篇一:蠕虫病毒
计算机病毒原理与对抗
实验报告—蠕虫病毒
院 (系):
专 业:
班 级:
学 生:
学 号:
指导教师:
2016年5月
一.实验目的
1.了解计算机蠕虫的定义
2.了解计算机蠕虫攻击原理
3.了解漏洞溢出原理养成良好的编程习惯
4.尝试编写计算机蠕虫专杀工具
二.实验原理
1.蠕虫定义
计算机蠕虫,就是通常我们所说的计算机蠕虫病毒,因其与计算机病毒有着很大的不同,因此我们在这里将其称之为计算机蠕虫,而不说它是蠕虫病毒。 a.计算机蠕虫与计算机病毒的定义
计算机蠕虫是这样一个程序,他能在计算机中独立的运行,并将自身的一个拷贝传播到另一个计算机上。
计算机病毒是一段代码,他能把自身加到其他程序,包括操作系统上。它不能独立的运行,而需要有它的宿主程序的运行来激活它。
b.计算机蠕虫与计算机病毒的区别
c.计算机蠕虫的主要工作方式
计算机蠕虫的一般工作方式是:“扫描->攻击->复制”。
(1)扫描
一般计算机蠕虫通过根据宿主机上的IP按照一定规律生成IP地址进行网段扫描,当发现存活主机后开始攻击。由于这一阶段计算机蠕虫向网络中发送大量的探测数据,所以很容易造成网络堵塞,这也是蠕虫病毒的最大危害之一。
(2)攻击
当计算机蠕虫发现存活主机后,通过向存活主机发送漏洞溢出数据(代码),来对存活主机进行漏洞溢出,当溢出成功后,基本上就获得了溢出主机的控制权,继而向存活主机拷贝自己的副本。
(3)复制
计算机蠕虫通过向存活主机拷贝自己的方式实现自身的繁殖。
d.计算机蠕虫技术
通过上面的介绍,不难发现,计算机蠕虫实际上和计算机病毒有着根本的不同,其存在的目的只是复制自己,它也是计算机应用技术的产物,现在的计算机蠕虫编写者已将计算机蠕虫技术和计算机病毒技术融合,进而产生了极具破坏型的计算机蠕虫病毒,这些新型的蠕虫病毒,专以窃取破坏他人计算机上的信息为目的,通过感染目的主机,在目的主机上留下足够权限的后门,以供攻击者进一步控制目的主机使用。这种计算机蠕虫病毒的流行给社会经济带来了极大的危害。但同时我们也看到,有一些善意的计算机蠕虫病毒的存在,像“冲击波清除者”这样的计算机蠕虫,利用“冲击波”蠕虫病毒的传播方式进行传播,当进入目标主机后,它会主动修复当前主机的漏洞,并在一特定时间后删除病毒自身文件。虽然像“冲击波清除者”这样的病毒是善意的,但由于它在网络中的扫描,还是会给计算机网络通信带来严重的负担。
2.缓冲区溢出
通过向程序的缓冲区(堆、栈等)中写入超出其长度的数据,造成缓冲区溢出。缓冲区的溢出可以破坏程序执行流程,使程序转向执行其它指令。利用缓冲区溢出可以达到攻击主机的目的。
缓冲区溢出的根本原因在于语言本身的一些特性。从数据结构的角度来说,最根本的原因是由于指针、数组的存在,导致了一系列存储操作上的问题。而直接的原因则是“没有对数组的越界加以监视和限制”。程序编写者的经验不足或粗心大意使得缓冲区溢出几乎无处不在,导致程序不够健壮,为缓冲区溢出攻击留下了隐患。
3.实验蠕虫病毒工作原理
由于计算机蠕虫是利用系统漏洞进行传播的,当计算机漏洞还没有相关补丁的时候,就只能靠手工手段来清除蠕虫病毒了,一个专杀工具可以节省多次手工操作的麻烦。
一般来讲,每一种蠕虫病毒都存在一些特征,利用这些特征,很容易就可以实现病毒的清除。实验中我们利用virus_main.exe来模拟计算机蠕虫病毒,virus_body.exe来模拟有溢出漏洞的程序。该病毒具有如下特点:
在感染的主机上开启3001端口。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run下建立一个名为LookAtMe的启动键值,用来在每次计算机启动是加载程序的执行,并且计算机蠕虫程序体始终都是一个叫virus_main.exe的可执行文件。病毒在运行期间还会向网络中发送ARP探测请求,来寻找下一个攻击目标,如探测到存活主机,它会向目标存活主机的3000端口发送溢出代码,溢出成功后,在目标主机上开启3001端口准备接受蠕虫拷贝程序。
下面是实验中杀毒例程的流程图:
三.实验步骤
1.验证病毒感染过程
(1)确定主机A与B处于同一网段内。
(2)主机A进入实验平台,单击工具栏“实验目录”按钮进入蠕虫病毒实验目录,执行漏洞程序test_virus_body.exe,并启动协议分析器,设置过滤器仅捕获ARP数据包。主机B同样进入蠕虫病毒实验目录,执行蠕虫模拟程序virus_main.exe,这时主机B会不断弹出网页。
(3)主机A单击协议分析器工具栏刷新按钮,查看ARP协议相关数据,会发现存在很多以主机B的IP地址为源的ARP请求数据包。请观察被探测IP地址顺序,它们大多数是 连续 (连续/非连续)的。
(4)主机A等待被蠕虫病毒探测,直到被感染(成功现象为:主机A
被病
篇二:蠕虫病毒及木马的分析与防范
课程论文
课程名称:信息安全与保密
论文题目:蠕虫病毒和木马分析与防范
专 业:信息管理与信息系统
蠕虫病毒和木马分析与防范
摘要:随着计算机技术的飞速发展,网络越来越成为人们生活中必不可少的一部分,然而信息安全问题也在这一背景下成为越来越重要的一个关注点。在影响信息安全的种种问题中,计算机病毒无疑是最应该受到重视的,进一步了解其原理,才能达到更好的防范。
关键词:信息安全 蠕虫病毒 木马 原理 防范
Abstract:With the rapid development of computer technology, Internet has increasingly become an indispensable part of people's lives. However, information security issues are becoming increasingly important in this context. As we all know, the computer virus is the most important issue should be pay attention to. Only by understanding its principles can we achieve better prevention.
Keywords:Information Security Worm virus Trojans Principle Precautions.
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 随着计算机技术的飞速发展,计算机信息安全问题越来越受关注。在影响信息安全的安全威胁中计算机病毒是非常重要的一个方面。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的某些部分通常是经过网络连接到其他的计算机系统中。近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动
硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。这是中国近些年来,发生比较严重的一次蠕虫病毒发作。影响较多公司,造成较大的损失。且对于一些疏于防范的用户来说,该病毒导致较为严重的损失。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法 ,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。另外,可以启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。从2004年起,MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展。另外,面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高。2、经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止,就可以大大减少被网页恶意代码感染的几率。具体方案
是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。4、不随意查看陌生邮件,尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序。
相比于蠕虫病毒, “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。一个完整的特洛伊木马套装程序含了两部分:服务端和客户端。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据,黑客甚至可以利用这些打开的端口进入电脑系统。特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划对一不怀疑的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出
来.独立的称之为"木马"程序。
木马有很多种分类。其中网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
对于如何进行木马的防御,第一点就是木马查杀,现在有很多的软件可以进行木马查杀。还有就是防火墙(分硬件和软件),如果是家庭就只需要用软件,如果是公司或其他地方就硬件和软件一起用。这样就基本能防御大部分木马,但是的软件都不是万能的,还要学点专业知识,进一步保证计算机安全。
越来越多的人参与到网络生活中来,网络也在人的生活中发挥越来越重要的作用。因此只有保证了网络安全才能够更好的促进网络的发展,使之进一步紧密联系生活,促进发展。信息安全在网络发展中成为一个重要命题,我们只有进一步去了解研究,才能更好的解决现今存在的种种问题。
参考文献:
1、《计算机病毒揭密》 [美]David Harley 朱代祥 贾建勋 史西斌(译) 人民邮电出版社
2、《计算机病毒防治与网络安全手册》 廖凯生 海洋出版社
3、《计算机病毒原理及防治》 卓新建 北京邮电出版社
4、《关于蠕虫病毒的对话》[J] 程序员 2003年10期
5、《信息安全与通信保密》[J] 张旗 张锋 马琰刚 2008年06期
6、《蠕虫病毒的研究及其检测控制策略》[J]刘中兵;曾令院 科技经济市场 2006年09期
7、《网络蠕虫扩散中蠕虫和良性蠕虫交互过程建模与分析》[J]
杨峰 段海新 李星 中国科学E辑2004年08期
8、《基于CDC的良性蠕虫对抗蠕虫的建模与分析》[J]
篇三:蠕虫病毒与普通病毒的区别
蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。在这两类蠕虫中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
木马就是在没有授权的条件下,偷偷运行的程序。
木马与病毒有两点本质的不同:
1、木马不会自动传染,病毒一定会自动传染;
2、木马是窃取资料的,病毒是破坏文件的
简单的木马只能盗取帐号、密码,很多木马可以窃取对方计算机上的全部资料,以达到完全监视完全控制的目的。
蠕虫通常是网络操作系统进行传播,目的是攻击服务器或子网,形成DDos攻击(拒绝服务)。 蠕虫会开启多个线程大面积传播,在传播过程中占用宽带资源,从而达到攻击的目的,其实本身对计算机没有太大伤害。
由于蠕虫是通过网络或操作系统漏洞进行感染,所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有