病毒感染其他文件的步骤(了解)1.判断目标文件开始的两个字节是否为“MZ”。2.判断PE文件标记“PE”。3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续。4.获得数据目录个数5.得到节表起始位置6.得到节表的末尾偏移7.开始写入节表 3. ※DOS操作系统时代,计算机病毒分为引导型病毒、可执行文件病毒两大类 4. ※能够感染EXE、COM文件的病毒属于可执行文件病毒 5如何编译win32病毒? 病毒的重定技术 ? 为什么需要重定位?
? 正常程序的变量和函数的相对地址都是预先计算好的。
? 病毒是附加在宿主程序中的程序段,其问题在于:病毒变量和病毒函数的相对地址很难计算。
? 解决方法:动态找一个参照点,然后再根据参照点的地址确定病毒函数和病毒变量的地址。 获取API函数
? 为什么要获得API函数? ? 正常程序用引入表获得
? 病毒只是一个依附在正常程序中的代码段,没有自己的引入表
? 思路:去动态链接库中寻找--- 〉找相应链接库(kernel32, user32 等)在执行时的基地址。
第五章 特洛伊木马
木马组成(了解):硬件、软件、连接。
1.木马的关键技术:植入、自动加载、通信、隐藏 2.特洛伊木马(Trojan Horse)
是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。 3、※木马基本特征(想一下)
(1)隐蔽性是其首要的特征
(2)自动运行性、欺骗性、自动恢复功能(高级技术)、能自动打开特别的端口、功能的特殊性、黑客组织趋于公开化
4.※隐藏技术——反弹式木马、隐藏端口、dll、用ICMP方法隐藏连接、NT进程的隐藏
(1)反弹式木马的原理:利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。
(2)反弹式木马访问客户端的80端口,防火墙无法限制。例如,“网络神偷” (3)防范:使用个人防火墙,其采用独特的“内墙”方式应用程序访问网络规则 永远不要执行任何来历不明的软件或程序 永远不要相信你的邮箱不会收到垃圾和病毒
永远不要因为对方是你的好朋友就轻易执行他发过来的软件或程序。 不要随便在网络上留下你的个人资料。 不要轻易相信网络上认识的新朋友。
不要随便在网络空间招惹是非,防止别人用木马报复你。 7.(了解)木马的植入技术发展趋势
升级植入、网页植入、漏洞植入、U盘植入、程序绑定、QQ群发或邮件群发网页木马… 木马的发展趋势:跨平台性、模块化设计、更强的感染、更多的功能 9.隐藏技术——NT进程的隐藏
进程和端口联系在一起的方法很常见。因此,需要隐藏进程来达到隐藏木马的目的。 实现进程隐藏有两种思路:
? 第一是让系统管理员看不见(或者视而不见)你的进程, 即进程列表欺骗。 ? 第二是不使用进程。 第一种方式:进程列表欺骗 第二种方式:DLL(最流行)
? DLL是Windows系统的另一种“可执行文件”。DLL文件是Windows的基础,因为所有的 API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独 立运行,一般都是由进程加载并调用的。
? 假设我们编写了一个木马DLL,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL,如果那个进程是可信进程,那么我们编写的DLL作为那个进程的一部分,也将成为被信赖的一员而为所欲为。 用DLL实现木马功能,然后,用其他程序启动该DLL有三种方式:
? RUNDLL32 ? 特洛伊DLL ? 线程插入技术
10.※木马发现和杀除方法
端口扫描 查看连接
检查注册表————注册表是否被修改,是否有自启动项。 查找文件
杀病毒软件 系统文件查看器
11.※消除木马进程的步骤
第一步:提升权限
第二步:枚举进程,获得木马进程的进程号码。 第三步:终止木马进程。 第四步:清除木马文件。
13. ※从编程框架上来看,特洛伊木马是基于一种C/S模式的远程控制程序 14. ※用户常用的两种套接字是:TCP/UDP
15. ※论述木马、普通计算机病毒和远程控制程序之间的关系。
木马和远程控制软件的最主要区别: ? 不产生图标? 不出现在任务管理器中 木马和控制软件:
? 目的不同? 有些木马具有控制软件的所有功能? 是否隐藏 木马和普通病毒:
? 传播性(木马不如病毒)? 两者相互融合(木马程序YAI采用了病毒技术,“红色代码”病毒已经具有木马的远程控制功能)
第九章 新型计算机病毒
1. ※僵尸网络的主要特征是什么?主要危害有哪些?
特点 :分布性、恶意传播、一对多控制:(最主要的特点)
主要危害:DDOS攻击、发送垃圾邮件、窃取私人秘密、滥用资源
2. ※Rootkit是攻击者用来做什么的工具?试探讨Rootkit的原理及其防范方法。 Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。
原理(了解):Rootkit实质是一种“越权执行”的应用程序,它设法让自己达到和内核一样的运行级别,甚至进入内核空间,这样它就拥有了和内核一样的访问权限,因而可以对内核指令进行修改,最常见的是修改内核枚举进程的api,让它们返回的数据始终“遗漏”Rootkit自身进程的信息,一般的进程工具自然就“看”不到Rootkit了。更高级的Rootkit还篡改更多api,这样,用户就看不到进程、文件、被打开的端口,更拦截不到相关的网络数据包。 防范方法(了解):首先,不要在网络上使用明文传输口令,或者使用一次性口令。这样,即使你的系统已经被装入了Rootkit,攻击者也无法通过网络监听来获得更多用户账号和口令,从而避免入侵的蔓延。其次,使用tripwire和aide等完整性检测工具能够及时地帮助用户发现攻击者的入侵(Linux系统)。
蠕虫病毒机理:蠕虫病毒由两部分组成:主程序和引导程序。主程序收集与当前机器联网的其他机器信息。利用漏洞在远程机上建立引导程序。引导程序把“蠕虫”病毒带入了感染的
每一台机器中。当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播 3.※蠕虫病毒的主程序的传播模块,其入侵分为扫描(漏洞)、攻击和复制。蠕虫病毒和传统计算机病毒的区别是什么?蠕虫病毒的破坏主要体现在哪些方面?蠕虫病毒的特性有哪些?
入侵三个步骤:。
蠕虫病毒和传统计算机病毒的区别:
存在形式 传染机制 传染目标 蠕虫病毒的破坏主要体现方面:
表现一、蠕虫大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪。使机器变慢另外,部分被感染电脑将出现反复重启的现象。 表现二、可以逐渐损坏你硬盘上的文件。
蠕虫病毒的特性:(需要解释) 第一,利用漏洞主动进行攻击 第二,病毒制作技术新
第三,与黑客技术相结合,潜在的威胁和损失更大 第四,传染方式多 第五,传播速度快 第六,清除难度大
第七,破坏性强(影响网速,造成网络拒绝服务)
4.※流氓软件的主要特征是什么?和传统计算机病毒的区别是什么? 主要特征: 1. 强迫性安装 2. 无法卸载 3. 干扰正常使用
4. 具有病毒和黑客特征 和传统病毒的区别:
(1)目的性:利益的驱动侵扰。恶作剧、报复破坏 (2)破坏程度 (3)传染性 (4)应用价值
5.(了解)流氓软件定义
流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带,他会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害。 6.(了解)僵尸网络定义 僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控
普通病毒 寄存文件 宿主程序运行 本地文件 蠕虫病毒 独立程序 主动攻击 网络计算机 制信道接收攻击者的指令,组成一个僵尸网络。
第十章 计算机病毒的防范技术
1. ※计算机病毒诊断常用的比较法包括哪几种?
比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。
包括:? 注册表比较法? 文件比较法? 内存比较法? 中断比较法 比较法的好处:简单;比较法的缺点:无法确认病毒,依赖备份。 2. ※计算机病毒扫描软件由特征码库和扫描引擎组成 3. ※数据备份的技术策略有哪些?
(完全、增量、差分)
4.※计算机病毒检测的基本原理是什么?常用的检测方法有哪些?
基本原理:计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。根据计算机感染病毒后的特征来判断。
常用检测方法:比较法、校验和法、扫描法、行为监测法、行为感染试验法、虚拟执行法、陷阱技术、先知扫描、分析法等
5. ※计算机病毒的清除难度远远大于检测的难度,请说明原因。
?将感染病毒的文件中的病毒模块摘除,并使之恢复为可以正常使用的文件的过程称为病毒清除?计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。 原因:杀毒的不安全因素:? 清除过程可能破坏文件? 有的需要格式化才能清除 6. ※计算机病毒的防范思路
防治技术概括成五个方面:检测、清除、预防(被动防治)、免疫(主动防治)、数据备份及恢复、计算机病毒防范策略
相关推荐:
loading