版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、,,,計(jì)算機(jī)病毒中的蠕蟲病毒,制作:楊東方學(xué)號:14514033,主要內(nèi)容,網(wǎng)絡(luò)蠕蟲的定義及其與狹義病毒的區(qū)別蠕蟲的分類蠕蟲的工作原理蠕蟲的行為特征蠕蟲的防治,網(wǎng)絡(luò)蠕蟲,1.1 蠕蟲的起源,1980年,Xerox PARC的研究人員John Shoch和Jon Hupp在研究分布式計(jì)算、監(jiān)測網(wǎng)絡(luò)上的其他計(jì)算機(jī)是否活躍時(shí),編寫了一種特殊程序,Xerox蠕蟲1988年11月2日,世界上第一個(gè)破壞性計(jì)算機(jī)蠕蟲正式誕生Morri
2、s為了求證計(jì)算機(jī)程序能否在不同的計(jì)算機(jī)之間進(jìn)行自我復(fù)制傳播,編寫了一段試驗(yàn)程序?yàn)榱俗尦绦蚰茼樌M(jìn)入另一臺計(jì)算機(jī),他還寫了一段破解用戶口令的代碼11月2日早上5點(diǎn),這段被稱為“Worm”(蠕蟲)的程序開始了它的旅行。它果然沒有辜負(fù)Morris的期望,爬進(jìn)了幾千臺計(jì)算機(jī),讓它們死機(jī)Morris蠕蟲利用sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)行傳播Morris在證明其結(jié)論的同時(shí),也開啟了蠕蟲新紀(jì)元,1 蠕
3、蟲的起源及其定義,Morris,90行程序代碼2小時(shí):6000臺電腦(互聯(lián)網(wǎng)的十分之一)癱瘓1500萬美元的損失 3年緩刑/1萬罰金/400小時(shí)的社區(qū)義務(wù)勞動 病毒的萌芽: 沒有企圖用蠕蟲去破壞數(shù)據(jù)或文件,但他企圖讓蠕蟲廣泛傳播,1.2 蠕蟲的原始定義,蠕蟲這個(gè)生物學(xué)名詞在1982年由Xerox PARC的John F. Shoch等人最早引入計(jì)算機(jī)領(lǐng)域,并給出了計(jì)算機(jī)蠕蟲的兩個(gè)最基本特征:“可以從一臺計(jì)算機(jī)移動到另
4、一臺計(jì)算機(jī)”和“可以自我復(fù)制”1988年Morris蠕蟲爆發(fā)后,Eugene H. Spafford為了區(qū)分蠕蟲和病毒,給出了蠕蟲的技術(shù)角度的定義:“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行,并能把自身的一個(gè)包含所有功能的版本傳
5、播到另外的計(jì)算機(jī)上),1 蠕蟲的起源及其定義,1.3 計(jì)算機(jī)病毒的原始定義,計(jì)算機(jī)病毒從技術(shù)角度的定義是由Fred Cohen在1984年給出的:“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(計(jì)算機(jī)病毒是一種可以感染其它程序的程序,感染的方式為在被感染程序中加入計(jì)
6、算機(jī)病毒的一個(gè)副本,這個(gè)副本可能是在原病毒基礎(chǔ)上演變過來的)1988年Morris蠕蟲爆發(fā)后,Eugene H. Spafford為了區(qū)分蠕蟲和病毒,將病毒的含義作了進(jìn)一步的解釋:“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it req
7、uires that its 'host' program be run to activate it.”(計(jì)算機(jī)病毒是一段代碼,能把自身加到其它程序包括操作系統(tǒng)上。它不能獨(dú)立運(yùn)行,需要由它的宿主程序運(yùn)行來激活它),1 蠕蟲的起源及其定義,1.4 蠕蟲與病毒之間的區(qū)別及聯(lián)系,1 蠕蟲的起源及其定義,1.5 蠕蟲定義的進(jìn)一步說明,計(jì)算機(jī)病毒主要攻擊的是文件系統(tǒng),在其傳染的過程中,計(jì)算機(jī)使用者是傳染的觸發(fā)者,是傳染的
8、關(guān)鍵環(huán)節(jié),使用者的計(jì)算機(jī)知識水平的高低常常決定了病毒所能造成的破壞程度。而蠕蟲主要是利用計(jì)算機(jī)系統(tǒng)漏洞(Vulnerability)進(jìn)行傳染,搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后主動進(jìn)行攻擊,在傳染的過程中,與計(jì)算機(jī)操作者是否進(jìn)行操作無關(guān),從而與使用者的計(jì)算機(jī)知識水平無關(guān)蠕蟲的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性,這也是區(qū)分蠕蟲和病毒的重要因素??梢酝ㄟ^簡單的觀察攻擊程序是否存在載體來區(qū)分蠕蟲與病毒不能簡單的把利用了部分網(wǎng)絡(luò)功能的病毒統(tǒng)稱
9、為蠕蟲或蠕蟲病毒“Melissa網(wǎng)絡(luò)蠕蟲宏病毒”(Macro.Word97.Melissa)、“Lover Letter網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter)等等,都是病毒,而不是蠕蟲。以病毒命名的“沖擊波病毒”(Worm.MSBlast),卻是典型的蠕蟲,1 蠕蟲的起源及其定義,2.1 蠕蟲的分類,根據(jù)蠕蟲的傳播、運(yùn)作方式,可以將蠕蟲分為兩類主機(jī)蠕蟲主機(jī)蠕蟲的所有部分均包含在其所運(yùn)行的計(jì)算機(jī)中在任意給定的時(shí)刻,只有
10、一個(gè)蠕蟲的拷貝在運(yùn)行也稱作“兔子”(Rabbit)網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲由許多部分(稱為段,Segment)組成,而且每一個(gè)部分運(yùn)行在不同的計(jì)算機(jī)中(可能執(zhí)行不同的動作)使用網(wǎng)絡(luò)的目的,是為了進(jìn)行各部分之間的通信以及傳播網(wǎng)絡(luò)蠕蟲具有一個(gè)主segment,該主segment用以協(xié)調(diào)其他segment的運(yùn)行這種蠕蟲有時(shí)也稱作“章魚”(Octopus),2 蠕蟲的分類,2.2 蠕蟲與漏洞,網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動傳播
11、根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同,又可以將其細(xì)分郵件蠕蟲主要是利用MIME(Multipurpose Internet Mail Extension Protocol,多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞(它可以傳送多媒體文件,在一封電子郵件中附加各種格式文件一起送出。),2 蠕蟲的分類,MIME描述漏洞,2.2 蠕蟲與漏洞,網(wǎng)頁蠕蟲主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架,
12、同樣利用MIME漏洞執(zhí)行蠕蟲,這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的,首先由一個(gè)包含特殊代碼的頁面去下載放在另一個(gè)網(wǎng)站的病毒文件,然后運(yùn)行它,完成蠕蟲傳播系統(tǒng)漏洞蠕蟲系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng),它隨機(jī)產(chǎn)生IP并嘗試溢出,然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低,甚至系統(tǒng)崩潰,屬于最不受歡迎的一類蠕蟲,2 蠕蟲的分類,3.1 蠕蟲的基本結(jié)構(gòu),蠕蟲程序的實(shí)體結(jié)構(gòu)
13、蠕蟲程序的功能結(jié)構(gòu),3 蠕蟲的基本原理,3.2 蠕蟲的工作方式與掃描策略,蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”,3 蠕蟲的基本原理,“沖擊波(Blaster)”,爆發(fā)年限:2003年夏季,5.1 “沖擊波清除者”概述,2003年8月18日,互聯(lián)網(wǎng)中出現(xiàn)一種清除“沖擊波”(Worm.MSBlast) 的蠕蟲(MSBlast.Remove.Worm/ W32)該蠕蟲利用Windows RPC DCOM漏洞(MS03-02
14、6)及Windows IIS WEBDAV(MS03-07)作為感染攻擊手段,并通過TFTP(UDP69簡單文件傳輸協(xié)議)下載病毒體到被感染機(jī)器中該蠕蟲不在被感染系統(tǒng)留后門,也不會進(jìn)行有目的的拒絕服務(wù)攻擊。其感染目的是清除MSBlast.Worm/W32病毒體及分別為Win2000、Win XP的韓文系統(tǒng)、繁體中文系統(tǒng)、簡體中文系統(tǒng)、英文系統(tǒng)下載和安裝Windows RPC DCOM(MS03-26)安全補(bǔ)丁,而且該蠕蟲還具有定時(shí)自毀
15、功能該蠕蟲也稱作“Chian”蠕蟲,因其體內(nèi)有“~~~ Welcome Chian~~~”字樣。據(jù)蠕蟲作者在某安全網(wǎng)站發(fā)表的聲明,“Chian”是“China”的筆誤,5 “沖擊波”清除者分析,紅色代碼(Code Red,2001年),“紅色代碼”病毒是2001年一種新型網(wǎng)絡(luò)病毒,其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時(shí)代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合,將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體,開創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路,可稱之為劃時(shí)代的病毒。如
16、果稍加改造,將是非常致命的病毒,可以完全取得所攻破計(jì)算機(jī)的所有權(quán)限并為所欲為,可以盜走機(jī)密數(shù)據(jù),嚴(yán)重威脅網(wǎng)絡(luò)安全。,紅色代碼,“紅色代碼”蠕蟲是通過微軟公司 IIS系統(tǒng)漏洞進(jìn)行感染,它使IIS服務(wù)程序處理請求數(shù)據(jù)包時(shí)溢出,導(dǎo)致把此“數(shù)據(jù)包”當(dāng)作代碼運(yùn)行,蠕蟲駐留后再次通過此漏洞感染其它服務(wù)器。 “紅色代碼”蠕蟲采用了一種叫做"緩存區(qū)溢出"( 可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動等后果。更為嚴(yán)重的是,可以利用它
17、執(zhí)行非授權(quán)指令,甚至可以取得系統(tǒng)特權(quán),進(jìn)而進(jìn)行各種非法操作。 )的黑客技術(shù),利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來進(jìn)行蠕蟲傳播。這個(gè)蠕蟲使用服務(wù)器的端口80進(jìn)行傳播,而這個(gè)端口正是Web服務(wù)器與瀏覽器進(jìn)行信息交流的渠道。,紅色代碼,“紅色代碼II”蠕蟲代碼首先會判斷內(nèi)存中是否已經(jīng)注冊了一個(gè)名為CodeRedII的Atom(系統(tǒng)用于對象識別),如果已存在此對象,表示此機(jī)器已被感染,蠕蟲進(jìn)入無限休眠狀態(tài),未感染則注冊Atom并創(chuàng)建300個(gè)惡
18、意線程,當(dāng)判斷到系統(tǒng)默認(rèn)的語言ID是中華人民共和國或中國臺灣時(shí),線程數(shù)猛增到600個(gè),創(chuàng)建完畢后初始化蠕蟲體內(nèi)的一個(gè)隨機(jī)數(shù)生成器(Rundom Number Generator),此生成器隨機(jī)產(chǎn)生IP地址讓被蠕蟲去發(fā)現(xiàn)這些IP地址對應(yīng)的機(jī)器的漏洞并感染之。每個(gè)蠕蟲線程每100毫秒就會向一隨機(jī)地址的80端口發(fā)送一長度為3818字節(jié)的病毒傳染數(shù)據(jù)包。巨大的蠕蟲數(shù)據(jù)包使網(wǎng)絡(luò)陷于癱瘓。,紅色代碼病毒,紅色代碼(2001年)是一種計(jì)算機(jī)蠕蟲病毒,
19、能夠通過網(wǎng)絡(luò)服務(wù)器和互聯(lián)網(wǎng)進(jìn)行傳播。2001年7月13日,紅色代碼從網(wǎng)絡(luò)服務(wù)器上傳播開來。它是專門針對運(yùn)行微軟互聯(lián)網(wǎng)信息服務(wù)軟件的網(wǎng)絡(luò)服務(wù)器來進(jìn)行攻擊。極具諷刺意味的是,在此之前的六月中旬,微軟曾經(jīng)發(fā)布了一個(gè)補(bǔ)丁,來修補(bǔ)這個(gè)漏洞。被它感染后,遭受攻擊的主機(jī)所控制的網(wǎng)絡(luò)站點(diǎn)上會顯示這樣的信息:“你好!歡迎光臨www.worm.com!”。隨后病毒便會主動尋找其他易受攻擊的主機(jī)進(jìn)行感染。這個(gè)行為持續(xù)大約20天,之后它便對某些特定IP地址發(fā)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 計(jì)算機(jī)病毒ppt
- 常見計(jì)算機(jī)病毒簡介
- 計(jì)算機(jī)病毒
- 計(jì)算機(jī)病毒防治
- 計(jì)算機(jī)畢業(yè)論文---常見計(jì)算機(jī)病毒檢測預(yù)防研究
- 計(jì)算機(jī)病毒教案
- 計(jì)算機(jī)病毒第5章計(jì)算機(jī)病毒檢測技術(shù)概要
- 計(jì)算機(jī)病毒外文翻譯
- 計(jì)算機(jī)病毒外文翻譯
- 計(jì)算機(jī)病毒及防護(hù)
- 計(jì)算機(jī)英文文獻(xiàn)翻譯---計(jì)算機(jī)病毒
- 計(jì)算機(jī)病毒畢業(yè)論文-- 計(jì)算機(jī)病毒解析與防范技術(shù)研究
- 計(jì)算機(jī)病毒防范技術(shù)論文
- 計(jì)算機(jī)病毒實(shí)驗(yàn)報(bào)告
- 計(jì)算機(jī)病毒 畢業(yè)論文
- 計(jì)算機(jī)病毒實(shí)驗(yàn)報(bào)告
- 計(jì)算機(jī)病毒特性及其防治
- 計(jì)算機(jī)病毒基礎(chǔ)知識
- 計(jì)算機(jī)安全與計(jì)算機(jī)病毒的預(yù)防探究
- 淺析計(jì)算機(jī)病毒及實(shí)例_0
評論
0/150
提交評論