網(wǎng)絡(luò)與信息安全 應(yīng)用安全：Web安全、Mail安全、病毒

1、網(wǎng)絡(luò)與信息安全應(yīng)用安全：Web安全、Mail安全、病毒潘愛民，北京大學(xué)計(jì)算機(jī)研究所/InfoSecCourse內(nèi) 容Web SecurityWeb會話和cookieServer-side securityClient-side securityMail SecurityS/MIMEPGP病毒分析幾個病毒的原理Web結(jié)構(gòu)client/server結(jié)構(gòu)，屬于瘦客戶類型的Browser/Server, 客戶為瀏覽器，服務(wù)器為Web Server通常是多層(或三層)結(jié)構(gòu)中的第一層在Web應(yīng)用中，Web Server后面常常與數(shù)據(jù)庫打交道B/S之間的通訊協(xié)議：HTTPHTTP位于TCP之上，默認(rèn)的端口為

2、80客戶發(fā)出對頁面的請求，服務(wù)器送回這些頁面動態(tài)頁面和靜態(tài)頁面Web頁面的表述和交互能力各種標(biāo)記、超鏈接，交互功能：表單、腳本交互能力的擴(kuò)展：Java Applet, ActiveX, Web安全性協(xié)議本身的安全性支持身份認(rèn)證：Basic Authentication, Digest Access Authentication保密性：TLS(Transport Layer Security)實(shí)現(xiàn)上的安全性服務(wù)器端安全性Web pages的訪問控制機(jī)制可用性：防止拒絕服務(wù)抵御各種網(wǎng)絡(luò)攻擊客戶端安全性個人信息的保護(hù)防止執(zhí)行惡意代碼Web Proxy ServerMan-In-The-MiddleW

3、eb認(rèn)證Basic Authentication RFC 2617口令直接明文傳輸隱患：sniffer、中間代理、假冒的服務(wù)器Digest Access Authentication RFC 2617Challenge-Response, 不傳輸口令重放攻擊、中間人攻擊服務(wù)器端的口令管理策略TLS，基于PKI的認(rèn)證單向或者雙向的身份認(rèn)證要求服務(wù)器提供證書，客戶端證書可選同時也可以提供保密性服務(wù)一種雙向認(rèn)證模式單向TLS認(rèn)證+客戶提供名字/口令Microsoft passportTLS回顧協(xié)議棧記錄協(xié)議握手協(xié)議Web會話從TCP到HTTP層缺少直接的會話層支持Web會話支持HTTP 1.1增加了

4、Persistent Connections支持，但是不能用于提供Web會話的功能目前使用的會話技術(shù)Cookie，用cookie作為permit ticket用url記錄會話用表單中的隱藏元素記錄會話會話安全：劫持一個Web會話建立會話可能需要驗(yàn)證用戶的信息認(rèn)證一旦會話被劫持，則Web用戶的安全性不復(fù)存在安全性涉及到客戶如何提供會話建立所需要的信息，以及會話標(biāo)識信息服務(wù)器如何管理會話Cookie技術(shù)Cookie通常是少量的與狀態(tài)有關(guān)的信息，它是服務(wù)器保存在客戶端的信息Cookie的動機(jī)客戶在瀏覽多個頁面的時候，提供事務(wù)(transaction)的功能，為服務(wù)器提供狀態(tài)管理比如說，可以針對每個用

5、戶實(shí)現(xiàn)購物籃實(shí)現(xiàn)授權(quán)策略，客戶不用為每個頁面輸入“用戶名/口令”但是，實(shí)際上，cookie很容易被濫用在提供個性化服務(wù)的時候，往往要收集一些涉及隱私的信息每個cookie都有一定的URL范圍客戶發(fā)送這個范圍內(nèi)的URL請求都要提供這個cookieCookie規(guī)范Set-cookie語法，在HTTP應(yīng)答頭中Set-Cookie: NAME=VALUE; expires=DATE; path=PATH; domain=DOMAIN_NAME; secure 例如：Set-Cookie: CUSTOMER=WILE_E_COYOTE; path=/; expires=Wednesday, 09-Nov

6、-99 23:12:40 GMT Cookie語法，在HTTP請求頭中Cookie: NAME1=OPAQUE_STRING1; NAME2=OPAQUE_STRING2 . 例如：Cookie: CUSTOMER=WILE_E_COYOTE 利用cookie完成一個transaction顧客名字購物籃購物方法Cookie被濫用Cookies中往往會記錄一些涉及用戶隱私的信息，比如用戶的名字，email地址等如果客戶關(guān)閉了cookie的功能，則許多網(wǎng)站的功能不能正常工作Cookie被濫用的一個例子DoubleClick公司案例利用cookie來收集個人的喜好為廣告客戶提供廣告發(fā)布服務(wù)個人喜好信

7、息不能被濫用有些國家規(guī)定這些信息不能被公開，或者被銷售等Web服務(wù)器端安全性服務(wù)器發(fā)布信息，提供服務(wù)靜態(tài)信息，各種HTML頁面動態(tài)信息，利用腳本或者各種擴(kuò)展引擎響應(yīng)客戶的請求安全性目錄安全性只有指定范圍的文件才可以被訪問例如，禁止URL中出現(xiàn)“.”Cgi文件的安全性，此目錄禁止通過Web讀寫檢查每一個cgi文件，不要保留有漏洞的cgi文件，特別是系統(tǒng)預(yù)裝的一些cgi示例文件，這些文件往往為了說明功能，而忽略了安全性的考慮要求認(rèn)證：由于協(xié)商的原因，要注意安全性最低的認(rèn)證協(xié)議授權(quán)機(jī)制：保護(hù)好口令的安全存儲，以及客戶信息的保存日志：打開系統(tǒng)中對于Web服務(wù)的日志功能，以及Web服務(wù)的日志記錄針對We

8、b Server的常見攻擊從Web服務(wù)中獲取信息Web頁面中的注解信息，或者一些擴(kuò)展特性返回的應(yīng)答頭有時也會暴露信息針對Web Server的各種攻擊手法比如說IIS的UNICODE漏洞有些腳本代碼或者cgi程序的漏洞緩沖區(qū)溢出輸入驗(yàn)證攻擊拒絕服務(wù)攻擊服務(wù)器端的安全防護(hù)有些應(yīng)用使用SSL/TLS，為Web Service申請一個證書Web Server往往是網(wǎng)絡(luò)攻擊的入口點(diǎn)為了提供Web Service，必須要開放端口和一些目錄，還要接受各種正常的連接請求防火墻對Web Server的保護(hù)是有限的為了安全，請及時打上Web Server軟件廠商提供的補(bǔ)丁程序特別是一些主流的服務(wù)軟件，比如MS的

9、IIS控制目錄和文件的權(quán)限Web應(yīng)用開發(fā)人員注意在服務(wù)端的運(yùn)行代碼中，對于來自客戶端的輸入一定要進(jìn)行驗(yàn)證防止緩沖區(qū)溢出Web Server Log File FormatCommon Log Format Extended Common Log Format remotehost rfc931 authuser date request status bytes 7 - - 01/Jan/1997:13:07:21 -0600 GET /bacuslab/celsheet.html HTTP/1.0 200 13276 remotehost rfc931 authuser date reque

10、st status bytes referer user_agent - jvb 01/Jan/1997:12:57:45 -0600 GET /bacuslab/ HTTP/1.0 304 0 / Mozilla/2.0GoldB1 (Win95; I) 服務(wù)器端的日志記錄在日志記錄中，許多信息涉及用戶的隱私信息最重要的是referer，這項(xiàng)很受爭議服務(wù)商可以用來跟蹤客戶的點(diǎn)擊行為許多網(wǎng)站對日志記錄進(jìn)行分析，以便提供個性化的Web服務(wù)有些國家有法律規(guī)定：這些日志以及分析結(jié)果不能公開，也不允許買賣有些Web Server實(shí)現(xiàn)的版本收集到的信息會更多，甚至包括email地址你每天收到煩人的垃圾郵

11、件嗎？Web客戶端的安全性客戶端安全性涉及到Cookie的設(shè)置，保護(hù)用戶的隱私PKI設(shè)置，確定哪些是可信任的CA對可執(zhí)行代碼的限制，包括JavaApplet，ActiveX control如果你的機(jī)器是多個人合用的，則Web頁面的緩存區(qū)域，將會留下用戶最近訪問過的頁面歷史記錄口令自動保存和提示客戶瀏覽器的安全設(shè)置真的安全嗎我們有必要了解這些安全性ActiveX control的安全性下載ActiveX control通過數(shù)字簽名來識別control的受信任程度驗(yàn)證數(shù)字簽名，PKI中的可信任根CA安裝和注冊ActiveX control已經(jīng)在調(diào)用ActiveX control的代碼了并且，它可以

12、自己聲明自己是安全的操縱注冊表對象的初始化創(chuàng)建對象，并且對對象進(jìn)行初始化，ActiveX control是一個永久對象對象的腳本操作通過腳本調(diào)用對象的方法-Active Document安全電子郵件 意義協(xié)議的先天不安全絕對隱私安全需求發(fā)送郵件和接收郵件的安全登錄安全的目錄服務(wù)安全的電子郵件：郵件保密性和完整性內(nèi)容安全性防止病毒郵件安全方案S/MIMEPGP安全電子郵件 S/MIME是對MIME電子郵件格式的安全擴(kuò)展基于密碼學(xué)的諸多成果與PKI的結(jié)合，使用X.509證書，以及PKCS標(biāo)準(zhǔn)算法協(xié)商不可能在線進(jìn)行，只能用一組規(guī)則保證盡可能地達(dá)到安全性不嚴(yán)格的信任模型，由客戶實(shí)現(xiàn)和用戶來決定S/MI

13、ME更象商用或組織使用的工業(yè)標(biāo)準(zhǔn)，PGP更面向個體用戶選用。S/MIME S/MIME功能提供了簽名和加密消息的功能Enveloped data：包含郵件加密之后的內(nèi)容，以及針對一個或多個接收者的加密密鑰Signed data：對簽名內(nèi)容作消息摘要，然后用簽名者的私鑰對摘要加密，以此形成一個數(shù)字簽名；內(nèi)容與簽名被轉(zhuǎn)換成base64編碼，一個簽名的數(shù)據(jù)消息只能被具有S/MIME能力的接收者查看Clear-signed data：只有簽名部分用base64編碼，結(jié)果是，即使接收者沒有S/MIME能力，他也能查看消息內(nèi)容，只是他不能驗(yàn)證該簽名Signed and enveloped data：簽名和

14、加密的結(jié)合，加密數(shù)據(jù)被簽名或者簽名數(shù)據(jù)被加密S/MIME S/MIME郵件用法(一)公鑰管理S/MIME S/MIME郵件用法(二)私鑰管理S/MIME S/MIME郵件用法(三)把帳號與私鑰關(guān)聯(lián)起來S/MIME S/MIME郵件用法(四)撰寫郵件PGP(Pretty Good Privacy) 安全電子郵件系統(tǒng)由個人發(fā)展起來Phil Zimmermann(齊默爾曼)PGP為電子郵件和文件存儲應(yīng)用提供了認(rèn)證和保密性服務(wù)選擇理想的密碼算法把算法很好地集成到通用應(yīng)用中，獨(dú)立于操作系統(tǒng)和微處理器自由發(fā)放，包括文檔、源代碼等與商業(yè)公司(Network Associates)合作，提供一個全面兼容的、低

15、價位的商業(yè)版本PGP歷史1991年推出1.0版，1994年推出2.6版目前最新7.1版算法的專利之爭。困擾了3年多與美國出口管理限制之爭，長達(dá)5年的調(diào)查PGP PGP成功的原因版本眾多，包括各種系統(tǒng)平臺，商業(yè)版本使用戶得到很好的支持算法的安全性已經(jīng)得到了充分的論證，如公鑰加密包括RSA、DSS、Diffie-Hellman，單鑰加密包括CAST-128、IDEA、3DES、AES，以及SHA-1散列算法適用性強(qiáng)，公司可以選擇用來增強(qiáng)加密文件和消息，個人可以選擇用來保護(hù)自己與外界的通信不是由政府或者標(biāo)準(zhǔn)化組織所控制，可信性PGP PGP功能列表為了適應(yīng)郵件的大小限制，PGP支持分段和重組數(shù)據(jù)分段

16、郵件應(yīng)用完全透明，加密后的消息用Radix 64轉(zhuǎn)換Radix 64郵件兼容性消息用ZIP算法壓縮ZIP壓縮消息用一次性會話密鑰加密，會話密鑰用接收方的公鑰加密CAST或IDEA或3DES、AES及RSA或D-F消息加密用SHA-1創(chuàng)建散列碼，用發(fā)送者的私鑰和DSS或RSA加密消息摘要DSS/SHA或RSA/SHA數(shù)字簽名說明采用算法服務(wù)PGP 功能：身份認(rèn)證發(fā)送方產(chǎn)生消息M用SHA-1對M生成一個160位的散列碼H用發(fā)送者的私鑰對H加密，并與M連接接收方用發(fā)送者的公鑰解密并恢復(fù)散列碼H對消息M生成一個新的散列碼，與H比較。如果一致，則消息M被認(rèn)證。PGP 身份認(rèn)證說明說明：1. RSA的強(qiáng)度

17、保證了發(fā)送方的身份2. SHA-1的強(qiáng)度保證了簽名的有效性3. DSS/SHA-1可選替代方案。簽名與消息可以分離對消息進(jìn)行單獨(dú)的日志記錄可執(zhí)行程序的簽名記錄，檢查病毒文檔多方簽名，可以避免嵌套簽名PGP 保密性發(fā)送方生成消息M并為該消息生成一個隨機(jī)數(shù)作為會話密鑰。用會話密鑰加密M用接收者的公鑰加密會話密鑰并與消息M結(jié)合接收方用自己的私鑰解密恢復(fù)會話密鑰用會話密鑰解密恢復(fù)消息MPGP 保密性說明對稱加密算法和公鑰加密算法的結(jié)合可以縮短加密時間用公鑰算法解決了會話密鑰的單向分發(fā)問題不需要專門的會話密鑰交換協(xié)議由于郵件系統(tǒng)的存儲-轉(zhuǎn)發(fā)的特性，用握手方式交換密鑰不太可能每個消息都有自己的一次性密鑰，

18、進(jìn)一步增強(qiáng)了保密強(qiáng)度。所以，每個密鑰只加密很小部分的明文內(nèi)容PGP 保密與認(rèn)證的結(jié)合兩種服務(wù)都需要時，發(fā)送者先用自己的私鑰簽名，然后用會話密鑰加密消息，再用接收者的公鑰加密會話密鑰。PGP 郵件數(shù)據(jù)處理順序：簽名 壓縮 加密壓縮對郵件傳輸或存儲都有節(jié)省空間的好處。簽名后壓縮的原因：不需要為檢驗(yàn)簽名而保留壓縮版本的消息為了檢驗(yàn)而再做壓縮不能保證一致性，壓縮算法的不同實(shí)現(xiàn)版本可能會產(chǎn)生不同的結(jié)果壓縮之后再做加密的原因：壓縮后的消息其冗余小，增加密碼分析的難度若先加密，則壓縮難以見效E-mail兼容性PGP處理后的消息，部分或者全部是加密后的消息流，為任意的8位字節(jié)。某些郵件系統(tǒng)只允許ASC字符，所

19、以PGP提供了轉(zhuǎn)換到ASC格式的功能。采用了Radix-64轉(zhuǎn)換方案PGP PGP密鑰PGP使用四種類型的密鑰：一次性會話傳統(tǒng)密鑰公鑰私鑰基于口令短語的傳統(tǒng)密鑰PGP對密鑰的需求會話密鑰：需要一種生成不可預(yù)知的會話密鑰的方法，PGP使用了一種復(fù)雜的隨機(jī)密鑰生成算法(一定的真隨機(jī)性)公鑰和私鑰需要某種手段來標(biāo)識具體的密鑰一個用戶擁有多個公鑰/私鑰對密鑰更新管理私鑰如何保存PGP 密鑰標(biāo)識符和鑰匙環(huán)一個用戶有多個公鑰/私鑰對時，接收者如何知道發(fā)送者是用哪個公鑰來加密會話密鑰的？將公鑰與消息一起傳送。將一個標(biāo)識符與一個公鑰關(guān)聯(lián)，對一個用戶來說唯一。即用戶ID和密鑰ID標(biāo)識一個密鑰定義KeyID 包括

20、64個有效位(PGP采用公鑰的低64位作為KeyID)對于PGP數(shù)字簽名，KeyID也很必需。用哪個公鑰來驗(yàn)證簽名？鑰匙環(huán)KeyID對于PGP非常關(guān)鍵。PGP消息中包括兩個keyID，分別提供保密與認(rèn)證功能。需要一種系統(tǒng)化的方法存儲和組織這些密鑰以保證有效使用這些密鑰PGP密鑰管理方案：用戶機(jī)器(節(jié)點(diǎn))上有一對數(shù)據(jù)結(jié)構(gòu)：私鑰環(huán)：存儲本節(jié)點(diǎn)擁有的公鑰/私鑰對公鑰環(huán)：存儲本節(jié)點(diǎn)所知道的其他用戶的公鑰PGP PGP消息的格式(A-B)PGP 私鑰環(huán)信息：時間戳、KeyID、公鑰、私鑰、UserIDUserID：通常是用戶的郵件地址。也可以是一個名字，可以重名私鑰如何保存：用戶選擇一個口令短語用于加密

21、私鑰當(dāng)系統(tǒng)用RSA生成一個新的公鑰/私鑰對時，要求用戶輸入口令短語。對該短語使用SHA-1生成一個160位的散列碼后，銷毀該短語系統(tǒng)用其中128位作為密鑰用CAST-128加密私鑰，然后銷毀這個散列碼，并將加密后的私鑰存儲到私鑰環(huán)中當(dāng)用戶要訪問私鑰環(huán)中的私鑰時，必須提供口令短語。PGP將取出加密后的私鑰，生成散列碼，解密私鑰PGP 公鑰環(huán)信息： 時間戳、KeyID、公鑰、對所有者信任度、用戶ID、密鑰合法度、簽名、對簽名者信任度UserID：公鑰的擁有者。多個UserID可以對應(yīng)一個公鑰。公鑰環(huán)可以用UserID或KeyID索引。PGP 發(fā)送方處理消息的過程簽名：從私鑰環(huán)中得到私鑰，利用use

22、rid作為索引PGP提示輸入口令短語，恢復(fù)私鑰構(gòu)造簽名部分加密：PGP產(chǎn)生一個會話密鑰，并加密消息PGP用接收者userid從公鑰環(huán)中獲取其公鑰構(gòu)造消息的會話密鑰部分PGP 接收方處理消息的過程解密消息PGP用消息的會話密鑰部分中的KeyID作為索引，從私鑰環(huán)中獲取私鑰PGP提示輸入口令短語，恢復(fù)私鑰PGP恢復(fù)會話密鑰，并解密消息驗(yàn)證消息PGP用消息的簽名部分中的KeyID作為索引，從公鑰環(huán)中獲取發(fā)送者的公鑰PGP恢復(fù)被傳輸過來的消息摘要PGP對于接收到的消息作摘要，并與上一步的結(jié)果作比較PGP 公鑰管理由于PGP重在廣泛地在正式或非正式環(huán)境下的應(yīng)用，所以它沒有建立嚴(yán)格的公鑰管理模式。有關(guān)的問

23、題：一旦你的私鑰泄漏，存在兩種危險：別人可以偽造你的簽名其他人發(fā)送給你的保密信件可被別人讀取防止公鑰環(huán)上包含錯誤的公鑰保證公鑰環(huán)上公鑰的正確性物理上得到B的公鑰?？煽?，但有一定局限性通過電話驗(yàn)證公鑰從雙方都信任的個體D處獲得B的公鑰從一個信任的CA中心得到B的公鑰PGP 公鑰信任模型盡管PGP沒有包含任何建立認(rèn)證權(quán)威機(jī)構(gòu)或建立信任體系的規(guī)范，但它提供了一個利用信任關(guān)系的方法，將信任關(guān)系與公鑰聯(lián)系起來。每個公鑰有三個相關(guān)的屬性：Key legitimacy field：合法性或者有效性，表明PGP對“此用戶公鑰是合法的”的信任程度；信任級別越高，這個userID與該公鑰的綁定越強(qiáng)。這個字段是由P

24、GP計(jì)算的。每一個公鑰項(xiàng)都有一個或者多個簽名，這是公鑰環(huán)主人收集到的、能夠認(rèn)證該公鑰項(xiàng)的簽名。每一個簽名與一個signature trust field關(guān)聯(lián)，表明這個PGP用戶對“簽名人對公鑰簽名”的信任程度。Key legitimacy field 是由多個signeture trust field 導(dǎo)出的。Owner trust field：表明該公鑰被用于簽名其它公鑰證書時的信任程度。這個信任程度是由用戶給出的PGP 信任模型示例PGP 公鑰的注銷公鑰注銷功能的必要性：密鑰暴露或定時更新通常的注銷途徑是由私鑰主人簽發(fā)一個密鑰注銷證書私鑰主人應(yīng)盡可能越廣越快散布這個證書，以使得潛在的有關(guān)人

25、員更新他們的公鑰環(huán)注意：對手也可以發(fā)出這個證書，然而，這將導(dǎo)致他自己也被否決。因此，這樣比起惡意使用偷來的私鑰來看，似乎會減少漏洞。PGP PGP證書管理軟件PGP證書管理軟件 服務(wù)器軟件集中管理PGP公鑰證書提供LDAP、HTTP服務(wù)本地Keyring可以實(shí)時地連接到服務(wù)器，適合于企業(yè)使用更新老的證書查找新的證書查詢CRLPGP PGP用法(一)密鑰管理生成新的密鑰對導(dǎo)出、導(dǎo)入指定信任關(guān)系保存和備份改變私鑰的訪問口令PGP PGP用法(二)撰寫郵件時，發(fā)送之前指定加密和簽名通過屬性配置，可以指定默認(rèn)狀態(tài)PGP PGP用法(三)其他輔助功能有關(guān)網(wǎng)絡(luò)的功能個人防火墻VPN網(wǎng)絡(luò)傳輸文件加解密、簽名

26、認(rèn)證當(dāng)前窗口內(nèi)容加解密、簽名認(rèn)證剪貼板內(nèi)容加解密、簽名認(rèn)證計(jì)算機(jī)病毒(virus)介紹三種病毒的機(jī)理CIH病毒Shakiras picturesNimda病毒的本質(zhì)和分類一個分布式防病毒體系結(jié)構(gòu)CIH病毒 4.26事件(一則報道)CIH病毒原理CIH病毒駐留如果一個EXE程序已經(jīng)被感染，則此程序的入口指針被改掉，首先執(zhí)行病毒的駐留部分用SIDT取得IDT表地址，修改INT3的中斷入口，指向病毒代碼執(zhí)行INT 3，在ring 0執(zhí)行病毒代碼。判斷DR0寄存器是否為0，以便確定是否已經(jīng)駐留在內(nèi)存中，否則的話，執(zhí)行下面的過程：申請Windows的系統(tǒng)內(nèi)存，以便把病毒體放到系統(tǒng)中。病毒代碼被分割到程序

27、各個部分，所以要先把它們裝配起來在Windows內(nèi)核中的文件系統(tǒng)處理函數(shù)中掛接鉤子，以截取文件調(diào)用的操作。因此，一旦系統(tǒng)出現(xiàn)要求打開文件的調(diào)用，則CIH病毒的感染部分代碼就會馬上截獲此文件恢復(fù)IDT表的INT3地址進(jìn)入程序的正常執(zhí)行過程CIH病毒原理(續(xù)一)感染部分：對于文件調(diào)用的鉤子函數(shù)首先取到文件名字如果文件名為EXE后綴，則感染：判斷EXE文件的格式是否為PE格式如果文件已被感染，或者不是PE格式，則進(jìn)入病毒發(fā)作模塊否則，進(jìn)行感染把病毒代碼放到PE格式的各個縫隙中首塊插入到PE格式頭部的自由空間中。PE格式通常有400多字節(jié)的自由空間，而病毒代碼的首塊必須包含駐留代碼(184字節(jié) for

28、 CIH 1.4)以及病毒塊鏈表修改文件入口地址，指向病毒駐留代碼，并且把原來的入口地址也記錄下來，以便能夠回到正常的執(zhí)行路徑上除了首塊病毒代碼之外，其他的塊插入到PE文件的各個section中。根據(jù)PE頭中每個section的參數(shù)信息，決定每個section可以存放的病毒代碼大小，依次填入病毒代碼，直到填完或者到達(dá)最后的section最后，執(zhí)行寫盤操作，把病毒代碼寫入文件CIH病毒原理(續(xù)二)病毒發(fā)作不同版本有不同的邏輯在1.4版本中，發(fā)作日為4月26日，病毒取出系統(tǒng)時鐘的信息，進(jìn)行判斷病毒破壞邏輯通過主板的BIOS端口地址0CFEH和0CFDH向BIOS引導(dǎo)塊（boot block）內(nèi)各寫

29、入一個字節(jié)的亂碼，造成主機(jī)無法啟動破壞硬盤，從硬盤的主引導(dǎo)區(qū)開始，寫入垃圾數(shù)據(jù)，直到所有的硬盤空間都被覆蓋病毒的檢測方法1：查找病毒特征碼：“CIH v1.”方法2：在DEBUG模式下，找到PE頭中的病毒感染標(biāo)志病毒的清除是感染過程的逆過程一個最新的病毒Shakiras picturesShakiras pictures郵件的附件附件(ShakiraPics.jpg.vbs)內(nèi)容(6K多)Shakiras pictures郵件的病毒代碼把wapwvdfgcpw解出來之后，如下(主程序部分)Shakiras pictures郵件病毒發(fā)作流程流程如下：改寫注冊表鍵：HKLMSOFTWAREMicr

30、osoftWindowsCurrentVersionRunRegistry利用Outlook給地址簿中所有用戶發(fā)信并置上標(biāo)記：HKCUsoftwareShakiraPicsmailed = 1利用mirc發(fā)送病毒附件并置上標(biāo)記：HKCUsoftwareShakiraPicsMirqued = 1對于當(dāng)前文件系統(tǒng)中(所有遠(yuǎn)程目錄)所有的vbs文件和vbe文件都替換成自己 循環(huán)+遞歸提醒用戶：“You have been infected by the ShakiraPics Worm”Shakiras pictures郵件病毒的思考腳本類型的Internet Worm其他還有“I love yo

31、u”病毒，等各種變種Mellisa病毒：Word宏病毒，通過郵件系統(tǒng)進(jìn)行傳播病毒編寫簡單，而危害性大反映了MS產(chǎn)品的一個矛盾：功能與安全如何平衡？如何抑制這種類型的病毒用戶：提高警惕，不要輕易打開附件安裝防病毒軟件軟件廠商(MS)：增強(qiáng)腳本引擎的安全性(?)打開附件提醒用戶Nimda病毒2001年9月18日發(fā)現(xiàn)之后，迅速傳播開來受影響的操作系統(tǒng)Windows 9x/Me/Nt/2000感染途徑：文件感染、電子郵件附件、Web服務(wù)器攻擊，以及局域網(wǎng)上的共享文件功能服務(wù)器：沒打補(bǔ)丁的IIS Web Server客戶：沒打補(bǔ)丁的IE 5.01/5.5，以及使用到IE功能的郵件客戶軟件，包括Outlo

32、ok, Outlook Express等危害性受到感染的一臺機(jī)器會影響到其他的機(jī)器系統(tǒng)文件和文檔文件會受損網(wǎng)絡(luò)資源會被擁塞住解決方案為所用的軟件及時地打上補(bǔ)丁Nimda病毒的傳播Nimda病毒的感染過程文件感染感染EXE文件，不是把自己插入到EXE文件的頭或者尾部，而是把原來的EXE文件插進(jìn)來，再改名為EXE的文件名運(yùn)行的時候，先運(yùn)行病毒，再提取出EXE并運(yùn)行Email感染病毒從你的地址簿、收件箱以及Web cache頁面中抽取出email地址，然后構(gòu)造一封郵件，內(nèi)含一個附件readme.exe，送出去。一旦收到郵件的人打開附件，則馬上被感染。有些郵件客戶會自動瀏覽附件，則自動被感染。Web

33、Server攻擊掃描并攻擊Web Server，一旦成功，則把病毒代碼附到Web頁面的最后，未打補(bǔ)丁的IE瀏覽到這樣的頁面的時候，也會自動被感染LAN共享攻擊打開一個共享系統(tǒng)，在administrators加入一帳戶，并打開C盤共享把一個受感染的email和一個受感染的riched20.dll寫到每一個共享可寫目錄中，如果共享目錄的系統(tǒng)打開這個email或者目錄中的Word、Wordpad或Outlook文檔，則此系統(tǒng)也會被感染為什么郵件的附件會被自動執(zhí)行？頁面被自動瀏覽？在HTML email中，IE解析MIME頭部的時候出現(xiàn)漏洞Nimda的病毒體邏輯Nimda病毒主要的邏輯就是傳播自身不同

34、的形態(tài)下使用不同的文件名，并且修改相應(yīng)的注冊表鍵以便自己繼續(xù)獲得控制權(quán)，或者隱藏自身對安全功能的影響修改注冊表鍵，關(guān)閉隱藏文件的顯示功能加入一個“guest”帳號，并加到administrators和Guests組中，并且，共享C:目錄為可完全訪問。修改注冊表鍵，禁止共享安全性版權(quán)所有引導(dǎo)型病毒啟動分區(qū)病毒特點(diǎn)在系統(tǒng)啟動的時候激活，先于操作系統(tǒng)分為MBR病毒和BR病毒病毒寄生在硬盤分區(qū)主引導(dǎo)程序所占據(jù)的硬盤0頭0柱面第1個扇區(qū)中，比如大麻(Stoned)病毒BR病毒是將病毒寄生在硬盤邏輯分區(qū)的0扇區(qū)，比如小球病毒這種病毒如何駐留到內(nèi)存中，如何進(jìn)入到系統(tǒng)中？往往與BIOS中斷有關(guān)聯(lián)，比如int 13h(硬盤中斷)引導(dǎo)分區(qū)中往往只是病毒的引導(dǎo)部分，病毒體通常放在別的扇區(qū)中傳染途徑軟盤啟動是最危險的檢測和消除相對而言，這種病毒比較容易檢測，只要檢查引導(dǎo)扇區(qū)就能確定由于內(nèi)存中存在病毒，所以，簡單地改寫引導(dǎo)扇區(qū)并不能清除病毒，必須用干凈的盤啟動，殺滅病毒，再啟動系統(tǒng)預(yù)防措施盡量關(guān)閉BIOS中軟盤啟動的選項(xiàng)硬盤的啟動分區(qū)留個備份懷念：DOS中的病毒DOS比較簡單，是一個單任務(wù)的操作