資源描述:
《淺析流行病毒的清除》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫����。
1�����、淺析流行病毒的清除-江民科技培訓(xùn)2008.03這個頁面看有什么異常流行病毒No.6ARP病毒……ARP地址欺騙類病毒(以下簡稱ARP病毒)是一類特殊的病毒���,該病毒一般屬于木馬(Trojan)病毒��,不具備主動傳播的特性���,不會自我復(fù)制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包��,干擾全網(wǎng)的運(yùn)行����,因此它的危害比一些蠕蟲還要嚴(yán)重得多。ARP協(xié)議的基本功能:通過目標(biāo)設(shè)備的IP地址���,查詢目標(biāo)設(shè)備的MAC地址。ARP緩存表:在局域網(wǎng)的任何一臺主機(jī)中�����,都有一個ARP緩存表����,該表中保存這網(wǎng)絡(luò)中各個電腦的IP地址和MAC地址的對照關(guān)系。當(dāng)一臺主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時候��,會根據(jù)ARP緩
2��、存表里的對應(yīng)關(guān)系進(jìn)行發(fā)送。ARP病毒的實現(xiàn)機(jī)理假設(shè)一個只有三臺電腦組成的局域網(wǎng)��,該局域網(wǎng)由交換機(jī)(Switch)連接���。其中一個電腦名叫A��,代表攻擊方��;一臺電腦叫S���,代表源主機(jī),即發(fā)送數(shù)據(jù)的電腦;另一臺電腦名叫D,代表目的主機(jī)���,即接收數(shù)據(jù)的電腦�。準(zhǔn)備發(fā)送數(shù)據(jù)(1)首先查詢自身的ARP緩存表內(nèi)是否有目標(biāo)機(jī)的ARP數(shù)據(jù)記錄����。(2)S電腦會向網(wǎng)內(nèi)發(fā)送廣播,詢問“我的IP是192.168.1.2���,硬件地址是MAC2�����,我想知道IP地址為192.168.1.3的電腦的硬件地址是多少�����?”準(zhǔn)備發(fā)送數(shù)據(jù)正常的數(shù)據(jù)回復(fù)(3)這時�,全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了,包括A電腦和D電腦�����。實施ARP欺騙(★)但
3�����、是當(dāng)此時,沉默寡言的A電腦也回話了:“我的IP地址是192.168.1.3���,我的硬件地址是MAC1”��。ARP欺騙成功(★)這樣就導(dǎo)致以后凡是IP地址為192.168.1.2的S電腦要發(fā)送給D電腦�����,都將會發(fā)送給MAC地址為MAC1的A電腦。A電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)!這就是ARP欺騙的過程��。ARP病毒檢測工具(1)現(xiàn)在網(wǎng)上有很多ARP病毒定位工具����,其中做得較好的是AntiARPSniffer(現(xiàn)在已更名為ARP防火墻)AntiARPSniffer這個工具軟件可以較為快捷的定位ARP中毒電腦ARP病毒檢測工具啟動防火墻后,其會自動識別到網(wǎng)關(guān)MAC地址����,并記錄網(wǎng)絡(luò)內(nèi)的ARP數(shù)
4���、據(jù)信息�。如發(fā)現(xiàn)有ARP攻擊��,其在任務(wù)欄的圖標(biāo)會有閃爍并輔以彈出氣泡的提示����。ARP病毒檢測工具局域網(wǎng)中存在ARP欺騙時����,該數(shù)據(jù)包會被AntiARPSniffer記錄,該軟件會以氣泡的形式報警��。這時,我們再根據(jù)欺騙機(jī)的MAC地址��,對比查找全網(wǎng)的IP-MAC地址對照表���,即可快速定位出中毒電腦。上圖為通過ARP防火墻檢測出感染ARP病毒的電腦MAC和IP地址信息�。該防火墻還可將攻擊日志保存為文本,以便進(jìn)行打印后核對���。ARP病毒檢測工具(2)當(dāng)局域網(wǎng)中有ARP病毒欺騙時,往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包����,這時,流量檢測機(jī)制應(yīng)該能夠很好的檢測出網(wǎng)絡(luò)的異常舉動����,此時Ethereal這樣的抓包工具
5�����、就能派上用場�����。ARP病毒檢測工具從紅色框內(nèi)的信息可以看出�,192.168.0.109這臺電腦正向全網(wǎng)發(fā)送大量的ARP廣播包,一般的講��,局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的�,但是如果不停的大量發(fā)送�,就很可疑了。而這臺192.168.0.109電腦正是一個ARP中毒電腦��。雙劍合璧以上兩種方法有時需要結(jié)合使用���,互相印證,這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來�。流行病毒No.5鏡像劫持病毒(進(jìn)程鏡像劫持類病毒)病毒樣本名稱:trojandownloader.agent.qwc病毒特點:強(qiáng)力關(guān)閉安全軟件,使其無法運(yùn)行��。鏡像劫持病毒的特征⑴病毒運(yùn)行后會自我復(fù)制到被感染計算機(jī)的系統(tǒng)目錄下
6�����、system32目錄����,并重新命名為“dllhos.exe”。⑵修改被感染計算機(jī)中的注冊表鍵值HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions�,其采用進(jìn)程映像劫持技術(shù),使接近五十種殺毒���、安全軟件開啟時都會按照注冊表中的鍵值啟動dllhos.exe,導(dǎo)致安全軟件無法正常使用�。鏡像劫持病毒特征注冊表HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions鍵值下的內(nèi)容截圖流行病毒No.4機(jī)器狗病毒……第一
7、代變種病毒樣本名稱:Trojan.DogArp.a病毒特點:覆蓋系統(tǒng)文件�����,穿透系統(tǒng)還原軟件機(jī)器狗病毒變種第一代的特征⑴病毒運(yùn)行后會在被感染計算機(jī)的系統(tǒng)目錄下System32文件夾內(nèi)創(chuàng)建一個惡意程序“userinit.exe”���,或者直接覆蓋原有的“userinit.exe”。該程序為木馬下載器���,會在被感染計算機(jī)的后臺連接黑客指定站點獲取其它惡意程序���,并在下載后自動安裝��。⑵通過在被感染計算機(jī)的系統(tǒng)目錄下System32drivers文件夾內(nèi)釋
