网络蠕虫.ppt

ftp://
计算机病毒原理及防治
主讲:李笑平
用户名:lixiaoping
密码:lixiaoping
主要内容
网络蠕虫的定义及其与狭义病毒的区别
蠕虫的分类
蠕虫的工作原理
蠕虫的行为特征
蠕虫的防治
网络蠕虫
蠕虫的起源
1980年,Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时,编写了一种特殊程序,Xerox蠕虫
1988年11月2日,世界上第一个破坏性计算机蠕虫正式诞生
Morris为了求证计算机程序能否在不同的计算机之间进行自我复制传播,编写了一段试验程序
为了让程序能顺利进入另一台计算机,他还写了一段破解用户口令的代码
11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始了它的旅行。它果然没有辜负Morris的期望,爬进了几千台计算机,让它们死机
Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播
Morris在证明其结论的同时,也开启了蠕虫新纪元
1 蠕虫的起源及其定义
蠕虫的原始定义
蠕虫这个生物学名词在1982年由Xerox PARC的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义:“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上)
1 蠕虫的起源及其定义
计算机病毒的原始定义
计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的:“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(计算机病毒是一种可以感染其它程序的程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的)
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,将病毒的含义作了进一步的解释:“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its 'host' program be run to activate it.”(计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它)
1 蠕虫的起源及其定义
蠕虫与病毒之间的区别及联系
病毒
蠕虫
存在形式
寄生
独立个体
复制机制
插入到宿主程序(文件)中
自身的拷贝
传染机制
宿主程序运行
系统存在漏洞(Vulnerability)
搜索机制(传染目标)
主要是针对本地文件
主要针对网络上的其它计算机
触发传染
计算机使用者
程序自身
影响重点
文件系统
网络性能、系统性能
计算机使用者角色
病毒传播中的关键环节
无关
防治措施
从宿主程序中摘除
为系统打补丁(Patch)
1 蠕虫的起源及其定义
蠕虫定义的进一步说明
计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关
蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒
不能简单的把利用了部分网络功能的病毒统称为蠕虫或蠕虫病毒
“Melissa网络蠕虫宏病毒”()、“Lover Letter网络蠕虫病毒”()等等,都是病毒,而