【正文】 病毒共調(diào)用 5個(gè) DLL 模塊， 53 個(gè) Win32 API 函數(shù)。 2． 6 沖擊波病毒分析報(bào)告 利用 Winhex 查看 十六進(jìn)制，發(fā)現(xiàn)十六進(jìn)制中包含 UPX 字符，判定的確為 UPX 加殼之后，利用 UPXShell 將 進(jìn)行脫殼之后字節(jié)數(shù)為 11296 字節(jié)。注意： Win2021 系統(tǒng)需要先安裝 Service Pack2 以上，另外一些盜版的 Windows XP無法安裝此補(bǔ)丁 。 建議用戶對 135端口的訪問進(jìn)行過濾，使得只能 進(jìn) 行受信任以及內(nèi)部的站點(diǎn)問。 而后 關(guān)閉任務(wù)管理器。例如：感 染 計(jì) 算 機(jī) 的 IP 地 址為 ， 則 病 毒 將 掃 描 的 IP 地 址 為.{115134}.0。病毒掃描 IP 地址（ ，如： IP 為 時(shí)， A=192 B=168 C=0 D=1）符合如下規(guī)則： （ 1） 3／ 5的可能當(dāng) D等于 0 時(shí)， A、 B、 C 為 0 到 255 的隨機(jī)數(shù)。 9. 當(dāng)病毒攻擊失敗時(shí)，可能會(huì)造成沒有打補(bǔ)丁的 Windows 系統(tǒng) RPC 服務(wù)崩潰，Windows XP 系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。 5. 病毒體內(nèi)隱藏有一段文本信息： I just want to say LOVE YOU SAN!!billy gates why do you make this possible ? Stop making money and fix your software!! 6. 病毒會(huì)以 20 秒為間隔，每 20 秒檢測一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時(shí)，病毒會(huì)在本地的 UDP/69 端口上建立一個(gè) tftp 服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程，不斷地隨機(jī)生成 攻擊地址，進(jìn)行攻擊，另外該病毒攻擊時(shí)，會(huì)首先搜索子網(wǎng)的 IP地址，以便就近攻擊。 圖 1 2． 4 沖擊波病毒的具體 說明 1. 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制到 window 目錄下，并命名為： 。由于 RPC 服務(wù)終止可能造成其他的一些問題（這些功能依賴于 RPC 服務(wù)），如：無法進(jìn)行復(fù)制、粘貼；無法查看網(wǎng)絡(luò)屬性； My Pictures 文件夾顯示不正常；計(jì)算機(jī) “ 服務(wù) ” 管理不正常；無法使用 IE“ 在新窗口中打開 ” ；金山詞霸無法取詞；無法添加刪除程序等。該病毒還能接受外界的指令，在 UDP的端口 69 上接受指令，發(fā)送文件 網(wǎng)絡(luò)蠕蟲主體。 2． 3 沖擊波病毒的操作和癥狀 計(jì)算機(jī)一旦感染上這種蠕蟲病毒， 就會(huì) 在網(wǎng)絡(luò)中持續(xù)掃描，尋找容易受到攻擊的系統(tǒng)，從已經(jīng)被感染的計(jì)算機(jī)上下載能夠進(jìn)行自我復(fù)制的代碼 ，蠕蟲駐留系統(tǒng)后在注冊表中創(chuàng)建以下鍵值，以達(dá)到隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行的目的 。線程共享公共資源，但是，必須使用信號(hào)燈或其他進(jìn)程間的通信方法協(xié)調(diào)它們的工作。 一個(gè)進(jìn)程內(nèi)的所有線程使用同一個(gè)地址空間，而這些線程的執(zhí)行由系統(tǒng)調(diào)度程序控制，調(diào)試程序決定哪個(gè)線程可執(zhí)行以及什么時(shí)候執(zhí)行線程。也是 Win32 安排的最小執(zhí)行單元。一個(gè)進(jìn)程至少包括一個(gè)線程，通常將該線程稱為主線程。在命令行下直接運(yùn)行 Tftp – i Ip Get（ Put） FileName 就可以在本機(jī)執(zhí)行 tftp 客戶端，以供和服務(wù)器傳輸文件， 這個(gè)方法常被黑客使用：他們在自己的主機(jī)上建一個(gè) tftp 服務(wù)器，進(jìn)入別人的主機(jī)后，直接輸入 tftp –i 自己 ip Get（ Put） FileName 就可以實(shí)現(xiàn)文件上傳 /下載。 4．錯(cuò)誤信息，含有差錯(cuò)碼和差錯(cuò)信息。 2．服務(wù)器發(fā)送的數(shù)據(jù)，含有塊編號(hào)和 512 字節(jié)數(shù)據(jù)。重復(fù)這個(gè)過程，直至這個(gè)文件傳送完畢。 2． 2． 4 TFTP 簡單文件傳輸協(xié)議 TFTP（ Trivial File Transfer Protocol）為簡單文件傳輸協(xié)議。所以我們需要將 echo 命令也限制以及將其它盤的 System 寫、修改文件的權(quán)限進(jìn)行處理。 (為什么呢，因?yàn)?: CMDSHLL 我們已經(jīng)禁止 system 訪問 了。當(dāng)然自己寫代碼來進(jìn)行驗(yàn)證加密就需要有相關(guān)深厚的 Win32 編程基礎(chǔ)了，以及對 Shellcode 較有研究 。修改其值為 2，則只是禁止命令解釋器的運(yùn)行 ,反之將值改為 0，則是打開 CMS 命令解釋器。 （ 5） 如果你覺得在 GUI 下面太麻煩的話，你也可以用系統(tǒng)命令的 來對這些 .exe 文件的 Acls 進(jìn)行編輯與修改，或者說將他寫成一個(gè) .bat 批處理 文 件來執(zhí)行以及對這些命令進(jìn)行修改。 (注意 :在刪除與改名時(shí)先停掉文件復(fù)制服務(wù) (FRS)或者先將 %windir%system32dllcache 下的對應(yīng)文件刪除或改名。 ④ 啟用 IPSec 策略 :為服務(wù)器的連接進(jìn)行安全認(rèn)證，給服務(wù)器加上雙保險(xiǎn)。其實(shí)如果 WEB 類服務(wù)器根本沒有用到 MSDTC 服務(wù)時(shí)，您大可以把 MSDTC 服務(wù)停掉，這樣 MSDTC 溢出就對您的服務(wù)器河北理工大學(xué)畢業(yè)設(shè)計(jì)說明書 第 19 頁 共 51 頁 不構(gòu)成任何威脅了。 （ 1） 如何可以防止溢出類的駭客攻擊呢 ? ① 盡最大的可能性將系統(tǒng)的漏洞補(bǔ)丁都打完 。 4． 如何防止溢出提升權(quán)限攻擊的解決辦 法。實(shí)踐證明，這可以相當(dāng)有效的減少定位攻擊代碼所需的時(shí)間，然后只要溢出一個(gè)沒有邊界檢查的緩沖區(qū)，以暴力手段改寫返回 IP 就可以了。由于程序的堆棧區(qū)起始地址是固定的，因 此很容易獲得堆棧起始地址?？梢岳帽还舻某绦蛑械拇a來達(dá)到攻擊目的。而且此時(shí)擁有的權(quán)限與運(yùn)行程序所需的權(quán)限相同 ，這就是緩沖區(qū)溢出攻擊的原理。 從以上的過程中可以看到，發(fā)生函數(shù)調(diào)用時(shí)的堆棧分配過程中，非靜態(tài)局部變量緩沖區(qū)的分配和填充不是同時(shí)進(jìn)行的 ，并且依據(jù)不同的標(biāo)準(zhǔn)，局部變量分配是依據(jù)局部變量的聲明，而填充則是依據(jù)實(shí)際被賦予的值因此這個(gè)過程中就出現(xiàn)了安全漏洞。然后設(shè)置 BP 內(nèi)容為自己的堆?；?，亦即當(dāng)前的堆棧指針。完成后，調(diào)用者使用調(diào)用指令來調(diào)用函數(shù)。 在 C 程序中每當(dāng)調(diào)用函數(shù)時(shí)，就會(huì)自動(dòng)處理堆棧分配。當(dāng)編譯后的 C 程序運(yùn)行時(shí)，內(nèi)存將被劃分為代碼區(qū)，數(shù)據(jù)區(qū)和堆棧區(qū)。如果輸入是本地的，則本地用戶可以通過這個(gè)方法獲得超級用戶權(quán)限，如果程序運(yùn)行通過網(wǎng)絡(luò)遠(yuǎn)程輸入，則遠(yuǎn)程的攻擊者可以獲得超級用戶權(quán)限。緩沖區(qū)溢出則修改返回地址為攻擊代碼的地 址，則當(dāng)函數(shù)調(diào)用結(jié)束返回時(shí)程序就跳轉(zhuǎn)到了攻擊代碼。 通過攻擊堆棧的緩沖區(qū)，攻擊者可以達(dá)到兩個(gè)目的。 2． 2． 3 緩沖區(qū)溢出 1．緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊手段，利用目標(biāo)程序的緩沖區(qū)溢出漏洞（即通過往目標(biāo)程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出的方法）通過操作目標(biāo)程序堆棧并暴力改寫其返回地址，使程序轉(zhuǎn)而執(zhí)行其它命令，從而獲得目標(biāo)控制權(quán)（根用戶權(quán)限）的攻擊手段。 （ 6）功能模塊中，還可以加上木馬功能或者 DDoS 功能，比如所有感染的機(jī)器同時(shí)向 whitehouse， microsoft 或者其他網(wǎng)站網(wǎng)站進(jìn)行 DDoS 攻擊，以完成更大的殺傷力。居于 Redcode/nimda 的成功先例，這應(yīng)該是蠕蟲作者考慮中的傳播途徑。 ⑥ 把程序放在某一個(gè)域名或者 IP 的 FTP/HTTP 站點(diǎn)里，所有感染的機(jī)器從這里取程序，下載到本地后執(zhí)行。 ④ 反連的 shellcode 跟 bind port shell 差不多，不過這個(gè)可以把反連的這個(gè)監(jiān)聽端口做成一個(gè) server 形式，以便于接受多個(gè)連接，然后自動(dòng)對每一個(gè)連接發(fā)送一些指令，使機(jī)器能完成傳播。甚至可以把所有需要用到的功能全寫進(jìn) shellcode 里去，如年初掃蕩全球的 sql worm, 把攻擊，感染，傳播三個(gè)模塊寫到短短的 200 多個(gè) 16進(jìn)制代碼里實(shí)現(xiàn)。這里對上面談到的 shellcode 類型分別做一個(gè)簡單的比較，以找出 RPC DCOM 最可能利用的傳播途徑。比如簡單的在主機(jī)上添加一個(gè)管理員用戶，開一個(gè) shell 端口，反連一個(gè) shell或者使計(jì)算機(jī)自動(dòng)從某一個(gè) FTP或者 HTTP服務(wù)器自動(dòng)下載程序并執(zhí)行等。 我們只要簡單的修改一下該 exploit, 使之能自動(dòng)產(chǎn)生隨機(jī) IP 地址，然后對這個(gè)IP進(jìn)行攻擊嘗試，就可以完成 worm 的攻擊模塊。現(xiàn)在使用最普遍的模式和執(zhí)行是開放式軟件基礎(chǔ)的分布式計(jì)算環(huán)境（ DCE）。此接口處理客戶端計(jì)算機(jī)向服務(wù)器發(fā)送的 DCOM 對象激活請求（例如通用命名約定 (UNC) 路徑）。當(dāng)一個(gè)調(diào)用信息到達(dá)，河北理工大學(xué)畢業(yè)設(shè)計(jì)說明書 第 13 頁 共 51 頁 服務(wù)器獲得進(jìn)程參數(shù)，計(jì)算結(jié)果，發(fā)送答復(fù)信息，然后等待下一個(gè)調(diào)用信息，最后，客戶端調(diào)用過程接收答復(fù)信息，獲得進(jìn)程結(jié)果，然后調(diào)用執(zhí)行繼續(xù)進(jìn)行。 RPC 采用客戶機(jī) /服務(wù)器模式。 RPC：遠(yuǎn)程過程調(diào)用協(xié)議 （ RPC： Remote Procedure Call protocol）遠(yuǎn)程過程調(diào)用（ RPC）是一種通過網(wǎng)絡(luò)從遠(yuǎn)程計(jì)算機(jī)程序上請求服務(wù)，而不需要了解底層網(wǎng)絡(luò)技術(shù)的協(xié)議。它是一種高危險(xiǎn)的網(wǎng)絡(luò)蠕蟲病毒，利用 RPC 的 DCOM 接口的漏洞，向遠(yuǎn)端系統(tǒng)上的 RPC 系統(tǒng)服務(wù)所監(jiān)聽的端口發(fā)送攻擊代碼，能夠使遭受攻擊的系統(tǒng)操作異常、不停重啟，甚至導(dǎo)致系統(tǒng)崩潰，并通過網(wǎng)絡(luò)向 仍有此漏洞的計(jì)算機(jī)傳播這種病毒。蠕蟲的掃描會(huì)有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測的入侵特征。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進(jìn)行，那么就可以防止蠕蟲的傳播了。使用防火墻的方法有河北理工大學(xué)畢業(yè)設(shè)計(jì)說明書 第 11 頁 共 51 頁 局限性，因?yàn)楹芏嘤脩舨⒉恢廊绾问褂梅阑饓?，所以?dāng)蠕蟲仍然能傳播開來，有防火墻保護(hù)的主機(jī)只能保證自己的安全，但是網(wǎng)絡(luò)已經(jīng)被破壞了。 ，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年的工 作毀于一旦。 。隨著蠕蟲技術(shù)的發(fā)展，今后還會(huì)有其他的傳播模式出現(xiàn)。 除了上面介紹的傳播模式外，還可能會(huì)有別的模式出現(xiàn)。也就是 說，我們只要簡單地改變這個(gè)模式中各個(gè)具體環(huán)節(jié)的代碼，就可以實(shí)現(xiàn)一個(gè)自己的蠕蟲了。攻擊成功后，一般是獲得一個(gè)遠(yuǎn)程主機(jī)的 shell，對 win2k 系統(tǒng)來說就是，得到這個(gè) shell 后我們就擁有了對整個(gè)系統(tǒng)的控制權(quán)。比如，針對遠(yuǎn)程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對 web 的 cgi 漏洞就需要發(fā)送一個(gè)特殊的 請求來探測。 （ 2）保證掃描覆蓋到盡量大的范圍。 聰明點(diǎn)的作者會(huì)對掃描策略進(jìn)行一些改進(jìn)，比如在 IP 地址段的選擇上，可以主要針對當(dāng)前主機(jī)所在的網(wǎng)段掃描，對外網(wǎng)段則隨機(jī)選擇幾個(gè)小的 IP 地址段進(jìn)行掃描。笨點(diǎn)的掃描程序可能會(huì)不斷重復(fù)上面這一過程。實(shí)際上這不是蠕蟲程序的本意，造成網(wǎng)絡(luò)擁塞對蠕蟲程序的發(fā)布者沒有什么好處。這種入侵模式也就是現(xiàn)在蠕蟲常用的傳播模式。 上面說的是手動(dòng)入侵的一般過程，對于自動(dòng)入侵來說，在應(yīng)用上有些特殊之處。如果有現(xiàn)成的漏洞可以利用，上網(wǎng)找到該漏洞的攻擊方法，如果有攻擊代碼就直接 COPY 下來，然后用該代碼取得權(quán)限 ,OK 了；如果沒有現(xiàn)成的漏洞可以利用，就用根據(jù)搜集的信息試探猜測用戶密碼，另一 方面試探研究分析其使用的系統(tǒng)，爭取分析出一個(gè)可利用的漏洞。非技術(shù)的方法包括和主機(jī)的管理員拉關(guān)系套口風(fēng)，騙取信任，威逼利誘等各種少兒不宜的手段。 ，采取相應(yīng)的技術(shù)攻擊主機(jī)，直到獲得主機(jī)的管理員權(quán)限。 河北理工大學(xué)畢業(yè)設(shè)計(jì)說明書 第 8 頁 共 51 頁 ：復(fù)制模塊通過原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)。 傳播模塊由可以分為三個(gè)基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。就是這個(gè)一般被稱作是引導(dǎo)程序或類似于 “ 釣魚 ” 的小程序，把 “ 蠕蟲 ” 病毒帶入了它所感染的每一臺(tái)機(jī)器中。 近幾年危害很大的 “ 尼姆達(dá) ” 病毒就是蠕蟲病毒的一種。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。每個(gè)程序段都能把自身的拷貝重新定位于另一臺(tái)機(jī)器上，并且能夠識(shí)別出它自己所占用的哪臺(tái)機(jī)器 等等！在 產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！ 蠕蟲（ WORM）病毒是通過分布式網(wǎng)絡(luò)來擴(kuò)散特定的信息或錯(cuò)誤的，進(jìn)而造成網(wǎng)絡(luò)服務(wù)器遭到拒絕并發(fā)生死鎖。 在網(wǎng)絡(luò)環(huán)境下，蠕蟲病毒可以按指數(shù)增長模式進(jìn)行傳染。這樣對研究網(wǎng)絡(luò)蠕蟲是會(huì)有很大的幫助的。 它 與一般的計(jì)算機(jī)病毒不同，它不采用將自身拷貝附加到其他程序中的方式來復(fù)制自己 ，并且它是依靠網(wǎng)絡(luò)來傳播的。河北理工大學(xué)畢業(yè)設(shè)計(jì)說明書 第 3 頁 共 51 頁 摘要 隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用， 計(jì)算機(jī)病毒攻擊與防范技術(shù)也在不斷發(fā) 展。 在當(dāng)今這個(gè)沒有網(wǎng)絡(luò)就無法正常生活的時(shí)代中，網(wǎng)絡(luò)蠕蟲的對抗技術(shù)會(huì)逐漸的成為熱門。 關(guān)鍵詞 ： 網(wǎng)絡(luò)蠕蟲；沖擊波；病毒 需要全套設(shè)計(jì)請聯(lián)系 17