1、试分析传统计算机病毒、宏病毒和蠕虫病毒的特点以及运行机制。
传统计算机病毒
特点:附着于宿主程序(文件),通过运行宿主程序传染,传染目标为本地文件;
运行机制:宿主程序运行后检查病毒是否驻留内存(若未驻留则将病毒驻留于内存,修改中断向量、中断服务程序),等待触发中断直到相应中断触发,之后传染、攻击开始。判断文件是否有传染标志,若没有传染标志,则进行传染,进行相应攻击(通过各种中断表现)。
宏病毒:
特点:Office宏中的恶意代码,运行宏时发作,传染目标为office软件的相关文档;
运行机制:主要有加载过程,传染过程,破坏过程。宏病毒通常保存在自动宏,标准宏中。当用户打开了感染病毒的文档后,宏病毒就会被激活,获得对文档的控制权,转移到计算机上,并驻留在Normal.dot等模板上;感染宏病毒后,所有用到这些模板定义的宏的 Office 文件都会染上宏病毒,对Office文档进行破坏,并会随着这些文档传播到其他计算机上,或调用系统命令,对系统进行破坏。
蠕虫病毒:
特点:可以是独立程序,主动攻击,传染目标为网络计算机。
运行机制:通过扫描系统漏洞,侵入主机,取得主机管理员权限,然后通过本机与其相连的网络计算机的交互将自身复制到新主机并启动。主要通过电子邮件、恶意网页、共享网络资源、聊天工具等形式传播。
2、 从程序结构、植入方式、控制等方面分析木马程序的特点、功能以及运行机制。
程序结构(特点):C-S结构,服务器端植入到被攻击的主机上,客户端为攻击者使用,远程操控主机。
植入方式:木马程序通过伪装自身吸引用户下载执行。具有隐蔽性,自动运行性,欺骗性,自动回复性,自动打开端口。有些木马除了普通文件操作,还有搜索cache 中的口令、设置口令、扫描IP、记录键盘、注册表操作等。
功能:为木马发送者提供操控被害者计算机的门户,实施各种破坏,窃取,远程操控,比如资源浏览,远程控制(IO),窃取信息,发送信息.
控制(运行机制):黑客将木马服务端加以伪装,在网络上发布,通过 Email、网页Server程序植入。比如间接入侵法,直接入侵法,伪装法,网页法,Email法。在攻击阶段,联机,设置并使用木马客户端扫描已被感染的计算机(检查Email获得被黑者IP地址),运行客户端,输入相应IP地址联机,开始操作。
3、何为跳板入侵?分析其原理以及实现方法。
黑客通过控制第三方计算机,使用port转向攻击目标计算机,以达到隐藏身份的目的。通过修改服务端口实现。
以这张图为例,举例说明,黑客通过控制甲电脑,然后利用甲电脑的端口进行转向,然后就可以控制乙电脑了。
如果跳板电脑甲使用81号端口的话,那么将跳板甲电脑的目标IP地址设置为乙电脑的80端口,那么通过访问甲电脑的81端口就可以转向到乙电脑的80端口,这样就可以通过访问http://跳板甲电脑IP:81来实现访问乙电脑的80网页的功能了。
(图片来源上课的ppt)
4、试分析分布式拒绝服务(DDOS)攻击的机制与实施过程。
攻击机制:
分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
实施过程:
- 探测扫描大量主机以寻找入侵主机目标
- 入侵有安全漏洞的主机并获得控制权
- 在每台入侵主机中安装攻击程序
- 利用已入侵主机继续进行扫描和入侵
- 攻击者向代理端发出攻击指令,成千上万的代理机就会同时向目标发起攻击。
-
被攻击的主机由于有太多的请求要处理,因而使用户正常的请求得不到及时处理。
如图中,黑客通过入侵并控制肉鸡作为一个跳板来控制由许多被控制的攻击机器组成的一个僵尸网络,然后由这个僵尸网络共同进攻被攻击的目标,就会使被攻击的目标由于有太多的请求需要处理,而正常用户得不到请求。于是就达成了分布式拒绝服务的攻击方式。(图片来源上课的ppt)
参考了https://zhuanlan.zhihu.com/p/425621554,特此感谢。
