现代塑料工业网 - 都市小说 - 黑客精神在线阅读 - 第三百四十九章 蠕虫病毒 新

第三百四十九章 蠕虫病毒 新

书迷正在阅读:幻界游灵清风天师南行记鬼怪Go巅峰狂暴升级冰火玄帝武林之风我的极品美女宗主终极战兵都市极品高手星际之女神攻略
    蠕虫,这个生物学名词于1982年由XeroxPARC的eh等人最早引入到计算机领域内,并给出了计算机蠕虫的两个最基本的特征。

    判定蠕虫病毒的首要方式,首先,病毒可以从一台计算机移动到另一台计算机,其次,可以通过病毒内部代码进行自我复制。

    最初,他们编写蠕虫的目的是做分布式计算的模型试验,可是1988年Morris蠕虫爆发后,fford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。

    “计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”

    计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。

    近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的,因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段。

    蠕虫病毒的传播过程,一,通过扫描,由蠕虫病毒扫描功能模块负责探测存在漏洞的主机,探寻主机后开始进行攻击,二,攻击,攻击模块按照漏洞自动开始进行攻击,基本cao作环节包括,主机取得,得到权限,获得shell,第三,处理,被感染的系统,需要进行现场处理工作,主要内容包括自身的隐藏以及信息搜集等等,第四,复制性,复制模块通过原主机和新主机的交互功能,将蠕虫程序复制到新主机内并进行运行,以此达到自我复制的功能。

    每一个种类的蠕虫病毒,在实现这四个部分时都会拥有一个特有的侧重点,有的部分实现的较为复杂,有的部分相反相对于简略。

    尼梅达病毒是一个比较典型的病毒与蠕虫相结合的蠕虫病毒,它几乎包括了目前所有流行病毒的传播手段,并且可以攻击WINcao作平台内所有系统。

    这款病毒所拥有的传播方式包括,利用OEEMAIL浏览器的漏洞,加载附件程序,伪装进行传播。

    通过网络共享的方式,通过局域网进行传播,其次,利用服务器进行传播,服务器传播方式,往往是病毒屡杀不绝的关键原因,该方式最根本的原因,就在于服务器漏洞。

    最后一点,通过感染普通文件进行传播,在这一点上,蠕虫与普通的计算机病毒程序基本相同。

    蠕虫病毒感染呈现的状况主要包括,网络资源浪费,阻塞网络,被攻击网站不能提供正常的服务,当然,这些也仅仅只是表面的,最大的危险在于,蠕虫病毒会通过修改注册表,使自身会随着系统的启动而运行,将自己加载到资源管理器的进程空间内,后门监听3127端口。

    对于个人用户而言,威胁大的蠕虫病毒采取的传播方式,一般为电子邮件以及恶意网页等等。

    对于利用电子邮件传播的蠕虫病毒来说,通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。

    恶意网页确切地讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。

    这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。

    在刘毅与小雪通话结束后,立刻打开本地系统,准备进行样本病毒提取。

    情况紧急,立刻打开浏览器登录到检察院官方网站,紧跟着K系统再次传出危险警告,见此,刘毅下发命令。

    “提取当前服务器内所存病毒,保存到虚拟系统内!”

    “明白!正在进行病毒样本提取。”

    随着回复信息的出现,在这之后差不多能有五分钟左右的时间,样本提出成功。

    随着样本病毒提取成功,紧跟着立刻进入到虚拟系统内,准备进行对样本病毒进行分析。

    进入到虚拟系统,运行工具,对病毒进行脱壳,去壳的过程较为复杂,但也并不是很困难,差不多半个小时的时间,脱壳成功,开始进行代码分析以及病毒特征分析。

    “Cherryblossoms!”

    经过代码分析,病毒程序内一个英文单词引起了他的注意,看着一长串的字母,刘毅皱紧了眉头。

    “博达,帮我查查Cherryblossoms是什么意思!”

    听到刘毅的话,博达没有多耽误一刻,立刻打开浏览器,输入这一长串字母,紧跟着没过多久,看到了华夏汉字解释信息,博达大声说道:“樱花!”

    R国盛产樱花,种类繁多,听到博达的话,刘毅若有所思。

    樱花?樱花?

    摇了摇头,实在想不出个所以然来。

    这可能也就是一个病毒名吧!

    在这之后,将病毒加载到进程分析工具后,紧跟着运行病毒,分析工具也因此正式进入运行。

    此款工具,为刘毅专门转对蠕虫病毒所自主编译的工具,工具执行内容,主要通过工具进行程序加载,加载结束后,通过进程cao作记录,将程序运行后所有cao作记录进行记录,得到程序运行结果后,可根据结果,进行专杀的制作。

    因为病毒运行处与虚拟系统中,病毒运行后,对于自身主系统并未产生什么影响。

    很快,自制进程嗅探工具,将病毒在系统内所有行为全部进行了记录,冰形成文档,发送到本地桌面上。

    见分析文件生成,刘毅立刻关闭工具,打开文档。

    只见一行行大约百十条释放文件信息出现在文档内。

    瞪大眼睛,看着当中这些记录信息,刘毅进入到分析状态当中。

    因为文件信息数量巨大,因此,分析过程复杂许多,经过差不多一个多小时的时间,依旧没有任何的突破口,看着记录信息内各样的文件信息,脑海中回忆起自己整个的cao作过程。

    是根目录!

    回忆起自己在这一个小时的时间内所做的一切,可以说,仅仅只是围绕着分析列表内的信息进行着分析,因此,而忘记了根目录的关键信息点。

    紧跟着,刘毅立刻进入到虚拟系统内,各个盘符。

    打开各个盘的根目录,几个根目录文件信息引起了刘毅的注意。

    “.inf”

    蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式,当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。

    可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。

    引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器。

    看着这样两个文件信息,刘毅知道,之前自己所查的信息,并非是蠕虫主程序,而是宿主,主程序只是随着宿主的启动而进行加载运行,因此,可以判定,如今出现的这两个文件,才是病毒的核心代码执行区。

    有了这样的分析结果,紧跟着再次打开分析工具,加载进行运行。

    运行后,虚拟系统的运行速率明显降低,加载项目缓慢,很显然,如今这台虚拟系统已经成功感染蠕虫病毒,不过,感染后,除了系统运行过慢外,并无其他的异常状况。

    分析工具再次截获程序执行脚印,并将之进行截取记录。

    “HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Applets\\“dl“=“0“*HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Applets\\“dl“=“0“*HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Applets\\“ds“=“0“*HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Applets\\“d”

    看着这些记录信息,刘毅点了点头。

    该蠕虫病毒与基本蠕虫病毒并没有什么两样,首先,根据本地系统条件,分别自执行cao作,对注册表进行检测,检测后,开始根据注册表项进行创建,随后根据注册表项,将其自身复制为一个或多个注册表信息,并且开辟新的服务,以便躲过杀软的检测以及自运行的效果。

    刘毅盯着眼前的信息,双眼一眨不眨,仔细进行分析。

    注册表项修改结束后,接下来,分析记录工具内容显示窗口内,病毒对TCP\/IP协议进行了禁用,自动微调,加快感染计算机的访问,从而加快病毒的传播。

    或许是因为本系统为虚拟机的关系,外网传播的过程未被记录下来。

    看着这些信息,刘毅皱了皱眉。

    整个病毒在运行过程当中,并没有什么异常的代码组成,整个的蠕虫病毒代码执行cao作,可以说普通的不能再普通。

    看着这样的信息,刘毅感到有些奇怪。

    不应该啊?R国整体的黑客能力,只有这样的高度?

    就在这个时候,病毒执行cao作记录文本,出现了一行行顶级域名信息,见到这样的信息,刘毅收起了自己疑惑,细致观察起这最后的几个顶级域名信息。

    这是?

    蠕虫病毒存在远程未知通信!

    看着这一个个域名信息,刘毅好像明白了什么。

    我就说,这个事情不会这么简单。

    随后通过代码内现实的域名信息,刘毅将之进行记录,随后打开本系统,同时运行小K,按照之前记录的域名信息进行站点访问。

    就在地址输入完毕,浏览器画面转变后,小K再次传出危险警告。

    看着警告内容,刘毅点了点头。

    和他预想的一样,这当中果然存在着联系。

    与之前提取病毒样本后所面临的结果一样,病毒提示信息,“蠕虫!”

    “小K,准备进行病毒样本提取!”

    “明白!开始进行样本病毒提取!”

    和之前一样,这一次看到病毒信息后,刘毅和之前一样,再次进行了病毒样本的提取,想要看看这两款病毒是否存在什么联系。

    差不多经过了五分钟左右的时间,这家网站服务器内寄存的蠕虫病毒,再次被K系统截获,截获成功后,刘毅立刻进入虚拟系统,准备针对这一病毒,较之前的樱花进行比对。

    进入虚拟机,和之前的cao作一样,分别进行脱壳分析。

    加载病毒到进程工具后,开始运行。

    与之前一样,运行后同样,出现大量自加载程序,因为有了之前的经验,刘毅打开根目录,一个“”的文件出现。

    看到这样的文件信息,刘毅知道,这就是主程序了,随后再次进入到分析状态当中。

    经过主程序的运行,这一次,虚拟机没能幸免,随着主病毒程序的运行,本虚拟机彻底报废,与之前博大所遇的情况完全一样。

    看到这样的信息,刘毅点了点头。

    开始自己的想法是错的,他们并非是要做什么大规模的蠕虫病毒危机,而是想要利用多种蠕虫病毒进行伪装,造起声势,恐吓为主。

    不得不说,R国方面,对于恐吓造势,可以说练的可真是炉火纯青。

    为什么这么说,主要在于博达。

    之前,在检察院方面发现病毒后,寝室当中,博达的计算机是第一台感染机,当时刘毅也看了,损坏无法开机的主要原因就在于系统关键位置信息遭受破坏。

    可是,在刘毅打算根据病毒进行查杀,亲自进入到检察院官网,对服务器样本病毒进行拷贝后,拿到虚拟机内的样本毒在运行后,本系统并未出现任何的反应,出现这样的一个情况,已经让刘毅起了疑心。

    随后,在第一次进行病毒原理分析后,那几个顶级域名信息,突然打通了刘毅的思路,让其明白了当中最为关键的信息,同时也让他知晓了,R国方面的计策。