计算机病毒、蠕虫和特洛伊木马介绍-网络安全基础课讲义.pptVIP

计算机病毒、蠕虫和特洛伊木马介绍-网络安全基础课讲义.ppt

  1. 1、本文档共44页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
计算机病毒、蠕虫和特洛伊木马 提纲 计算机病毒 网络蠕虫 特洛伊木马 计算机病毒 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范 计算机病毒的结构 计算机病毒的分类 按攻击平台分类:DOS,Win32,MAC,Unix 按危害分类:良性、恶性 按代码形式:源码、中间代码、目标码 按宿主分类: 引导型 主引导区 操作系统引导区 文件型 操作系统 应用程序 宏病毒 引导型病毒—引导记录 主引导记录(MBR) 引导型病毒——系统引导过程 引导型病毒—感染与执行过程 病毒的激活过程 举例—小球病毒(Bouncing Ball) 在磁盘上的存储位置 感染后的系统启动过程 触发条件--修改后的INT 13 病毒检测原理 特征匹配 例如,在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AX JMP F000∶AF1A PUSHF 行为监控 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存 软件模拟 防范与检测 数据备份 不要用移动介质启动(设置CMOS选项) 设置CMOS的引导记录保护选项 安装补丁,并及时更新 安装防病毒软件,及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护 文件型病毒—文件结构 .COM文件 .EXE 文件 其他可执行的文件类型 .BAT .PIF .SYS .DRV .OVR .OVL .DLL .VxD 文件型病毒感染机理 文件型病毒举例 最简单的病毒Tiny-32(32 bytes) 寻找宿主文件 打开文件 把自己写入文件 关闭文件 宏病毒(Macro Virus) 历史: 1980年,Dr. Fredrick Cohen and Ralf Burger 论文 1994年,Microsoft Word 第一例宏病毒 Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw. 使用数据文件进行传播,使得反病毒软件不再只关注可执行文件和引导区 DOE ViRT 统计,85%的病毒感染归因于宏病毒 易于编写,只需要一两天的时间,10-15行代码 大量的用户:90 Million MS Office Users 人们通常不交换程序,而交换数据 宏病毒工作机理 注意事项 Macro 可以存在模板里,也可以存在文档里 RTF文件也可以包含宏病毒 通过IE 浏览器可以直接打开,而不提示下载 提纲 计算机病毒 网络蠕虫 特洛伊木马 蠕虫(Worm) 一个独立的计算机程序,不需要宿主 自我复制,自主传播(Mobile) 占用系统或网络资源、破坏其他程序 不伪装成其他程序,靠自主传播 利用系统漏洞; 利用电子邮件(无需用户参与) 莫里斯蠕虫事件 发生于1988年,当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh,rexec:用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测 CR I 主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计,至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:\notworm文件是否存在以判断是否感染 中文保护(是中文windows就不修改主页) 攻击白宫! CR II Inspired by RC I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统,由于一些参数的问题,只会导致NT死机 休眠与扫描:中文windows,600个线程 Nimda 简介 影响系统:MS win9x, wind2k, win XP 传播途径: Email、文件共享、页面浏览、 MS IIS目录遍历、Code Red 后门 影响 群发电子邮件,付病毒 扫描共享文件夹, 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server 红色代码病毒 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。 2001年7月中旬,在美国等地大规模蔓延。 2001年8月初,出现变种coderedII,针对中文版windows系统,国内大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存,不通过文件载体。 利用IIS缓冲区溢出漏洞(2001年6月18日发布) CodeRed I 在侵入一台服务器后,其运行步骤是: 设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着使用RVA(相对虚拟地址)查找GetProcAddress的函数

文档评论(0)

mkt361 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档