【正文】 病毒的一種。它的傳染機理是利用網(wǎng)絡進行復制和傳播，傳染途徑是通過網(wǎng)絡和電子郵件。 近幾年危害很大的 “ 尼姆達 ” 病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作系統(tǒng) 的漏洞，計算機感染這一病毒后，會不斷自動撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡共享進行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。 1． 3 蠕蟲病毒的組成與結構 “ 蠕蟲 ” 病毒由兩部分組成：一個主程序和另一個是引導程序。主程序一旦在計算機中得到建立，就可以去收集與當前機器聯(lián)網(wǎng)的其他機器的信息，它能通過讀取公共配置文件并檢測當前機器的聯(lián)網(wǎng)狀態(tài)信息，嘗試利用系統(tǒng)的缺陷在遠程機器上建立引導程序。就是這個一般被稱作是引導程序或類似于 “ 釣魚 ” 的小程序，把 “ 蠕蟲 ” 病毒帶入了它所感染的每一臺機器中。 按基本程序結構為： 傳播模塊：負責蠕蟲的傳播。 隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 目的功能模塊：實現(xiàn)對計算機的控制、監(jiān)視或破壞等功能。 傳播模塊由可以分為三個基本模塊：掃描模塊、攻擊模塊和復制模塊。 1． 3． 1 蠕蟲程序的一般傳播過程 ：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。 ：攻擊模塊按漏洞攻擊步驟自動攻擊步驟 1中找到的對象，取得該主機的權限（一般為管理員權限），獲得一個 shell。 河北理工大學畢業(yè)設計說明書 第 8 頁 共 51 頁 ：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。 我們可以看到，傳播模塊實現(xiàn)的實際上是自動入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的首要技術，沒有蠕蟲的傳播技術，也就談不上什么蠕蟲技術了。 1． 4 入侵過程的分析 ，找到可利用的漏洞或弱點。 ，采取相應的技術攻擊主機，直到獲得主機的管理員權限。 、跳板、控制端、監(jiān)視器等等，清除日志。 第一階段搜集信息，有很多種方法，包括技術的和非技術的。 采用技術的方法包括用掃描器掃描主機，探測主機的操作系統(tǒng)類型、版本，主機名，用戶名，開放的端口，開放的服務，開放的服務器軟件版本等。非技術的方法包括和主機的管理員拉關系套口風，騙取信任，威逼利誘等各種少兒不宜的手段。當然是信息搜集的越全越好。搜集完信息后進入第二階段。 第二階段，對搜集來的信息進行分析，找到可以有效利用的信息。如果有現(xiàn)成的漏洞可以利用，上網(wǎng)找到該漏洞的攻擊方法，如果有攻擊代碼就直接 COPY 下來，然后用該代碼取得權限 ,OK 了；如果沒有現(xiàn)成的漏洞可以利用，就用根據(jù)搜集的信息試探猜測用戶密碼，另一 方面試探研究分析其使用的系統(tǒng)，爭取分析出一個可利用的漏洞。如果最后能找到一個辦法獲得該系統(tǒng)權限，那么就進入第三階段，否則，放棄。 第三階段，有了主機的權限，你想干什么就干什么吧。如果你不知道想干什么，那你就退出來去玩你喜歡玩的游戲吧。 上面說的是手動入侵的一般過程，對于自動入侵來說，在應用上有些特殊之處。 蠕蟲采用的自動入侵技術，由于程序大小的限制，自動入侵程序不可能有太強的智能性，所以自動入侵一般都采用某種特定的模式。我們稱這種模式為入侵模式，它是由普通入侵技術中提取出來的。目前蠕蟲使用的入侵模式只有 一種，這種模式是就是我們前面提到的蠕蟲傳播過程采用的模式：掃描漏洞－攻擊并獲得 shell－利用 shell。這種入侵模式也就是現(xiàn)在蠕蟲常用的傳播模式。這里有一個問題，就是對蠕蟲概念的定義問題，目前對蠕蟲的定義把這種傳播模式作為蠕蟲的定義的一部分，實際上廣義的蠕蟲應該包括那些使用其他自動傳播模式的程序。 1． 5 蠕蟲傳播的一般模式分析 ：掃描－攻擊－復制。 河北理工大學畢業(yè)設計說明書 第 9 頁 共 51 頁 從新聞中看到關于蠕蟲的報道，報道中總是強調蠕蟲如何發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡擁塞，影響網(wǎng)絡通信速度。實際上這不是蠕蟲程序的本意，造成網(wǎng)絡擁塞對蠕蟲程序的發(fā)布者沒有什么好處。如果可能的話，蠕蟲程序的發(fā)布者更希望蠕蟲隱蔽的傳播出去，因為蠕蟲傳播出去后，蠕蟲的發(fā)布者就可以獲得大量的可以利用的計算資源，這樣他獲得的利益比起造成網(wǎng)絡擁塞的后果來說顯然強上萬倍。但是，現(xiàn)有的蠕蟲采用的掃描方法不可避免的會引起大量的網(wǎng)絡擁塞，這是蠕蟲技術發(fā)展的一個瓶頸，如果能突破這個難關，蠕蟲技術的發(fā)展就會進入一個新的階段。 現(xiàn)在流行的蠕蟲采用的傳播技術目標一般是盡快地傳播到盡量多的電腦中，于是掃描模塊采用的掃描策略是這樣的： 隨機選取某一段 IP 地址，然后對這一地址段上的主機掃描 。笨點的掃描程序可能會不斷重復上面這一過程。這樣，隨著蠕蟲的傳播，新感染的主機也開始進行這種掃描，這些掃描程序不知道那些地址已經(jīng)被掃描過，它只是簡單的隨機掃描互聯(lián)網(wǎng)。于是蠕蟲傳播的越廣，網(wǎng)絡上的掃描包就越多。即使掃描程序發(fā)出的探測包很小，積少成多，大量蠕蟲程序的掃描引起的網(wǎng)絡擁塞就非常嚴重了。 聰明點的作者會對掃描策略進行一些改進，比如在 IP 地址段的選擇上，可以主要針對當前主機所在的網(wǎng)段掃描，對外網(wǎng)段則隨機選擇幾個小的 IP 地址段進行掃描。對掃描次數(shù)進行限制，只進行幾次掃描。把掃描分散在不同的時間段進行。掃 描策略設計的原則有三點： （ 1）盡量減少重復的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小。 （ 2）保證掃描覆蓋到盡量大的范圍。 （ 3）處理好掃描的時間分布，使得掃描不要集中在某一時間內發(fā)生。怎樣找到一個合適的策略需要在考慮以上原則的前提下進行分析，甚至需要試驗驗證。 掃描發(fā)送的探測包是根據(jù)不同的漏洞進行設計的。比如，針對遠程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對 web 的 cgi 漏洞就需要發(fā)送一個特殊的 請求來探測。當然發(fā)送探測代碼之前首先要確定相應端口是否開放，這樣可以提高掃描效率。一旦確認漏洞存在 后就可以進行相應的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實現(xiàn)這一過程就可以了。這一部關鍵的問題是對漏洞的理解和利用。攻擊成功后，一般是獲得一個遠程主機的 shell，對 win2k 系統(tǒng)來說就是，得到這個 shell 后我們就擁有了對整個系統(tǒng)的控制權。復制過程也有很多種方法，可以利用系統(tǒng)本身的程序實現(xiàn)，也可以用蠕蟲自代的程序實現(xiàn)。復制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網(wǎng)絡文件傳輸很簡單，這里不再討論。 河北理工大學畢業(yè)設計說明書 第 10 頁 共 51 頁 既然稱之為模式，那么它就是可以復用的。也就是 說，我們只要簡單地改變這個模式中各個具體環(huán)節(jié)的代碼，就可以實現(xiàn)一個自己的蠕蟲了。比如掃描部分和復制部分的代碼完成后，一旦有一個新的漏洞出現(xiàn)，我們只要把攻擊部分的代碼補充上就可以了。利用模式我們甚至可以編寫一個蠕蟲制造機。當然利用模式也可以編寫一個自動入侵系統(tǒng)，模式化的操作用程序實現(xiàn)起來并不復雜。 除了上面介紹的傳播模式外，還可能會有別的模式出現(xiàn)。比如，我們可以把利用郵件進行自動傳播也作為一種模式。這種模式的描述為：由郵件地址薄獲得郵件地址 群發(fā)帶有蠕蟲程序的郵件 郵件被動打開，蠕蟲程序啟動。這里面每一步都可 以有不同的實現(xiàn)方法，而且這個模式也實現(xiàn)了自動傳播所以我們可以把它作為一種蠕蟲的傳播模式。隨著蠕蟲技術的發(fā)展，今后還會有其他的傳播模式出現(xiàn)。 1． 6 蠕蟲病毒的一些新特點 。 蠕蟲病毒入侵網(wǎng)絡的主要途徑是通過工作站傳播到服務器硬盤中，再由服務器的共享目錄傳播到其他的工作站。但蠕蟲病毒的傳染方式比較復雜。 。 在單機上，病毒只能通過軟盤從一臺計算機傳染到另一臺計算機，而在網(wǎng)絡中則可以通過網(wǎng)絡通信機制，借助高速電纜進行迅速擴散。由于蠕蟲病毒在網(wǎng)絡中傳染速度非?？欤蛊鋽U散范圍很大，不但能迅 速傳染局域網(wǎng)內所有計算機，還能通過遠程工作站將蠕蟲病毒在一瞬間傳播到千里之外。 ，再頑固的病毒也可通過刪除帶毒文件、低級格式化硬盤等措施將病毒清除，而網(wǎng)絡中只要有一臺工作站未能殺毒干凈就可使整個網(wǎng)絡重新全部被病毒感染，甚至剛剛完成殺毒工作的一臺工作站馬上就能被網(wǎng)上另一臺工作站的帶毒程序所傳染，因此，僅對工作站進行病毒殺除不能徹底解決網(wǎng)絡蠕蟲病毒的問題。 ，輕則降低速度，影響工作效率，重則造成網(wǎng)絡系統(tǒng)的癱瘓，破壞服務器系統(tǒng)資源，使多年的工 作毀于一旦。 1． 7 蠕蟲的防治 我們針對蠕蟲的傳播模式來分析如何防止蠕蟲的傳播思路會清晰很多。對蠕蟲傳播的一般模式來說，我們目前做的安全防護工作主要是針對其第二環(huán)即 攻擊 部分，為了防止攻擊，要采取的措施就是及早發(fā)現(xiàn)漏洞并打上補丁。其實更重要的是第一環(huán)節(jié)的防護，對掃描的防護現(xiàn)在人們常用的方法是使用防護墻來過濾掃描。使用防火墻的方法有河北理工大學畢業(yè)設計說明書 第 11 頁 共 51 頁 局限性，因為很多用戶并不知道如何使用防火墻，所以當蠕蟲仍然能傳播開來，有防火墻保護的主機只能保證自己的安全，但是網(wǎng)絡已經(jīng)被破壞了。另外一種方案是從網(wǎng)絡整體來考慮如何防止蠕蟲的傳播 。 從網(wǎng)絡整體來防止蠕蟲傳播是一個安全專題，需要進一步研究。這里簡單提一下。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進行，那么就可以防止蠕蟲的傳播了?？赡艿姆椒ㄊ窃诰W(wǎng)關或者路由器上加一個過濾器，當檢測到某個地址發(fā)送掃描包就過濾掉該包。具體實現(xiàn)時可能要考慮到如何識別掃描包與正常包的問題，這有待進一步研究。 了解了蠕蟲的傳播模式，可以很容易實現(xiàn)針對蠕蟲的入侵檢測系統(tǒng)。蠕蟲的掃描會有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測的入侵特征。了解了這些特征就可以針對 其制定入侵檢測規(guī)則。 河北理工大學畢業(yè)設計說明書 第 12 頁 共 51 頁 2 沖擊波病毒的簡述 2． 1 沖擊波病毒的介紹 2021 年 7 月 16 日，微軟曾發(fā)布消息，表示其 Windows 操作系統(tǒng)中廣泛存在著一處漏洞， 即 RPCDCOM 漏洞， 并提醒用戶打補丁，然而并沒有受到重視。 在同一年的 8月 12日，沖擊波病毒被瑞星全球反病毒監(jiān)測網(wǎng)率先截獲。它是一種高危險的網(wǎng)絡蠕蟲病毒，利用 RPC 的 DCOM 接口的漏洞，向遠端系統(tǒng)上的 RPC 系統(tǒng)服務所監(jiān)聽的端口發(fā)送攻擊代碼，能夠使遭受攻擊的系統(tǒng)操作異常、不停重啟，甚至導致系統(tǒng)崩潰，并通過網(wǎng)絡向 仍有此漏洞的計算機傳播這種病毒。另外，改病毒還會對微軟地一個升級網(wǎng)站進行拒絕服務攻擊，導致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。病毒別名 ： W32/ [McAfee/Kaspersky], [CA], Lovsan [FSecure], [Trend], W32/BlasterA [Sophos], W32/Blaster [Panda]。 沖擊波病毒長 6176 bytes, 主要影響 Microsoft Windows 2021 ， Microsoft Windows XP ， Microsoft Windows Server 2021 系統(tǒng)，在這種病毒中隱藏地存在一段文本信息：I just want to say LOVE YOU SAN!! Bill gates why do you make this possible? Stop making money and fix your software!! 它是后門和蠕蟲功能混合型地病毒，包括三個組件：蠕蟲載體、 TFTP 服務器文件、攻擊模塊，病毒會下載并運行病毒文件 2． 2 病毒相關技術說明 2． 2． 1 RPC：遠程過程調用協(xié)議 1．沖擊波病毒是利用 RPCDCOM 漏洞。 RPC：遠程過程調用協(xié)議 （ RPC： Remote Procedure Call protocol）遠程過程調用（ RPC）是一種通過網(wǎng)絡從遠程計算機程序上請求服務，而不需要了解底層網(wǎng)絡技術的協(xié)議。 RPC 協(xié)議假定某些傳輸協(xié)議的存在，如 TCP 或 UDP，為通信程序之間攜帶信息數(shù)據(jù)。在 OSI 網(wǎng)絡通信模型中， RPC 跨越了傳輸層和應用層。 RPC 使得開發(fā)包括網(wǎng)絡分布式多程序在內的應用程序更加容易。 RPC 采用客戶機 /服務器模式。請求程序就是一個客戶機，而服務提供程序就是一個服務器。首先，調用進程發(fā)送一個有進程參數(shù)的調用信息到服務進程，然后等待應答信息。在服務器端，進程保持睡眠狀態(tài)直到調用信息的到達為止。當一個調用信息到達，河北理工大學畢業(yè)設計說明書 第 13 頁 共 51 頁 服務器獲得進程參數(shù)，計算結果，發(fā)送答復信息，然后等待下一個調用信息，最后，客戶端調用過程接收答復信息，獲得進程結果，然