三九宝宝网宝宝成长宝宝手工

蠕虫病毒的原理?如何传播

01月07日 编辑 39baobao.com

一、蠕虫的基本结构和传播过程nbsp;nbsp;蠕虫的基本程序结构为:nbsp;nbsp;nbsp;nbsp;

1、传播模块:负责蠕虫的传播,这是本文要讨论的部分。nbsp;nbsp;nbsp;nbsp;

2、隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。nbsp;nbsp;

3、目的功能模块:实现对计算机的控制、监视或破坏等功能。nbsp;nbsp;nbsp;传播模块由可以分为三个基本模块:扫描模块、攻击模块和复制模块。

nbsp;nbsp;蠕虫程序的一般传播过程为:nbsp;nbsp;nbsp;1.扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。nbsp;nbsp;nbsp;nbsp;2.攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限

(一般为管理员权限),获得一个shell。

nbsp;nbsp;nbsp;nbsp;3.复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。nbsp;nbsp;nbsp;我们可以看到,传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术,没有蠕虫的传播技术,也就谈不上什么蠕虫技术了。nbsp;

二、入侵过程的分析nbsp;nbsp;想必大家对入侵的一般步骤都是比较熟悉的。

我们简单回忆一下。nbsp;nbsp;nbsp;第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。nbsp;nbsp;nbsp;第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。nbsp;nbsp;第三步:利用获得的权限在主机上安装后门、跳板、控制端、监视器等等,清除日志。nbsp;nbsp;我们一步一步分析。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;先看第一步,搜集信息,有很多种方法,包括技术的和非技术的。

采用技术的方法包括用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。非技术的方法包括和主机的管理员拉关系套口风,骗取信任,威逼利诱等各种少儿不宜的手段。当然是信息搜集的越全越好。搜集完信息后进入第二步。nbsp;nbsp;nbsp;nbsp;第二步,对搜集来的信息进行分析,找到可以有效利用的信息。

如果有现成的漏洞可以利用,上网找到该漏洞的攻击方法,如果有攻击代码就直接COPY下来,然后用该代码取得权限,OK了;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用户密码,另一方面试探研究分析其使用的系统,争取分析出一个可利用的漏洞。如果最后能找到一个办法获得该系统权限,那么就进入第三步,否则,放弃。

nbsp;nbsp;第三步,有了主机的权限,你想干什么就干什么吧。如果你不知道想干什么,那你就退出来去玩你喜欢玩的游戏吧。nbsp;nbsp;上面说的是手动入侵的一般过程,对于自动入侵来说,在应用上有些特殊之处。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;蠕虫采用的自动入侵技术,由于程序大小的限制,自动入侵程序不可能有太强的智能性,所以自动入侵一般都采用某种特定的模式。

我们称这种模式为入侵模式,它是由普通入侵技术中提取出来的。目前蠕虫使用的入侵模式只有一种,这种模式是就是我们前面提到的蠕虫传播过程采用的模式:扫描漏洞-攻击并获得shell-利用shell。这种入侵模式也就是现在蠕虫常用的传播模式。这里有一个问题,就是对蠕虫概念的定义问题,目前对蠕虫的定义把这种传播模式作为蠕虫的定义的一部分,实际上广义的蠕虫应该包括那些使用其他自动传播模式的程序。

nbsp;nbsp;nbsp;nbsp;nbsp;我们先看一般的传播模式。

三、蠕虫传播的一般模式分析nbsp;nbsp;nbsp;nbsp;nbsp;1.模式:扫描-攻击-复制。nbsp;nbsp;nbsp;nbsp;从新闻中看到关于蠕虫的报道,报道中总是强调蠕虫如何发送大量的数据包,造成网络拥塞,影响网络通信速度。实际上这不是蠕虫程序的本意,造成网络拥塞对蠕虫程序的发布者没有什么好处。如果可能的话,蠕虫程序的发布者更希望蠕虫隐蔽的传播出去,因为蠕虫传播出去后,蠕虫的发布者就可以获得大量的可以利用的计算资源,这样他获得的利益比起造成网络拥塞的后果来说显然强上万倍。

但是,现有的蠕虫采用的扫描方法不可避免的会引起大量的网络拥塞,这是蠕虫技术发展的一个瓶颈,如果能突破这个难关,蠕虫技术的发展就会进入一个新的阶段。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的电脑中,于是扫描模块采用的扫描策略是这样的:nbsp;nbsp;nbsp;nbsp;nbsp;随机选取某一段IP地址,然后对这一地址段上的主机扫描。

笨点的扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道那些地址已经被扫描过,它只是简单的随机扫描

推荐阅读
图文推荐