主要内容 网络与系统攻击原理与技术 网络信息探测 系统信息探测 拒绝服务攻击 软件缓冲区溢出攻击 计算机木马 计算机病毒与蠕虫.

Presentation on theme: "主要内容 网络与系统攻击原理与技术 网络信息探测 系统信息探测 拒绝服务攻击 软件缓冲区溢出攻击 计算机木马 计算机病毒与蠕虫."— Presentation transcript:

1 主要内容 网络与系统攻击原理与技术 网络信息探测 系统信息探测 拒绝服务攻击 软件缓冲区溢出攻击 计算机木马 计算机病毒与蠕虫

2 什么是木马？ 木马是如何发展的？

3 木马的概念 定义：特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，它具备破坏和删除文件、发送密码、记录键盘和用户操作、破坏用户系统甚至瘫痪的功能。 木马设计者将这些木马程序插入到软件、邮件等宿主中，网络用户执行这些软件时，在毫不知情的情况下，木马就进入了他们的计算机，进而盗取数据，甚至控制系统。

4 木马的概述 木马可以被分成良性木马和恶性木马两种。良性的木马本身没有什么危害，关键在于控制该木马的是什么样的人。
恶性木马则可以隶属于“病毒”家族，这种木马被设计出来的目的就是用来进行破坏与攻击的。

5 木马的表现 机器有时死机，有时又重新启动 在没有执行什么操作的情况下，拼命读写硬盘 系统莫明其妙地对软驱进行搜索
没有运行大的程序，而系统的速度越来越慢，系统资源占用很多 用任务管理器调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多

6 木马与病毒的区别 特洛伊木马与前面介绍的病毒或蠕虫是有一定的区别的 ，因为它不会自行传播 如果恶意代码进行自我的复制操作，那就不是特洛伊木马
如果恶意代码将其自身的副本添加到文件、文档或者磁盘驱动器的启动扇区来进行复制，则被认为是病毒 如果恶意代码在无需感染可执行文件的情况下进行复制，那这些代码被认为是某种类型的蠕虫 如果恶意代码进行自我的复制操作，那就不是特洛伊木马

7 特洛伊木马的种植 木马病毒一般分成客户端和服务端两个部分。对于木马而言，它的客户端和服务端的概念与传统的网络环境的客户端和服务端的概念恰恰相反的。 要想将木马植入目标机器，首先需要进行伪装。 木马进行伪装之后就可以通过各种方式进行传播了。比如，将木马通过电子邮件发送给被攻击者、将木马放到网站上供人下载、通过其它病毒或蠕虫病毒进行木马的传播等等。

8 特洛伊木马的行为 浏览文件系统，修改、删除、获取目标机器上的文件 查看系统的进程信息，对该系统的进程进行控制
查看系统注册表，修改系统的配置信息 截取计算机的屏幕显示，发送给客户端 记录被攻击系统的输入、输出操作，盗取密码等个人信息 控制计算机的键盘、鼠标或其它硬件设备的动作 以被攻击者的计算机为跳板，攻击网络中的其它计算机 通过网络下载新的病毒文件

9 木马的分类 自木马程序诞生至今，已经出现了多种类型，对它们进行完全的列举和说明是不可能的，更何况大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，甚至有很多从未公开的功能在一些木马中也广泛地存在着。 远程控制木马 密码发送木马 键盘记录木马 破坏性质的木马 DoS攻击木马 代理木马 FTP木马

10 木马伪装的方法 （1）修改图标 （2）捆绑文件 （3）出错显示 （4）自我销毁 （5）木马更名

11 木马的实现技术 木马的常用启动方式 对于一般的应用程序来说通常有下面的几种自启动方式：
a.把程序放入系统的启动目录中，注意在windows中有两个自启动目录； b.把程序的自启动设置到系统配置文件中，如win.ini、system.ini等中； c.在注册表中进行配置实现程序的自动启动； d.把程序注册为系统服务； e.替换系统文件；(该方法在目前的Windows2000及以后的操作系统中已经基本失效)； 木马为了达到隐藏自己的目标，通常在设置注册表启动项时具有很强的迷惑性，有些木马还可以随机更改有关的启动项。

12 木马的发展 与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。
1986年出现了世界上第一个计算机木马。 1989年出现的木马更具戏剧性，它通过邮政邮件进行传播 计算机网络的快速发展给木马病毒的传播带来了极大的便利，木马的发展速度和破坏能力已经是以前的木马病毒无法比拟的了。 从木马的发展来看，大致可以将木马分成四代。

13 木马的发展 第一代木马功能非常简单，主要针对Unix系统，有BO、Netspy等，而且功能非常简单。
第二代木马功能大大的加强，几乎能够进行所有的操作，国外有代表性的有BO2000和Sub7，而国内几乎就是冰河和广外女生的天下了。 第三代木马继续完善了连接与文件传输技术，增加了木马穿透防火墙的功能，并出现了“反弹端口”技术，如国内常见的“灰鸽子”等。 第四代木马除了完善之前几代木马的所有技术外，还增加了进程隐藏技术，使得系统对与木马的存在和入侵更加难以发现，如现在常见的“机器狗木马的变种”等。

14 第二代木马 广外女生与冰河被认为是标准的第二代木马它们功能强大，操作方便，曾经占领了国内木马的半壁江山
“广外女生”是中国的两个黑客少女，是历史上第一个写杀反毒软件木马的少女，是中国最早的女黑客少女，是大学里读外贸的两个小女生。但是她们的昙花一现却让几乎所有的男性黑客位之动容，并成了许多新一代年轻黑客崇拜的偶像！ 

15 广外女生木马

16 第三代木马 灰鸽子是国内一款著名木马。比起前辈冰河、黑洞来和GWgirl，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。 灰鸽子除了能够远程视频监控，还有语音监听、语音发送功能，只要远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片！还可以把远程摄像头捕获的画面存为Mpeg格式.远程语音也可以录制成Wav声音文件。

17 灰鸽子

18 第四代木马 第四代木马在进程隐藏方面， 做了大的改动，采用了内核插入式的嵌入方式。
机器狗木马是一种高危的第四代感染型木马，用户一旦中招，在任务管理器中就会出现两个EXPLORER.EXE或explorer.exe进程。另一个明显特征是，感染病毒应用程序无法运行，同时伴随CPU满负荷，电脑风扇运转过快等外部表现。

19 木马多线程技术 一个木马同时运行多个线程。

20 主要内容 网络与系统攻击原理与技术 网络信息探测 系统信息探测 拒绝服务攻击 软件缓冲区溢出攻击 计算机木马 计算机病毒

21 计算机病毒概述与分类 1、计算机病毒的定义 计算机病毒是能够具有潜伏性、传染性、破坏性等特征的程序。 2、计算机病毒的危害
如果病毒的实施模块被激发时，可以进行删除文件、破坏系统和格式化磁盘、破坏网络系统与计算机系统、堵塞网络流通、毁坏计算机与网络硬件资源等严重的破坏活动。

22 计算机病毒的危害 攻击文件：包括可执行文件、数据文件、删除文件和数据。
攻击内存：大量占用和消耗内存空间，占用CPU时间，阻扰内存中常驻程序正常运行。 攻击邮件。 阻塞网络。

23 病毒历史 1983年 计算机安全专家考因证明了病毒的可实现性。 1987年 世界各地发现了形形色色的计算机病毒。
1983年 计算机安全专家考因证明了病毒的可实现性。 1987年 世界各地发现了形形色色的计算机病毒。 1989年 全世界的计算机病毒攻击十分猖獗。 1989年 10月13日为“世界计算机病毒流行日” 1991年 “海湾战争”中美军将计算机病毒用于实战。 1992年 出现针对杀毒软件的“幽灵”病毒。 1996年 首次出现针对微软公司Office的“宏病毒”。 1998年 被公认为计算机反病毒界的CIH病毒年。 CIH病毒从台湾传入国内，共有三个版本：1.2版/1.3版/1.4版，发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒，是迄今为止破坏最为严重的病毒。 1999年 完全通过Internet传播的病毒的出现，从而使病毒在极短的时间内遍布全球。

24 病毒历史 2001年9月一种名为“尼姆达”的蠕虫病毒席卷世界 。“尼姆达”病毒在全球各地侵袭了830万部电脑，总共造成约5.9亿美元的损失。 2003年1月25日，一种新的蠕虫病毒再次震惊了世界。人们给这一病毒起了不同的名字：“2003蠕虫王”、“强风”、“SQL杀手”等等。这一蠕虫病毒攻击互联网开始于北京时间25日13时15分左右，除我国外，全球已经有2.2万个网络服务器受到这一病毒的攻击而瘫痪。 我国互联网出现大面积网络流量异常，访问速度非常慢，情况严重的网络一度中断，无法使用。 韩国全国的有线和无线互联网服务几乎同时中断，韩国情报通信部立即宣布进入紧急工作状态。 美国最大的银行之一美洲银行由于遭到病毒袭击，1.3万台自动取款机发生故障，长达几个小时的时间内不能为顾客进行交易……

25 病毒的特征 1. 传染性 传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。 2. 未经授权而执行 病毒隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。 3. 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。

26 4. 潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。 5. 破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。 6. 不可预见性 从对病毒的检测方面来看，病毒还有不可预见性。病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。

27 病毒的分类 按功能方式分类 文件型病毒、引导型病毒、宏病毒、木马病毒、脚本病毒、邮件病毒、蠕虫病毒。

28 文件型病毒的引导过程 对于文件型病毒，由于它们是依附于可执行文件上，所以病毒引导进入系统的方式，与系统可执行文件的装入执行过程紧密相关。

29 引导型病毒加载过程 在自举过程中，自举程序将磁盘中的引导扇区装入内存0000:7C00处执行时，对引导扇区的合法性并未做检查，而是简单地、机械地读入执行。后面我们要介绍的“传染引导扇区型”病毒就是利用了DOS自举中这一弱点，使病毒程序先于正常DOS引导程序获得控制

30 常见宏病毒 （1） 只进行自身的传播，并不具有破坏性的类型。如较常见的有一种AutoOpen宏病毒。
（2）只对用户进行骚扰，但不破坏系统的类型。如“台湾No．1”宏病毒。 （3）使打印中途中断或打印出混乱信息的类型。如Nuclear、Kompu等属此类。 （4）极具破坏性的类型。MDMA．A(无政府者一号)，这种病毒既感染中文版Word，又感染英文版Word，发作时间是每月的1日。破坏性表现为在机器的批处理文件： Autoexec．bat中加入“deltree/y c：”一句，机器在下一次启动后就将自动删除C盘上的所有文件。

31 宏病毒的特点 (a) 传播极快。Word宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型，这给Word宏病毒传播带来很多便利。 (b) 制作、变种方便。Word使用宏语言Word Basic来编写宏指令。宏病毒同样用WordBasic来编写。 (c) 破坏可能性极大。Word Basic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用Windows API，调用DDE、DLI等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。

32 建立宏的方法 “工具”->“宏”->“编辑”，用户开始创建宏，可以在Normal.dot模板下输入宏病毒，调试完毕后，选择“运行”命令即可。也可以使用“Visual Basic编辑器”来创建非常灵活、功能强大的宏，其中可以包括不能录制的Visual Basic指令。方法：“工具”->“宏”->“Visual Basic编辑器”，输入宏病毒代码，调试完毕后，选择“运行”命令即可。

33 脚本病毒 脚本程序的执行离不开WSH（Windows Script Host，Windows 脚本宿主）环境，WSH为宿主脚本创建环境。也就是说，当脚本到达你的计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。

34 脚本病毒的主要特点 由于脚本是直接解释执行，可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。
这类病毒通过htm文档， 附件或其它方式，可以在很短时间内传遍世界各地，其手段相似，无非是在附件中安置病毒本体，然后利用人类天生的好奇心，通过邮件主题或邮件内容诱惑人们点击附件中的病毒体而被感染。比如I Love You，库尔尼科娃病毒、蔡依林裸照病毒等。 新型的邮件病毒的邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活，如“Romeo & Juliet”(罗密欧和朱丽叶)、“Happy Time”（欢乐时光）等，也有人说这才是真正意义上的邮件病毒。

35 蠕虫病毒 计算机蠕虫病毒是一种可以通过网络连接进行自身复制的程序，与以往病毒方式不同，文件型病毒、宏病毒需要在计算机的硬盘、软盘或文件系统中繁殖，而典型的蠕虫病毒只会在内存中维持一个活动副本，甚至根本不向硬盘写入任何信息。 就是像蠕虫一样“寄生”在其他东西上进行传播的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。