蠕虫病毒的特征Word格式.docx
《蠕虫病毒的特征Word格式.docx》由会员分享,可在线阅读,更多相关《蠕虫病毒的特征Word格式.docx(30页珍藏版)》请在冰点文库上搜索。
蠕虫病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
4.技术分析以暴风一号病毒为例。
根据病毒的VBS脚本语言,病毒首先通过执行strreverse()函数,得到病毒的解密函数。
解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。
所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
病毒会遍历各个磁盘,并向其根目录写入Autorun.inf以及.vbs文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的Wscript.exe复制到C:
WindowsSystemsvchost.exe如果是FAT格式,病毒会将自身复制到C:
WindowsSystem32下,文件名为随机数字。
如果是NTFS格式,病毒将会通过NTFS文件流的方式,将其附加到如下文件中C:
Windowsexplorer.exe,C:
WindowsSystem32smss.exe。
并且病毒会修改注册表,使进程异常,如果满足一定条件,则会触发锁定计算机等恶意行为。
5.实验步骤及结果1).实验环境:
靶机——192.168.2.1812).实验需求:
暴风一号病毒样本暴风一号病毒专杀工具3).实验过程:
(1).查看中毒前的相关设置,在文件夹工具栏->
文件夹选项设置不显示隐藏文件和文件夹。
(2).点击打开病毒文件,查看中毒后的电脑情况:
(I).病毒自我变形,在压缩状态下打开病毒样本,打开后,提示文件已改变,是否保存到压缩文件中。
(II).病毒自我复制,病毒运行后,会将系统的Wscript.exe复制到C:
WindowsSystemsvchost.exe。
如果硬盘属性是FAT格式,病毒会将自身复制到C:
WindowsSystem32下,文件名为随机数字。
如果硬盘属性是NTFS格式,病毒将会通过NTFS文件流的方式,将其附加到如下文件C:
WindowsSystem32smss.exe中。
(III).修改注册表,文件夹工具栏->
文件夹选项->
显示隐藏文件和文件夹打钩,并取消勾选隐藏系统文件,但查看隐藏文件的选项失效。
(IV).在硬盘中创建所有文件的快捷方式,并隐藏部分真正的文件,对用户打开文件具有很大的诱惑性。
(3).病毒的清除:
(I).利用暴风一号专杀病毒BoyFineKiller把病毒查杀。
(II).利用工具stream.exe和del.vbs来修复硬盘。
(III).除了利用专门的工具查杀和修复,还可以上网查找到该病毒的手动查杀方式。
6.问题答疑目前网络上危害大的蠕虫病毒有哪些?
答:
1).熊猫烧香病毒2).QQ群蠕虫病毒——————————————————————————指导教师评语:
装订线————————————————————————————————实验成绩:
指导(辅导)教师:
蠕虫病毒的原理蠕虫病毒的原理如对大今家电的威胁脑最大就的网络蠕属虫毒病了!
如今对大家的脑威电最胁大就属的网络蠕病虫毒了!
络网虫蠕病毒的害之危简大令人吃直,从大惊名鼎鼎的爱虫到欢时乐光,到红再色代码,其坏破力越来强越因此我,们有必要解网了蠕络病虫毒。
蠕病虫与一般毒计的算病机毒不,它不同用将自采拷贝附身到加其他程中序方的来式制自复,己以所在病中毒也它是算个一另。
蠕类虫病毒的坏性很破强部,分虫蠕病毒仅可以不在因特网兴上作浪风,局域网也成了它们施身手展的舞台―蠕虫―毒病以可潜在基于客户伏机/务服机式的局模网域服务机的的上件内,当客软机访户服务机,问并有毒的对软件施实下载后病,毒就神不知鬼、觉不地服从机上务贝拷到户客上机了。
其实脚本病毒很是容制易造的它,们利用了视都窗系统的放性开特点。
的别是特CM到COO+M组的编程件思路一,个脚程序能调用功能更本大组的来完成件己的功自能。
V以B脚本病(如毒乐欢时、I光LovYou、库e尼科娃病毒、尔Hoepmae病毒等)为例g,们他是把.都bv脚s本文件添在附件中,最使后用*.tmhv.bs等欺骗性文件名的。
下我们面细了解一下详虫蠕病的几毒特性,从大中找对到蠕付虫毒的方法病。
一蠕、虫毒病有具自我复制能力我们普以的通V脚B本例来为看看:
eSobtjsF=rCateebjOetc(criStpign.FileysSteOmbejtc)建创个一文系统对件象ojFsb.CeraeTexttileF("
Cv:
rusitx."
t,1)通过文系件对象统的方创法了建一TXT文件。
个如我果把们这两话句保成为存.bs的VBv脚本文件,击就点在C会中创盘一个T建X文件了。
T倘我们把第二若改句为:
boFj.GesFile(WStricp.StrciptFulNlame).opC("
y:
Ciruvs.vb"
)s就可以将身自制到复盘Cvrisuv.s这个b文。
本句件前是打开这个脚本文件,面WcSriptS.ricpFtullaNm指e是明个程序本这身是一,个完的整路文件名。
径GeFtil函数获得e这文个件Co,y函p将数个这文复件到制C盘根目录v下irusv.bs这文个件这。
简么单两句就的现实了自复制的我能,功已具备经毒的病基特征―本自―复制能我力。
二蠕虫病毒具有很强的、传性播毒需要病传,播电邮件子毒病的播传疑无通过是子电邮传件的播。
对Ou于toLok说地址来簿功的能相当错,可是也不病给毒传播的打开了方便之门几。
乎所通过OutLoo有k播的传子邮电件病都毒向是地簿中址存储的电子邮件址发送内地相同的脚本附同完件成的。
看如看下的码代:
蠕虫病毒与普通病毒的区别蠕虫病毒和一般的病毒有着很大的区别。
对于蠕虫,现在还没有一个成套的理论体系。
一般认为:
蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!
根据使用者情况将蠕虫病毒分为两类:
一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。
以红色代码、尼姆达以及最新的SQL蠕虫王为代表。
另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。
在这两类蠕虫中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。
第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
木马就是在没有授权的条件下,偷偷运行的程序。
木马与病毒有两点本质的不同:
1、木马不会自动传染,病毒一定会自动传染;
2、木马是窃取资料的,病毒是破坏文件的简单的木马只能盗取帐号、密码,很多木马可以窃取对方计算机上的全部资料,以达到完全监视完全控制的目的。
蠕虫通常是网络操作系统进行传播,目的是攻击服务器或子网,形成DDos攻击(拒绝服务)。
蠕虫会开启多个线程大面积传播,在传播过程中占用宽带资源,从而达到攻击的目的,其实本身对计算机没有太大伤害。
由于蠕虫是通过网络或操作系统漏洞进行感染,所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。
蠕虫病毒的检测和防御研究青岛科技大学蠕虫病毒的检测和防御研究题目____________________________________________________________________指导教师__________________________学生姓名__________________________学生学号_____________________________________________________班院(部)____________________________专业______________________年___月___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;
在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;
最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:
蠕虫病毒;
检测;
防御;
网络安全目录前言...........................................................................................................11蠕虫病毒相关知识介绍........................................................................21.1蠕虫病毒定义..............................................................................21.2蠕虫病毒工作流程和行为特征..................................................21.3蠕虫病毒国内外研究现状..........................................................42蠕虫病毒检测技术研究........................................................................52.1基于蠕虫特征码的检测技术......................................................52.2基于蠕虫行为特征的检测技术..................................................52.3基于蜜罐和蜜网的检测技术......................................................62.4基于贝叶斯的网络蠕虫检测技术..............................................63蠕虫病毒防御技术研究........................................................................83.1企业防范蠕虫病毒措施..............................................................83.2个人用户防范蠕虫病毒措施......................................................94总结......................................................................................................10致谢.........................................................................................................11参考文献.................................................................................................12前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等,在网络的快速发展带动下,使得计算机不断遭受到了非法入侵,不法黑客人员盗取了一些重要信息,甚至造成了操作系统的瘫痪,对个人和企业都带来了相当巨大的经济损失,同时对国家网络安全也构成威胁,带来了无法估计的损失。
最早开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件,从此后蠕虫病毒的研究成为了一项重要的课题。
2009年中国计算机病毒疫情调查技术的分析报告指出,中国网络安全态势发展进一步加大,网上制作和贩卖蠕虫、病毒以及木马等活动日益严重,并通过这些蠕虫病毒侵害网络的现象日趋上升。
2010年上半年期间,CNCERT/CC一共接收了4780次网络安全的事件报告,相比上一年增长了105%,其中恶意代码占到了57.57%的比例,中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。
近几年,出现了很多病毒和蠕虫危害,比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等,严重影响和干扰了计算机网络安全,侵害了个人和企业以及国家的财产安全,而且蠕虫病毒的网上传播仍然十分猖獗,对网络安全的威胁依然存在。
因此,网络蠕虫的研究是我们必须要关心的问题,对蠕虫病毒进行检测和防御技术研究具有重要意义。
基于此研究背景和网络安全形势,本文将对蠕虫病毒的检测和防御技术进行研究。
具体包括:
(1)蠕虫病毒相关知识介绍。
介绍蠕虫病毒的定义、工作流程以及行为特征,并简要分析国内外研究现状;
(2)蠕虫病毒检测技术研究。
介绍基于蠕虫特征码、行为特性等方面的检测控制技术;
(3)蠕虫病毒防御技术研究。
从企业网络和个人用户角度,研究防御蠕虫攻击的主要措施。
1蠕虫病毒相关知识介绍1.1蠕虫病毒定义关于蠕虫病毒的定义很多,最早的定义是EugeneH.Spafford给出的:
蠕虫是可以独立运行的,并且能够自我复制且传播到其他计算机上的一段程序代码。
但是随着网络的发展和科技的进步,蠕虫病毒出现了各种不同的变种,且产生了难以抑制的效果,因此学者们给予了多种多样的定义。
Elder和Kienzle认为:
网络蠕虫是通过计算机网络来进行传播,无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式。
尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要体现在以下几个方面:
(1)蠕虫病毒独立运行,不需要用户进行干预;
(2)蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径很多,传播的速度较快,对网络和计算机安全破坏性强。
蠕虫一般是通过计算机的漏洞进行传播,国家网络安全中心每年发现的计算机漏洞数量惊人,尤其是近几年来,蠕虫病毒利用了很多零日漏洞进行传播,对网络安全和计算机构成了严重威胁。
1.2蠕虫病毒工作流程和行为特征
(1)蠕虫病毒工作流程网络蠕虫病毒的工作流程一般可以分为四个阶段:
扫描、攻击、处理、复制。
扫描主要是对目标地址空间内存在漏洞的计算机,收集相关信息以备攻击电脑,为攻击目标而准备;
攻击阶段则是对扫描出的存在漏洞的计算机进行攻击,并感染目标机器;
处理阶段隐藏自己在已感染的主机上,并且给自己留下后门,执行破坏命令;
复制阶段主要是自动生成多个副本,主动感染其他主机,达到破坏网络的效果。
蠕虫病毒的整个工作流程如图1-1所示。
图1-1蠕虫病毒工作流程
(2)蠕虫病毒行为特征通过对网络蠕虫的定义介绍以及工作流程分析,可以归纳出蠕虫的行为主要特性,具体如下:
①自我复制和主动攻击。
蠕虫具有自我复制和主动攻击功能,当蠕虫病毒被释放后,它们会自动搜索当前网络系统是否存在机器漏洞,如果存在则进行攻击,反之则寻找新的系统查找漏洞,整个流程都是蠕虫自身完成,不需要人工进行任何干预。
②利用系统漏洞进行攻击。
蠕虫通过计算机系统漏洞进行攻击,没有漏洞则不能攻击系统,因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。
③极具破坏性。
随着网络的发展,蠕虫病毒也越来越具有破坏性,造成了巨大的经济损失,使得计算机系统崩溃,深圳网络瘫痪等情况。
④反复攻击性。
即使清理掉了蠕虫病毒被,在计算机重新连接到网络之前没有为之漏洞打补丁,那么这台计算机依然可能会被感染,蠕虫病毒会反复攻击。
⑤使得计算机系统性能下降,整个网络塞堵甚至瘫痪。
蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成计算机系统性能下降;
当扫描到存在系统漏洞的计算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来巨大的经济损失。
⑥很好的伪装以及隐藏方式。
蠕虫病毒一般都具有较高隐藏功能,用户不容易发现,不能及时清理,同时它们会在感染计算机系统后留下逃脱后门。
1.3蠕虫病毒国内外研究现状随着蠕虫病毒的发展,网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒,其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。
2005年以来,产生了很多具有代表性的安全方案,具体地主要有:
2004年底,锐捷网络推出了全局安全网络解决方案,相比于简单的杀毒软件+防火墙这种体系来说,其安全措施加强了对于网络终端安全性的控制以及修复。
对每个用户计算机加载一个客户端软件,如果发现有蠕虫病毒侵入,立即通知服务器,服务器将会隔离此用户与正常用户,并修复入侵系统漏洞。
当修复完成之后,安全客户端软件还会自动重新检测用户系统,在确定系统已解除安全隐患之后才允许再次进入网络。
通过这种自动检测和拦截技术,将蠕虫病毒等安全隐患拒之门外,能够防患于未然。
趋势科技公司推出了企业安全防护战略-EPS(EnterpriseProtectionStrategy),主要是采用蠕虫病毒入侵检测技术,不断地侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,随即隔离所有的危险设备。
以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和网络的发展,蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中,蠕虫病毒的研究始终是一项重要的研究内容。
2蠕虫病毒检测技术研究蠕虫技术的不断扩大对网络的安全构成了极大的威胁,甚至有可能带来网络瘫痪,造成巨大的经济损失,因此必须采取有效措施和途径,对网络蠕虫进行检测和控制,下面将对蠕虫病毒的检测技术进行研究。
2.1基于蠕虫特征码的检测技术基于蠕虫特征码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特征进行匹配。
具体的检测原理是:
首先收集一些蠕虫恶意代码的特征值,然后在这些特征值的基础上创建相应的特征码规则库,当检测计算机是否受到蠕虫病毒感染或者攻击时,将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配,若是匹配成功则说明该网络存在异常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝访问。
由以上检测原理可见,这种检测技术存在一定的限制,只有当特征码规则库中存在恶意行为的特征码规则时,才能够匹配成功,判定该网站存在恶意行为,进行抑制或者反击。
在这种情况下,若是有些蠕虫病毒并没有在规则库中匹配成功,不能被检测出来,那么该网络就可以通过检测,对计算机系统造成危害,带来不可预测的经济损失,因此需要对规则库实时进行维护和更新,确保最新的蠕虫病毒特征码存储在特征库中,能够被识别出来。
目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh,这两种方法提供实时提取特征码功能,基于Rabinfingerprint算法。
当蠕虫病毒变形扩散后,单一连续的字符串不能够作为特征码使用,为此JamesNewsome提出了著名的Ploygraph检测系统,可以提取出具有蠕虫变形规律的特征码。
2.2基于蠕虫行为特征的检测技术基于蠕虫行为特征的检测技术主要包括四种方法:
统计分类法、简单阈值法、信号处理法以及智能计算法。
其中简单阈值法的检测指标是与连接相关的指标,包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。
Bakos提出了一种蠕虫行为特征检测技术,利用了
升级会员 