病毒、蠕虫、木马病毒蠕虫木马.ppt

最小权限原则 * 引导模块的功能是借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。 传染模块的功能将病毒迅速传染，尽可能扩大染毒范围。 病毒的传染模块由两部分组成：条件判断部分和程序主体部分，前者负责判断传染条件是否成立，后者负责将病毒程序与宿主程序链接，完成传染病毒的工作。 * 疯狂自由女孩（Lhsurdj.exe）病毒：释放的文件 C:\windows\system32\lhsurdj.exe? C:\windows\system32\eohuylj.exe? C:\windows\system32\eohuylj.inf? C:\windows\system32\musz1s.dll? C:\windows\system32\musz2s.dll? C:\windows\system32\uuygec.dll? C:\windows\system32\uuygec.nls? 各个盘的根目录下会自动产生lhsurdj.exe和autorun.inf?其中uuygec.dll?和uuygec.nls还修改了创建时间来隐藏自己。 所有病毒文件都需清除干净。只要有一个未被删除，重启后仍会生成并加载之前那些病毒文件。 ? 注册表部分： 添加了以上文件生成的项及启动记载项；破坏“显示隐藏文件”的功能：? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced?下的 ShowSuperHidden?改为0 * Metasploit利用ms08_067漏洞，获取控制权 * 木马的发展历程 第一代木马出现在网络发展的早期，以窃取计算机密码为主要目的，即简单的密码窃取、发送等，其在隐藏和通信方面均无特别之处 第二代木马使用标准的C/S(客户/服务器)模式，实现了远程文件管理、屏幕监视、远程操纵等功能。 第三代木马，提高了通信方面的隐藏程度。第三代木马不打开连结端口进行监听，而是采用ICMp和UDP协议进行通信或者采用反向连接技术从服务器端向客户端发起连接，以便突破防火墙的拦截。 第四代木马主要在进程隐藏和启动隐藏方面作了大的改进，即采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程或者挂接PSAPI，实现了木马进程的隐藏 第五代木马主要实现了传播方式的隐藏。木马通过与病毒、蠕虫紧密结合，利用目标主机系统漏洞，主动传播感染目标主机，而不必像以前的木马那样需要欺骗用户点击运行才能实现传播 木马分类 远程管理木马（remote administration Trojans,RAT） Back Orifice 2000,Subseven 分布式攻击 Trin00 Flood（是Unix下的Win32.TrinZombie) RingZero扫描网上的代理服务器并将其结果返回给黑客 拒绝服务攻击 邮件炸弹，ping，UDP或ICMP洪流 截获声音和图像 电话拨号木马 盗取口令木马 键盘记录木马 寄生木马 用于收集主机的各类信息，用户的统计信息 木马的传播 以邮件附件方式传播 通过聊天工具传播 通过软件下载的网络传播，把木马程序捆绑在正常的文件中，用户执行安装文件时就会运行木马。 通过一般的网络病毒传播 通过光盘和磁盘传播 电子邮件 一般针对Outlook/Outlook Express。 使用HTML格式的邮件，内嵌脚本通过Windows Scripting Host执行附件程序。 利用Outlook Express 或Windows Active Desktop的预览功能进行自动传播。 通过“通讯簿”确定传播目标，标题较吸引人，或会随机改变，以迷惑收件人。 特洛伊木马隐身方法 主要途径有 躲避（改成重要的系统文件名） 绑定器（将木马和合法程序混合在一起产生一个可执行的程序） 在任务栏中隐藏自己 “化妆”为驱动程序 使用动态链接库技术 隐藏监听端口\隐藏通信 必威体育精装版隐藏技术（rootkit技术） 木马防御方法总结 端口扫描 扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序/动态链接木马，扫描端口不起作用 查看连接 在本地机上通过netstat -a查看所有的TCP/UDP连接 查看启动文件 AUTOEXEC .BAT,CONFIG.SYS,WIN.BAT,SYSTEM.INI,WIN.INI 检查注册表 通过检查注册表来发现木马在注册表里留下的痕迹 查看内存 查找文件 木马的特征文件，特殊端口 熊猫烧香 在虚拟机中激活病毒，并按步骤对系统进行观察，分析病毒行为，最后对病毒进行查杀。过程中应对步骤进行相