计算机网络安全与管理14

1、细菌p细菌使一些不明显破坏文件的程序，他们的唯一目的就是繁殖自己p典型的例子：n多道程序系统中同时执行自己的两个副本，或者可能创建两个新的文件外，每个都是细菌原始源文件的复制品。n通过指数级复制，最终耗尽所有的处理机能力、存储器或磁盘空间病毒结构p组成：n感染机制n触发器n载荷pprepended / postpended / embeddedp当被感染程序运行时先执行病毒代码在执行原程序代码p阻止初始感染（困难）p组织传播（访问控制）病毒结构压缩病毒病毒分类p由感染位置分类n引导区病毒n寄生病毒n宏病毒p由隐藏方式n隐形病毒：反病毒软件检测时隐藏n多形病毒：能够更改签名n变形病毒：迭代更改宏

2、病毒p自90年代中期很普遍n平台无关n感染文档而不是代码可执行部分n易于传播pOffice的宏功能n嵌入doc的可执行代码n常用basic编写p新的后继版本增加了保护p很多防病毒软件也能识别邮件病毒p更新的病毒pe.g. Melissan利用附件中的宏n附件打开，宏激发n发邮件给所有列表中用户n本地破坏反病毒p预防：很难实现p相对好的解决方法：n检测n标识n清除p当探测到但却不能识别或清除时应能丢弃，提代被感染程序反病毒的进化p简单的扫描程序p不依赖专门的签名。采用：n启发式的规则；n完整性检查p是一些存储器驻留程序，通过病毒动作而不是通过其在被感染程序中的结构来识别p有不同联合适用的反病毒技

3、术组成的反病毒包类属解密Generic Decryptionp通过GD扫描器来运行可执行程序nCPU模拟器：基于软件的虚拟计算机n病毒签名扫描器：n模拟控制模块：控制代码运行p每次模拟的开始执行目标代码的指令，病毒完成了暴漏自身。目标代码不产生实际破坏p困难在于一次运行多长时间数字免疫系统行为阻止软件蠕虫p通过网络传播nemail,远程exec, 远程 login p与病毒有相同的阶段:n睡眠,传播,触发, 执行n传播阶段: 寻找目标，连接，复制执行p伪装成系统软件p概念来自 Brunners “The Shockwave Rider”p实现于 Xerox Palo Alto labs in

4、1980sMorris Wormp已知的最好病毒之一pRobert Morris 1988p多样的攻击 UNIX 系统n破解 password文件执行login/password 来logon 到其他系统n搜索 finger protocol漏洞n搜索 sendmail漏洞p如果成功获得远程Shell权限n发送引导程序拷贝病毒最近的蠕虫攻击pCode RednJuly 2001 exploiting MS IIS bugn尝试随机ip地址n消耗网络容量pCode Red II 变种包括后门pSQL Slammernearly 2003,攻击 MS SQL Servern非常紧凑传播快速pMyd

5、oomnmass-mailing e-mail worm that appeared in 2004n安装后门蠕虫技术pmultiplatformpmulti-exploitpultrafast spreadingppolymorphicpmetamorphicptransport vehiclespzero-day exploit 蠕虫对策p多次重叠使用反病毒机制ponce worm on system A/V can detectp蠕虫导致一场网络行为p蠕虫防御包括n基于签名的蠕虫过滤n基于过滤器的蠕虫围堵n基于有效载荷分类的蠕虫防御nthreshold random walk scan detectionn速率限制Proactive Worm ContainmentNetwork Based Worm Defensebotsp在其它计算机上执行的程序p导致难以追踪的攻击p写作构成botsnetp特性:n远程控制pvia IRC/HTTP etcn散布机制pattack software, vulnerabil