【正文】 ed in each realm of the social, the attack of the puter’s virus and technology that against the virus are also developing. The virus of the puter is a program that can change and break the data in the puter, and it can copy itself in puter’s operating, so that the data in the puter is broken. Along with the universality of the work, the worm is the worst harm of the puter’s virus to the world, and it takes up 90% of puter’s virus nowadays. Worm is different from other virus, it dose not copy itself to other program, and it depends on the work to spread of. Today without the work the people can’t live in normal life, so that the technology that against the worm will be the hottest specialty. In this design, I choose the worm that named IWorm/Blaster by authority for my design of graduate, it very popular in the year of will use the code of IWorm/Blaster and the function of it to find out the action of the IWorm/Blaster. Using the action of the IWorm/Blaster to find the way to kill it, and restore the operation system. My design will give the help to the study of the worm. Keywords： worm； Worm/Blaster； virus 目 錄 摘要 ………………………………………………………………………………………… 1 Abstract………………………………………………………………………………… ..2 1 蠕蟲病毒簡介 …………………………………………………… ..............................3 1． 1 蠕蟲病毒的認(rèn)識 ……… .……………………………………………………… ...3 1． 2 蠕蟲病毒與一般病毒的異同 …………………………………………………… .3 1． 3 蠕蟲病 毒的組成與結(jié)構(gòu) …………………………………………… .....................4 1． 3． 1 蠕蟲程序的一般傳播過程 …………………………………………… ...4 1． 4 入侵過程的分析 …………………………………………… .................................5 1． 5 蠕蟲傳播的一般模式分析 …………………………………………… .................5 1． 6 蠕蟲病毒的一些新特點 ………………………………………… .........................7 1． 7 蠕蟲的防治 …………………………………………… .........................................7 河北理工大學(xué)畢業(yè)設(shè)計說明書 第 5 頁 共 51 頁 2 沖擊波病毒的簡述 …………………………………………… .................................9 2． 1 沖擊波病毒的介紹 …………………………………………… .............................9 2． 2 病毒相關(guān)技術(shù)說明 …………………………………………… .............................9 2． 2． 1 RPC：遠(yuǎn)程過程調(diào)用協(xié)議 ………………………………… .………...… .9 2． 2． 2 DCOM：分布式對象模型 ………………………………………… ...…… 13 2． 2． 3緩沖區(qū)溢出 …………………………………………… ............................13 2． 2． 4 TFTP 簡單文件傳輸協(xié)議 ………………………………………… ..…… 18 2． 2． 5多線程技術(shù) …………………………………………… ............................18 2． 3 沖擊波病毒的操作和癥狀 ………………………… …………………… ..… .......19 2． 3． 1病毒的操作 …………………………………………… ............................19 2． 3． 2病毒的發(fā)作癥狀 ………………………………………… .………… .......19 2． 4 沖擊波病毒的具體說明 ………………………………………… .… ....................20 2． 5 沖擊波病毒的處理方法 ………………………………………………… .............21 2． 5． 1沖擊波應(yīng)急方案 …………………………………………… ....................21 2． 5． 2安全模式下清除病毒 …………………………………………………… 22 2． 6 沖擊波病毒分析報告 …………………………………………… .........................23 2． 7 計算機安全建議 …………………………………………… .................................34 3 沖擊波病毒專殺工具的設(shè)計 ………………………………………………… ......35 3． 1 專殺工具的設(shè)計思路 …………………………………………… .........................35 3． 2 專殺工具的具體實現(xiàn) …………………………………………… .........................36 4 病毒檢測技術(shù) …………………………………………… ..........................................44 4． 1 特征碼檢測技術(shù) …………………………………………… .................................44 4． 2 校驗和檢測技術(shù) …………………………………………… .................................45 4． 3 行為監(jiān)測技術(shù) …………………………………………… .....................................46 4． 4 啟發(fā)式掃描技術(shù) …………………………………………… .................................46 4． 5 虛擬機技術(shù) …………………………………………… .........................................47 謝辭 …………………………………………… ...................................................................49 參考文獻(xiàn) …………………………………………… ..........................................................50 附錄 河北理工大學(xué)畢業(yè)設(shè)計說明書 第 6 頁 共 51 頁 附錄 1－沖擊波病毒代碼 附錄 2－ 查殺工具代碼 1 蠕蟲病毒簡介 1． 1 蠕蟲病毒的認(rèn)識 在第一個病毒誕生后，一些技術(shù)天才逐漸掌握了病毒的制作技術(shù)。通過對沖擊波的代碼，病毒的有關(guān)性質(zhì)和作用原理進(jìn)行系統(tǒng)的分析，找到它的發(fā)作機制，并利用病毒的運行結(jié)果提出了一套事實可行的解決方案，恢復(fù)系統(tǒng)在感染病毒以前的狀態(tài)。 在當(dāng)今這個沒有網(wǎng)絡(luò)就無法正常生活的時代中，網(wǎng)絡(luò)蠕蟲的對抗技術(shù)會逐漸的成為熱門。 隨著網(wǎng)絡(luò)的普及，蠕蟲病毒逐漸的成為了對當(dāng)今世界危害最大的計算機病毒，占據(jù)了現(xiàn)今計算機病毒的 90％左右 。河北理工大學(xué)畢業(yè)設(shè)計說明書 第 3 頁 共 51 頁 摘要 隨著計算機在社會生活各個領(lǐng)域的廣泛運用， 計算機病毒攻擊與防范技術(shù)也在不斷發(fā) 展。計算機病毒是能改變或破壞存在計算機中的數(shù)據(jù)的程序，而且它能在操作過程中不斷自我復(fù)制，從而造成損害。 它 與一般的計算機病毒不同，它不采用將自身拷貝附加到其他程序中的方式來復(fù)制自己 ，并且它是依靠網(wǎng)絡(luò)來傳播的。 在本次設(shè)計中，我主要是選擇了在 2021 年轟動 一時的沖擊波病毒作為研究的課題。這樣對研究網(wǎng)絡(luò)蠕蟲是會有很大的幫助的。 隨著計算機技術(shù)的發(fā)展， 計算機網(wǎng)絡(luò)系統(tǒng)的建立是為了使多臺計算機能夠共享數(shù)據(jù)資料和外部資源，然而也給 計算機蠕蟲病毒帶來了更為有利的生存和傳播的環(huán)境。 在網(wǎng)絡(luò)環(huán)境下，蠕蟲病毒可以按指數(shù)增長模式進(jìn)行傳染。 1998 年后，隨著 Inter 的高速發(fā)展，病毒的種類越來越多，傳播越來越廣，紅色代碼、尼姆達(dá)、沖擊波等病毒為代表的網(wǎng)絡(luò)病毒大量出現(xiàn)，給用戶造成的經(jīng)濟損失也越來越大 ， 特別是1999 年以來，高危蠕蟲病毒的不斷出現(xiàn)，使世界經(jīng) 濟蒙受了輕則幾十億，重則幾百億美元的巨大損失。每個程序段都能把自身的拷貝重新定位于另一臺機器上，并且能夠識別出它自己所占用的哪臺機器 等等！在 產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！ 蠕蟲（ WORM）病毒是通過分布式網(wǎng)絡(luò)來擴散特定的信息或錯誤的，進(jìn)而造成網(wǎng)絡(luò)服務(wù)器遭到拒絕并發(fā)生死鎖。 一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為 ” 宿主 ” ，例如， windows 下可執(zhí)行文件的格式為 pe 格式 (Portable Executable)，當(dāng)需 要感染 pe 文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權(quán)交給宿主原來的程序河北理工大學(xué)畢業(yè)設(shè)計說明書 第 7 頁 共 51 頁 指令。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球 !而且蠕蟲的主動攻擊性和突然爆發(fā)性將使得人們手足無策 ! 據(jù)有關(guān)專家介紹，蠕蟲病毒是計算機病毒的一種。 近幾年危害很大的 “ 尼姆達(dá) ” 病毒就是蠕蟲病毒的一種。 1． 3 蠕蟲病毒的組成與結(jié)構(gòu) “ 蠕蟲 ” 病毒由兩部分組成：一個主程序和另一個是引導(dǎo)程序。就是這個一般被稱作是引導(dǎo)程序或類似于 “ 釣魚 ” 的小程序，把 “ 蠕蟲 ” 病毒帶入了它所感染的每一臺機器中。 隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 傳播模塊由可以分為三個基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。當(dāng)程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。 河北理工大學(xué)畢業(yè)設(shè)計說明書 第 8 頁 共 51 頁 ：復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機并啟動。所以蠕蟲的傳播技術(shù)是蠕蟲技術(shù)的首要技術(shù)，沒有蠕蟲的傳播技術(shù)，也就談不上什么蠕蟲技術(shù)了。 ，采取相應(yīng)的技術(shù)攻擊主機，直到獲得主機的管理員權(quán)限。 第一階段搜集信息，有很多種方法，包括技術(shù)的和非技術(shù)的。非技術(shù)的方法包括和主機的管理員拉關(guān)系套口風(fēng)，騙取信任，威逼利誘等各種少兒不宜的手段。搜集完信息后進(jìn)入第二階段。如果有現(xiàn)成的漏洞可以利用，上網(wǎng)找到該漏洞的攻擊方法，如果有攻擊代碼就直接 COPY 下來，然后用該代碼取得權(quán)限 ,OK 了；如果沒有現(xiàn)成的漏洞可以利用，就用根據(jù)搜集的信息試探猜測用戶密碼，另一 方面試探研究分析其使用的系統(tǒng)，爭取分析出一個可利用的漏洞。 第三階段，有了主機的權(quán)限，你想干什么就干什么吧。 上面說的是手動入侵的一般過程，對于自動入侵來說，在應(yīng)用上有些特殊之處。我們稱這種模式為入侵模式，它是由普通入侵技術(shù)中提取出來的。這種