计算机安全-2.2病毒分析.ppt
《计算机安全-2.2病毒分析.ppt》由会员分享,可在线阅读,更多相关《计算机安全-2.2病毒分析.ppt(48页珍藏版)》请在咨信网上搜索。
1、计算机安全技术计算机病毒分析5/21/202411 计算机病毒的状态n计算机病毒在传播过程中存在两种状态,即静态和动态q静态病毒,是指存在于辅助存储介质中的计算机病毒,一般不能执行病毒的破坏或表现功能,其传播只能通过文件下载(拷贝)实现q因为静态病毒尚未被加载、尚未进入内存,不可能获取系统的执行权限q病毒之所以处于静态,有两种可能n没有用户启动该病毒或运行感染了该病毒的文件n该病毒存在于不可执行它的系统中q当病毒完成初始引导,进入内存后,便处于动态。动态病毒本身处于运行状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用,都是动态病毒的“杰作”5/21/2
2、02421 计算机病毒的状态n计算机病毒的基本流程与状态转换q病毒由静态转变为动态的过程,称为病毒的启动。实际上,病毒的启动过程就是病毒的首次激活过程q内存中的动态病毒又有两种状态:可激活态和激活态。n当内存中的病毒代码能够被系统的正常运行机制所执行时,动态病毒就处于可激活态n一般而言,动态病毒都是可激活的n系统正在执行病毒代码时,动态病毒就处于激活态n病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态n对于处于不同状态的病毒,应采用不同的分析、清除手段5/21/202431 计算机病毒的状态计算机病毒的基本流程与状态转换计算机病毒的基本流程与状态转换5/21/2024
3、42 计算机病毒的基本环节n计算机病毒要完成一次完整的传播破坏过程,必须经过以下几个环节:q分发拷贝阶段q潜伏繁殖阶段q破坏表现阶段n在任何一个环节(阶段)都可以抑制病毒的传播、蔓延,或者清除病毒n我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延5/21/20245病毒的目的n快速传染n隐藏自己n变形5/21/20246病毒感染的一般过程 计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机,并借助操作系统和宿主程序的运行,复制自身,大量繁殖。计算机病毒感染的一般过程为:当计算机运行染毒的宿主程序时,病毒夺取控制权。寻找感染的突破口。将病
4、毒程序嵌入感染目标中。5/21/20247文件型病毒传染原理和特征5/21/20248核心态与用户态n操作系统代码、设备驱动程序代码使用特权级0(Ring 0),工作于系统核心态n普通的用户程序使用特权极3(Ring 3),工作在用户态Windows 2000/XP下下普通应用程序普通应用程序对核心态功能的对核心态功能的调用示意调用示意5/21/20249获取API函数地址qWin32程序一般运行在Ring 3级,处于保护模式qWin32下的系统功能调用,不是通过中断实现,而是通过调用动态连接库中的API函数实现qWin32 PE病毒和普通Win32 PE程序一样需要调用API函数实现某些功能
5、,但是对于Win32 PE病毒来说,它只有代码节,并不存在引入函数节q病毒就无法象普通PE程序那样直接调用相关API函数,而应该先找出这些API函数在相应DLL中的地址5/21/202410搜索感染目标文件n搜索文件是病毒寻找目标文件的非常重要的功能n在Win32汇编中,通常采用如下几个API函数进行文件搜索qFindFirstFilen根据文件名查找文件qFindNextFilen根据调用FindFirstFile函数时指定的一个文件名查找下一个文件qFindClosen用来关闭由FindFirstFile函数创建的一个搜索句柄5/21/202411病毒感染技术n感染是一个病毒赖以长期存活的
6、根本,所以要大规模的搜索,感染感染再感染!nFindFirstFile,FindNextFile,FindClose,除非你hook了某些系统API(参考Win32.Kriz),否则这三个API是Win32病毒必备的、搜索再搜索,感染再感染。n目前Win32病毒分为两个主流,一类最常见,覆盖host程序最后一个section的relocation,或者干脆直接缀在最后一个section后面,把它扩大一些。这种技术很简单,例子可参见Funlove,有着复杂的polymorphism引擎,体积比较大的病毒一般也都用这种技术。n第二类就是像Elkern那样把自己尽可能地插进host体内,尽可能地插,
7、对于VC编译出来的PE文件,它的file alignment是4K,所以section之间的空隙加起来很可能有4,5K,足可以容下一个Win32病毒。这种技术比较麻烦一些,调试也复杂,主要流行的有Elkern。5/21/202412蠕虫传染原理5/21/202413蠕虫与漏洞n网络蠕虫最大特点是利用各种漏洞进行自动传播n根据网络蠕虫所利用漏洞的不同,又可以将其细分q邮件蠕虫n主要是利用MIME(Multipurpose Internet Mail Extension Protocol,多用途的网际邮件扩充协议)漏洞MIME描述漏洞描述漏洞5/21/202414蠕虫与漏洞q网页蠕虫(木马)n主要
8、是利用IFrame漏洞和MIME漏洞n网页蠕虫可以分为两种q用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫,这是直接沿用邮件蠕虫的方法q用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它,完成蠕虫传播q系统漏洞蠕虫n利用RPC溢出漏洞的冲击波、冲击波杀手n利用LSASS溢出漏洞的震荡波、震荡波杀手n系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并尝试溢出,然后将自身复制过去n它们往往造成被感染系统性能速度迅速降低,甚至系统崩溃,属于最不受欢迎的一类蠕虫5/21/202415蠕虫的工作方式与扫描策
9、略n蠕虫的工作方式一般是“扫描攻击复制”5/21/202416蠕虫的工作方式与扫描策略n蠕虫的扫描策略q现在流行的蠕虫采用的传播技术目标,一般是尽快地传播到尽量多的计算机中q扫描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机进行扫描q没有优化的扫描程序可能会不断重复上面这一过程,大量蠕虫程序的扫描引起严重的网络拥塞n对扫描策略的改进q在IP地址段的选择上,可以主要针对当前主机所在的网段进行扫描,对外网段则随机选择几个小的IP地址段进行扫描q对扫描次数进行限制,只进行几次扫描q把扫描分散在不同的时间段进行5/21/202417蠕虫的工作方式与扫描策略n蠕虫常用的扫描策略q
10、选择性随机扫描(包括本地优先扫描)q可路由地址扫描(Routable Scan)q地址分组扫描(Divide-Conquer Scan)q组合扫描(Hybrid Scan)q极端扫描(Extreme Scan)5/21/202418感染的主机数与感染强度示意图5/21/202419木马的传染方式5/21/202420特洛伊木马的定义n特洛伊木马(Trojan Horse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视
11、/控制键盘,或窃取用户信息n古希腊特洛伊之战中利用木马攻陷特洛伊城;现代网络攻击者利用木马,采用伪装、欺骗(哄骗,Spoofing)等手段进入被攻击的计算机系统中,窃取信息,实施远程监控5/21/202421特洛伊木马的定义n木马与病毒q一般情况下,病毒是依据其能够进行自我复制即传染性的特点而定义的q特洛伊木马主要是根据它的有效载体,或者是其功能来定义的,更多情况下是根据其意图来定义的q木马一般不进行自我复制,但具有寄生性,如捆绑在合法程序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中q木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性,但我们习惯上将
12、其纳入广义病毒,也就是说,木马也是广义病毒的一个子类n木马的最终意图是窃取信息、实施远程监控n木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性5/21/202422特洛伊木马的结构n木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成5/21/202423特洛伊木马的基本原理n运用木马实施网络入侵的基本过程5/21/202424特洛伊木马的基本原理n用netstat查看木马打开的端口5/21/202425特洛伊木马的基本原理n木马控制端与服务端连接的建立q控制端要与服务端建立连接必须知道服务端的木马端口和IP地址q由于木马端口
13、是事先设定的,为已知项,所以最重要的是如何获得服务端的IP地址q获得服务端的IP地址的方法主要有两种:信息反馈和IP扫描5/21/202426特洛伊木马的基本原理木马控制端与服务端连接的建立木马控制端与服务端连接的建立5/21/202427特洛伊木马的基本原理n木马通道与远程控制q木马连接建立后,控制端端口和服务端木马端口之间将会出现一条通道q控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制,实现的远程控制就如同本地操作5/21/202428特洛伊木马的基本原理n木马的基本原理q特洛伊木马包括客户端和服务器端两个部分,也就是说,木马其实是一个服务
14、器-客户端程序q攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。只要用户运行该软件,特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程q攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马q获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的5/21/202429特洛伊木马的传播方式n木马常用的传播方式,有以下几种:q以邮件附件的形式传播n控制端将木马伪装之后添加到附件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 安全 2.2 病毒 分析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。