【正文】 ting） ? 標(biāo)機的類型、 IP地址、所在網(wǎng)絡(luò)的類型； ? 操作系統(tǒng)的類型、版本； ? 系統(tǒng)管理人員的名字、郵件地址； ? …… 。具體辦法是攻擊者將自已的Web地址加在所有 URL地址的前面。 Web欺騙 ? （ 1）基本的網(wǎng)站欺騙 ? 由于目前注冊一個域名沒有任何要求，利用這一點，攻擊者會搶先或特別設(shè)計注冊一個有欺騙性的站點。 ? 2 B向外遞交查詢請求。 ? 實施 DNS欺騙的基本思路是：讓 DNS服務(wù)器的緩存中存有錯誤的 IP地址，即在 DNS緩存中放一個偽造的緩存記錄。這些偽造的數(shù)據(jù)，會修改網(wǎng)絡(luò)上主機中的 ARP高速緩存。而該 IP地址的擁有者則用含有該 IP地址和相應(yīng) MAC地址的幀進(jìn)行應(yīng)答。 ? （ 3）在 TCP連接中，只是剛開始連接時進(jìn)行一次 IP地址的驗證，在連接過程中 TCP應(yīng)用程序只跟蹤序列號，而不進(jìn)行IP地址驗證。在沒有連接的情況下， TCP序列號為 128 000*RTT；如果目標(biāo)服務(wù)器剛剛建立過一個連接，就還要加上 64 000。 ? 隨機的初始序列號的產(chǎn)生也是有一定規(guī)律的。基本方法是對 S實施拒絕服務(wù)攻擊。 基于 IP地址認(rèn)證的任何網(wǎng)絡(luò)服務(wù)； ? 入侵者 X要對 T進(jìn)行 IP欺騙攻擊，就可以假冒 S與 T進(jìn)行通信。 ? （ 5）陷門可以把再次入侵被發(fā)現(xiàn)的可能性降至最低。 陷門一般有如下一些技術(shù)或功能特征： ? （ 1）陷門通常寄生于某些程序（有宿主），但無自我復(fù)制功能。 ? （ 5）合并程序欺騙。即將木馬圖標(biāo)修改成圖像文件圖標(biāo)。 ? （ 4）將木馬程序捆綁在軟件安裝程序上，通過提供軟件下載的網(wǎng)站（ Web/FTP/BBS）傳播。本地安裝就是直接在計算機上進(jìn)行安裝。 ? （ 4）非自繁殖性與非自動感染性。而木馬為了獲得非授權(quán)的服務(wù)，還要通過欺騙進(jìn)行隱藏。一旦控制端與服務(wù)端建立連接后，控制端將竊取用戶密碼，獲取大部分操作權(quán)限，如修改文件、修改注冊表、重啟或關(guān)閉服務(wù)端操作系統(tǒng)、斷開網(wǎng)絡(luò)連接、控制服務(wù)端鼠標(biāo)和鍵盤、監(jiān)視服務(wù)端桌面操作、查看服務(wù)端進(jìn) 程等。一旦發(fā)現(xiàn)系統(tǒng)已經(jīng) 連接到 Inter上，就在受害者不知情的情形下將收集的信息通過一些常用的傳輸方式（如電子郵件、 ICQ、 FTP）把它們發(fā)送到指定的地方。此后，人們就把特洛伊木馬（ Trojan horse）作為偽裝的內(nèi)部顛覆者的代名詞。 蠕蟲舉例 ? 1. ? 2. I_WORM/EMANUEL網(wǎng)絡(luò)蠕蟲 ? 3. ? 4. SQL蠕蟲王 ? 5. 震蕩波 3 特洛伊木馬 特洛伊木馬及其類型 ? 古希臘詩人荷馬（ Homer）在其史詩依利雅得（ The Iliad）中，描述了一個故事：希臘王的王妃海倫被特洛伊（ Troy）的王子掠走，希臘王在攻打 Troy城時，使用了木馬計（ the stratagem of Trojan horse），在巨大的木馬內(nèi)裝滿了士兵，然后假裝撤退，把木馬留下。 ? ? 3. 蠕蟲程序的功能結(jié)構(gòu) ? （ 1）傳播模塊 ? 傳播模塊由掃描子模塊、攻擊子模塊和復(fù)制子模塊組成。 ? （ 3）刪除自己： ? ? （ 4）針對不同的漏洞設(shè)計不同的探測包，提高掃描效率。 ? （ 4）攻擊的主動性 ? （ 5）破壞的嚴(yán)重性 ? （ 6）行蹤的隱蔽性 2. 蠕蟲傳播的基本過程 蠕蟲的重要機制和功能結(jié)構(gòu) 1. 蠕蟲的掃描機制 ? 掃描策略改進(jìn)的原則是，盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量少，并保證掃描覆蓋盡量大的范圍。但是，病毒與蠕蟲的傳染機制有三點不同： ? 如果可執(zhí)行文件中的計算機病毒不能被清除，應(yīng)將其刪除后重新安裝相應(yīng)的應(yīng)用程序。 誤報（ false positive）率 ? ? ⑥ 病毒把 COM文件的最初幾個字節(jié)寫回到原來的 100H偏移處； ? ⑦ 病毒代碼執(zhí)行一條跳轉(zhuǎn)到 100H偏移處的 Jump指令，開始執(zhí)行宿主程序。 ? ② 系統(tǒng)將控制權(quán)交到 100H偏移處。 把被感染的 COM文件的最開始（ 100H偏移處）幾個字節(jié)，換成跳轉(zhuǎn)到病毒代碼的 Jump指令； ? CS=DS=ES=BS 中斷向量表 DOS常駐區(qū) 程序段前綴 PSP COM文件映像 堆棧區(qū) 程序剩余空間 DOS暫駐區(qū) 0000H 40:0H IP:0100H SP:FFFEH RAM最高端 最 大 64k 字 節(jié) 生 長 方 向 通信區(qū) 70:0H 未初始化數(shù)據(jù) （ 2） COM型文件病毒機制 ? ① 病毒取得控制權(quán)的時機 一般說來，當(dāng)由 DOS用 Jump指令跳到 COM程序的起點時，是一個比較合適的時機。 COM型文件病毒是如何執(zhí)行的。 ? 3 返回正常的 INT 13H中斷服務(wù)處理程序，完成對目標(biāo)盤的傳染過程。 ? 4 病毒程序全部讀入后，接著讀入正常 boot內(nèi)容到內(nèi)存 0000:7C00H處，進(jìn)行正常的啟動過程。 ? ③ 找到自舉分區(qū)后，檢測該分區(qū)標(biāo)志：如果是 32位 /16位FAT并支持 13號中斷的擴展功能，就轉(zhuǎn)向執(zhí)行 13中斷的41功能調(diào)用，進(jìn)行安裝檢測。 典型計算機病毒分析 （ 1） DOS引導(dǎo)型病毒分析 ? DOS引導(dǎo)型病毒是隱藏在磁盤主引導(dǎo)扇區(qū)（ boot sector）的病毒。 ? 2. 按照寄生方式和傳染途徑分類 ? （ 1）引導(dǎo)型病毒 ? ① 主引導(dǎo)區(qū)（ master boot record， MBR）病毒 ? ② 引導(dǎo)區(qū)（ boot record，BR）病毒 ? （ 2）文件型病毒 ? ① 可執(zhí)行文件 ? ② 文檔文件或數(shù)據(jù)文件 ? ③ Web文檔 ? 按照駐留內(nèi)存的方式，文件型病毒可以分為： ? ① 駐留（ Resident）病毒 ? ② 非駐留（ Nonrresident）病毒 ? （ 3）目錄型病毒 ? （ 4）引導(dǎo)兼文件型病毒 ? （ 5） CMOS病毒 ? 3. 按照傳播媒介分類 ? （ 1）單機病毒 ? （ 2）網(wǎng)絡(luò)病毒 ? 4. 按照計算機病毒的鏈接方式分類 ? （ 1）源碼型病毒 ? （ 2）嵌入型病毒 ? （ 3）外殼（ shell）型病毒 ? （ 4）譯碼型病毒 ? （ 5）操作系統(tǒng)型病毒 ? 5. 按照破壞能力分類 ? （ 1）無害型 ? （ 2）無危險型 ? （ 3）危險型 ? （ 4）非常危險型 計算機病毒的基本機制 ? 1. 潛伏 ? （ 1）引導(dǎo) 引導(dǎo)過程由三步組成： ? ① 駐留內(nèi)存 ? ② 竊取控制權(quán) ? ③ 恢復(fù)系統(tǒng)功能 ? （ 2）隱藏 ? （ 3）捕捉（也稱搜索） ? 2. 傳染 傳染機制的作用是在特定的感染條件下，將病毒代碼復(fù)制到傳染目標(biāo)上去。占用或消耗 CPU資源以及內(nèi)存空間 ? 干擾系統(tǒng)運行 ? 攻擊 CMOS ? 攻擊系統(tǒng)數(shù)據(jù)區(qū) ? 攻擊文件 ? 干擾外部設(shè)備運行 ? 破壞網(wǎng)絡(luò)系統(tǒng)的正常運行 ? 5. 可觸發(fā)性 ? 日期 /時間觸發(fā) ? 計數(shù)器觸發(fā) ? 鍵盤觸發(fā) ? 啟動觸發(fā) ? 感染觸發(fā) ? 組合條件觸發(fā) 計算機病毒分類 ? 1. 按照所攻擊的操作系統(tǒng)分類 ? DOS病毒 ? UNIX/Linux病毒 ? Windows病毒 ? OS/2病毒 ? Macintosh病毒 ? 手機病毒。大部分病毒都是在一定條件下才會被觸發(fā)而發(fā)作表現(xiàn)。 ? ② 順序讀入 4個分區(qū)表的自舉標(biāo)志，以找出自舉分區(qū)：若找不到，就轉(zhuǎn)向執(zhí)行 INT 18H的 BOOT異常，執(zhí)行異常中斷程序。 （ 3）引導(dǎo)型病毒的傳染過程 系統(tǒng)加電或復(fù)位 進(jìn)入 ROMBIOS 讀引導(dǎo)至 0000:7C00H并執(zhí)行 自舉完成 系統(tǒng)復(fù)位 讀 到內(nèi)存 系統(tǒng)加電或復(fù)位 bb 引導(dǎo)至 0000:7C00H， 并執(zhí)行 自舉完成 系統(tǒng)復(fù)位 讀 到內(nèi)存 引導(dǎo)區(qū)病毒 并執(zhí)行病毒程序 修改中斷向量 復(fù)制病毒 /感染磁盤 引導(dǎo)型病毒的感染過程：裝入內(nèi)存 +攻擊 裝入過程 ? 1 系統(tǒng)開機后，進(jìn)入系統(tǒng)檢測，檢測正常后，從 0面 0道 1扇區(qū)，即邏輯 0扇區(qū)讀取信息到內(nèi)存的 0000~7C00處： ? 2 系統(tǒng)開始運行病毒引導(dǎo)部分，將病毒的其他部分讀入