篇一:蠕虫病毒及木马的分析与防范
课程论文
课程名称:信息安全与保密
论文题目:蠕虫病毒和木马分析与防范
专 业:信息管理与信息系统
蠕虫病毒和木马分析与防范
摘要:随着计算机技术的飞速发展,网络越来越成为人们生活中必不可少的一部分,然而信息安全问题也在这一背景下成为越来越重要的一个关注点。在影响信息安全的种种问题中,计算机病毒无疑是最应该受到重视的,进一步了解其原理,才能达到更好的防范。
关键词:信息安全 蠕虫病毒 木马 原理 防范
Abstract:With the rapid development of computer technology, Internet has increasingly become an indispensable part of people's lives. However, information security issues are becoming increasingly important in this context. As we all know, the computer virus is the most important issue should be pay attention to. Only by understanding its principles can we achieve better prevention.
Keywords:Information Security Worm virus Trojans Principle Precautions.
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 随着计算机技术的飞速发展,计算机信息安全问题越来越受关注。在影响信息安全的安全威胁中计算机病毒是非常重要的一个方面。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的某些部分通常是经过网络连接到其他的计算机系统中。近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动
硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。这是中国近些年来,发生比较严重的一次蠕虫病毒发作。影响较多公司,造成较大的损失。且对于一些疏于防范的用户来说,该病毒导致较为严重的损失。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法 ,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。另外,可以启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。从2004年起,MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展。另外,面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高。2、经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止,就可以大大减少被网页恶意代码感染的几率。具体方案
是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。4、不随意查看陌生邮件,尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序。
相比于蠕虫病毒, “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。一个完整的特洛伊木马套装程序含了两部分:服务端和客户端。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据,黑客甚至可以利用这些打开的端口进入电脑系统。特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划对一不怀疑的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出
来.独立的称之为"木马"程序。
木马有很多种分类。其中网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
对于如何进行木马的防御,第一点就是木马查杀,现在有很多的软件可以进行木马查杀。还有就是防火墙(分硬件和软件),如果是家庭就只需要用软件,如果是公司或其他地方就硬件和软件一起用。这样就基本能防御大部分木马,但是的软件都不是万能的,还要学点专业知识,进一步保证计算机安全。
越来越多的人参与到网络生活中来,网络也在人的生活中发挥越来越重要的作用。因此只有保证了网络安全才能够更好的促进网络的发展,使之进一步紧密联系生活,促进发展。信息安全在网络发展中成为一个重要命题,我们只有进一步去了解研究,才能更好的解决现今存在的种种问题。
参考文献:
1、《计算机病毒揭密》 [美]David Harley 朱代祥 贾建勋 史西斌(译) 人民邮电出版社
2、《计算机病毒防治与网络安全手册》 廖凯生 海洋出版社
3、《计算机病毒原理及防治》 卓新建 北京邮电出版社
4、《关于蠕虫病毒的对话》[J] 程序员 2003年10期
5、《信息安全与通信保密》[J] 张旗 张锋 马琰刚 2008年06期
6、《蠕虫病毒的研究及其检测控制策略》[J]刘中兵;曾令院 科技经济市场 2006年09期
7、《网络蠕虫扩散中蠕虫和良性蠕虫交互过程建模与分析》[J]
杨峰 段海新 李星 中国科学E辑2004年08期
8、《基于CDC的良性蠕虫对抗蠕虫的建模与分析》[J]
篇二:蠕虫病毒
计算机病毒原理与对抗
实验报告—蠕虫病毒
院 (系):
专 业:
班 级:
学 生:
学 号:
指导教师:
2016年5月
一.实验目的
1.了解计算机蠕虫的定义
2.了解计算机蠕虫攻击原理
3.了解漏洞溢出原理养成良好的编程习惯
4.尝试编写计算机蠕虫专杀工具
二.实验原理
1.蠕虫定义
计算机蠕虫,就是通常我们所说的计算机蠕虫病毒,因其与计算机病毒有着很大的不同,因此我们在这里将其称之为计算机蠕虫,而不说它是蠕虫病毒。 a.计算机蠕虫与计算机病毒的定义
计算机蠕虫是这样一个程序,他能在计算机中独立的运行,并将自身的一个拷贝传播到另一个计算机上。
计算机病毒是一段代码,他能把自身加到其他程序,包括操作系统上。它不能独立的运行,而需要有它的宿主程序的运行来激活它。
b.计算机蠕虫与计算机病毒的区别
c.计算机蠕虫的主要工作方式
计算机蠕虫的一般工作方式是:“扫描->攻击->复制”。
(1)扫描
一般计算机蠕虫通过根据宿主机上的IP按照一定规律生成IP地址进行网段扫描,当发现存活主机后开始攻击。由于这一阶段计算机蠕虫向网络中发送大量的探测数据,所以很容易造成网络堵塞,这也是蠕虫病毒的最大危害之一。
(2)攻击
当计算机蠕虫发现存活主机后,通过向存活主机发送漏洞溢出数据(代码),来对存活主机进行漏洞溢出,当溢出成功后,基本上就获得了溢出主机的控制权,继而向存活主机拷贝自己的副本。
(3)复制
计算机蠕虫通过向存活主机拷贝自己的方式实现自身的繁殖。
d.计算机蠕虫技术
通过上面的介绍,不难发现,计算机蠕虫实际上和计算机病毒有着根本的不同,其存在的目的只是复制自己,它也是计算机应用技术的产物,现在的计算机蠕虫编写者已将计算机蠕虫技术和计算机病毒技术融合,进而产生了极具破坏型的计算机蠕虫病毒,这些新型的蠕虫病毒,专以窃取破坏他人计算机上的信息为目的,通过感染目的主机,在目的主机上留下足够权限的后门,以供攻击者进一步控制目的主机使用。这种计算机蠕虫病毒的流行给社会经济带来了极大的危害。但同时我们也看到,有一些善意的计算机蠕虫病毒的存在,像“冲击波清除者”这样的计算机蠕虫,利用“冲击波”蠕虫病毒的传播方式进行传播,当进入目标主机后,它会主动修复当前主机的漏洞,并在一特定时间后删除病毒自身文件。虽然像“冲击波清除者”这样的病毒是善意的,但由于它在网络中的扫描,还是会给计算机网络通信带来严重的负担。
2.缓冲区溢出
通过向程序的缓冲区(堆、栈等)中写入超出其长度的数据,造成缓冲区溢出。缓冲区的溢出可以破坏程序执行流程,使程序转向执行其它指令。利用缓冲区溢出可以达到攻击主机的目的。
缓冲区溢出的根本原因在于语言本身的一些特性。从数据结构的角度来说,最根本的原因是由于指针、数组的存在,导致了一系列存储操作上的问题。而直接的原因则是“没有对数组的越界加以监视和限制”。程序编写者的经验不足或粗心大意使得缓冲区溢出几乎无处不在,导致程序不够健壮,为缓冲区溢出攻击留下了隐患。
3.实验蠕虫病毒工作原理
由于计算机蠕虫是利用系统漏洞进行传播的,当计算机漏洞还没有相关补丁的时候,就只能靠手工手段来清除蠕虫病毒了,一个专杀工具可以节省多次手工操作的麻烦。
一般来讲,每一种蠕虫病毒都存在一些特征,利用这些特征,很容易就可以实现病毒的清除。实验中我们利用virus_main.exe来模拟计算机蠕虫病毒,virus_body.exe来模拟有溢出漏洞的程序。该病毒具有如下特点:
在感染的主机上开启3001端口。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run下建立一个名为LookAtMe的启动键值,用来在每次计算机启动是加载程序的执行,并且计算机蠕虫程序体始终都是一个叫virus_main.exe的可执行文件。病毒在运行期间还会向网络中发送ARP探测请求,来寻找下一个攻击目标,如探测到存活主机,它会向目标存活主机的3000端口发送溢出代码,溢出成功后,在目标主机上开启3001端口准备接受蠕虫拷贝程序。
下面是实验中杀毒例程的流程图:
三.实验步骤
1.验证病毒感染过程
(1)确定主机A与B处于同一网段内。
(2)主机A进入实验平台,单击工具栏“实验目录”按钮进入蠕虫病毒实验目录,执行漏洞程序test_virus_body.exe,并启动协议分析器,设置过滤器仅捕获ARP数据包。主机B同样进入蠕虫病毒实验目录,执行蠕虫模拟程序virus_main.exe,这时主机B会不断弹出网页。
(3)主机A单击协议分析器工具栏刷新按钮,查看ARP协议相关数据,会发现存在很多以主机B的IP地址为源的ARP请求数据包。请观察被探测IP地址顺序,它们大多数是 连续 (连续/非连续)的。
(4)主机A等待被蠕虫病毒探测,直到被感染(成功现象为:主机A
被病
篇三:蠕虫病毒的传播原理
《计算机系统安全》
课程结课论文
《蠕虫病毒的传播原理》
学生姓名 陈军辉
学 号 5011212502
所属学院 信息工程学院
专 业 计算机科学与技术
班 级 计算机16-5
指导教师 李鹏
塔里木大学教务处制
摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。
关键词:计算机蠕虫;传播;
目录
引言................................................................ 1
正文................................................................ 1
1.蠕虫病毒的定义及特点.............................................. 1
2.蠕虫病毒的构成及在传播过程中的功能................................ 2
3. 攻击模式......................................................... 3
3.1 扫描-攻击-复制.................................................. 3
3.2模式的使用 ...................................................... 5
3.3蠕虫传播的其他可能模式 .......................................... 5
4.从安全防御的角度看蠕虫的传播模式.................................. 5
总结................................................................ 6
参考文献:.......................................................... 7
蠕虫病毒的传播原理
引言
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。 正文
1.蠕虫病毒的定义及特点
蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并 且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入 侵完全控制一台计算机之后,就会把这台机器作为宿主,进 而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机 被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染 其他计算机,这种行为会一直延续下去。蠕虫使用这种递归 的方法进行传播,按照指数增长的规律分布自己,进而及时 控制越来越多的计算机。 蠕虫病毒有如下特点:
(1)较强的独立性。计算机病毒一般都需要宿主程序, 病毒将自己的代码写到宿主程序中,当该程序运行时先执行 写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要 宿主程序,它是一段独立的程序或代码,因此也就避免了受 宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而 主动地实施攻击。
(2)利用漏洞主动攻击。由于不受宿主程序的限制,蠕 虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如,“尼 姆达”病毒利用了 IE 浏览器的漏洞,使感染了病毒的邮件附 件在不被打开的情况下就能激活病毒;“红色代码”利用了微 软 IIS 服务器软件的漏洞(idq.dll 远程缓存区溢出)来传播;而 蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。
(3)传播更快更广。蠕虫病毒比传统病毒具有更大的传 染性,它不仅仅感染本地计算机,而且会以本地计算机为基 础,感染网络中所有的服务器和客户
端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量 漏洞的服务器等途径肆意传播,几乎所有的传播手段都被蠕 虫病毒运用得淋漓尽致,因此,蠕虫病毒的传播速度可以是 传统病毒的几百倍,甚至可以在几个小时内蔓延全球。
(4)更好的伪装和隐藏方式。为了使蠕虫病毒在更大范 围内传播,病毒的编制者非常注重病毒的隐藏方式。在通常 情况下,我们在接收、查看电子邮件时,都采取双击打开邮 件主题的方式浏览邮件内容,如果邮件中带有病毒,用户的 计算机就会立刻被病毒感染
(5)技术更加先进。一些蠕虫病毒与网页的脚本相结合, 利用 VB Script、Java、ActiveX 等技术隐藏在 HTML 页面里。 当用户上网浏览含有病毒代码的网页时,病毒会自动驻留内 存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相 结合,比较典型的是“红色代码病毒”,它会在被感染计算 机 Web 目录下的\scripts 下将生成一个 root.exe 后门程序,病 毒的传播者可以通过这个程序远程控制该计算机。这类与黑 客技术相结合的蠕虫病毒具有更大的潜在威胁。
(6)使追踪变得更困难。当这 10000 个系统在蠕虫病毒 的控制之下时,攻击者利用一个极为迷惑的系统来隐藏自己 的源位置。可以轻易地制造一个蠕虫,它可以在这个蠕虫的 段与段之间任意连接。当这个蠕虫感染了大部分系统之后, 攻击者便能发动其他攻击方式对付一个目标站点,并通过蠕 虫网络隐藏攻击者的位置。这样,在不同的蠕虫段之间的连 接中,要抓住攻击者就会非常困难。
2.蠕虫病毒的构成及在传播过程中的功能
探测部分:探测部分是用来获得入侵目标的访问权, 他实际上是一些入侵到计算机的代码,进入目标计算机之后 探测部分会自动探测攻击点,并尽可能的利用计算机的漏洞 侵占系统。探测部分获得访问权的技术,有缓存一处探测, 文件共享攻击,电子邮件以及计算机的配置错误。
传播引擎:通过探测部分获得目标机的访问权后, 蠕虫必须传输自身的其
《蠕虫病毒的危害》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/39729.html
转载请保留,谢谢!
- 上一篇:幼儿班德育工作计划
- 下一篇:两学一做组织生活费