括年轻人、成年人手机里也挂着一些QQ或者社交网站等沟通工具,还有收发邮件、手机支付、微博等等,从今后的发展趋势来看像手机支付、微博会有快速的上升趋势,上升之后后续的安全问题就会大量的涌现。 一、手机病毒的传播和威胁趋势 1.传播趋势:病毒植入方式更灵活、多变,增加了安全防护的难度。 传播方面,新兴手机病毒植入方式更为灵活、多变,并紧随移动互联网的应用而广泛发展。传播方式更为巧妙,从简单的以“中奖”等诱骗用户回复短信、拨打电话,进入到假借“中国移动”官方名义传播“官方”通知、将病毒主体伪装为常用的手机软件,和通过短信、彩信链接诱导用户点击等,同时会利用蓝牙、手机存储卡等方式进行植入传播。更加多元化的传播方式,增加了感染手机病毒的机率,对安全防护更增加了难度。 2.威胁趋势:手机病毒将继续向多元化、层次化方向倾斜。 2011年,手机病毒将继续向多元化、层次化方向倾斜,扣费类病毒有望在2011年超越传统的以破坏手机运行为目的手机病毒,成为对用户威胁最大的移动安全威胁。盗号类病毒也在2010年底开始呈现迅猛发展势头。同时,手机病毒在此前主要针对塞班平台的基础上,今后将对更多手机系统平台构成威胁。 例如,伴随Android平台目前在智能机市场的占有率狂飙似的增长,以及该系统平台自身开源性较强,签名验证机制较为薄弱,和系统自身存在漏洞等原因。2011年,Android 手机将有望成为黑客重点攻击目标。尽管iPhone和黑莓的操作系统由于对外接口有限开放
智能手机风险分析与安全防护 班级:信管111 学好:1111010315 姓名:李浩 一、研究背景和意义,发展现状: 说到智能手机风险分析与安全防护自然就要先讲一讲智能手机以及智能手机的背景及发展现状了,那么首先是智能手机又是什么呢?通俗的说智能手机一点就是一个“1+1=?”的公式,即“掌上电脑+手机=智能手机”。智能手机除了具备手机的通话功能外,还具备个人信息管理以及基于无线数据通信的浏览器和电子邮件功能。智能手机为用户提供了足够的屏幕尺寸,它既方便随身携带,又为软件运行和内容服务提供了广阔的舞台,使得很多增值业务可以就此展开,如:股票、新闻、天气、交通、商品、程序下载、音乐以及图片等等。据资料显示,智能手机的加速成长无疑在全球掀起了一股智能手机的热潮:苹果iPhone 自推出后,销量已超过1000万部;谷歌GPhone刚刚上市,预订数量也已超过了150万部。iPhone和GPhone的相继推出。现在智能手机已经给我们日常生活带来了重大的影响,我们在办公文档的查阅与编辑,日程的安排,上网,甚至于网络购物上都在大量运用,而且所有这些对于现在的智能手机来说都只是小菜一碟:以往需要捧着笔记本电脑,甚至要呆坐在台式电脑面前才能完成的事情,对于拥有一部智能手机的人来说,都只需要移动一下大拇指,便可能完成。在等车的一个时间空隙中,在从车站走到家的那段路程中,你便可以完成你本来需要在电脑前完成的工作。甚至或许在不久的将来,手机已经不能称呼它为手机,而应该称之为“个人智能移动终端”。由此可见智能手机必将成为未来手机发展的新方向,因此对智能手机风险分析以安全防护的研究是具有重要意义的。 而、论文主题内容: 但是相应的,任何事物都有两面性,跟传统手机相比智能手机在信息安全方面存在更大的风险。 首先,智能手机便面临与个人计算机终端相同的病毒风险。手机病毒是一种具有传染性、破坏性的手机程序。从近几年的手机病毒分析报告来看,智能手机病毒多通过彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播,而单纯的破坏性病毒则减少了。出于经济的利益,病毒一直呈增长趋势,而大多病毒都会导致用户无法正常使用手机。总的来说,手机病毒通过两种途径进行攻击造成危害,即病毒短信攻击和控制“网关”的病毒攻击,这是手机病毒目前的主要攻击方式,目前,手机杀毒软件的病毒库中已有四五百种病毒被“登记在案”。除自动群发短信外,手机中毒征兆还有很多,比如改变桌面图标啊,手机运行速度减慢啊,甚至还会死机。我自己的手机就出现过很多问题,有时候会自动下载一些软件,害得我一个月的流量还没用就没有了,时候我才知道了这种手机自动下载东西的情况一般是与安装的一些软件有关,需要清查一下手机上的软件把有些带有自动下载程序的软件卸载了。 其次智能手机也面临着恶意软件的危险,这其中又以远程控制木马为代表。远程控制木马可以接收攻击者远程发送的各种指令,进而触发恶意行为。与其他恶意软件在威胁方式上不同的是其威胁是动态的、可变的,由于恶意行为的类型根据攻击者下达的具体指令的不同而改变,因此使用户层面临着多个层次的安全威胁。
作为一个软件从业者,我有很多其他领域的知识盲点,当我看到有人揭露私人豆腐坊的生产过程之后,我就再也不敢到小市场买豆腐吃了。当我了解到药品销售者和医生勾结向病人推销过量药品这个事实后,到医院买药我都要仔细查看药品的名字和功效。没有人是全能的专家,我很有自信不会在计算机和软件上受骗,但是难保其他人不被骗。写这个文章应该算是社*会责任,于是,我这次充当内部人士揭秘,来看看手机病毒的真相。 普通用户对手机的了解还是太少,能分清智能手机和非智能手机的人就更少了。能知道所谓Symbian和WindowsMobile系统的区别,知道iPhone和RIM这些单词的人算是很高端用户了。不单单普通用户不知道这些概念,连同样是作软件但是不做手机软件的技术人员,也都不清楚这些操作系统的最基本的知识。于是,目前大家能见到铺天盖地的手机病毒爆发,3G来了要装手机杀毒软件,手机中毒后隐私外泄等等如此骇人的广告和说辞。那手机病毒很多嘛?我的手机很慢是中毒了嘛?到哪里装手机杀毒软件?哪个手机杀毒软件最好?一个月多少钱?如果你心中有以上那些问题,那么很荣幸的告诉你,你已经被骗了,你忽略了一个最重要的问题。 手机病毒真的有嘛? 首先我们来区别一下智能手机和非智能手机,目前的数据是国内已售的智能手机占整体手机市场20%,虽然我坚信这个数据会越来越高,
但是就目前来看,如果你的手机不是诺基亚,三星,摩托罗拉,苹果iPhone,黑莓,Palm,多普达,HTC等这些稍高端品牌的话,就基本不用担心手机中毒的事了,也许有人说手机品牌不就是这些嘛,其实能看到这篇文章的人也算是互联网信息圈内的人了,外面有大把的普通用户在用着低端手机,而他们才是最容易受惊吓,最容易以讹传讹的不明真相的群众,传播正确的理念都靠我们了。如果问具体哪个型号的手机是不是智能手机怎么办呢?很简单的方法是到淘宝上搜索该手机,然后找一个信誉最高的商家,产品介绍里面就有是否智能手机这一栏。在知道自己的手机是否是智能手机后,一个最浅显的结论是,如果你的手机不是智能手机,那么手机病毒和你无缘。放心睡大觉吧,别为这事儿烦心了。 糟了,我的是智能手机哦。 别怕,继续往下看。软件病毒实际上是一种对系统有害,更改用户数据,给用户造成经济或名誉损失并能够自我复制自动传播的软件。这个定义里面的一个很关键的词是“自我复制自动传播”,也就是我们常说的感染。智能手机都可以安装很多软件的,看起来就像普通的电脑一样,智能手机好像具备了被感染的能力,也就有中毒的风险。那怎么才会被感染呢?又一个重要的概念出现了,一种智能手机操作系统的软件不可能安装在另外一种智能手机操作系统上(这个说法有一个小漏洞,后面再补上)。如果不理解这句话的话,我来举个例子:棉铃虫是是棉花种植中的一种很严重的病虫灾害,在棉花的主产区很容
一、填空: 1、计算机病毒与生物病毒一样,有其自身的病毒体和寄生体。 2、我们称原合法程序为宿主或宿主程序,存储染有病毒的宿主程序的存储介质为存储介质 宿主;当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中,此时这一系统就称为病毒宿主系统。 3、计算机病毒构成的最基本原则:必须有正确系统不可遏制的传染性,具有一定的破坏性 或干扰性,具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式,每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。 4、病毒引导模块的主要作用是将静态病毒激活,使之成为动态病毒。 5、动态病毒是指要么已进入内存处于活动状态的病毒,要么能通过调用某些中断而获得运 行权,从而可以随心所欲的病毒。 6、系统加载过程通常读入病毒程序的引导部分,并将系统控制权转交病毒引导程序。 7、病毒的存在和加载都是由操作系统的功能调用或ROM BIOS调用加载的。不论何种病 毒,都需要在适当的时机夺取系统的控制权,并利用控制权来执行感染和破坏功能。8、DOS系统的病毒程序的加载有3种方式:参与系统的启动过程,依附正常文件加载,直 接运行病毒的程序。 9、具体来说,病毒加载过程,主要由3个步骤组成:开辟内存空间,使得病毒可以驻留内 存对病毒定位,保持病毒程序的一贯性,并取得系统控制权借以进行传染和发作。恢复系统功能,使得被感染系统能继续有效运行。 10、被动感染过程是:随着拷贝磁盘或文件工作的进行而进行的。 11、主动感染过程是:在系统运行时,病毒通过病毒的载体即系统外存储器进入系统的 内存储器,常驻内存,并在系统内存中监视系统的运行。 12、计算机病毒的感染可分为两大类:立即感染,驻留内存并伺机感染。 13、病毒体:病毒程序。寄生体:可供病毒寄生的合法程序。 14、计算机病毒的感染模块有:感染条件判断模块,实施感染模块。 15、计算机病毒表现模块有:表现条件判断模块,实施表现模块。 16、感染模块的功能是:在感染条件满足时把病毒感染到所攻击的对象。 17、表现模块:在病毒发作条件满足时,实施对系统的干扰和破坏活动。 18、病毒的隐藏技巧,贯穿于3个模块引导、感染、表现之中。 19、病毒的发作部分应具备两个特征:程序要有一定的隐藏性及潜伏性、病毒发作的条 件性和多样性。 20、一个简单的病毒包含的机制有:触发机制、传播机制、表现机制。 21、表现模块发作时破坏的目标和攻击的部位有:系统数据区、文件内存、系统运行、 磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。 22、病毒修改或破坏INT 1H 和3H 这两个中断向量入口地址的方法,使DEBUG中的 T命令和G命令不能正常执行。 23、病毒加密的目的主要是防止跟踪或掩盖有关特征等。 24、所有的计算机病毒都具有混合型特征,集文件感染、蠕虫、木马、黑客程序的特点 于一身。 25、当前流行病毒更加呈现综合性的特点,功能越来越强大,它可以感染引导区、可执 行文件,更主要的是与网络结合。 26、病毒的一般逻辑结构即由两大模块组成:感染模块和表现模块。 27、表现模块主要完成病毒的表现或破坏功能,也称这病毒的载体模块,是计算机病毒 的主体模块。
《骇客交锋》背后看不见的交锋:解密中美伊以新型国家网战 2014年11月,以索尼影像公司遭到黑客攻击为导火索,美国、朝鲜两国在网络上交相攻伐(详见钛媒体文章:《“黑客攻击”也能当借口,奥巴马签署行政命令追加对朝鲜制裁》),引发某些媒体惊呼道:“下一场战争,将是网络战争?”钛媒体科技作者“灯下黑客”告诉我们,不仅仅是下一场战争,实际上,上一场战争已经是网络战争,国家间的网络战早已拉开帷幕 网络战争时代开始于2006年,主角正是震网病毒。它在什么背景下被研发出来的?执行了怎样的命令?达到了怎样的效果?对今天的我们有怎样的启示?有意思的是,作为第一件经过实战检验的病毒武器,震网病毒正式开启了网络战争时代的大门。而因为网战的隐蔽性,大众往往都是看不见的,唯一产生的看得见的成果,却是艺术界受此影响和传导作用产生的一系列艺术作品,例如2015年1月16日,北美开始上映一部新片:《骇客交锋》(Blackhat)。钛媒体作者灯下黑客将这场大战的背后故事一一解答: 2014年11月,索尼影像公司遭到黑客攻击,电脑网络全部瘫痪,职工一度只能靠纸笔办公,仿佛回到三十年前。黑客泄露了大批公司机密,并且要求取消上映《刺杀金正恩》(TheInterview)一片,否则将发动更多袭击。 此举被美国政府定性为恐怖威胁,认为它意在破坏美国的言论自由。根据网络攻击的痕迹,美国还揭露出此番攻击的幕后主使,正是金正恩领导下的朝鲜政府。12月底,朝鲜也受到网络攻击,全国范围内的网络也都无法使用,怀疑是遭到了美国的报复。 美朝两国在网络上交相攻伐,引发某些媒体惊呼道:“下一场战争,将是网络战争?“ 答案是明显的:不仅仅是下一场战争,实际上,上一场战争已经是网络战争。 震网病毒是什么? 2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。那次入侵的战场只在网络之间,武器也只是软件程序,但它却完全符合最严格的战争定义:它发生于国家之间,它针对军事设施和人员,它企图达到某种政治目。因此,震网病毒被认为是人类第一场网络战争,我们早在2006年就已进入网络战争的时代。 这场战争发端于2006年。这一年,伊朗违背先前签订的协议,重启核计划,在纳坦兹核工厂安装大批离心机,进行浓缩铀的生产,为进一步制造核武器准备原料。
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径:该病毒主要通过U盘和局域网进行传播。历史―贡献‖:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。 目录 编辑本段 由于Stuxnet蠕虫病毒是首个针对工业控制系统编写的破坏性病毒,对大型工业、企业用户存在一定的风险,所以,冠群金辰公司病毒防护专家给企业用户提出如下安全防护建议,以提高企业抵御未知安全风险的能力:在终端设备上开启防火墙功能。 为终端设备上所有的应用系统安装最新的补丁程序。 在终端上安装防病毒系统,设置为实时更新病毒库,并将病毒库升级到最新版本。 在终端上的用户设置最小用户权限。 在打开附件或通过网络接收文件时,弹出安全警告或提示。 在打开网络链接时,发出安全警告或提示。 尽量避免下载未知的软件或程序。 使用强口令,以保护系统免受攻击。 两个月前,赛门铁克首次披露了W32.Stuxnet针对工业生产控制系统(ICS) 进行攻击,如应用于管道和核动力工厂的控制系统。读者可参见赛门铁克2010
年7月19日的博客–―W32.Stuxnet 攻击微软零日漏洞利用USB设备大肆传播‖。 2010年9月29日,我们还将在Virus Bulletin 会议上发布一篇包含 W32.Stuxnet详尽技术细节的论文。同时我们也注意到,最近非常多的人开始对Stuxnet感染系统且不易检测的事情表示关注。 由于Stuxnet针对某个特定的工业生产控制系统进行攻击,而这些行为不会在测试环境中出现,因此在测试环境下观察到的病毒行为不全面,很可能产生误导。事实上,运行后,Stuxnet会立即尝试进入一个可编程逻辑控制器(PLC) 的数据块—DB890。这个数据块其实是Stuxnet自己加的,并不属于目标系统本身。Stuxnet 会监测并向这个模块里写入数据,以根据情况和需求实时改变PLC 的流程。 在这篇博客里,我们会深入探讨Stuxnet的PLC感染方式和Rootkit功能,特别是以下几个方面: 它如何选择作为攻击目标的工业生产控制系统;感染PLC代码块的方法;注入PLC的恶意代码;在被感染Windows机器中的PLC Rootkit代码。这四点我们会分开讲,因为用来实现这些目的的代码差异很大。 Stuxnet的目的是通过修改PLC来改变工业生产控制系统的行为,包括拦截发送给PLC的读/写请求,以此判断系统是否为潜在的攻击目标;修改现有的PLC代码块,并往PLC中写入新的代码块;利用Rootkit功能隐藏PLC感染,躲避PLC管理员或程序员的检测。这些任务之间差别很大,比如,在被感染的Windows 机器中隐藏感染代码使用的是标准的C/C++ 代码,而Stuxnet 试图在工业生产控制系统及PLC中执行的恶意代码则是用MC7字节码写的。MC7 是PLC 环境中运行的一种汇编语言,并常用STL 进行编写。 在讨论Stuxnet攻击PLC的技术之前,让我们先来看看PLC是如何访问和编写的。 要进入PLC, 首先需要安装特殊的软件;Stuxnet 会专门针对编写PLC某些模块的WinCC/Step 7软件进行攻击。安装这些软件后,程序员可以通过数据线连接PLC,以访问其中的内容,重新配置PLC,下载程序至PLC,或调试之前加载的代码。一旦PLC被配置和编译后,Windows机器就可以断开和PLC的联系了,PLC会自行运行。为了使您有一个更直观的感受,下图显示了在实际操作中,实验室里一些基本的设备配置:
随着工业4.0、中国制造2025、互联网+、物联网、 两化融合进程的不断交叉融合,越来越多的信息技术应用于工控领域,工业控制系统信息安全正迅速成为新兴战略产业,随之而来的是对于工控网络安全人才的需求的巨大需求,而作为自动化、通信技术、安全技术等交叉的学科类人才的培养,目前尚处在摸索阶段。 ICS 自动化技术 计算机网络 信息安 全技术 工控网络安全所处交叉领域 目前工控网络安全人才市场呈现出人才供需缺口方面、学科交叉不易于培养、学科体系标准缺失教学开展实训缺乏环境等三大类方面的矛盾。华创网安工控安全团队应对于培养高级复合型工业网络安全人才的需求,将产业发展与高等教育深度融合,通过不懈的努力研发了以工控系统网络安全为基础,以物联网安全为导向的工控网络安全移动实验箱,填补了目前行业专业教育的空白,为高校、研究所、教育培训机构、企事业单位开展专业教育提供了有效的攻防实验工具和实
验教程。为迈向工控网络安全专业人才培养的新高度做了新的尝试和探索。 1.0 华创网安便携式工控安全实验箱产品简介 华创网安便携式工控安全实验箱是一款针高校及培训机构教学、科研院所研究、大型企事业单位培训展示的以工控及其工控网络安全为主题设计的移动式平台。该实验箱以精简的自动化系统为基础,很好的融入了华创网安的工控网络安全解决方案。便携式移动实验箱箱集成了主流工业控制器搭建的典型小型控制系统,可模拟典型工业现场环境,并结合华创网安工控网络安全防护解决方案,实现工控网络安全攻防演练功能及展示功能。
工业控制网络安全实验箱 便携式实验箱携带方便、部署简单,并配合丰富的工控网络安全教学课件,可满足工控类及工控安全类人群针对不同的教学及研究要求进行相应的实验。 2.0 实验箱产品的主要特点 移动实验箱集成了典型的小型工业控制系统环境,汇集了华创网安工业控制网络安全防护和审计解决方案,可提供自动化控制系统实验、工控网络攻击实验、工控网络监测和异常行为分析实验、工控网络安全防护实验、工控网络安全事件展示、工控网络典型病毒/木马分析等功能及实验。
android手机木马的提取与分析 Android手机木马病毒的提取与分析为有效侦破使用 手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例,讲述了 如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现, 这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。本文从
Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用,含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。(2)通过发送短信或彩信到用户手机,诱骗手机用户点击短信中URL 或者打开彩信附件,从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式,短信内容不断变化,但对于手机系统来讲,为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取提取的方式,一是根据URL链接地址,从互联网上进行提取;二是根据手机存储的位置,找到安装文件进行提取,比较常见的提取位置有:一般存放在根目录下、DownLoad文
《计算机病毒分析》20春期末考核 1 单选题 1 网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。 A 非法经济利益 B 经济效益 C 效益 D 利润 2 下列属于静态高级分析技术的描述是()。 A 检查可执行文件但不查看具体指令的一些技术分析的目标 B 涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者 C 主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么 D 使用调试器来检查一个恶意可执行程序运行时刻的内部状态 3 可以按()键定义原始字节为代码。 A C键 B D键 C shift D键 D U键 4 以下Windows API类型中()是表示一个将会被Windows API调用的函数。 A WORD B DWORD
C Habdles D Callback 5 用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。 A C键 B D键 C shift+D键 D U键 6 反病毒软件主要是依靠()来分析识别可疑文件。 A 文件名 B 病毒文件特征库 C 文件类型 D 病毒文件种类 7 IDA pro支持()种图形选项 A 1种 B 3种 C 5种 D 7种 8 以下对各断点说法错误的是()。 A 查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点 B 条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序 C 硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
手机病毒的传播机制以及防范策略 舒琛 北京邮电大学信息工程学院 (100876) Email:032057@https://www.doczj.com/doc/4a12171097.html, 摘 要:本文根据手机病毒的传播现状,分析了手机病毒的传播机制,同时得出将计算机病毒的防范机制平移到手机平台是手机病毒防范的良好策略之一。 关键词:病毒防范机制整体平移,蓝牙,手机病毒 §1引言 计算机病毒使计算机这一信息终端受到安全性的挑战才不过数十年,手机病毒就开始了其在手机这一客户的新兴移动终端“兴风作浪”的历程。 §2手机病毒 随着2004年6月全球首例手机蠕虫病毒——“卡波尔”通过手机的蓝牙功能在Symbian手机操作系统的智能手机上传播的实现,手机病毒正式从一种概念成为了一种威胁。[1] §2.1手机病毒的概念 凡是能够引起手机故障,破坏手机数据的程序统称为手机病毒。依据此定义,诸如逻辑炸弹、手机蠕虫等均可称为手机病毒。 手机病毒的产生过程是:程序设计—传播—潜伏—触发—运行—实施攻击。[2] 病毒的产生原因是: (1)开个玩笑或证明病毒制作者的能力。有些精通编程语言的人,为了炫耀或者证明自己的能力,编写了特殊的程序,这些程序将在一定条件下被触发,实现一定的功能,比如在屏幕上显示特殊的字符等。这类病毒一般是良性的,不会对客户的移动终端造成实质性的不良影响。[2] (2)用于版权保护。暂时没有这样的案例,但是不排除在下载服务以及将来智能手机的软件安装上,版权拥有者为了维护自己的经济利益反对盗版而采取相应的措施。 (3)用于特殊目的。一旦手机的电子货币功能真正成熟并且投入使用,不排除有人会为了经济利益而用病毒去盗取帐号、密码。同时,其他有心人士也可能用病毒达成自己的险恶用心。 §2.2病毒特征 手机病毒的特征与一般的计算机病毒既有共同点又有其个性的一面。 共同点有:(1)传染性。即手机病毒程序会自动寻找未经感染的文件,将自身代码强行连接到未受传染的程序之中。(2)未经授权而调用。一般程序是经过用户调用才执行,对用户而言是透明的、可见的。但病毒程序在执行过程中窃取系统的控制权,先于正常程序执行,且它们执行动作对用户而言是未知的,而其目的也是不明确的。(3)隐蔽性。病毒程序一般为了比较隐蔽而设计得短小精悍,而且即使感染它也不会立即发作,以便它有足够的时间进行传播。(4)潜伏性。和生物体内的病毒一样,为了有充分的传播时间,手机病毒不会立即发作,而是在满足特定的激发条件之后才开始运行。(5)破坏性。良性病毒只是开开玩笑,不会造成太大后果,最多是多占了资源。但恶性病毒会破坏数据,盗取帐号,甚至格式化磁盘。[2] 不同点有:(1)传播的途径不同。计算机病毒一般是通过网络、文件拷贝进行传播。而手机病毒是通过蓝牙技术或彩信手动接收到病毒或者通过网络下载并安装了病毒。(2)传播的危害不同。以往的病毒,只是在计算机上大展拳脚,但是手机病毒的出现,使得病 - 1 -