病毒感染的一般方式_第1頁
病毒感染的一般方式_第2頁
病毒感染的一般方式_第3頁
病毒感染的一般方式_第4頁
病毒感染的一般方式_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

病毒感染的一般方式北京電子科技職業(yè)學(xué)院2病毒感染系統(tǒng)時,感染的過程大致可以分為:通過某種途徑傳播,進入目標系統(tǒng)自我復(fù)制,并通過修改系統(tǒng)設(shè)置實現(xiàn)隨系統(tǒng)自啟動激活病毒負載的預(yù)定功能如:

打開后門等待連接發(fā)起DDOS攻擊進行鍵盤記錄

……病毒感染的一般方式3

除引導(dǎo)區(qū)病毒外,所有其他類型的病毒,無一例外,均要在系統(tǒng)中執(zhí)行病毒代碼,才能實現(xiàn)感染系統(tǒng)的目的。對于不同類型的病毒,它們傳播、感染系統(tǒng)的方法也有所不同。常見病毒傳播途徑常見病毒傳播途徑傳播方式主要有:電子郵件網(wǎng)絡(luò)共享P2P共享系統(tǒng)漏洞移動磁盤傳播4常見病毒傳播途徑

電子郵件HTML正文可能被嵌入惡意腳本,郵件附件攜帶病毒壓縮文件利用社會工程學(xué)進行偽裝,增大病毒傳播機會快捷傳播特性例:WORM_MYTOB,WORM_STRATION等病毒5常見病毒傳播途徑

網(wǎng)絡(luò)共享

病毒會搜索本地網(wǎng)絡(luò)中存在的共享,包括默認共享如ADMIN$,IPC$,E$,D$,C$通過空口令或弱口令猜測,獲得完全訪問權(quán)限病毒自帶口令猜測列表將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中通常以游戲,CDKEY等相關(guān)名字命名例:WORM_SDBOT等病毒6常見病毒傳播途徑

P2P共享軟件將自身復(fù)制到P2P共享文件夾

通常以游戲,CDKEY等相關(guān)名字命名通過P2P軟件共享給網(wǎng)絡(luò)用戶利用社會工程學(xué)進行偽裝,誘使用戶下載例:WORM_PEERCOPY.A等病毒7常見病毒傳播途徑

系統(tǒng)漏洞由于操作系統(tǒng)固有的一些設(shè)計缺陷,導(dǎo)致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代碼,這就是系統(tǒng)漏洞.病毒往往利用系統(tǒng)漏洞進入系統(tǒng),達到傳播的目的。常被利用的漏洞RPC-DCOM緩沖區(qū)溢出(MS03-026)WebDAV(MS03-007)LSASS

(MS04-011)(LocalSecurityAuthoritySubsystemService)

例:WORM_MYTOB、WORM_SDBOT等病毒8常見病毒傳播途徑

案例SQLSlammer攻擊網(wǎng)絡(luò)上任意IP的1434端口,實現(xiàn)DDOS攻擊造成大量網(wǎng)絡(luò)流量,阻塞網(wǎng)絡(luò)2005年3月,國內(nèi)某銀行一臺服務(wù)器感染該病毒,導(dǎo)致核心交換機負載達到99%,引起網(wǎng)絡(luò)癱瘓從ServerProtect日志中確認為SQLSlammer病毒SQL服務(wù)器未安裝補丁安裝SQLServer2000SP3,并再次使用ServerProtect查殺病毒,問題解決。9常見病毒傳播途徑其他常見病毒感染途徑:網(wǎng)頁感染與正常軟件捆綁用戶直接運行病毒程序由其他惡意程序釋放目前大多數(shù)的木馬、間諜軟件等病毒都是通過這幾種方式進入系統(tǒng)。它們通常都不具備傳播性。1011

廣告軟件/灰色軟件由于廣告軟件/灰色軟件的定義,它們有時候是由用戶主動安裝,更多的是與其他正常軟件進行綁定。常見病毒傳播途徑12及時更新系統(tǒng)和應(yīng)用軟件補丁,修補漏洞強化密碼設(shè)置的安全策略,增加密碼強度加強網(wǎng)絡(luò)共享的管理增強員工的病毒防范意識防止病毒入侵13針對病毒傳播渠道,趨勢科技產(chǎn)品應(yīng)用利用OfficeScan的爆發(fā)阻止功能,阻斷病毒通過共享和漏洞傳播2.1防止病毒入侵14自啟動特性

除引導(dǎo)區(qū)病毒外,絕大多數(shù)病毒感染系統(tǒng)后,都具有自啟動特性。病毒在系統(tǒng)中的行為是基于病毒在系統(tǒng)中運行的基礎(chǔ)上的,這就決定了病毒必然要通過對系統(tǒng)的修改,實現(xiàn)開機后自動加載的功能。病毒自啟動方式修改注冊表將自身添加為服務(wù)將自身添加到啟動文件夾修改系統(tǒng)配置文件15

修改注冊表注冊表啟動項文件關(guān)聯(lián)項系統(tǒng)服務(wù)項BHO項其他病毒自啟動方式16注冊表啟動HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下:RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下:RunRunOnceRunServices以上這些鍵一般用于在系統(tǒng)啟動時執(zhí)行特定程序病毒自啟動方式注冊表啟動HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下:RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下:RunRunOnceRunServices以上這些鍵一般用于在系統(tǒng)啟動時執(zhí)行特定程序病毒自啟動方式17文件關(guān)聯(lián)項HKEY_CLASSES_ROOT下:exefile\shell\open\command]@="\"%1\"%*"comfile\shell\open\command]@="\"%1\"%*"batfile\shell\open\command]@="\"%1\"%*"htafile\Shell\Open\Command]@="\"%1\"%*"piffile\shell\open\command]@="\"%1\"%*“……病毒將"%1%*"改為“virus.exe%1%*"virus.exe將在打開或運行相應(yīng)類型的文件時被執(zhí)行病毒自啟動方式18

修改配置文件%windows%\wininit.ini中[Rename]節(jié)NUL=c:\windows\virus.exe 將c:\windows\virus.exe設(shè)置為NUL,表示讓windows在將virus.exe運行后刪除.Win.ini中的[windows]節(jié)

load=virus.exe run=virus.exe

這兩個變量用于自動啟動程序。System.ini中的[boot]節(jié) Shell=Explorer.exe,virus.exe Shell變量指出了要在系統(tǒng)啟動時執(zhí)行的程序列表。病毒自啟動方式19病毒常修改的Bat文件%windows%\winstart.bat該文件在每次系統(tǒng)啟動時執(zhí)行,只要在該文件中寫入欲執(zhí)行的程序,該程序即可在系統(tǒng)啟動時自動執(zhí)行。Autoexec.bat在DOS下每次自啟動病毒自啟動方式20

修改啟動文件夾當前用戶的啟動文件夾可以通過如下注冊表鍵獲得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp項公共的啟動文件夾可以通過如下注冊表鍵獲得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的CommonStartUp項病毒可以在該文件夾中放入欲執(zhí)行的程序,或直接修改其值指向放置有要執(zhí)行程序的路徑。病毒自啟動方式21病毒感染系統(tǒng)后,無疑會對系統(tǒng)做出各種修改和破壞。有時病毒會使受感染的系統(tǒng)出現(xiàn)自動彈出網(wǎng)頁、占用高CPU資源、自動彈出/關(guān)閉窗口、自動終止某些進程等各種不正?,F(xiàn)象。常見病毒行為無論病毒在系統(tǒng)表現(xiàn)形式如何…我們需要關(guān)注的是病毒的隱性行為!22下載特性很多木馬、后門程序間諜軟件會自動連接到Internet某Web站點,下載其他的病毒文件或該病毒自身的更新版本/其他變種。后門特性后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統(tǒng)中開啟并偵聽某個端口,允許遠程惡意用戶來對該系統(tǒng)進行遠程操控。有時候病毒還會自動連接到某IRC站點某頻道中,使得該頻道中特定的惡意用戶遠程訪問受感染的計算機。下載與后門特性-Downloader&Backdoor23信息收集特性大多數(shù)間諜軟件和一些木馬都會收集系統(tǒng)中用戶的私人信息,特別各種帳號和密碼。收集到的信息通常都會被病毒通過自帶的SMTP引擎發(fā)送到指定的某個指定的郵箱。信息收集特性-StealerQQ密碼和聊天記錄網(wǎng)絡(luò)游戲帳號密碼網(wǎng)上銀行帳號密碼用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣……24自身隱藏特性多數(shù)病毒會將自身文件設(shè)置為“隱藏”、“系統(tǒng)”和“只讀”屬性,更有一些病毒會通過修改注冊表來實現(xiàn)對系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等進行修改,以使其更加隱蔽不易被發(fā)現(xiàn)。自身隱藏特性-Hide&Rootkit

有一些病毒會使用Rootkit技術(shù)來隱藏自身的進程和文件,使得用戶更難以發(fā)現(xiàn)。使用Rootkit技術(shù)的病毒,通常都會有一個.SYS文件加載在系統(tǒng)的驅(qū)動中,用以實現(xiàn)Rootkit技術(shù)的隱藏功能。25文件感染特性文件型病毒的一個特性是感染系統(tǒng)中部分/所有的可執(zhí)行文件。病毒會將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中,使得系統(tǒng)正常文件被破壞而無法運行,或使系統(tǒng)正常文件感染病毒而成為病毒體。有的文件型病毒會感染系統(tǒng)中其他類型的文件。文件感染特性-Infector典型-PE_LOOKED維京PE_FUJACKS熊貓燒香26網(wǎng)絡(luò)攻擊一些蠕蟲病毒會針對微軟操作系統(tǒng)或其他程序存在的漏洞進行攻擊,從而導(dǎo)致受攻擊的計算機出現(xiàn)各種異?,F(xiàn)象,或是通過漏洞在受攻擊的計算機上遠程執(zhí)行惡意代碼。一些木馬和蠕蟲病毒會修改計算機的網(wǎng)絡(luò)設(shè)置,使該計算機無法訪問網(wǎng)絡(luò)。有的木馬和蠕蟲還會向網(wǎng)絡(luò)中其他計算機攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò),甚至通過散步虛假網(wǎng)關(guān)地址的廣播包來欺騙網(wǎng)絡(luò)中其他計算機,從而使得整個網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)攻擊

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論