第二章常見網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

-Part1編輯ppt常見程序漏洞問題惡意代碼攻擊木馬和后門拒絕效勞攻擊欺騙攻擊編輯ppt常見程序漏洞問題什么是程序中的“bug〞？開發(fā)者犯錯(cuò)誤---導(dǎo)致設(shè)計(jì)中過失編碼〔error〕---一個(gè)或多個(gè)錯(cuò)誤〔fault〕。錯(cuò)誤：系統(tǒng)內(nèi)部觀點(diǎn)，開發(fā)者所見失效：系統(tǒng)外部觀點(diǎn)，用戶看到的問題。對系統(tǒng)要求行為的違反。不是所有的錯(cuò)誤都會導(dǎo)致失效，例如錯(cuò)誤代碼從來未被執(zhí)行或者系統(tǒng)從來沒有進(jìn)入某種狀態(tài)。編輯ppt程序漏洞產(chǎn)生原因原因：〔1〕、受編程設(shè)計(jì)人員的能力、經(jīng)驗(yàn)和平安技術(shù)所限，操作系統(tǒng)及各種應(yīng)用程序在設(shè)計(jì)中出現(xiàn)邏輯錯(cuò)誤是不可防止的?！?〕、對程序內(nèi)部操作的不了解，或沒有足夠的重視，編程人員總會假定程序在任何環(huán)境中能夠正常運(yùn)行。當(dāng)假設(shè)得不到滿足，程序內(nèi)部的相互作用和平安策略產(chǎn)生沖突便形成了平安漏洞。編輯ppt〔3〕、數(shù)據(jù)處理中出現(xiàn)的錯(cuò)誤。例如對變量賦值及發(fā)送的一些請求命令。例如WebLogic效勞端發(fā)送類似GET.\r\n\r\n的請求時(shí)，遠(yuǎn)程WebLogic效勞端在處理生成重定向的請求時(shí)會泄漏該主機(jī)的NetBIOS主機(jī)名。〔4〕、平安缺陷和具體的系統(tǒng)環(huán)境密切相關(guān)。在不同種類的軟、硬件設(shè)備中，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，都存在各自不同的平安問題。例如低于0.6.6k或0.9.7c版本的OpenSSL存在堆棧溢出漏洞，該漏洞可導(dǎo)致遠(yuǎn)程攻擊者獲得系統(tǒng)的shell。編輯ppt〔5〕、某些效勞或應(yīng)用程序會向遠(yuǎn)程客戶提供關(guān)于本機(jī)的一些信息，這種信息泄漏也是一種平安缺陷。例如Finger效勞，域名解析效勞等?！?〕、有些效勞本身不是漏洞或不存在平安缺陷，但是卻能被遠(yuǎn)程主機(jī)利用來進(jìn)行輔助攻擊。例如VisualRouteWeb效勞器允許攻擊者／攻擊程序在不暴露自身到目標(biāo)主機(jī)路由的情況下執(zhí)行向第三方主機(jī)的路由跟蹤。編輯ppt沒有技術(shù)手段可以消除所有的程序漏洞。測試技術(shù)上：應(yīng)該做什么，不應(yīng)該做什么。不可能詳盡地測試狀態(tài)和數(shù)據(jù)的每一種組合來檢驗(yàn)系統(tǒng)。惡意代碼還具有隱蔽性。技術(shù)開展上：程序設(shè)計(jì)和軟件工程技術(shù)的開展速度遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)平安技術(shù)的開展技術(shù)。保護(hù)過去的技術(shù)編輯ppt舉例--計(jì)算機(jī)攻擊的劇烈增長

CERTcomputeremergencyresponseteam

計(jì)算機(jī)應(yīng)急響應(yīng)小組，卡內(nèi)基梅隆大學(xué)，追蹤和報(bào)道在全世界范圍內(nèi)報(bào)道的計(jì)算機(jī)攻擊的種類和數(shù)量。任務(wù)：警告用戶和開發(fā)者出現(xiàn)的新的問題，提供解決的必要信息。

編輯ppt據(jù)中國互聯(lián)網(wǎng)協(xié)會統(tǒng)計(jì)，2021年，中國大陸受到來自境外的網(wǎng)絡(luò)攻擊數(shù)量同比增長了148%。工信部發(fā)言人在接受新華社記者專訪時(shí)指出，僅2021年，我國被境外控制的計(jì)算機(jī)IP地址就多達(dá)100多萬個(gè)，被黑客組織篡改的網(wǎng)站累計(jì)達(dá)4.2萬個(gè)，其中政府網(wǎng)站被篡改的數(shù)量達(dá)2765個(gè)。在受網(wǎng)絡(luò)病毒威脅方面，我國僅被“飛客〞蠕蟲病毒感染的計(jì)算機(jī)數(shù)量每月就達(dá)1800萬臺，占全球感染主機(jī)的30%，位居世界第一。被植入僵尸程序的計(jì)算機(jī)數(shù)量也位居世界首位，占世界總量的13%。

編輯ppt美國是世界上最大的網(wǎng)絡(luò)攻擊源頭。據(jù)美國最大的網(wǎng)絡(luò)公司Symatec公司發(fā)表的2021年互聯(lián)網(wǎng)平安威脅報(bào)告，世界上25%的網(wǎng)絡(luò)攻擊源自美國，33%的僵尸控制效勞器和43%的“釣魚網(wǎng)站〞位于美國。對中國的網(wǎng)絡(luò)攻擊和入侵也主要源自美國。據(jù)中國國家互聯(lián)網(wǎng)應(yīng)急中心對局部木馬和僵尸程序的抽樣檢測結(jié)果，2021年我國境內(nèi)被木馬程序和僵尸程序控制的主機(jī)IP數(shù)量分別為26.2萬個(gè)和83.7萬個(gè)，分別有16.5萬個(gè)和1.9萬個(gè)境外主機(jī)地址參與控制這些計(jì)算機(jī)，其中源自美國的數(shù)量排名第一，分別占16.61%和22.34%?？梢哉f，美國已成為全球最大的網(wǎng)絡(luò)攻擊策源地。

編輯ppt應(yīng)急響應(yīng)效勞的誕生—CERT/CC1988年Morris蠕蟲事件直接導(dǎo)致了CERT/CC的誕生。CERT/CC效勞的內(nèi)容：平安事件響應(yīng)平安事件分析和軟件平安缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具教育與培訓(xùn)：CSIRT〔computersecurityincidentresponseteam〕管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員平安培訓(xùn)指導(dǎo)其它CSIRT〔也稱IRT、CERT〕組織建設(shè)編輯ppt舉例計(jì)算機(jī)平安總署〔computersecurityinstitute,CSI〕和FBI，調(diào)查500家大型機(jī)構(gòu)，90%有平安隱患，25%每年有2-5例平安事件，37%超過10例。對167名網(wǎng)絡(luò)平安人員調(diào)查，75%經(jīng)歷過網(wǎng)絡(luò)攻擊，超過50%認(rèn)為攻擊頻繁。223名被調(diào)查者損失455000000美元編輯ppt國內(nèi)平安事件響應(yīng)組織建設(shè)情況計(jì)算機(jī)網(wǎng)絡(luò)根底設(shè)施已經(jīng)嚴(yán)重依賴國外；由于地理、語言、政治等多種因素，平安效勞不可能依賴國外的組織國內(nèi)的應(yīng)急響應(yīng)效勞還處在起步開展階段CCERT〔1999年5月〕，中國第一個(gè)平安事件響應(yīng)組織NJCERT〔1999年10月〕中國電信ChinaNet平安小組解放軍，公安部平安救援效勞公司中國計(jì)算機(jī)應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC信息產(chǎn)業(yè)部平安管理中心，2000年3月，北京編輯ppt國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)效勞提供商IRT廠商IRT企業(yè)/政府IRT如：平安效勞公司如：CCERT如：cisco,IBM如CERT/CC,FIRST如CNCERT/CC如：中國銀行、公安部愿意付費(fèi)的任何用戶平安應(yīng)急響應(yīng)組的分類編輯ppt編輯pptCSIRT的效勞內(nèi)容應(yīng)急響應(yīng)平安公告咨詢風(fēng)險(xiǎn)評估入侵檢測教育與培訓(xùn)追蹤與恢復(fù)平安應(yīng)急響應(yīng)效勞組織的效勞內(nèi)容編輯ppt平安應(yīng)急響應(yīng)效勞的特點(diǎn)技術(shù)復(fù)雜性與專業(yè)性各種硬件平臺、操作系統(tǒng)、應(yīng)用軟件；知識經(jīng)驗(yàn)的依賴性由IRT中的人提供效勞，而不是一個(gè)硬件或軟件產(chǎn)品；突發(fā)性強(qiáng)需要廣泛的協(xié)調(diào)與合作編輯ppt主要客戶群是CERNET〔中國教育科研計(jì)算機(jī)網(wǎng)〕會員，但也有受理其他網(wǎng)絡(luò)的報(bào)告和投訴目前主要從事以下效勞和研究：事件響應(yīng)：入侵、垃圾郵件以及郵件炸彈、惡意掃描和DoS事件處理給站點(diǎn)管理員提供平安建議提供平安信息公告和平安資源反垃圾郵件、禁止掃描的公告操作系統(tǒng)補(bǔ)丁、工具軟件網(wǎng)絡(luò)平安領(lǐng)域的研究,包括平安管理、入侵檢測、平安體系結(jié)構(gòu)、PKI等。編輯ppt程序缺陷分類有意〔惡意〕無意：確認(rèn)時(shí)的過失〔不完善性或不一致性〕，域過失，序列化和混淆，不充分的識別和鑒別，邊界條件違規(guī)，其他可利用的邏輯過失。編輯ppt非惡意的程序漏洞〔1〕緩沖區(qū)溢出及其平安威脅例：charsample[10];for(i=0;i<=9;i++)sample[i]=’A’sample[10]=’B’超出邊界編輯ppt溢出的四種情況溢出到用戶數(shù)據(jù)空間：覆蓋一個(gè)已經(jīng)存在的變量或?qū)懭胍粋€(gè)還未使用的位置---影響程序的運(yùn)行結(jié)果，不會影響到其他程序運(yùn)行溢出到用戶程序區(qū)間：覆蓋一條已執(zhí)行的指令〔以后不會再執(zhí)行〕，用戶不會覺察到影響；覆蓋的是未執(zhí)行的指令，嘗試執(zhí)行操作碼是0x42〔B的內(nèi)碼〕的指令，不存在，非法指令停機(jī)，存在，將后續(xù)字節(jié)作為指令的剩余局部執(zhí)行，結(jié)果取決于上下文的含義。溢出到系統(tǒng)數(shù)據(jù)區(qū)域：用錯(cuò)誤的數(shù)值進(jìn)行計(jì)算或嘗試。溢出到系統(tǒng)代碼區(qū)域：嘗試執(zhí)行不適當(dāng)?shù)牟僮骶庉媝pt兩類常用的緩沖區(qū)溢出攻擊：替換系統(tǒng)空間的代碼—控制操作系統(tǒng)，提升自己的權(quán)限。利用堆棧指針或返回值的存放器—子過程調(diào)用時(shí)，參數(shù)、返回地址和其他局部變量都被壓入堆棧中，調(diào)用前的堆棧指針也被壓入，堆棧存放器重新裝載新的值，控制權(quán)交給子過程。子過程運(yùn)行時(shí)，按堆棧存放器指向讀出參數(shù)。攻擊者可以改變舊堆棧指針或返回地址，從而改變過程調(diào)用的相應(yīng)環(huán)境，將程序定向到希望執(zhí)行的代碼處。編輯pptImaginesimplepassword-checkingcode passwd{... intfunct(char*inp){ charbuf[10]; strcpy(buf,inp);} ...}Functionstorageallocatedonrun-timestackFirstreturnaddressThenlocationsforinputparameterThenspaceforbuffer(10chars)Whatifstrlen(inp)>10?輸入?yún)?shù)長度〉10FillupbufferWriteoverfunctionparameterWriteoverreturnaddress“Return〞willjumptolocationdeterminedbyinputReturnaddrchar*inpbuf[9]buf[8]…buf[1]buf[0]緩沖區(qū)溢出舉例編輯pptMSFTindexingservice,anextensiontoIIStelnet<site>80GET/somefile.idq?<longbuffer>Telnettoport80andsendGETwithbufferover240bytesAttackercantakeoverserver攻擊者可控制效勞器FormofattackusedbyCodeRedtopropagate紅色代碼TFTPserverinCiscoIOSCanuseoverflowvulnerabilitytotakeoverserverManymanymoreexamples編輯ppt(1)基于源碼的靜態(tài)分析。

基于源碼的詞法分析、模型化、標(biāo)記驅(qū)動、符號分析等靜態(tài)分析技術(shù)能在程序發(fā)布前檢測和修正緩沖區(qū)溢出脆弱性。它包括如下內(nèi)容：詞法分析、變量范圍模型化、基于前后條件的標(biāo)記驅(qū)動、符號分析等方式。

(2)基于可執(zhí)行代碼的分析轉(zhuǎn)換。

在不能得到源碼的情況下,最直接的方法就是對可執(zhí)行碼進(jìn)行分析、轉(zhuǎn)換,來檢測和預(yù)防緩沖區(qū)溢出。它包括以下內(nèi)容：定位邊界函數(shù)、保護(hù)返回地址、檢測系統(tǒng)調(diào)用、緩沖區(qū)代碼的反匯編檢查等方式。

緩沖區(qū)溢出攻擊防護(hù)編輯pptUnderstandingCfunctionsandthestack.Somefamiliaritywithmachinecode.對機(jī)器代碼有些了解Knowhowsystemscallsaremade.知道如何系統(tǒng)調(diào)用Theexec()systemcall.AttackerneedstoknowwhichCPUandOSarerunningonthetargetmachine.vs.Whatisneeded編輯pptSomeunsafeClibfunctions strcpy(char*dest,constchar*src) strcat(char*dest,constchar*src) gets(char*s) scanf(constchar*format,…) printf(contschar*format,…)編輯ppt

(3)擴(kuò)展編譯器功能。

編譯器是源碼變成可執(zhí)行碼的橋梁。有很多緩沖區(qū)溢出脆弱性檢測和預(yù)防技術(shù)解決方案是通過擴(kuò)展原編譯器，增加緩沖區(qū)邊界信息并插入邊界檢查代碼來實(shí)現(xiàn)的。它包括如下內(nèi)容：增加返回地址保護(hù)功能、擴(kuò)展指針表示信息、插入內(nèi)存修改日志、增加平安類型等方法

(4)運(yùn)行時(shí)攔截并檢查。

運(yùn)行時(shí)攔截危險(xiǎn)函數(shù)并進(jìn)行平安檢查是對原系統(tǒng)影響較小的軟件實(shí)現(xiàn)方法。它包括以下內(nèi)容：攔截脆弱函數(shù)、運(yùn)行時(shí)防止溢出等。

編輯ppt(5)堆和棧不可執(zhí)行。

大局部基于堆棧緩沖區(qū)溢出脆弱性的攻擊依賴于堆棧可執(zhí)行。如果不允許堆棧執(zhí)行程序，就能防御這類攻擊。(6)抽象執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)。

所謂抽象執(zhí)行是指在檢查網(wǎng)絡(luò)數(shù)據(jù)時(shí)分析它是否表示了有效的機(jī)器指令，通過抽象執(zhí)行可以檢測網(wǎng)絡(luò)數(shù)據(jù)中是否包含帶有緩沖區(qū)溢出脆弱性的程序。數(shù)據(jù)請求包如果包含了緩沖區(qū)溢出脆弱性，那它的有效指令鏈會比正常的數(shù)據(jù)請求包中的有效指令鏈長很多，對可能包含緩沖區(qū)溢出脆弱性的數(shù)據(jù)包再在虛擬機(jī)上模擬執(zhí)行，以進(jìn)一步驗(yàn)證。

編輯ppt(7)軟件測試。

使用一些軟件測試技術(shù)也能檢測緩沖區(qū)溢出脆弱性，其主要缺點(diǎn)是需要測試者提供觸發(fā)脆弱性發(fā)生的測試數(shù)據(jù)。它主要包括以下內(nèi)容：基于錯(cuò)誤注入的測試、基于屬性的測試、滲透測試等方法。(8)打亂和加密。

該技術(shù)使得攻擊代碼即使注入,也不能運(yùn)行。它主要包括以下內(nèi)容：打亂內(nèi)存地址、打亂系統(tǒng)調(diào)用入口、對段設(shè)置保護(hù)屬性、加密可執(zhí)行代碼等方法。(9)基于硬件的支持。

硬件技術(shù)是最底層的技術(shù)，如果能用于檢測和預(yù)防緩沖區(qū)溢出脆弱性，將是一個(gè)性能最高、解決最徹底的方案。它主要包括以下內(nèi)容：增加硬件堆棧、使用兩個(gè)堆棧、地址保護(hù)、地址完整性檢查等方法。

編輯ppt用戶在瀏覽器輸入數(shù)據(jù)，用戶端程序可以檢查并拋棄不正確的數(shù)據(jù)，要求用戶重新輸入，但遞交結(jié)果是包含在URL中傳遞的，瀏覽器不會對URL進(jìn)行檢查。用戶可以編輯URL，從而可以改變參數(shù)，發(fā)送它們。而效勞器是無法區(qū)分是客戶正常輸入還是直接編輯URL來的。那么這些參數(shù)就沒有經(jīng)過完善驗(yàn)證。例：某公司電子商務(wù)應(yīng)用.價(jià)格改變://things/order/final&custID-101&part=555A&qy=20&price=10&ship=boat&shipcost=5&total=205攻擊者可以利用這個(gè)特性，修改返回URL中的價(jià)格非惡意的程序漏洞〔2〕--不完全驗(yàn)證編輯pptUNICODE漏洞Unicode是一種編碼標(biāo)準(zhǔn)，目前已被包括Microsoft在內(nèi)的很多軟件開發(fā)商所采用。Unicode用%2f和%5c分別代表/和\，也可以用所謂的“超長〞序列來代表這些字符。“超長〞序列是非法的Unicode表示符，它們比實(shí)際代表這些字符的序列要長，超長的表示法，例如用%c0%af代表‘/’〔用了兩個(gè)字節(jié)〕。IIS不對超長序列進(jìn)行檢查，這樣在URL中參加一個(gè)超長的Unicode序列，就可以繞過Microsoft的平安檢查。編輯ppt

IISExample,usedbyNimdawormpasses<somecommand>tocmdcommandscriptsdirectoryofIIShasexecutepermissionsInputcheckingwouldpreventthat,butnotthisIISfirstchecksinput,thenexpandsunicode

see/rr/threats/unicode.php://victim/scripts/../../winnt/system32/cmd.exe?<somecommand>://victim/scripts/..%c0%af..%c0%afwinnt/system32/...編輯pptUNICODE漏洞造成的危害歸納為有如下：〔1〕對目標(biāo)主機(jī)web頁面的簡單修改。〔2〕對目標(biāo)主機(jī)的文件進(jìn)行操作：顯示文件內(nèi)容；刪除文件；COPY文件的同時(shí)將該文件改名；COPY文件到另外的文件夾；移動文件夾到指定的目錄；顯示某一路徑下相同文件類型的文件；利用attrib命令實(shí)現(xiàn)某些操作：可以查看到目標(biāo)主機(jī)某些文件的屬性、可以改變目標(biāo)主機(jī)文件的屬性、可以解除文件的屬性?！?〕利用上傳木馬及泄漏的信息進(jìn)一步控制目標(biāo)主機(jī)。編輯ppt非惡意的程序漏洞〔3〕--不恰當(dāng)?shù)娜罩綪DGsoft〔用于創(chuàng)立在線店面的軟件〕webtransactionprocessingsystemCreateslogfilethatisworld-readable:/cgi_bin/PDG_cart/order.logFilecontainsmailingaddresses,creditcardnumbers,...Canuse(orcoulduse)GoogletofindsitesthathavethisfileBugdiscoveredafewyearsagoPDGissuedpatch:changedprotectiondomainoflogfile,encryptslogfile1.5yearslater,FBIreports:stilllotsofsitesvulnerableAdminsdon'tinstallpatches…Why?CiscoResourceManager(CRM)Administrativetool,runsonadminmachineLogseverythingadmindoes(includinguname/pwd)World-readablefile;anyoneonsystemcanreaditLegatoNetworker,2002Alsologsunames/pwdsLogfilenotprotected將用戶信息記錄在沒有保護(hù)的文件中編輯ppt非惡意的程序漏洞〔4〕--檢查時(shí)刻到使用時(shí)刻錯(cuò)誤

舉例:買東西付錢在接受平安檢查之后到訪問之前,已經(jīng)接受了檢查的條件變了.

阻止漏洞被利用---數(shù)字簽名和鑒別:公鑰加密根底設(shè)施,.編輯ppt非惡意的程序漏洞〔5〕--無意識的功能造成不平安IdeaDesignertriestoaddusefulfeaturesIntroducesvulnerabilityintheprocessExampleFinger效勞是一個(gè)能提供三種主要類型信息的客戶機(jī)/效勞器系統(tǒng)。Finger效勞用于查詢用戶的信息：某人的用戶標(biāo)識、全名、現(xiàn)在是否登錄、最后用該用戶標(biāo)識登錄的人、郵件閱讀否、辦公地址等等。Finger效勞會產(chǎn)生信息泄漏錯(cuò)誤。LessonThinkaboutsecurityimplicationsoffeatures編輯ppt非惡意的程序漏洞〔6〕--不必要的權(quán)限PrincipleofleastprivilegeApplicationsshouldonlyhaveminimalprivilegesneededtodojobProblemswithsetuidprogramsrunningasrootUnixallowsmanyprogramstorunasroot-abadideaIn1999,50%ofsendmail(Unix環(huán)境下使用最廣泛的郵件傳輸代理程序)serverswerevulnerableMostDNSserversrunbind,60%ofthemwithvulnerabilitiesManysendmailattacksandpatchesovertheyearsOldandamusingattackbasedonbadinputcheckingRecommendationApplyprincipleofleastprivilege;breakprogramintomodules用最小權(quán)限原那么，將程序劃分成模塊編輯ppt非惡意的程序漏洞〔7〕--系統(tǒng)配置不當(dāng)IdeaAccesscontroldependsonconfigurationAdministrators,usersmakemistakesorkeepdefaultsExamplershdaemongrantspermissionbasedon.rhostsfileIf.rhostsisnotsetupproperly(orsomeonehasmodifiedit),thenattackercangainaccess.編輯pptrsh命令rsh是“remoteshell〞〔遠(yuǎn)程shell〕的縮寫。該命令在指定的遠(yuǎn)程主機(jī)上啟動一個(gè)shell并執(zhí)行用戶在rsh命令行中指定的命令。如果用戶沒有給出要執(zhí)行的命令，rsh就用rlogin命令使用戶登錄到遠(yuǎn)程機(jī)上。

編輯ppt2病毒和其他惡意代碼最早紀(jì)錄1970年。Ware在1970年的研究和Anderson為空軍所作的方案研究準(zhǔn)確描述了病毒的威脅\程序的脆弱點(diǎn)和程序平安性漏洞.

病毒(virus):一種具有隱蔽性、破壞性、傳染性的惡意代碼。病毒無法自動獲得運(yùn)行的時(shí)機(jī)，必須附著在其他可執(zhí)行程序代碼上或隱藏在具有執(zhí)行腳本的數(shù)據(jù)文件中才能被執(zhí)行。編輯ppt惡意代碼的種類特洛伊木馬(Trojanhorse):包含意外的不易被發(fā)現(xiàn)的功能。邏輯炸彈(logicbomb):在特定條件產(chǎn)生時(shí)被引爆。定時(shí)炸彈是其中一種,滿足時(shí)間條件。陷門(trapdoor)后門(backdoor):允許利用來作訪問，例如留給維護(hù)人員.也可能被惡意人員用作破壞。蠕蟲(worm):通過網(wǎng)絡(luò)大量傳播自身拷貝的惡意代碼。與病毒差異:傳播通過網(wǎng)絡(luò),自身拷貝以獨(dú)立程序形式傳播。兔子(rabbit):無限制的復(fù)制自己來消耗計(jì)算機(jī)的系統(tǒng)資源。流氓軟件〔Badware〕：未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件。編輯ppt有針對性地惡意代碼病毒為無針對性的、沒有固定破壞目標(biāo)的惡意代碼。有針對性地惡意代碼專門為某一特定系統(tǒng)、特定應(yīng)用和特定目的設(shè)計(jì)。陷門〔trapdoor〕通往一個(gè)模塊內(nèi)部的入口，在文檔中沒有該入口記錄。在代碼開發(fā)期間參加，目的測試模塊，或者為修改和擴(kuò)充提供“鉤子〞〔hook〕,或系統(tǒng)失效時(shí)提供特別通道。可使程序員進(jìn)入程序。成因：開發(fā)者忘記去掉陷門；或者處于測試和維護(hù)的目的，刻意留在程序中；作為一個(gè)隱藏的訪問方式。編輯ppt邏輯炸彈邏輯炸彈攻擊是一種隱藏于計(jì)算機(jī)系統(tǒng)中以某種方式觸發(fā)后對計(jì)算機(jī)系統(tǒng)硬件、軟件或數(shù)據(jù)進(jìn)行惡意破壞的程序代碼。邏輯炸彈和病毒的共同點(diǎn)是：1〕都具有隱蔽性，用戶一般不會覺察；2〕具有攻擊性，發(fā)作后會干擾屏幕顯示，或降低電腦運(yùn)行速度，或刪除程序，或破壞數(shù)據(jù)。兩者的不同點(diǎn)：病毒具有“傳染性〞，而邏輯炸彈是沒有“傳染性〞的。邏輯炸彈的邏輯條件具有不可控制的意外性。編輯ppt“流氓軟件〞其實(shí)起源于國外的“Badware〞一詞，對“Badware〞的定義為：是一種跟蹤你上網(wǎng)行為并將你的個(gè)人信息反響給“躲在陰暗處的〞市場利益集團(tuán)的軟件，并且，他們可以通過該軟件能夠向你彈出廣告。國內(nèi)互聯(lián)網(wǎng)業(yè)界人士一般將該類軟件稱之為“流氓軟件〞，并歸納出間諜軟件、行為記錄軟件、瀏覽器劫持軟件、搜索劫持軟件、廣告軟件、自動撥號軟件、盜竊密碼軟件等。流氓軟件編輯ppt流氓軟件—特點(diǎn)強(qiáng)制安裝：指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝軟件的行為。難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍活動程序的行為。瀏覽器劫持：指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關(guān)設(shè)置，迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)的行為。編輯ppt廣告彈出：指未明確提示用戶或未經(jīng)用戶許可的情況下，利用安裝在用戶計(jì)算機(jī)或其他終端上的軟件彈出廣告的行為。惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。惡意捆綁：指在軟件中捆綁已被認(rèn)定為惡意軟件的行為。流氓軟件—特點(diǎn)編輯ppt惡意卸載：指未明確提示用戶、未經(jīng)用戶許可，或誤導(dǎo)、欺騙用戶卸載非惡意軟件的行為。惡意安裝：未經(jīng)許可的情況下，強(qiáng)制在用戶電腦里安裝其它非附帶的獨(dú)立軟件。備注：強(qiáng)制安裝到系統(tǒng)盤的軟件也被稱為流氓軟件。其他侵犯用戶知情權(quán)、選擇權(quán)的惡意行為。流氓軟件—特點(diǎn)編輯ppt編輯ppt什么是木馬木馬〔Trojan〕這個(gè)名字來源于古希臘傳說，它是指通過一段特定的程序〔木馬程序〕來控制另一臺計(jì)算機(jī)。隨著病毒編寫技術(shù)的開展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段，如Rootkit，隱蔽自己，使普通用戶很難在中毒后覺察，及時(shí)發(fā)現(xiàn)也難以查殺。編輯ppt木馬的根本原理兩個(gè)執(zhí)行文件：客戶端程序，效勞器端程序?？蛻舳顺绦蚴前惭b在攻擊者〔黑客〕方的控制臺，它負(fù)責(zé)遠(yuǎn)程遙控指揮。效勞器端程序即是木馬程序，它被隱藏安裝在被攻擊〔受害〕方的電腦上木馬攻擊第一步：把木馬效勞程序植入攻擊對象。第二步：把主機(jī)信息發(fā)送給攻擊者編輯ppt木馬程序的分類

第一代，簡單的密碼竊取，發(fā)送第二代，在技術(shù)上有了很大的進(jìn)步，冰河可以說為是國內(nèi)木馬的典型代表之一。第三代,在數(shù)據(jù)傳遞技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度。第四代,在進(jìn)程隱藏方面，做了大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程或者掛接PSAPI,實(shí)現(xiàn)木馬程序的隱藏，甚至在WindowsNT/2000下，都到達(dá)了良好的隱藏效果。編輯ppt木馬的危害網(wǎng)游木馬病毒：大量針對網(wǎng)絡(luò)游戲的木馬，它會盜取用戶帳號。網(wǎng)銀木馬病毒：網(wǎng)銀木馬專門針對網(wǎng)絡(luò)銀行攻擊，采用記錄鍵盤和系統(tǒng)動作的方法盜取網(wǎng)銀的帳號和密碼，并發(fā)送到作者指定的郵件，直接導(dǎo)致用戶的經(jīng)濟(jì)損失。編輯ppt木馬的危害即時(shí)通訊木馬病毒：可以利用即時(shí)通訊工具(比方：QQ、MSN)進(jìn)行傳播。中了木馬后電腦會下載病毒作者指的任意程序，其危害不可確定。后門木馬病毒：對被感染的系統(tǒng)進(jìn)行遠(yuǎn)程文件和注冊表的操作,可以捕獲被控制的電腦的屏幕,可遠(yuǎn)程重啟和關(guān)閉計(jì)算機(jī)。廣告木馬病毒：修改IE等網(wǎng)頁瀏覽器的主頁，收集系統(tǒng)信息發(fā)送給傳播廣告木馬的網(wǎng)站。修改網(wǎng)頁定向，導(dǎo)致一些正常的網(wǎng)站不能登錄。編輯ppt冰河木馬文件管理器:有關(guān)文件的操作命令控制臺:向目標(biāo)計(jì)算機(jī)發(fā)送命令。編輯ppt冰河是國產(chǎn)的遠(yuǎn)程監(jiān)控軟件，可以運(yùn)行在Windows環(huán)境下。

1．自動跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)；

2．記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能；編輯ppt3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項(xiàng)功能限制；5．遠(yuǎn)程文件操作：包括創(chuàng)立、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程翻開文件〔提供了四中不同的翻開方式——正常方式、最大化、最小化和隱藏方式〕等多項(xiàng)文件操作功能；編輯ppt6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能；7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息；8．點(diǎn)對點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。編輯ppt木馬的啟動自動啟動：木馬一般會存在三個(gè)地方:注冊表、win.ini、system.ini〔配置Windows系統(tǒng)，如自啟動項(xiàng)、鍵盤語言模式、系統(tǒng)工作類型、高級智能電源管理、屏幕分辨率和各種設(shè)備驅(qū)動程序的加載項(xiàng)等。)，因?yàn)殡娔X啟動的時(shí)候，需要裝載這三個(gè)文件。在autoexec.bat、config.sys、啟動組中易被發(fā)現(xiàn)。捆綁方式啟動：捆綁方式是一種手動的安裝方式。非捆綁方式的木馬因?yàn)闀谧员淼任恢昧粝潞圹E,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強(qiáng)的隱蔽性。編輯ppt木馬程序的隱藏技術(shù)

木馬程序的效勞器端，為了防止被發(fā)現(xiàn)，多數(shù)都要進(jìn)行隱藏處理偽隱藏，就是指程序的進(jìn)程仍然存在，只不過是讓他消失在進(jìn)程列表里。真隱藏,那么是讓程序徹底的消失，不以一個(gè)進(jìn)程或者效勞的方式工作。編輯ppt偽隱藏的方法:只要把木馬效勞器端的程序注冊為一個(gè)效勞就可以了，這樣，程序就會從任務(wù)列表中消失了，因?yàn)橄到y(tǒng)不認(rèn)為他是一個(gè)進(jìn)程，當(dāng)按下Ctrl+Alt+Delete的時(shí)候，也就看不到這個(gè)程序。但是，這種方法只適用于Windows9x的系統(tǒng)，對于WindowsNT,Windows2000等，通過效勞管理器，一樣會發(fā)現(xiàn)你在系統(tǒng)中注冊過的效勞。偽隱藏編輯ppt偽隱藏的方法用在WindowsNT/2000下API的攔截技術(shù)，通過建立一個(gè)后臺的系統(tǒng)鉤子，攔截PSAPI(系統(tǒng)進(jìn)程狀態(tài)支持模塊)的EnumProcessModules等相關(guān)的函數(shù)來實(shí)現(xiàn)對進(jìn)程和效勞的遍歷調(diào)用的控制，當(dāng)檢測到進(jìn)程ID〔PID〕為木馬程序的效勞器端進(jìn)程的時(shí)候直接跳過，這樣就實(shí)現(xiàn)了進(jìn)程的隱藏，金山詞霸等軟件，就是使用了類似的方法，攔截了TextOutA,TextOutW函數(shù)，來截獲屏幕輸出，實(shí)現(xiàn)即時(shí)翻譯的。同樣，這種方法也可以用在進(jìn)程隱藏上。編輯ppt系統(tǒng)鉤子鉤子是WINDOWS中消息處理機(jī)制的一個(gè)要點(diǎn)，通過安裝各種鉤子，應(yīng)用程序能夠設(shè)置相應(yīng)的子例程來監(jiān)視系統(tǒng)里的消息傳遞以及在這些消息到達(dá)目標(biāo)窗口程序之前處理它們。鉤子的種類很多，每種鉤子可以截獲并處理相應(yīng)的消息。編輯ppt真隱藏：木馬的效勞器局部程序運(yùn)行之后，完全的溶進(jìn)了系統(tǒng)的內(nèi)核。不做成一個(gè)應(yīng)用程序，而做為一個(gè)其他應(yīng)用程序的線程，把自身注入其他應(yīng)用程序的地址空間。而這個(gè)應(yīng)用程序?qū)τ谙到y(tǒng)來說，是一個(gè)絕對平安的程序，這樣，就到達(dá)了徹底隱藏的效果。編輯ppt木馬程序的建立連接的隱藏木馬程序的數(shù)據(jù)傳遞方法有很多種，其中最常見的要屬TCP,UDP傳輸數(shù)據(jù)的方法了，通常是利用Winsock與目標(biāo)機(jī)的指定端口建立起連接，使用send和recv等API進(jìn)行數(shù)據(jù)的傳遞。但是由于這種方法的隱蔽性比較差，往往容易被一些工具軟件查看到，在命令行狀態(tài)下使用netstat命令，就可以查看到當(dāng)前的活動TCP，UDP連接。編輯pptC:\DocumentsandSettings\bigball>netstat-nActiveConnectionsProtoLocalAddressForeignAddressStateTCP:10328:1863ESTABLISHEDTCP:11125:80ESTABLISHEDTCP:113523:80ESTABLISHEDTCP:114223:80ESTABLISHEDTCP:1162:139TIME_WAITTCP:116959:80ESTABLISHEDTCP:117033:80TIME_WAIT編輯ppt躲避偵察的手段使用特殊的手段，在一個(gè)端口上同時(shí)綁定兩個(gè)TCP或者UDP連接，這聽起來不可思議，但事實(shí)上確實(shí)如此，而且已經(jīng)出現(xiàn)了使用類似方法的程序，通過把自己的木馬端口綁定于特定的效勞端口之上，〔比方80端口的HTTP，誰疑心他會是木馬程序呢？〕從而到達(dá)隱藏端口的目地.使用ICMP〔InternetControlMessageProtocol〕協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送,原理是修改ICMP頭的構(gòu)造，參加木馬的控制字段，這樣的木馬，具備很多新的特點(diǎn)，不占用端口的特點(diǎn)，使用戶難以覺察，同時(shí)，使用ICMP可以穿透一些防火墻，從而增加了防范的難度。之所以具有這種特點(diǎn)，是因?yàn)镮CMP不同于TCP，UDP，ICMP工作于網(wǎng)絡(luò)層，不使用TCP協(xié)議。編輯ppt查看啟動組查看啟動標(biāo)簽中的啟開工程，有沒有什么非正常工程？要是有象netbus、netspy、bo等關(guān)鍵詞，極有可能就是木馬了。編輯ppt查看注冊表由“開始->運(yùn)行〞，輸入regedit，確定就可以運(yùn)行注冊表編輯器。再展開至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun〞目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件工程，比方netbus、netspy、netserver等的單詞。通過類似的方法對以下各個(gè)主鍵下面的鍵值進(jìn)行檢查：HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY-LOCAL-ACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce編輯ppt在注冊表中還有很多地方都可以隱藏木馬程序，上面這些主鍵是木馬比較常用的隱身之處。象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERSSoftwareMicrosoftWindowsCurrentVersionRun的目錄下都有可能成為木馬的藏身之處。最好的方法就是找到木馬程序的文件名，再通過其文件名對整個(gè)注冊表進(jìn)行全面搜索就知道它有幾個(gè)藏身的地方了如果有留意，注冊表各個(gè)主鍵下都會有個(gè)叫“〔默認(rèn)〕〞名稱的注冊項(xiàng)，而且數(shù)據(jù)顯示為“〔未設(shè)置鍵值〕〞，也就是空的。這是正?，F(xiàn)象。如果發(fā)現(xiàn)這個(gè)默認(rèn)項(xiàng)被替換了，那么替換它的就是木馬了。編輯ppt其它方法上網(wǎng)過程中，發(fā)現(xiàn)計(jì)算機(jī)速度明顯起了變化、硬盤在不停的讀寫、鼠標(biāo)不聽使喚、鍵盤無效、自己的一些窗口在未得到自己允許的情況下被關(guān)閉、新的窗口被莫名其妙地翻開.疑心正在被木馬控制，不要拔了網(wǎng)線或抽了Modem上的線。找到控制端：在MS-DOS窗口的命令行鍵入“netstat〞查看目前已與本計(jì)算機(jī)建立的連接。如果發(fā)現(xiàn)端口號碼異?！脖确酱笥?000〕，F(xiàn)oreignAddress中的地址又不為正常網(wǎng)絡(luò)瀏覽的地址，那么可以判斷你的機(jī)器正被遠(yuǎn)程計(jì)算機(jī)所窺視著。在對應(yīng)行的ForeignAddress中顯示的IP地址就是目前非法連接你計(jì)算機(jī)的木馬客戶端。編輯ppt當(dāng)網(wǎng)絡(luò)處于非活動狀態(tài)，即沒什么活動網(wǎng)絡(luò)連接時(shí)。此時(shí)可以使用“netstat-a〞,加了常數(shù)“-a〞表示顯示計(jì)算機(jī)中目前處于監(jiān)聽狀態(tài)的端口。如果出現(xiàn)有不明端口處于監(jiān)聽狀態(tài)，而目前又沒有進(jìn)行任何網(wǎng)絡(luò)效勞操作，那么在監(jiān)聽該端口的就是特洛伊木馬了！編輯ppt刪除木馬

將網(wǎng)絡(luò)斷開，排除來自網(wǎng)絡(luò)的影響。

用木馬的客戶端程序刪除木馬由先前在win.ini、system.ini和注冊表中查找到的可疑文件名判斷木馬的名字和版本。比方“netbus〞、“netspy〞等，很顯然對應(yīng)的木馬就是NETBUS和NETSPY。從網(wǎng)上找到其相應(yīng)的客戶端程序，下載并運(yùn)行該程序，在客戶程序?qū)?yīng)位置填入本地計(jì)算機(jī)地址：和端口號，就可以與木馬程序建立連接。再由客戶端的卸除木馬效勞器的功能來卸除木馬。端口號可由“netstat-a〞命令查出來。弊端：木馬改了名字。被設(shè)置了密碼?？蛻舳顺绦驔]有提供卸載木馬的功能。編輯ppt手工刪除用regedit翻開注冊表編輯器，對注冊表進(jìn)行編輯。找到木馬的程序名，再在整個(gè)注冊表中搜索，并刪除所有木馬工程。分析木馬文件在硬盤中的位置〔多在C:WINDOWS和C:WINDOWSCOMMAND目錄下〕。啟動到純MS-DOS狀態(tài)〔而不是在Windows環(huán)境中開個(gè)MS-DOS窗口〕，用del命令將木馬文件刪除。如果木馬文件是系統(tǒng)、隱藏或只讀文件，還得通過“attrib-s-h-r〞將對應(yīng)文件的屬性改變，才可以刪除編輯pptBackOrifice木馬的去除BackOrifice是功能最全的TCP/IP架構(gòu)的木馬工具，它可以搜索被攻擊者的信息、執(zhí)行系統(tǒng)命令、修改客戶端的電腦注冊表、重新設(shè)置機(jī)器、重新定向網(wǎng)絡(luò)的客戶端/效勞器應(yīng)用程序等。黑客利用該木馬成為被攻擊機(jī)器的超級用戶，幾乎電腦的所有操作都可由BackOrifice遠(yuǎn)程控制。去除方法：1、翻開注冊表編輯器，展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，假設(shè)此