【正文】 5 個 DLL 模塊分別為 、 、 、 、 ， 53個 Win32 API函數(shù)請參照以下反匯編數(shù)據(jù)。脫殼后的病毒的入口點則為 11CBh。 病毒淺析 利用 W32dsm 打開己脫殼的 ，可以從中分析病毒 PE文件具體信息，對后面章節(jié)分析病毒有較大的幫助。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的windows auto update 項。 河北理工大學畢業(yè)設計說明書 第 26 頁 共 51 頁 圖 2 圖 3 進程結束，之后將 windows 安裝目錄下的system32 文件夾下的 刪除。 Windows Update 修補或直接登錄 微軟官方網站 下載 RPC 服務漏洞補丁，也可登錄金山論壇（ ）病毒救援版名為 “RPC 安全補丁 ” 的帖子中下載。 2． 5． 2 安全模式下清除病毒 “ 控制面板 ” 中的 “ 管理工具 ” 下的 “ 服務 ” ，選中 Remote Procedure Call(RPC)服務（圖 2），把 “ 恢復 ” 選項卡中的第一、二次失敗以及后續(xù)失?。▓D 3）都選為 “ 不操作 ” （ Windows XP 下默認為重新啟動計算機）。 如果之前沒有終止惡意程序進程，請重啟您的系統(tǒng) 、并刪除文件 : %Windir%\system32\ 。 刪 除注冊表中的自啟動項目可以阻止惡意程序在系統(tǒng)啟動時運行 。 為確認惡意程序進程是否中止，請關閉任務管理器并再次打開看進程是否已經終止。 2． 5 沖擊波病毒的處理方法 2． 5． 1 沖擊波應急方案 打開 Windows 任務管理器，按 CTRL+ALT+DELETE 然后單擊進程選項卡 ， 在運行的程序清單中 *, 查找如下進程 : 。例如：染毒計算機的 IP 地址為 則病毒將從 開始掃描；如果 C的值大于 20，則病毒會從 C 減去 19和 C值之間隨機選擇一個數(shù)。 （ 2） 另外 2／ 5的可能，病毒掃描子網并取得染毒計算機的 IP地址，提取其中的 A、 B值，并設置 D值為 0，然后提取 C 的值。 20 個隨機的 IP地址，并且對有此漏洞的計算機進行攻擊，然后該病毒會休息 (sleep) 秒，然后掃描下 20 個隨機的 IP地址。該蠕蟲不能成功 攻擊 Windows Server2021，但是可以造成 Windows Server2021 系統(tǒng)的 RPC 服務崩潰，默認情況下是系統(tǒng)反復重啟。然后蠕蟲會連接到這個端口，發(fā)送 tftp 命令，回連到發(fā)起進攻的主機，將 傳到目標計算機上并運行。 河北理工大學畢業(yè)設計說明書 第 24 頁 共 51 頁 7. 當病毒掃描到計算機后，就會向目標計算機的 TCP/135 端口發(fā)送攻擊數(shù)據(jù)。 4. 病毒會修改注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中添加以下鍵值： windows auto update=，以便每次啟動系統(tǒng)時，病毒都會運行。 2. 病毒運行時會在系統(tǒng)中建立一個名為： “BILLY” 的互斥量，目的是病毒只保證在內存中有一份病毒體，為了避免用戶發(fā)現(xiàn)。 最重要的是，在任務管理器里有一個叫“” 的進程在運行 。 用 stat 可以看到大量 tcp 135 端口的掃描。 河北理工大學畢業(yè)設計說明書 第 23 頁 共 51 頁 2． 3． 2 病毒的發(fā)作癥狀 操作系統(tǒng)不斷報 “PRC 意外中止，系統(tǒng)重新啟動 ” （與圖 1類似），客戶機頻繁重啟，所有網絡服務均出現(xiàn)故障，如 IE 瀏覽器打不開， OUTLOOK 無法使用等。 到遠程計算機，使其連接被感染的主機，下載并運行 文件。該隨機段 IP 段的機器的所有135端口發(fā)布攻擊代碼，成功后，在 TCP 的端口 4444 創(chuàng)建 。 2． 3． 1 病毒的操作 “ BILLY” ： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 增加windows auto update=鍵值，使得病毒可以在系統(tǒng)啟動時自動運行。當進程使用多個線程時，需要采取適當?shù)拇胧﹣肀３志€程間的同步。 在 Win32 中，每一個進程可以同時執(zhí)行多個線程，這意味著一個程序可以同時完成多 個任務。除非使這些線程想到可見，否則線程分別執(zhí)行，對進程中的其他線程一無所知。線程有優(yōu)先級別，優(yōu)先權較低的線程必須等到優(yōu)先權較高的線程執(zhí)行完之后再執(zhí)行。進行包括一個或多個線程和代碼、數(shù)據(jù)和內存中的其他程序資源。線程包括堆棧、CPU寄存器的狀態(tài)和系統(tǒng)計劃程序執(zhí)行列表中的項。 線程實質上是程序中的執(zhí)行路徑。一個進程從主線程的執(zhí)行開始進而創(chuàng)建一個或多個附加線河北理工大學畢業(yè)設計說明書 第 22 頁 共 51 頁 程，通常將該線程稱為主線程。對于操作系統(tǒng)而言，其調度單元是線程。 2． 2． 5 多線程技術 所謂多任務通常包括這樣兩大類：多進程和多線程。而 tftp 的客戶端是 Windows 自帶的。操作碼是 5。操作碼是 4。操作碼是 3。損傷碼是 1或 2。 Tftp 是基于 UDP 的，其數(shù)據(jù)報有如下四種類型，通過對沖擊波病毒源代碼的分析可知，其就是根據(jù)此編寫出 tftp 服務器的。在開始工作時，客戶發(fā)送一個讀請示給服務器，如果請示的文件能被讀取， tftp 服務器就返回一個塊編號為 1的數(shù)據(jù)分組； tftp 客戶發(fā)送一個塊編號為 1 的 ACK； tftp 服務器隨后發(fā)送塊編號為 2的數(shù)據(jù)； tftp 客戶發(fā)回塊編號為 2的 ACK。之所以說簡單，是因為它和 FTP（ File Transfer Protocol 文件傳輸協(xié)議）相比，功能顯得薄弱，但在實際使用中，卻非常的有用。以及本地提權反彈 Shell 了。以及將 VBS/VBA 類腳本以及 XML 等組件進行禁用或者限制 system 的運行權。這里我們通過 1 上述的河北理工大學畢業(yè)設計說明書 第 21 頁 共 51 頁 辦法對命令進行了限制，入侵者是沒有辦法通過 tftp、 ftp 來傳文件了，但他們仍然可以能過 echo 寫批處理，用批處理通過腳本 BAT/VBS/VBA 等從 WEB 上下載文件，以及修改其它盤類的文件等潛在破壞行為。 出之后在進行反彈時已經無法對外部 IP進行連接了。因為即使 Overflow 溢出成功，但在調用 CMDSHELL、以及對外聯(lián)接時就卡了。由于此文僅僅是討論簡單的解決辦法，因此其它辦法就不在這里詳述了。 (諸如 :將 ServU、 Imail、IIS、 Php、 Mssql、 Mysql 等一系列以 System 權限運行的服務或者應用程序換成其它administrators 成員甚至 users 權限運行，這樣就會安全得多了 ...但前提是需要對這些基本運行狀 態(tài)、調用 API等相關情況較為了解 . ) 其實，關于防止如 Overflow 溢出類攻擊的辦法除了用上述的幾點以外，還有 N 多種辦法 :諸如用組策略進行限制，寫防護過濾程序用 DLL 方式加載 windows 到相關的SHell 以及動態(tài)鏈接程序之中這類。如果您賺手動太麻煩的話 ,請將下面的代碼保存為 *.reg 文件，然后導入。 具 體 方 法 : 新 建 一 個 雙 字 節(jié) (REG_DWORD) 執(zhí)行 HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsSystemDisableCMD，修改其值為 1，命令解釋器和批處理文件都不能被運行。 (具體用戶自己參見 cacls /? 幫助進行，由于這里的命令太多我就不一一列舉寫成批處理代碼給各位了 !!) 河北理工大學畢業(yè)設計說明書 第 20 頁 共 51 頁 （ 6） 對磁盤如 C/D/E/F 等進行安全的 ACLS 設置從整體安全上考慮的話也是很有必要的，另外特別是 win2k，對 Winnt、 WinntSystem、 Document and Setting 等文件夾。那么我們只需要將 system 用戶 在 ACLs中進行拒絕訪問即可。 ) （ 3） 也或者將這些 .exe 文件移動到你指定的文件夾 ,這樣也方便以后管理員自己使用。這里我們可以將這些命令程序刪除或者改名。如 ③ 所說，可以在這里封掉一些危險的端品諸如 :135 145 139 445 以及 UDP 對外連接之類、以及對通讀進行加密與只與有信任關系的 IP 或者網絡進行通訊等等。在協(xié)議篩選中 只允許 TCP協(xié)議 (協(xié)議號為 :6)、 UDP 協(xié)議 (協(xié)議號為 :17)以及 RDP 協(xié)議 (協(xié)議號為 :27)等必需用協(xié)議即可其它無用均不開放。 ③ 啟動 TCP/IP 端口的過濾 :僅打開常用的 TCP 如 2 80、 2 1 3389 等端口 。比如前陣子的 MSDTC 溢出，就導致很多服務器掛掉了。最好是比如 Microsoft Windows Server 系列的系統(tǒng)可以將自動更新服務打開，然后讓服務器在您指定的某個時間段內自動連接到 Microsoft update 網站進行補丁的更新。下面就以本人一直以來所用到的最簡單、最有效的防 (Overflow)溢出、本地提供權限攻擊類的解決辦法給大家講講。 在系統(tǒng)漏洞層出不窮的今天，怎么樣防范呢？諸如，及時的打上系統(tǒng)安全補丁、進行一些常規(guī)的安全配置 ,但是仍然不太可能每臺服務器都會在第一時間內給系統(tǒng)打上全新補丁。這種方法用來解決溢出的緩沖區(qū)不足以容納全部攻擊代碼的問題。 實際上，常見的緩沖區(qū)溢出攻擊都是一次完成攻擊代碼植入和程序轉向攻擊代碼兩種功能。這樣，只要得到了攻擊代碼的挖地址而非準確地址，就可以使攻擊代碼運行。但對于攻擊代碼的精確地址則需要仔細分析目標程序的反匯編代碼或多次試來得到。 （ 2）改寫返回地址為攻擊代碼地址以獲得程序控制權。此時，攻擊者只需對代碼傳遞指定參數(shù)，然后使程序控制權轉給目標代碼，將代碼值入堆棧區(qū)或數(shù)據(jù)區(qū)。這可以通過以下 2 種方法來解決：利用已經代碼。實際操作中還存在兩個問題。只要在程序運行時傳給它一個足夠大的參數(shù)，就可以在返回地址中填入一個希望程序轉向的內存地址，從而控制了程序的運行權。 3．緩沖區(qū)溢出攻擊的工作原理。然后，恢復被保存的運行環(huán)境。然后，被調用者按照局部的聲明移動堆棧指針，為所有非靜態(tài)局部變量分配足夠的空間執(zhí)行被調用函數(shù)的操作。 被調用者 ：首選，被調用者將堆?；分羔槪?BP）寄存器內容壓入堆棧來保存調用者的堆?；?，并更新堆棧指針到舊的基址。調用指令將返回地址（ IP）壓入堆棧，并相應更新堆棧指針。 當發(fā)生函數(shù)調用時，編譯器所執(zhí)行的步驟如下： （ 1）調用者：首選，調用者將被調用的函數(shù)所需的所有參數(shù)都壓入堆棧，之后堆棧指針自動更改到指向當前棧頂接著隨系統(tǒng)不同，調用者可能壓入一些其它數(shù)據(jù)來保護現(xiàn)場。堆棧起到了保存有關當前函數(shù)調用上下文的容器的作用。由于堆溢出和堆棧溢出原理類似，但計算機更加復雜，故此處只以堆棧溢出來介紹溢出攻擊的原理。其中代碼區(qū)和數(shù)據(jù)區(qū)構成靜態(tài)內存，在程序運行之前這些部分的大小已經固定，而與之相對的則是動態(tài)的堆棧區(qū)內容：堆和堆棧。一般而言，操作系統(tǒng)會分配給每個進程獨 立的虛擬地址空間，它們是實際空間的映射。 2．緩沖區(qū)溢出攻擊的內存模型。結果是攻擊者擁有了一個具有 root 權限的 shell。這種攻擊的對象常常有特權守護進程，以 root 權限運行的程序等。 二是改變返回地址：在被攻擊的緩沖區(qū)的上面有正在運行的該程序的堆棧。 一是插入攻擊代碼：攻擊者向被攻擊的機器輸入含有可執(zhí)行的二進制代碼的數(shù)據(jù)串。通常，攻擊者最常用的手法是改寫堆棧，因此，緩沖區(qū)溢出攻擊中最主要的是堆棧溢出攻擊。 緩沖區(qū)溢出攻擊利用的是在緩沖區(qū)中的輸入數(shù)據(jù)沒有進行正確的邊界檢查。DCOM 以前叫做“網絡 OLE”，它能夠跨越包括 Inter 協(xié)議（例如 HTTP）在內的多種網絡傳輸。 （ 7）如果利用 UDP/135 傳播的話 , RPC DCOM worm 傳播的速度和破壞力肯定跟 SQL wrom 一樣完美。 河北理工大學畢業(yè)設計說明書 第 16 頁 共 51 頁 （ 5）甚至可以 結合病毒技術，感染 exe 文件，加大傳播途徑，做到這一點， RPC DCOM worm 肯定是一個超過 nimda 的超級蠕蟲。 （ 3）如果 RPC DCOM 蠕蟲，采用結合以上各種方法的優(yōu)勢，就可以完善一個能