◦
系统漏洞蠕虫


利用RPC溢出漏洞的冲击波、冲击波杀手 利用LSASS溢出漏洞的震荡波、震荡波杀手 系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并 尝试溢出，然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属 于最不受欢迎的一类蠕虫
蠕虫的工作方式与扫描策略
TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi 邮件蠕虫 T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori 主要是利用 keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH MIME(Multipurp 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ ose Internet Mail MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 Extension RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
缓冲区溢出与病毒攻击的原理
二、缓冲区溢出的根源在于编程错误 缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而 程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲 区溢出就会发生。 缓冲区溢出之所以泛滥，是由于开放源代码程序的本质决 定的。某些编程语言对于缓冲区溢出是具有免疫力的，例如 Perl能够自动调节字节排列的大小，Ada 95能够检查和阻止缓 冲区溢出。但是被广泛使用的C语言却没有建立检测机制。标 准C语言具有许多复制和添加字符串的函数，这使得标准C语 言很难进行边界检查。C++语言略微好一些，但是仍然存在缓 冲区溢出情况。一般情况下，覆盖其他数据区的数据是没有意 义的，最多造成应用程序错误，但是，如果输入的数据是经过 “黑客”或者病毒精心设计的，覆盖缓冲区的数据恰恰是“黑 客”或者病毒的攻击程序代码，一旦多余字节被编译执行， “黑客”或者病毒就有可能为所欲为，获取系统的控制权。
部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则
是直接生成一个文件的副本，将病毒代码拷入其中，并以原 文件名作为病毒文件名的前缀，vbs作为后缀。 2、VBS脚本病毒通过网络传播的几种方式及代码分析 通过E-mail附件传播

通过局域网共享传播
四、蠕虫病毒
蠕虫病毒
蠕虫病毒是一种常见的计算机病毒。它是利用网 络进行复制和传播，传染途径是通过网络和电子 邮件。 蠕虫病毒是自包含的程序(或是一套程序)，它能 传播自身功能的拷贝或自身（蠕虫病毒）的某些 部分到其他的计算机系统中(通常是经过网络连 接 )。 蠕虫病毒的传染目标是互联网内的所有计算机.局 域网条件下的共享文件夹，电子邮件email，网络 中的恶意网页，大量存在着漏洞的服务器等都成 为蠕虫传播的良好途径 。网络的发展也使得蠕虫病毒可以在几个小时内 蔓延全球!而且蠕虫的主动攻击性和突然爆发性会 使得人们手足无策
同样，我们可以发现，如下IP地址存在同 样的问题
首先我们对IP地址为22.163.0.9的主机产 生的网络流量进行过滤
蠕虫病毒流量分析
发出的数据包的内容
五、缓冲区溢出与病毒 攻击的原理
缓冲区溢出与病毒攻击的原理
一、 缓冲区溢出 缓冲区溢出是指当计算机程序向缓冲区内填充的数据位 数超过缓冲区本身的容量。溢出的数据覆盖在合法数据上。理 想情况是，程序检查数据长度并且不允许输入超过缓冲区长度 的字符串。大多数程序都会假设数据长度总是与所分配的存储 空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的 缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储 在堆栈当中，堆栈也会出现缓冲区溢出。 当一个超长的数据进入到缓冲区时，超出部分就会被写 入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的 指针、或者是其他程序的输出内容，这些内容都被覆盖或者破 坏掉了。可见一小部分数据或者一套指令的溢出就可能导致一 个程序或者操作系统崩溃。
二、病毒的定义和分类
病毒的定义和分类
一、 病毒的定义 计算机病毒是一个程序，一段可执行码，具有独特的 复制能力。计算机病毒可以快速地传染，并很难解除。它们 把自身附着在各种类型的文件上。当文件被复制或从一个用
户传送到另一个用户时，病毒就随着文件一起被传播了。
计算机病毒确切定义是能够通过某种途径潜伏在计算 机存储介质（或程序）里，当达到某种条件时即被激活具有 对计算机资源进行破坏的一组程序或指令的集合。
病毒的定义和分类
4）潜伏性 病毒发作是由触发条件来确定。为了防止用户察觉， 计算机病毒会想方设法隐藏自身。通常粘附在正常程序之中 或磁盘引导扇区中，或者磁盘上标为坏簇的扇区中，以及一 些空闲概率较大的扇区中，即非法可存储性。 5）针对性 针对不同的操作系统、不同的应用软件。 6）衍生性 具有依附其他媒体而寄生的能力。 在传播的过程中自动改变自己的形态，从而衍生出另 一种不同于原版病毒的新病毒，这种新病毒称为病毒变种。 7）抗反病毒软件性 有变形能力的病毒能更好地在传播过程中隐蔽自己， 使之不易被反病毒程序发现及清除，并具有反杀的能力。
病毒的定义和分类
计算机病毒的特点 1）可执行性 当用户运行正常程序时，病毒伺机窃取到系统的控制 权，得以抢先运行。 2）破坏性 无论何种病毒程序，一旦侵入系统都会对操作系统的 运行造成不同程度的影响。 3）传染性 把自身复制到其他程序中的特性。 是计算机病毒最重要的特征，是判断一段程序代码是 否为计算机病毒的依据。 病毒可以附着在其它程序上，通过磁盘、光盘、计算 机网络等载体进行传染，被传染的计算机又成为病毒的生存 的环境及新传染源。
用Sniffer进行蠕虫检测

一般进行流量分析时，首先关注的是产 生网络流量最大的那些计算机。利用 Sniffer的Host Table功能，将所有计算 机按照发出数据包的包数多少进行排序
发包数量前列的IP地址为22.163.0.9的主机，其从网络 收到的数据包数是0，但其向网络发出的数据包是445 个； 这对HTTP协议来说显然是不正常的，HTTP协议是基 于TCP的协议，是有连接的，不可能是光发不收的，一 般来说光发包不收包是种类似于广播的
病毒的定义和分类
病毒的传播方式： 通过文件系统传播； 通过电子邮件传播；


通过局域网传播；
通过即时通讯软件和点对点软件等常用工具传播； 利用系统、应用软件的漏洞进行传播； 利用系统配置缺陷传播，如弱口令、完全共享等； 利用欺骗等社会工程的方法传播。
三、 VBS病毒的起源与发展 及其危害
这样诞生在实验室中。
20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，为了打击 盗版软件，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染 软盘引导区，成为世界上流行的第一个真正的病毒。
病毒的起源和发展
计算机病毒是一组人为设计的程序，这种特殊的程序隐 藏在计算机系统中，能够把自身或自身的一部分复制到其它 程序上，给计算机系统造成一定损害甚至严重破坏。这种程 序的活动方式与生物学上的病毒非常相似，所以被称为计算 机病毒。 计算机病毒的危害主要体现在以下方面： 破坏文件分配表或目录区 删除文件、修改或破坏文件中的数据 大量复制自身，减少磁盘可用的存储空间 修改或破坏系统信息 非法格式化磁盘，非法加密或解密用户文件 在磁盘上产生坏扇区 降低系统运行速度
对蠕虫在网络中产生的异常，有多种的 的方法可以对未知的蠕虫进行检测，比 较通用的方法是对流量异常的统计分析， 主要包括对TCP连接异常的分析和ICMP 数据异常分析的方法。

从传播模式进行安全防御


在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的 生成大量的IP地址进行扫描，探测漏洞主机。这 些被扫描主机中会存在许多空的或者不可达的IP 地址，从而在一段时间里，蠕虫主机会接收到大 量的来自不同路由器的ICMP不可达数据包。流量 分析系统通过对这些数据包进行检测和统计，在 蠕虫的扫描阶段将其发现，然后对蠕虫主机进行 隔离，对蠕虫其进行分析，进而采取防御措施。 将ICMP不可达数据包进行收集、解析，并根据源 和目的地址进行分类，如果一个IP在一定时间（T） 内对超过一定数量（N）的其它主机的同一端口 （P）进行了扫描，则产生一个发现蠕虫的报警 （同时还会产生其它的一些报警）。
毒。由于通过电子邮件系统传播，宏病毒在短短几天内狂袭
全球数以百万计的电脑。包括微软、Intel等公司在内的众多 大型企业网络系统瘫痪，全球经济损失达数十亿美元。2004 年爆发的“新欢乐时光”病毒也给全球经济造成了巨大损失。
VBS病毒的起源与发展及其危害
三、 VBS病毒的发展和危害
1、VBS脚本病毒如何感染、搜索文件 VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒 中的绝大部分代码都可以直接附加在其他同类程序的中间， 譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾
本语言来编制病毒，并利用WSH的支持功能，让这些隐藏着
病毒的脚本在网络中传播。“I Love You”病毒便是一个典型 的代表。
VBS病毒的起源与发展及其危害
二、 VBS病毒的发展和危害 当微软在推出WHS后不久，在Windows 95操作系统中 就发现了利用WHS的病毒，随后又出现了更为厉害的 “Happly Time（欢乐时光）”病毒，这种病毒不断的利用自 身的复制功能，把自身复制到计算机内的每一个文件夹内。 2000年5月4日在欧美地区爆发的“宏病毒”网络蠕虫病
VBS病毒的起源与发展及其危害
一、 VBS的运行基础 VBS病毒的运行基础是微软公司提供的脚本程序：WSH （Windows Scripting Host）。WSH通用的中文译名为 “Windows脚本宿主”。 应该说，WSH的优点在于它使用户可以充分利用脚本来 实现计算机工作的自动化。计算机病毒制造者也正是利用脚
Protocol，多用途 的网际邮件扩充协 议)漏洞
MIME描述漏洞