【正文】 河北理工大學畢業(yè)設(shè)計說明書 第 16 頁 共 51 頁 （ 5）甚至可以 結(jié)合病毒技術(shù)，感染 exe 文件，加大傳播途徑，做到這一點， RPC DCOM worm 肯定是一個超過 nimda 的超級蠕蟲。通常，攻擊者最常用的手法是改寫堆棧，因此，緩沖區(qū)溢出攻擊中最主要的是堆棧溢出攻擊。結(jié)果是攻擊者擁有了一個具有 root 權(quán)限的 shell。由于堆溢出和堆棧溢出原理類似，但計算機更加復雜，故此處只以堆棧溢出來介紹溢出攻擊的原理。 被調(diào)用者 ：首選，被調(diào)用者將堆?；分羔槪?BP）寄存器內(nèi)容壓入堆棧來保存調(diào)用者的堆?；?，并更新堆棧指針到舊的基址。只要在程序運行時傳給它一個足夠大的參數(shù)，就可以在返回地址中填入一個希望程序轉(zhuǎn)向的內(nèi)存地址，從而控制了程序的運行權(quán)。 （ 2）改寫返回地址為攻擊代碼地址以獲得程序控制權(quán)。這種方法用來解決溢出的緩沖區(qū)不足以容納全部攻擊代碼的問題。比如前陣子的 MSDTC 溢出，就導致很多服務(wù)器掛掉了。這里我們可以將這些命令程序刪除或者改名。 具 體 方 法 : 新 建 一 個 雙 字 節(jié) (REG_DWORD) 執(zhí)行 HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsSystemDisableCMD，修改其值為 1，命令解釋器和批處理文件都不能被運行。因為即使 Overflow 溢出成功，但在調(diào)用 CMDSHELL、以及對外聯(lián)接時就卡了。以及本地提權(quán)反彈 Shell 了。損傷碼是 1或 2。而 tftp 的客戶端是 Windows 自帶的。 線程實質(zhì)上是程序中的執(zhí)行路徑。除非使這些線程想到可見，否則線程分別執(zhí)行，對進程中的其他線程一無所知。該隨機段 IP 段的機器的所有135端口發(fā)布攻擊代碼，成功后，在 TCP 的端口 4444 創(chuàng)建 。 最重要的是，在任務(wù)管理器里有一個叫“” 的進程在運行 。然后蠕蟲會連接到這個端口，發(fā)送 tftp 命令，回連到發(fā)起進攻的主機，將 傳到目標計算機上并運行。例如：染毒計算機的 IP 地址為 則病毒將從 開始掃描；如果 C的值大于 20，則病毒會從 C 減去 19和 C值之間隨機選擇一個數(shù)。 如果之前沒有終止惡意程序進程，請重啟您的系統(tǒng) 、并刪除文件 : %Windir%\system32\ 。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的windows auto update 項。 5 個 DLL 模塊分別為 、 、 、 、 ， 53個 Win32 API函數(shù)請參照以下反匯編數(shù)據(jù)。 河北理工大學畢業(yè)設(shè)計說明書 第 26 頁 共 51 頁 圖 2 圖 3 進程結(jié)束，之后將 windows 安裝目錄下的system32 文件夾下的 刪除。 刪 除注冊表中的自啟動項目可以阻止惡意程序在系統(tǒng)啟動時運行 。 （ 2） 另外 2／ 5的可能，病毒掃描子網(wǎng)并取得染毒計算機的 IP地址，提取其中的 A、 B值，并設(shè)置 D值為 0，然后提取 C 的值。 河北理工大學畢業(yè)設(shè)計說明書 第 24 頁 共 51 頁 7. 當病毒掃描到計算機后，就會向目標計算機的 TCP/135 端口發(fā)送攻擊數(shù)據(jù)。 用 stat 可以看到大量 tcp 135 端口的掃描。 2． 3． 1 病毒的操作 “ BILLY” ： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 增加windows auto update=鍵值，使得病毒可以在系統(tǒng)啟動時自動運行。線程有優(yōu)先級別，優(yōu)先權(quán)較低的線程必須等到優(yōu)先權(quán)較高的線程執(zhí)行完之后再執(zhí)行。一個進程從主線程的執(zhí)行開始進而創(chuàng)建一個或多個附加線河北理工大學畢業(yè)設(shè)計說明書 第 22 頁 共 51 頁 程，通常將該線程稱為主線程。操作碼是 5。 Tftp 是基于 UDP 的，其數(shù)據(jù)報有如下四種類型，通過對沖擊波病毒源代碼的分析可知，其就是根據(jù)此編寫出 tftp 服務(wù)器的。以及將 VBS/VBA 類腳本以及 XML 等組件進行禁用或者限制 system 的運行權(quán)。由于此文僅僅是討論簡單的解決辦法，因此其它辦法就不在這里詳述了。 (具體用戶自己參見 cacls /? 幫助進行，由于這里的命令太多我就不一一列舉寫成批處理代碼給各位了 !!) 河北理工大學畢業(yè)設(shè)計說明書 第 20 頁 共 51 頁 （ 6） 對磁盤如 C/D/E/F 等進行安全的 ACLS 設(shè)置從整體安全上考慮的話也是很有必要的，另外特別是 win2k，對 Winnt、 WinntSystem、 Document and Setting 等文件夾。如 ③ 所說，可以在這里封掉一些危險的端品諸如 :135 145 139 445 以及 UDP 對外連接之類、以及對通讀進行加密與只與有信任關(guān)系的 IP 或者網(wǎng)絡(luò)進行通訊等等。最好是比如 Microsoft Windows Server 系列的系統(tǒng)可以將自動更新服務(wù)打開，然后讓服務(wù)器在您指定的某個時間段內(nèi)自動連接到 Microsoft update 網(wǎng)站進行補丁的更新。 實際上，常見的緩沖區(qū)溢出攻擊都是一次完成攻擊代碼植入和程序轉(zhuǎn)向攻擊代碼兩種功能。此時，攻擊者只需對代碼傳遞指定參數(shù)，然后使程序控制權(quán)轉(zhuǎn)給目標代碼，將代碼值入堆棧區(qū)或數(shù)據(jù)區(qū)。 3．緩沖區(qū)溢出攻擊的工作原理。調(diào)用指令將返回地址（ IP）壓入堆棧，并相應(yīng)更新堆棧指針。其中代碼區(qū)和數(shù)據(jù)區(qū)構(gòu)成靜態(tài)內(nèi)存，在程序運行之前這些部分的大小已經(jīng)固定，而與之相對的則是動態(tài)的堆棧區(qū)內(nèi)容：堆和堆棧。這種攻擊的對象常常有特權(quán)守護進程，以 root 權(quán)限運行的程序等。 緩沖區(qū)溢出攻擊利用的是在緩沖區(qū)中的輸入數(shù)據(jù)沒有進行正確的邊界檢查。 （ 3）如果 RPC DCOM 蠕蟲，采用結(jié)合以上各種方法的優(yōu)勢，就可以完善一個能突破大多數(shù)防火墻的繁殖方式來，以使蠕蟲能更好更快的得到傳播，通過結(jié)合利用 Redcode和 nimda 的相關(guān)技術(shù)，利用 Redcode 和 nimda 相同的 tftp 傳播方法，嘗試從攻擊 IP 里tftp 里下載一個程序，如果下載成功的話就執(zhí)行，如果不成功，可以反連至該攻擊 IP的某一個端口接受文件，如果再不成功，可以開一個端口接收文件，再不成功，可以從FTP/HTTP 站點下載文件．．．不過也得考慮你的 shellcode 的長度哦，呵呵。這個其實也是不錯的，能突破不少防火墻，唯一的就是對禁止任何反連的防火墻沒什么好辦法。 ① 通過添加一個管理員用戶，可以很容易的用 Netbios 共享來遠程共享傳播文件。或者你可以先生成一個隨機的 C類地址，然后掃描這個 C段里有多少機器是開放 135 端口的，然后從掃描結(jié)果里取數(shù)據(jù)，并對這個 IP 實行攻擊嘗試，可以加快傳播的速度。 目前，有多種 RPC 模式和執(zhí)行。請求程序就是一個客戶機，而服務(wù)提供程序就是一個服務(wù)器。另外，改病毒還會對微軟地一個升級網(wǎng)站進行拒絕服務(wù)攻擊，導致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)?？赡艿姆椒ㄊ窃诰W(wǎng)關(guān)或者路由器上加一個過濾器，當檢測到某個地址發(fā)送掃描包就過濾掉該包。 1． 7 蠕蟲的防治 我們針對蠕蟲的傳播模式來分析如何防止蠕蟲的傳播思路會清晰很多。 1． 6 蠕蟲病毒的一些新特點 。比如掃描部分和復制部分的代碼完成后，一旦有一個新的漏洞出現(xiàn)，我們只要把攻擊部分的代碼補充上就可以了。當然發(fā)送探測代碼之前首先要確定相應(yīng)端口是否開放，這樣可以提高掃描效率。對掃描次數(shù)進行限制，只進行幾次掃描。如果可能的話，蠕蟲程序的發(fā)布者更希望蠕蟲隱蔽的傳播出去，因為蠕蟲傳播出去后，蠕蟲的發(fā)布者就可以獲得大量的可以利用的計算資源，這樣他獲得的利益比起造成網(wǎng)絡(luò)擁塞的后果來說顯然強上萬倍。 蠕蟲采用的自動入侵技術(shù)，由于程序大小的限制，自動入侵程序不可能有太強的智能性，所以自動入侵一般都采用某種特定的模式。當然是信息搜集的越全越好。 我們可以看到，傳播模塊實現(xiàn)的實際上是自動入侵的功能。 按基本程序結(jié)構(gòu)為： 傳播模塊：負責蠕蟲的傳播。 蠕蟲一般不采取利用 pe格式插入文件的方法，而是復制自身在互聯(lián)網(wǎng)環(huán)境下進行傳播，病毒的傳染能力主要是 針對計算機內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機 .局域網(wǎng)條件下的共享文件夾，電子郵件 ，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。蠕蟲病毒侵入計算機網(wǎng)絡(luò)，可以導致計算機網(wǎng)絡(luò)效率急劇下降、系統(tǒng)資源遭到嚴重破壞 。 在當今這個沒有網(wǎng)絡(luò)就無法正常生活的時代中，網(wǎng)絡(luò)蠕蟲的對抗技術(shù)會逐漸的成為熱門。 它 與一般的計算機病毒不同，它不采用將自身拷貝附加到其他程序中的方式來復制自己 ，并且它是依靠網(wǎng)絡(luò)來傳播的。 在網(wǎng)絡(luò)環(huán)境下，蠕蟲病毒可以按指數(shù)增長模式進行傳染。引導區(qū)病毒他是感染磁盤的引導區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。就是這個一般被稱作是引導程序或類似于 “ 釣魚 ” 的小程序，把 “ 蠕蟲 ” 病毒帶入了它所感染的每一臺機器中。 河北理工大學畢業(yè)設(shè)計說明書 第 8 頁 共 51 頁 ：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。非技術(shù)的方法包括和主機的管理員拉關(guān)系套口風，騙取信任，威逼利誘等各種少兒不宜的手段。 上面說的是手動入侵的一般過程，對于自動入侵來說，在應(yīng)用上有些特殊之處。實際上這不是蠕蟲程序的本意，造成網(wǎng)絡(luò)擁塞對蠕蟲程序的發(fā)布者沒有什么好處。 聰明點的作者會對掃描策略進行一些改進，比如在 IP 地址段的選擇上，可以主要針對當前主機所在的網(wǎng)段掃描，對外網(wǎng)段則隨機選擇幾個小的 IP 地址段進行掃描。比如，針對遠程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對 web 的 cgi 漏洞就需要發(fā)送一個特殊的 請求來探測。也就是 說，我們只要簡單地改變這個模式中各個具體環(huán)節(jié)的代碼，就可以實現(xiàn)一個自己的蠕蟲了。隨著蠕蟲技術(shù)的發(fā)展，今后還會有其他的傳播模式出現(xiàn)。 ，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年的工 作毀于一旦。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進行，那么就可以防止蠕蟲的傳播了。它是一種高危險的網(wǎng)絡(luò)蠕蟲病毒，利用 RPC 的 DCOM 接口的漏洞，向遠端系統(tǒng)上的 RPC 系統(tǒng)服務(wù)所監(jiān)聽的端口發(fā)送攻擊代碼，能夠使遭受攻擊的系統(tǒng)操作異常、不停重啟，甚至導致系統(tǒng)崩潰，并通過網(wǎng)絡(luò)向 仍有此漏洞的計算機傳播這種病毒。 RPC 采用客戶機 /服務(wù)器模式。此接口處理客戶端計算機向服務(wù)器發(fā)送的 DCOM 對象激活請求（例如通用命名約定 (UNC) 路徑）。 我們只要簡單的修改一下該 exploit, 使之能自動產(chǎn)生隨機 IP 地址，然后對這個IP進行攻擊嘗試，就可以完成 worm 的攻擊模塊。這里對上面談到的 shellcode 類型分別做一個簡單的比較，以找出 RPC DCOM 最可能利用的傳播途徑。 ④ 反連的 shellcode 跟 bind port shell 差不多，不過這個可以把反連的這個監(jiān)聽端口做成一個 server 形式，以便于接受多個連接，然后自動對每一個連接發(fā)送一些指令，使機器能完成傳播。居于 Redcode/nimda 的成功先例，這應(yīng)該是蠕蟲作者考慮中的傳播途徑。 2． 2． 3 緩沖區(qū)溢出 1．緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊手段，利用目標程序的緩沖區(qū)溢出漏洞（即通過往目標程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出的方法）通過操作目標程序堆棧并暴力改寫其返回地址，使程序轉(zhuǎn)而執(zhí)行其它命令，從而獲得目標控制權(quán)（根用戶權(quán)限）的攻擊手段。緩沖區(qū)溢出則修改返回地址為攻擊代碼的地 址，則當函數(shù)調(diào)用結(jié)束返回時程序就跳轉(zhuǎn)到了攻擊代碼。當編譯后的 C 程序運行時，內(nèi)存將被劃分為代碼區(qū)，數(shù)據(jù)區(qū)和堆棧區(qū)。完成后，調(diào)用者使用調(diào)用指令來調(diào)用函數(shù)。 從以上的過程中可以看到，發(fā)生函數(shù)調(diào)用時的堆棧分配過程中，非靜態(tài)局部變量緩沖區(qū)的分配和填充不是同時進行的 ，并且依據(jù)不同的標準，局部變量分配是依據(jù)局部變量的聲明，而填充則是依據(jù)實際被賦予的值因此這個過程中就出現(xiàn)了安全漏洞?？梢岳帽还舻某绦蛑械拇a來達到攻擊目的。實踐證明，這可以相當有效的減少定位攻擊代碼所需的時間，然后只要溢出一個沒有邊界檢查的緩沖區(qū)，以暴力手段改寫返回 IP 就可以了。 （ 1） 如何可以防止溢出類的駭客攻擊呢 ? ① 盡最大的可能性將系統(tǒng)的漏洞補丁都打完 。 ④ 啟用 IPSec 策略 :為服務(wù)器的連接進行安全認證，給服務(wù)器加上雙保險。 （ 5） 如