搜索
第二篇网络攻击篇第9章利用病毒和木马进行网络攻击第9章利用病毒和木马进行网络攻击计算机病毒对计算机系统所产生的破坏效应,使人们清醒地认识到其所带来的危害性。现在,每年的新病毒数量都是以指数级在增长,而且由于近几年传输媒质的改变和因特网的大面积普及,导致计算机病毒感染的对象开始由工作站(终端)向网络部件(代理、防护和服务器设置等)转变,病毒类型也由文件型向网络蠕虫型改变。现今,世界上很多国家的科研机构都在深入地对病毒的实现和防护进行研究。9.1计算机病毒9.2蠕虫病毒9.3木马的原理分析9.4反病毒技术9.5实验:利用木马进行攻击第9章利用病毒和木马进行网络攻击9.1计算机病毒病毒是一段具有自我复制能力的代理程序,它将自己的代码写入宿主程序的代码中,以感染宿主程序,每当运行受感染的宿主程序时病毒就自我复制,然后其副本感染其他程序,如此周而复始。它一般隐藏在其他宿主程序中,具有潜伏能力,自我繁殖能力,被激活产生破坏能力。9.1计算机病毒9.1.1计算机病毒的基本结构9.1.2计算机病毒的分类9.1.3计算机病毒的工作原理9.1.4计算机病毒的传播途径及危害计算机病毒的机构基本相似,一般说来是由以下3个程序模块组成:引导模块:首先被执行,负责把病毒程序加载到内存合适的区域。传染模块:完成计算机病毒的复制传播任务。破坏与表现模块。9.1.1计算机病毒的基本结构1、按感染对象分类据感染对象的不同,病毒可分为三类:(1)引导型病毒:感染计算机存储介质的引导区,将自身全部或部分逻辑取代正常的引导记录。可在计算机运行前取得控制权。如Bupt,Monkey等。(2)文件型病毒:感染计算机系统中独立存在的文件。病毒在文件运行或被调用时驻留内存传染,破坏。如Honking,CIH等。(3)混合型病毒:感染对象是引导区或文件,具有更复杂的算法,采用非常规方法入侵。如Onehalf,V3787.9.1.2计算机病毒的分类根据针对的系统不同,病毒分为3类:DOS病毒;宏病毒;Windows病毒。2、按感染系统分类根据病毒的感染方式不同,可以分为:源码型病毒;入侵型病毒;操作系统型病毒;外壳病毒。3、按感染方式分类文件型的病毒将自身附着到一个文件当中,通常是附着在可执行的应用程序上。(如:一个字处理程序或DOS程序)。通常文件型的病毒是不会感染数据文件的。然而数据文件可以包含有嵌入的可执行的代码,如:宏。9.1.3计算机病毒的工作原理引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码,然后再继续PC机的启动进程。大多数情况,在这台染有引导型病毒的机器对可读写的软盘进行读写操作,那么这块软盘也就会被感染。9.1.3计算机病毒的工作原理混合型病毒有上面所说的两类病毒的某些特性。有代表性的有:当执行一个被感染的文件,它将感染硬盘的引导扇区或分区扇区,并且感染在机器上使用过的软盘,或感染在带毒系统上进行格式化操作的软盘。9.1.3计算机病毒的工作原理宏病毒主要感染一般的设置文件,如:WORD模版,导致以后所编辑的文档都会带有可感染的宏病毒。欺骗病毒――这种病毒能够以某种长度存在,从而将自己从可能被注意的程序中隐蔽起来。9.1.3计算机病毒的工作原理多形性病毒:多形性病毒又名“幽灵”病毒,是指采用特殊加密技术编写的病毒,这种病毒在每感染一个对象时采用随机方法对病毒主体进行加密,因而完全多形性病毒的主要不同样本中甚至不存在连续两个相同的字节。这种病毒主要是针对查毒软件而设计的,使得查毒软件的编写更困难,并且还会带来许多误报。9.1.3计算机病毒的工作原理伙伴病毒:这种病毒通过一个文件传播,首先该文件将代替用户本希望运行的文件被执行,之后再运行原始的文件。例如:MYAPP.EXE文件可能通过创建名为MYAPP.COM的文件被感染。因为根据DOS的工作方式,当用户在C提示符下敲入MYAPP时,MYAPP.COM将代替MYAPP.EXE文件而运行。MYAPP.COM首先运行它带有感染性的程序,然后再默默地执行MYAPP.EXE文件。9.1.3计算机病毒的工作原理目前计算机病毒的传播途径主要有:通过软盘、ROM、磁盘等介质传播;通过计算机网络通信引起的病毒传播;通过点对点通信系统和无线信道传播9.1.4计算机病毒的传播途径及危害计算机病毒的危害主要有:降低计算机或网络系统正常的工作效率;破坏计算机系统与用户的数据;窃取重要信息。9.1.4计算机病毒的传播途径及危害9.2蠕虫病毒蠕虫也是一段独立的可执行程序,它可以通过计算机网络把自身的拷贝(复制品)传给其他的计算机。它可以修改删除别的程序,也可以通过疯狂的自我复制来占尽网络资源,从而使网络资源瘫痪。同时蠕虫又具有病毒和入侵者双重特点:像病毒那样,它可以进行自我复制,并可能被当作假指令去执行,像入侵者那样,它以穿透网络系统为目标。与以前出现的病毒在机理上有很大不同(与网络结合),一般把非蠕虫病毒称为传统病毒,把蠕虫病毒称为蠕虫。9.2蠕虫病毒9.2.1蠕虫病毒的发展与现状9.2.2几个典型蠕虫病毒9.2.3网络蠕虫的扫描策略最早出现的网络蠕虫病毒是美国的小莫里斯编写的,并在美国军方的局域网内活动,但是,必需事先获取局域网的权限和口令。世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒,当你在网上向外发出信件时,HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标中,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不再干什么了。9.2.1蠕虫病毒的发展与现状1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成了巨大的经济损失。2000年至今,是网络蠕虫开始大闹互联网的发展期。最初的蠕虫病毒尽管蔓延速度快,严重威胁着计算机系统的安全,但由于其结构简单,功能单一,在技术上也比较初等。9.2.1蠕虫病毒的发展与现状Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。邮件病毒的出现,使人们认识到Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到日前为止还比较少;近年来,新蠕虫层出不穷,危害越来越大,其造成的危害程度远远超过传统的病毒。9.2.1蠕虫病毒的发展与现状2001年CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。2001年9月18日,Nimda蠕虫被发现,与以前的蠕虫不同的是Nimda开始结合病毒技术。因此Nimda的定性引起了广泛争议。9.2.1蠕虫病毒的发展与现状由于蠕虫在网络中持续扫描,寻找容易受到攻击的系统,它就会从已经被感染的计算机上下载能够进行自我复制的代码,蠕虫驻留系统后在注册表中创建键值,以达到随系统启动而自动运行的目的,使得系统操作异常、不停重启、甚至导致系统崩溃。9.2.1蠕虫病毒的发展与现状1、W32.Worm.Sasser病毒该病毒会对被感染的机器(WinNT、Win2000、WinXP、Win2003操作系统)造成巨大的危害。W32.Worm.Sasser即“震荡波”蠕虫。此病毒利用Windows平台的Lsass漏洞进行传播。可能会导致被感染的机器无法正常使用,直至系统崩溃。9.2.2几个典型蠕虫病毒2、Worm.Blaster病毒冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server2003。9.2.2几个典型蠕虫病毒3、CodeRed病毒CodeRed(红色代码)蠕虫是一个IIS(MicrosoftInternetInfomationServer)蠕虫,只对安装了IIS系统的机器有威胁。它直接通过漏洞进入计算机内存造成IIS溢出并传染攻击其他装有微软IIS,IndexService服务器的计算机,CodeRed又称为IIS-Worm.Bady。9.2.2几个典型蠕虫病毒4、Myparty病毒Myparty是一种电子邮件蠕虫。像其他蠕虫病毒一样,它使用用户的机器发送大量的电子邮件。W32/Myparty病毒能够引起CPU、网络和邮件服务器的拥塞,并可能造成拒绝服务。9.2.2几个典型蠕虫病毒5、BadTrans蠕虫Win32/BadTrans蠕虫能够执行任意代码,并截获用户的按键信息。该病毒通过电子邮件传播,运行着微软Win95、98、Me、2000和NT的系统在接收和打开邮件时都有可能感染该病毒。9.2.2几个典型蠕虫病毒6、Nimda(尼姆达)蠕虫尼姆达蠕虫病毒能够对系统造成彻底的破坏。该病毒使用多种方式传播,其中包括电子邮件。9.2.2几个典型蠕虫病毒按照蠕虫对目标地址空间的选择方式进行分类。扫描策略包括:1、选择性随机扫描(selectiverandomscan)2、顺序扫描(sequentialscan)3、基于目标列表的扫描(hit-listscan)4、基于路由的扫描(routablescan)5、基于DNS扫描(DNSscan)6、分治扫描(divide-conquerscan)7、被动式扫描(passivescan)9.2.3网络蠕虫的扫描策略随机扫描会对整个地址空间的IP随机抽取进行扫描,而选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间,也是随机扫描策略的一种,所选的目标地址按照一定的算法随机生成,互联网地址空间中未分配的或者保留的地址块不在扫描之列。选择性随机扫描具有算法简单、易实现的特点,若与本地优先原则结合,则能达到更好的传播效果。但选择性随机扫描容易引起网络阻塞,使得网络蠕虫在爆发之前易被发现,隐蔽性差。CodeRed,Slappe的传播采用了选择性随机扫描策略。1、选择性随机扫描顺序扫描是指被感染主机上蠕虫会随机选择一个C类网络地址进行传播。根据本地优先原则,蠕虫一般会选择它所在网络内的IP地址。若蠕虫扫描的目标地址IP为A,则扫描的下一个地址IP为A+1或者A-1。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略的不足是对同一台主机可能重复扫描,引起网络拥塞。W32.Blaster是典型的顺序扫描蠕虫。2、顺序扫描基于目标列表的扫描是指网络蠕虫在寻找受感染的目标之前预先生成一份可能易传染的目标列表,然后对该列表进行攻击尝试和传播。目标列表生成方法有两种:第一种,通过小规模的扫描或者互联网的共享信息产生目标列表;第二种,通过分布式扫描可以生成全面的列表的数据库。理想化蠕虫Falsh就是一种基于IPV4地址空间列表的快速扫描蠕虫3、基于目标列表的扫描基于路由的扫描是指网络蠕虫根据网络中的路由信息,对IP地址空间进行选择性扫描的一种方法。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测,而这些地址大部分在互联网上是无法路由的,因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的,它就能够更快、更有效地进行传播,并能逃避一些对抗工具的检测。基于路由的扫描极大地提高了蠕虫的传播速度。4、基于路由的扫描基于DNS扫描是指网络蠕虫从DNS服务器获取IP地址来建立目标地址库。该扫描策略的优点在于,所获得的IP地址块具有针对性和可用性强的特点。基于DNS扫描的不足是:(1)难以得到有DNS记录的地址完整列表;(2)蠕虫代码需要携带非常大的地址库,传播速度慢:(3)目标地址列表中地址数受公共域名主机的限制。例如,CodeRed所感染的主机中几乎一半没有DNS记录。5、基于DNS扫描分治扫描是网络蠕虫之间相互协作、快速搜索易感染主机的一种策略。网络蠕虫发送地址库的一部分给每台被感染的主机,然后每台主机再去扫描它