现代密码学理论与实践第19章恶意软件

1、现代密码学理论与实践第19章 恶意软件Fourth Edition by William StallingsSlides by 杨寿保syanghttp:/syang2012年12月2022/8/281/41现代密码学理论与实践-19：恶意软件本章要点恶意软件是指为了恶意的目的而蓄意植入系统的软件病毒是指通过修改其他程序而达到“感染”目的的软件，这种更改包括复制一个能够继续感染其他程序的病毒程序。蠕虫是指通过复制自身，并将副本通过网络传到其他计算机上的程序。当传到其他计算机上，它又开始重复做同样的事情，除了不断繁殖传播之外，蠕虫还经常含有其他有害的功能。拒绝服务攻击是指阻止合法用户正常地使用服

2、务。分布式拒绝服务攻击是指从多个源端发起的拒绝服务攻击。2022/8/282现代密码学理论与实践-19：恶意软件19.1 病毒及相关威胁恶意程序大致分两类：依赖于宿主的和独立于宿主的，前者是不能独立于应用程序或系统程序的程序段例如病毒、逻辑炸弹和后门；后者是可以被操作系统调度和执行的自包含程序例如蠕虫和僵尸(Zombie)程序恶意程序也可以分为不进行复制的和进行复制的，前者是在宿主程序被调用执行某一特定功能时被激活，如逻辑炸弹、后门和僵尸；后者是独立的程序段，当被执行时复制自身，如病毒和蠕虫后门也称为陷门(Trapdoor), 是程序的秘密入口，使用户可以不按照通常的安全访问步骤获得访问权，用

3、于程序的调试。后门是用来识别一些特殊的输入次序的代码，可以被利用以非法进入系统。2022/8/283现代密码学理论与实践-19：恶意软件恶意程序的分类2022/8/284现代密码学理论与实践-19：恶意软件恶意程序逻辑炸弹Logic Bomb是嵌在合法程序中的、只有当特定的事件出现时才会进行破坏的一组程序代码。特洛伊木马Trojan Horse是一种实际上或表面上有某种有用功能的程序，内部含有隐蔽代码，当其被调用时会产生一些意想不到的后果，使计算机潜伏执行非授权功能。僵尸Zombie秘密地接管Internet上的其他计算机，并使用该计算机发起攻击，这种攻击很难通过追踪僵尸的创建者查出来，被用在

4、拒绝服务攻击上。 肉鸡，就是拥有管理权限的远程计算机，也就是受别人控制的远程计算机。肉鸡可以是各种系统的，更可以是一家公司、企业、学校甚至是政府军队的服务器。一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器，所以3389端口没必要开时关上最好。 2022/8/285现代密码学理论与实践-19：恶意软件2022/8/286现代密码学理论与实践-19：恶意软件19.1.2 病毒的特性病毒是一种可以通过修改自身来感染其他程序的程序病毒的四个阶段潜伏阶段，处于休眠，直至被触发传染阶段，复制自身，传染其他触发阶段，被特定事件所激活发作阶段，条件成熟，发作破坏病毒的结构病毒可以被放在可执行文件

5、首部、尾部或以其他方式嵌入宿主程序，首先被执行的应当是病毒简单的病毒压缩的病毒2022/8/287现代密码学理论与实践-19：恶意软件病毒的逻辑简单的和压缩的program CV := goto main; 01234567; subroutine infect-executable := loop: file := get-random-executable-file; if (first-line-of-file = 01234567) then goto loop; (1) compress file; (2) prepend CV to file; main: main-program

6、 := if ask-permission then infect-executable; (3) uncompress rest-of-file; (4) run uncompressed file; Figure 19.2 Logic for a Compression Virus2022/8/288现代密码学理论与实践-19：恶意软件病毒的压缩过程2022/8/289现代密码学理论与实践-19：恶意软件病毒的种类和宏病毒病毒的种类寄生性病毒常驻存储器病毒引导扇区病毒隐蔽性病毒多态性病毒变形病毒宏病毒宏病毒不依赖于单一平台 宏病毒只感染文档文件宏病毒很容易传播2022/8/2810现代密码

7、学理论与实践-19：恶意软件电子邮件病毒E-mail Viruses如果邮件接收者打开附件, Word的宏即被激活，这样邮件病毒会给邮件地址列表中所有的用户发去其自身的复制品邮件病毒并在本地制造破坏更强大的电子邮件病毒甚至都不需要打开附件，只在用户打开含有病毒的邮件就会激活；一旦激活，就通过电子邮件地址列表迅速扩散传播2022/8/2811现代密码学理论与实践-19：恶意软件蠕虫Worms 网络蠕虫病毒利用网络连接从一个系统扩散到另一个系统，一旦在系统中激活，就表现为计算机病毒，可以植下特洛伊木马程序或者做一系列破坏性活动。网络蠕虫病毒为复制自身，会利用一些网络工具，如电子邮件系统远程执行功能

8、远程登录功能蠕虫传播阶段执行以下活动通过检查主机列表或者类似的远程系统地址列表来寻找新的感染对象通过远程系统建立连接将其自身复制到远程系统上并开始运行2022/8/2812现代密码学理论与实践-19：恶意软件19.2 计算机病毒的防治策略反病毒方法检测、鉴别、清除反病毒软件的发展第一代：简单扫描第二代：启发式扫描第三代：主动设置陷阱第四代：全面的预防措施2022/8/2813现代密码学理论与实践-19：恶意软件19.2.2 高级反病毒技术通用解密技术CPU仿真器病毒特征扫描器仿真控制模块数字免疫系统每台计算机监视程序利用大量启发式论据对病毒进行判断管理机对样本加密送病毒中心分析机将指令执行的结

9、果返回管理机管理机将该指令送往已感染病毒的客户机管理机还将该指令送往系统的其他客户机全球用户接收反病毒软件的定期更新，免遭到新病毒攻击2022/8/2814现代密码学理论与实践-19：恶意软件数字免疫系统2022/8/2815现代密码学理论与实践-19：恶意软件计算机病毒(virus)介绍三种病毒的机理CIH病毒Shakiras picturesNimda病毒的本质和分类一个分布式防病毒体系结构2022/8/2816现代密码学理论与实践-19：恶意软件CIH病毒 4.26事件(一则报道)2022/8/2817现代密码学理论与实践-19：恶意软件CIH病毒病毒影响：Win95/98类型：文件型病

10、毒，感染95/98环境下PE格式的exe文件病毒特点病毒代码化整为零，插入到被感染文件中，受感染的.exe文件的长度没有改变病毒代码只有1K字节左右现象：突然显示器黑屏、硬盘狂闪，无法重启传播方式：通过文件进行传播。只要运行了带病毒的文件，病毒就会驻留在系统内存中，以后，再运行PE格式的exe文件，这些文件就会染上病毒破坏：利用BIOS芯片可重写的特性，向BIOS写入乱码直接破坏硬件设备2022/8/2818现代密码学理论与实践-19：恶意软件CIH病毒原理CIH病毒驻留如果一个EXE程序已经被感染，则此程序的入口指针被改掉，首先执行病毒的驻留部分用SIDT取得IDT表地址，修改INT3的中断

11、入口，指向病毒代码执行INT 3，在ring 0执行病毒代码。判断DR0寄存器是否为0，以便确定是否已经驻留在内存中，否则的话，执行下面的过程：申请Windows的系统内存，以便把病毒体放到系统中。病毒代码被分割到程序各个部分，所以要先把它们装配起来在Windows内核中的文件系统处理函数中挂接钩子，以截取文件调用的操作。因此，一旦系统出现要求打开文件的调用，则CIH病毒的感染部分代码就会马上截获此文件恢复IDT表的INT3地址进入程序的正常执行过程2022/8/2819现代密码学理论与实践-19：恶意软件CIH病毒原理(续1)感染部分：对于文件调用的钩子函数首先取到文件名字如果文件名为EXE

12、后缀，则感染判断EXE文件的格式是否为PE格式如果文件已被感染，或者不是PE格式，则进入病毒发作模块否则，进行感染把病毒代码放到PE格式的各个缝隙中首块插入到PE格式头部的自由空间中。PE格式通常有400多字节的自由空间，而病毒代码的首块必须包含驻留代码(184字节 for CIH 1.4)以及病毒块链表修改文件入口地址，指向病毒驻留代码，并且把原来的入口地址也记录下来，以便能够回到正常的执行路径上除了首块病毒代码之外，其他的块插入到PE文件的各个section中。根据PE头中每个section的参数信息，决定每个section可以存放的病毒代码大小，依次填入病毒代码，直到填完或者到达最后的s

13、ection最后，执行写盘操作，把病毒代码写入文件2022/8/2820现代密码学理论与实践-19：恶意软件CIH病毒原理(续2)病毒发作不同版本有不同的逻辑在1.4版本中，发作日为4月26日，病毒取出系统时钟的信息，进行判断病毒破坏逻辑通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块（boot block）内各写入一个字节的乱码，造成主机无法启动破坏硬盘，从硬盘的主引导区开始，写入垃圾数据，直到所有的硬盘空间都被覆盖病毒的检测方法1：查找病毒特征码：“CIH v1.”方法2：在DEBUG模式下，找到PE头中的病毒感染标志病毒的清除是感染过程的逆过程2022/8/2821现代密

14、码学理论与实践-19：恶意软件Shakiras pictures病毒2022/8/2822现代密码学理论与实践-19：恶意软件Shakiras pictures邮件的附件附件(ShakiraPics.jpg.vbs)内容(6K多)2022/8/2823现代密码学理论与实践-19：恶意软件Shakiras pictures邮件的病毒代码把wapwvdfgcpw解出来之后，如下(主程序部分)2022/8/2824现代密码学理论与实践-19：恶意软件Shakiras pictures邮件病毒发作流程改写注册表键HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

15、Registry利用Outlook给地址簿中所有用户发信并置上标记：HKCUsoftwareShakiraPicsmailed = 1利用mirc发送病毒附件并置上标记：HKCUsoftwareShakiraPicsMirqued = 1对于当前文件系统中(所有远程目录)所有的vbs文件和vbe文件都替换成自己 循环+递归提醒用户：“You have been infected by the ShakiraPics Worm”2022/8/2825现代密码学理论与实践-19：恶意软件Shakiras pictures邮件病毒的思考脚本类型的Internet Worm其他还有“I love yo

16、u”病毒，等各种变种Mellisa病毒：Word宏病毒，通过邮件系统进行传播病毒编写简单，而危害性大反映了MS产品的一个矛盾：功能与安全如何平衡？如何抑制这种类型的病毒用户：提高警惕，不要轻易打开附件安装防病毒软件软件厂商(MS)：增强脚本引擎的安全性(?)打开附件提醒用户2022/8/2826现代密码学理论与实践-19：恶意软件Nimda病毒2001年9月18日发现之后，迅速传播开来受影响的操作系统Windows 9x/Me/Nt/2000感染途径：文件感染、电子邮件附件、Web服务器攻击，以及局域网上的共享文件功能服务器：没打补丁的IIS Web Server客户：没打补丁的IE 5.01

17、/5.5，以及使用到IE功能的邮件客户软件，包括Outlook, Outlook Express等危害性受到感染的一台机器会影响到其他的机器系统文件和文档文件会受损网络资源会被拥塞住解决方案为所用的软件及时地打上补丁2022/8/2827现代密码学理论与实践-19：恶意软件Nimda病毒的传播2022/8/2828现代密码学理论与实践-19：恶意软件Nimda病毒的感染过程文件感染感染EXE文件，不是把自己插入到EXE文件的头或者尾部，而是把原来的EXE文件插进来，再改名为EXE的文件名运行的时候，先运行病毒，再提取出EXE并运行Email感染病毒从用户地址簿、收件箱以及Web cache页面

18、中抽取出email地址，然后构造一封邮件，内含一个附件readme.exe，送出去。一旦收到邮件的人打开附件，则马上被感染。有些邮件客户会自动浏览附件，则自动被感染。Web Server攻击扫描并攻击Web Server，一旦成功，则把病毒代码附到Web页面的最后，未打补丁的IE浏览到这样的页面的时候，也会自动被感染LAN共享攻击打开一个共享系统，在administrators加入一帐户，并打开C盘共享把一个受感染的email和一个受感染的riched20.dll写到每一个共享可写目录中，如果共享目录的系统打开这个email或者目录中的Word、Wordpad或Outlook文档，则此系统也会

19、被感染2022/8/2829现代密码学理论与实践-19：恶意软件为什么邮件的附件会被自动执行？页面被自动浏览？在HTML email中，IE解析MIME头部的时候出现漏洞2022/8/2830现代密码学理论与实践-19：恶意软件Nimda的病毒体逻辑Nimda病毒主要的逻辑就是传播自身不同的形态下使用不同的文件名，并且修改相应的注册表键以便自己继续获得控制权，或者隐藏自身对安全功能的影响修改注册表键，关闭隐藏文件的显示功能加入一个“guest”帐号，并加到administrators和Guests组中，并且，共享C:目录为可完全访问。修改注册表键，禁止共享安全性版权所有2022/8/2831现

20、代密码学理论与实践-19：恶意软件引导型病毒启动分区病毒特点在系统启动的时候激活，先于操作系统分为MBR病毒和BR病毒病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中，比如大麻(Stoned)病毒BR病毒是将病毒寄生在硬盘逻辑分区的0扇区，比如小球病毒这种病毒如何驻留到内存中，如何进入到系统中？往往与BIOS中断有关联，比如int 13h(硬盘中断)引导分区中往往只是病毒的引导部分，病毒体通常放在别的扇区中传染途径软盘启动是最危险的检测和消除相对而言，这种病毒比较容易检测，只要检查引导扇区就能确定由于内存中存在病毒，所以，简单地改写引导扇区并不能清除病毒，必须用干净的盘启动，杀灭

21、病毒，再启动系统预防措施尽量关闭BIOS中软盘启动的选项硬盘的启动分区留个备份2022/8/2832现代密码学理论与实践-19：恶意软件怀念：DOS中的病毒DOS比较简单，是一个单任务的操作系统系统管理的内存只有低端640K中断int 10h和int 21h是重要的系统功能入口FAT文件系统也比较简单主要的技术修改中断向量任何一个程序都很容易就可以修改中断向量常驻内存的技术驻留到高端可用内存区驻留到系统的低端内存区调试和检查病毒代码容易做到.com和.exe文件的格式是透明的C是关注的焦点之一一切尽在掌控中2022/8/2833现代密码学理论与实践-19：恶意软件分布式拒绝服务攻击DDoS20

22、22/8/2834现代密码学理论与实践-19：恶意软件基于DDoS攻击的洪泛攻击分类2022/8/2835现代密码学理论与实践-19：恶意软件基于DDoS攻击的洪泛攻击分类2022/8/2836现代密码学理论与实践-19：恶意软件局域网ARP攻击的原因 以太网内主机通信是靠MAC地址来确定目标的，ARP协议又称“地址解析协议”，它负责通知计算机要连接的目标的地址，即以太网MAC地址。简单说来就是通过IP地址来查询目标主机的MAC地址，一旦这个环节出错，就不能正常和目标主机进行通信，甚至使整个网络瘫痪。在安装了以太网网络适配器的计算机中都有专门的ARP缓存，包含一个或多个表，用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息，可以使用arp命令来完成，比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容；键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。协议的开放性给ARP攻击造成了机会。2022/8/2837现代密码学理论与实践-19：恶意软件局域网的ARP攻击方法(1)通过伪造IP地址和MAC地址实现ARP欺骗攻击用伪造源MAC地址发