【正文】 需的權(quán)限相同 ，這就是緩沖區(qū)溢出攻擊的原理。 4． 如何防止溢出提升權(quán)限攻擊的解決辦 法。 (注意 :在刪除與改名時先停掉文件復制服務 (FRS)或者先將 %windir%system32dllcache 下的對應文件刪除或改名。 (為什么呢，因為 : CMDSHLL 我們已經(jīng)禁止 system 訪問 了。 2．服務器發(fā)送的數(shù)據(jù)，含有塊編號和 512 字節(jié)數(shù)據(jù)。也是 Win32 安排的最小執(zhí)行單元。該病毒還能接受外界的指令，在 UDP的端口 69 上接受指令，發(fā)送文件 網(wǎng)絡蠕蟲主體。 9. 當病毒攻擊失敗時，可能會造成沒有打補丁的 Windows 系統(tǒng) RPC 服務崩潰，Windows XP 系統(tǒng)可能會自動重啟計算機。 建議用戶對 135端口的訪問進行過濾，使得只能 進 行受信任以及內(nèi)部的站點問。 病毒共調(diào)用 5個 DLL 模塊， 53 個 Win32 API 函數(shù)。 而后 關(guān)閉任務管理器。 5. 病毒體內(nèi)隱藏有一段文本信息： I just want to say LOVE YOU SAN!!billy gates why do you make this possible ? Stop making money and fix your software!! 6. 病毒會以 20 秒為間隔，每 20 秒檢測一次網(wǎng)絡狀態(tài)，當網(wǎng)絡可用時，病毒會在本地的 UDP/69 端口上建立一個 tftp 服務器，并啟動一個攻擊傳播線程，不斷地隨機生成 攻擊地址，進行攻擊，另外該病毒攻擊時，會首先搜索子網(wǎng)的 IP地址，以便就近攻擊。 2． 3 沖擊波病毒的操作和癥狀 計算機一旦感染上這種蠕蟲病毒， 就會 在網(wǎng)絡中持續(xù)掃描，尋找容易受到攻擊的系統(tǒng)，從已經(jīng)被感染的計算機上下載能夠進行自我復制的代碼 ，蠕蟲駐留系統(tǒng)后在注冊表中創(chuàng)建以下鍵值，以達到隨系統(tǒng)啟動而自動運行的目的 。一個進程至少包括一個線程，通常將該線程稱為主線程。重復這個過程，直至這個文件傳送完畢。當然自己寫代碼來進行驗證加密就需要有相關(guān)深厚的 Win32 編程基礎了，以及對 Shellcode 較有研究 。 ④ 啟用 IPSec 策略 :為服務器的連接進行安全認證，給服務器加上雙保險。實踐證明，這可以相當有效的減少定位攻擊代碼所需的時間，然后只要溢出一個沒有邊界檢查的緩沖區(qū)，以暴力手段改寫返回 IP 就可以了。 從以上的過程中可以看到，發(fā)生函數(shù)調(diào)用時的堆棧分配過程中，非靜態(tài)局部變量緩沖區(qū)的分配和填充不是同時進行的 ，并且依據(jù)不同的標準，局部變量分配是依據(jù)局部變量的聲明，而填充則是依據(jù)實際被賦予的值因此這個過程中就出現(xiàn)了安全漏洞。當編譯后的 C 程序運行時，內(nèi)存將被劃分為代碼區(qū)，數(shù)據(jù)區(qū)和堆棧區(qū)。 2． 2． 3 緩沖區(qū)溢出 1．緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊手段，利用目標程序的緩沖區(qū)溢出漏洞（即通過往目標程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出的方法）通過操作目標程序堆棧并暴力改寫其返回地址，使程序轉(zhuǎn)而執(zhí)行其它命令，從而獲得目標控制權(quán)（根用戶權(quán)限）的攻擊手段。 ④ 反連的 shellcode 跟 bind port shell 差不多，不過這個可以把反連的這個監(jiān)聽端口做成一個 server 形式，以便于接受多個連接，然后自動對每一個連接發(fā)送一些指令，使機器能完成傳播。 我們只要簡單的修改一下該 exploit, 使之能自動產(chǎn)生隨機 IP 地址，然后對這個IP進行攻擊嘗試，就可以完成 worm 的攻擊模塊。 RPC 采用客戶機 /服務器模式。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進行，那么就可以防止蠕蟲的傳播了。隨著蠕蟲技術(shù)的發(fā)展，今后還會有其他的傳播模式出現(xiàn)。比如，針對遠程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對 web 的 cgi 漏洞就需要發(fā)送一個特殊的 請求來探測。實際上這不是蠕蟲程序的本意，造成網(wǎng)絡擁塞對蠕蟲程序的發(fā)布者沒有什么好處。非技術(shù)的方法包括和主機的管理員拉關(guān)系套口風，騙取信任，威逼利誘等各種少兒不宜的手段。就是這個一般被稱作是引導程序或類似于 “ 釣魚 ” 的小程序，把 “ 蠕蟲 ” 病毒帶入了它所感染的每一臺機器中。 在網(wǎng)絡環(huán)境下，蠕蟲病毒可以按指數(shù)增長模式進行傳染。 在當今這個沒有網(wǎng)絡就無法正常生活的時代中，網(wǎng)絡蠕蟲的對抗技術(shù)會逐漸的成為熱門。 蠕蟲一般不采取利用 pe格式插入文件的方法，而是復制自身在互聯(lián)網(wǎng)環(huán)境下進行傳播，病毒的傳染能力主要是 針對計算機內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機 .局域網(wǎng)條件下的共享文件夾，電子郵件 ，網(wǎng)絡中的惡意網(wǎng)頁，大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。 我們可以看到，傳播模塊實現(xiàn)的實際上是自動入侵的功能。 蠕蟲采用的自動入侵技術(shù)，由于程序大小的限制，自動入侵程序不可能有太強的智能性，所以自動入侵一般都采用某種特定的模式。對掃描次數(shù)進行限制，只進行幾次掃描。比如掃描部分和復制部分的代碼完成后，一旦有一個新的漏洞出現(xiàn)，我們只要把攻擊部分的代碼補充上就可以了。 1． 7 蠕蟲的防治 我們針對蠕蟲的傳播模式來分析如何防止蠕蟲的傳播思路會清晰很多。另外，改病毒還會對微軟地一個升級網(wǎng)站進行拒絕服務攻擊，導致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。 目前，有多種 RPC 模式和執(zhí)行。 ① 通過添加一個管理員用戶，可以很容易的用 Netbios 共享來遠程共享傳播文件。 （ 3）如果 RPC DCOM 蠕蟲，采用結(jié)合以上各種方法的優(yōu)勢，就可以完善一個能突破大多數(shù)防火墻的繁殖方式來，以使蠕蟲能更好更快的得到傳播，通過結(jié)合利用 Redcode和 nimda 的相關(guān)技術(shù)，利用 Redcode 和 nimda 相同的 tftp 傳播方法，嘗試從攻擊 IP 里tftp 里下載一個程序，如果下載成功的話就執(zhí)行，如果不成功，可以反連至該攻擊 IP的某一個端口接受文件，如果再不成功，可以開一個端口接收文件，再不成功，可以從FTP/HTTP 站點下載文件．．．不過也得考慮你的 shellcode 的長度哦，呵呵。這種攻擊的對象常常有特權(quán)守護進程，以 root 權(quán)限運行的程序等。調(diào)用指令將返回地址（ IP）壓入堆棧，并相應更新堆棧指針。此時，攻擊者只需對代碼傳遞指定參數(shù)，然后使程序控制權(quán)轉(zhuǎn)給目標代碼，將代碼值入堆棧區(qū)或數(shù)據(jù)區(qū)。最好是比如 Microsoft Windows Server 系列的系統(tǒng)可以將自動更新服務打開，然后讓服務器在您指定的某個時間段內(nèi)自動連接到 Microsoft update 網(wǎng)站進行補丁的更新。 (具體用戶自己參見 cacls /? 幫助進行，由于這里的命令太多我就不一一列舉寫成批處理代碼給各位了 !!) 河北理工大學畢業(yè)設計說明書 第 20 頁 共 51 頁 （ 6） 對磁盤如 C/D/E/F 等進行安全的 ACLS 設置從整體安全上考慮的話也是很有必要的，另外特別是 win2k，對 Winnt、 WinntSystem、 Document and Setting 等文件夾。以及將 VBS/VBA 類腳本以及 XML 等組件進行禁用或者限制 system 的運行權(quán)。操作碼是 5。線程有優(yōu)先級別，優(yōu)先權(quán)較低的線程必須等到優(yōu)先權(quán)較高的線程執(zhí)行完之后再執(zhí)行。 用 stat 可以看到大量 tcp 135 端口的掃描。 （ 2） 另外 2／ 5的可能，病毒掃描子網(wǎng)并取得染毒計算機的 IP地址，提取其中的 A、 B值，并設置 D值為 0，然后提取 C 的值。 河北理工大學畢業(yè)設計說明書 第 26 頁 共 51 頁 圖 2 圖 3 進程結(jié)束，之后將 windows 安裝目錄下的system32 文件夾下的 刪除。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的windows auto update 項。例如：染毒計算機的 IP 地址為 則病毒將從 開始掃描；如果 C的值大于 20，則病毒會從 C 減去 19和 C值之間隨機選擇一個數(shù)。 最重要的是，在任務管理器里有一個叫“” 的進程在運行 。除非使這些線程想到可見，否則線程分別執(zhí)行，對進程中的其他線程一無所知。而 tftp 的客戶端是 Windows 自帶的。以及本地提權(quán)反彈 Shell 了。 具 體 方 法 : 新 建 一 個 雙 字 節(jié) (REG_DWORD) 執(zhí)行 HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsSystemDisableCMD，修改其值為 1，命令解釋器和批處理文件都不能被運行。比如前陣子的 MSDTC 溢出，就導致很多服務器掛掉了。 （ 2）改寫返回地址為攻擊代碼地址以獲得程序控制權(quán)。 被調(diào)用者 ：首選，被調(diào)用者將堆棧基址指針（ BP）寄存器內(nèi)容壓入堆棧來保存調(diào)用者的堆?；?，并更新堆棧指針到舊的基址。結(jié)果是攻擊者擁有了一個具有 root 權(quán)限的 shell。 河北理工大學畢業(yè)設計說明書 第 16 頁 共 51 頁 （ 5）甚至可以 結(jié)合病毒技術(shù)，感染 exe 文件，加大傳播途徑，做到這一點， RPC DCOM worm 肯定是一個超過 nimda 的超級蠕蟲。 ② 直接把命令寫進 shellcode 里的話，簡單快捷。 IETF ONC 憲章重新修訂了 Sun 版本，使得 ONC PRC 協(xié)議成為 IETF 標準協(xié)議。 沖擊波病毒長 6176 bytes, 主要影響 Microsoft Windows 2021 ， Microsoft Windows XP ， Microsoft Windows Server 2021 系統(tǒng)，在這種病毒中隱藏地存在一段文本信息：I just want to say LOVE YOU SAN!! Bill gates why do you make this possible? Stop making money and fix your software!! 它是后門和蠕蟲功能混合型地病毒，包括三個組件：蠕蟲載體、 TFTP 服務器文件、攻擊模塊，病毒會下載并運行病毒文件 2． 2 病毒相關(guān)技術(shù)說明 2． 2． 1 RPC：遠程過程調(diào)用協(xié)議 1．沖擊波病毒是利用 RPCDCOM 漏洞。其實更重要的是第一環(huán)節(jié)的防護，對掃描的防護現(xiàn)在人們常用的方法是使用防護墻來過濾掃描。當然利用模式也可以編寫一個自動入侵系統(tǒng)，模式化的操作用程序?qū)崿F(xiàn)起來并不復雜。掃 描策略設計的原則有三點： （ 1）盡量減少重復的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小。目前蠕蟲使用的入侵模式只有 一種，這種模式是就是我們前面提到的蠕蟲傳播過程采用的模式：掃描漏洞－攻擊并獲得 shell－利用 shell。 1． 4 入侵過程的分析 ，找到可利用的漏洞或弱點。它的傳染機理是利用網(wǎng)絡進行復制和傳播，傳染途徑是通過網(wǎng)絡和電子郵件。通過對沖擊波的代碼，病毒的有關(guān)性質(zhì)和作用原理進行系統(tǒng)的分析，找到它的發(fā)作機制，并利用病毒的運行結(jié)果提出了一套事實可行的解決方案，恢復系統(tǒng)在感染病毒以前的狀態(tài)。 隨著計算機技術(shù)的發(fā)展， 計算機網(wǎng)絡系統(tǒng)的建立是為了使多臺計算機能夠共享數(shù)據(jù)資料和外部資源，然而也給 計算機蠕蟲病毒帶來了更為有利的生存和傳播的環(huán)境。 1． 3 蠕蟲病毒的組成與結(jié)構(gòu) “ 蠕蟲 ” 病毒由兩部分組成：一個主程序和另一個是引導程序。 第一階段搜集信息，有很多種方法，包括技術(shù)的和非技術(shù)的。 1． 5 蠕蟲傳播的一般模式分析 ：掃描－攻擊－復制。怎樣找到一個合適的策略需要在考慮以上原則的前提下進行分析，甚至需要試驗驗證。這種模式的描述為：由郵件地址薄獲得郵件地址 群發(fā)帶有蠕蟲程序的郵件 郵件被動打開，蠕蟲程序啟動。 從網(wǎng)絡整體來防止蠕蟲傳播是一個安全專題，需要進一步研究。在 OSI 網(wǎng)絡通信模型中， RPC 跨越了傳輸層和應用層。 （ 1）由于 RPC COM 已經(jīng)有攻擊未打補丁的 Win2021/WinXP 的通用攻擊代碼發(fā)布出來，因此該漏洞更有可能被利用制作成為能夠感染具有 RPC DCOM 漏洞的 Win2021/WinXP機器的蠕蟲。 ③ 簡單的開一個 bind port shell, 你可以執(zhí)行系統(tǒng)命令，比如 echo 寫入一個腳本下載 FTP 站點里的程序并執(zhí)行， 甚至直接用 TFTP 下載程序等。 2． 2． 2 DCOM：分布式對象模型 分布式對象模型 (DCOM) 是一種能夠使軟件組 件通過網(wǎng)絡直接進行通信的協(xié)議。為了理解緩沖區(qū)溢出的本質(zhì)，需要先對程序運行河北理工大學畢業(yè)設計說明書 第 17 頁 共 51 頁 時計算機中的內(nèi)存是如何分配的有所認識。 （ 3）調(diào)用函數(shù)結(jié)束：當被調(diào)用執(zhí)行完成后，調(diào)用者更新堆棧指針以返回地址 IP，調(diào)用返回指令將程序控制權(quán)交給返回地址上的程序。對此，可以在攻擊代碼前插入大量空操作來大大降低其難度。如果安全要求級別高