沈鑫剡编著(网络安全)教材配套课件第13章.pptxVIP

网络安全 第十三章 第13章 病毒防御技术 本章主要内容 病毒作用过程； 基于主机防御技术； 基于网络防御技术。 13.1 病毒作用过程 本讲主要内容 病毒存在形式； 病毒植入方式； 病毒隐藏和运行； 病毒感染和传播； 病毒破坏过程； 病毒作用过程实例。 一、病毒存在形式 病毒可以是一段寄生在其他程序和文件中的恶意代码，也可以是一个完整的程序。 寄生病毒 脚本病毒 宏病毒 PE病毒 非寄生病毒 二、病毒植入方式 对于寄生病毒，病毒植入是指将包含病毒的宿主程序或宿主文件传输到主机系统中的过程。对于非寄生病毒，病毒植入是指将独立、完整的病毒程序传输到主机系统中的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延 三、病毒隐藏和运行 1．病毒首次运行过程 （1）U盘AutoRun病毒 修改U盘的AutoRun.inf文件，将病毒程序作为双击U盘后执行的程序。如果已经启动Windows 的自动播放功能，当用户打开该U盘时，首先执行病毒程序。 （2）宏病毒 用Office软件打开包含宏病毒的Office文档时，才能执行包含在Office文档中的宏病毒。 （3）脚本病毒 当浏览器浏览包含脚本病毒的网页时，浏览器执行包含在网页中的脚本病毒。 三、病毒隐藏和运行 1．病毒首次运行过程 （4）PE病毒 人工执行，或者由其他进程调用包含PE病毒的PE格式文件时，才能执行包含在PE格式文件中的PE病毒。 （5）蠕虫病毒 蠕虫病毒能够自动地将自身植入网络中的其他主机系统，并运行。 三、病毒隐藏和运行 2．病毒激发机制 嵌入BIOS和引导区； 病毒程序作为自启动项； 修改名字。 四、病毒感染和传播 病毒每一次运行过程，或是完成感染和传播过程。 一般情况下，PE病毒感染PE格式文件，宏病毒感染Office文档，脚本病毒感染HTML文档。蠕虫病毒自动完成传播过程。 五、病毒破坏过程 设置后门； 监控用户操作过程； 破坏硬盘信息； 破坏BIOS； 发起拒绝服务攻击； 蠕虫蔓延。 六、病毒作用过程实例 （1）木马病毒结构及功能 木马病毒采用客户/服务器结构，由客户端和服务器端代码组成，激活服务器端代码后，黑客通过启动客户端代码，和服务器端建立连接，并通过客户端对服务器端系统进行操作。 六、病毒作用过程实例 （2）木马病毒传播及首次激活过程 常见的传播木马病毒的途径有以下几种，嵌入用脚本语言编写的木马病毒的HTML文档；以嵌入木马病毒的可执行文件为附件的电子邮件；通过类似缓冲区溢出等漏洞上传并运行木马病毒。 六、病毒作用过程实例 （3）木马病毒激活机制 木马病毒首次激活需要完成下述功能： 将木马服务器端代码作为独立的可执行文件存放在攻击目标的文件系统中； 修改注册表，将存放木马服务器端代码的路径加入到注册表的自启动项列表中，系统启动过程中，自动激活木马服务器端代码。或者将注册表HKEY_CLASSES_ROOT主键下“txtfile\shell\open\command”的键值由“C:\WINDOWS\NOTEPAD.EXE %1”改为存放木马服务器端代码的路径，只要用户通过双击打开扩展名为txt的文件，首先激活木马服务器端代码。 六、病毒作用过程实例 （4）实施非法访问 建立服务器端与客户端之间的TCP连接后，黑客可以通过客户端对服务器端资源实施非法访问。 六、病毒作用过程实例 （1）缓冲区溢出漏洞 由于函数B使用缓冲区时没有检测缓冲区边界这一步，当函数B的输入数据超过规定长度时，函数B的缓冲区发生溢出，超过规定长度部分的数据将继续占用其他存储空间，覆盖用于保留函数A的返回地址的存储单元。 黑客终端发送给该功能块的数据中包含某段恶意代码，而且，用于覆盖函数A返回地址的数据恰恰是该段恶意代码的入口地址。 六、病毒作用过程实例 （2）扫描Web服务器 确定目标主机是否是Web服务器的方法是尝试建立与目标主机之间目的端口号为80的TCP连接，如果成功建立该TCP连接，表明目标主机是Web服务器。 六、病毒作用过程实例 （3）获取Web服务器信息 向目标主机发送一个错误的HTTP请求消息，目标主机回送的HTTP响应消息中会给出有关目标主机Web服务器的一些信息。   HTTP/1.1 400 Bad Request Server:Microsoft-IIS/4.0 Date:Sat,03 Apr 1999 08:42:40 GMT Content-Type:text/html Content-Length:87   html headti