CTF实战22 病毒感染技术


CTF实战22 病毒感染技术


小姐姐优先~


然后来拜一下祖师爷吧~



重要声明

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关




在介绍什么是病毒之前,我们先说一下什么是恶意代码


恶意代码



恶意代码又称恶意软件,这些软件也分为


  • 广告软件(Adware)

  • 间谍软件(Spyware)

  • 恶意共享软件(Malicious shareware)


是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件


与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件(比如某0和某度的全家桶)


有时也称作流氓软件


当然,我们这里讨论的恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码


最常见的恶意代码有


  • 计算机病毒

  • 特洛伊木马

  • 计算机蠕虫

  • 后门

  • 逻辑炸弹



恶意代码的分类



安装代码的独立性和可复制性,我们可以将恶意代码分成以下两种


1. 独立恶意代码


这类的恶意代码是一个完整的系统,就像一个带了全套装备的特种兵

这类恶意代码大概有这么几种:


  • 计算机蠕虫(Computer worm)

  • 僵尸病毒(Zombie virus)



蠕虫


其中,蠕虫与病毒相似,是一种能够自我复制的计算机程序


与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行


计算机蠕虫未必会直接破坏被感染的系统,却几乎都对网络有害


计算机蠕虫可能会执行垃圾代码以发动分散式阻断服务攻击


令计算机的执行效率极大程度降低,从而影响计算机的正常使用

可能会损毁或修改目标计算机的档案


亦可能只是浪费带宽


(恶意的)计算机蠕虫可根据其目的分成2类:


  • 一种是面对大规模计算机使用网络发动拒绝服务的计算机蠕虫,虽说会绑架计算机,但使用者可能还可以正常使用,只是会被占用一部分运算、连网能力

  • 另一种是针对个人用户的以执行大量垃圾代码的计算机蠕虫。计算机蠕虫多不具有跨平台性,但是在其他平台下,可能会出现其平台特有的非跨平台性的平台版本


第一个被广泛注意的计算机蠕虫名为:莫里斯蠕虫,由罗伯特·泰潘·莫里斯编写,于1988年11月2日释出第一个版本


这个计算机蠕虫间接和直接地造成了近1亿美元的损失。这个计算机蠕虫释出之后,引起了各界对计算机蠕虫的广泛关注



僵尸病毒


僵尸病毒基本是用网络连接起来的一个集群,所以也叫僵尸网络病毒,其通信技术是通过连接IRC服务器进行,从而控制被攻陷的计算机


僵尸网络(BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等


同时黑客控制的这些计算机所保存的信息也都可被黑客随意取用

因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患


僵尸网络的威胁也因此成为目前一个国际上十分关注的问题


然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的僵尸主机(Zombie computer),这些主机的用户往往并不知情


因此,僵尸网络是目前互联网上黑客最青睐的作案工具


较为著名的僵尸网路攻击有2003年针对SPEWS服务的攻击,和2006年对蓝蛙(Blue Frog)服务的攻击


2000年,一些著名的网站(雅虎、易趣等等)受到加拿大的一个青少年MafiaBoy使用分布式拒绝服务攻击而停摆


另一起针对grc.com的攻击案例,根据Gibson Research网站鉴定,该攻击做案者大概是一位来自美国威斯康辛州基诺沙的13岁少年


Gibson Research网站的史蒂夫·吉布森拆解出一个用来僵尸化电脑的机器人,随后追踪到其散播者


在吉布森的书面研究纪录里,他描述了机器人控制的IRC如何运作此僵尸网路


2. 具有自我复制能力的恶意代码


除了上面的那两种,还有一种,病毒:


  • 计算机蠕虫(Computer worm)

  • 僵尸病毒(Zombie virus)

  • 病毒(Viru)


当然,不包含在这两类里面的恶意代码的还有:


  • 陷进门

  • 逻辑炸弹

  • 特洛伊木马


这些里面的特洛伊木马,我们会在下节介绍

那么现在问题来了,病毒是什么?




什么是病毒


电脑病毒(computer virus),或称电子计算机病毒


是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序


电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,也有电脑正常运作仅盗窃数据等用户非自发启动的行为


为了方便传播一般文件比较小


一般文件被感染后都会在文件中加入标记位避免重复感染


病毒与木马的区别和相同点



病毒是一种传播技术,而木马是目的实现


病毒和木马并不冲突,可以相互融合。


木马中携带的是病毒的payload。


所以近年的病毒全部包含木马功能。


但是臃肿的木马会影响了病毒的灵活性



病毒的分类



病毒可以大概分为以下几种类型的


1. 引导型病毒


 这个类型的病毒是从系统的启动扇区(Boot)或者硬盘的系统引导扇区(MBR)来加载自己


引导型病毒主要存在于主引导区、引导区


病毒利用操作系统的引导模块会存放在某个固定的位置上, 并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据


从而病毒通过占据该物理位置,便可获得了计算机的控制权


引导区而将真正的引导区内容搬家转移,待病毒程序执行后,将控制权交给真正的引导区内容


使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作


引导型病毒进入系统,一定要通过启动过程


在无病毒环境下使用的软盘或硬盘,即使它已感染引导区病毒,也不会进入系统并进行传染


2. 文件病毒


文件病毒主要感染计算机中的文件,列如:COM,EXE,DOC等文件

其中


DOS病毒是一般只能在DOS环境下运行(引导型病毒不局限于DOS操作系统而存在,早期的某些单纯占用引导记录来作为病毒体的病毒,至今仍可破坏计算机硬盘引导记录)传染的计算机病毒


DOS病毒是最早出现的计算机病毒


感染主引导扇区和引导扇区的DOS病毒称为引导型病毒


3. 网络病毒



通过计算机网络传播感染网络中的可执行文件,如今大都数的病毒都是这个类型


病毒可能感染的位置


 

  • Boot扇区

  • DOS COM/EXE

  • NE

  • PE/PE64

  • ARM

  • MIPS

  • ELF


等等


病毒可能的编写语言



  • Office(WORD、Excel、PPT…)

  • AutoCAD

  • Shell

  • Bat

  • C & C++

  • Python

  • Perl

  • 汇编


等等


病毒感染的特性


一开始病毒进入计算机的时候要先获得自身程序的运行权,并且在运行的时候获得优先运行权,包括找寻可执行文件入口点和自动运行宏两种


之后,病毒就会开始隐秘其运行权,不然电脑的使用者察觉,之后病毒会进行一些系统层次的代码和函数替换


最后溢出获得系统的较高权限


病毒的一个原则就是不能影响宿主运行,且在病毒运行后要将执行权交回宿主


为什么呢?


电脑都蓝屏了,一般人不是直接开始重装系统,然后病毒白感染了


具体的病毒分析就不列举了,感兴趣的同学可以看看《恶意代码分析实战》


或者也可以点原文链接看看初音的博客


CTF实战22 病毒感染技术


本文完


下期内容:木马攻击技术


CTF实战22 病毒感染技术

CTF实战22 病毒感染技术

发表评论

电子邮件地址不会被公开。 必填项已用*标注