网络蠕虫的初步研究及探讨

  网络蠕虫的初步研讨及探讨
  金州[VIP/EST]
  网络上一样平常对蠕虫和病毒论述的不是很明白。个人感觉蠕虫才是网络最大的威胁，所以写这一篇小文字，来对网络蠕虫进行一下初步的学习。
  一.〉网络蠕虫和病毒的区别
  病毒和蠕虫是差别的概念，之所以要区分这个，是为了对蠕虫的重视。对于蠕虫的界说一些人的看法向来差别。蠕虫能真正危害到整个网络。如果有一天真的网络战争开始，金州觉得蠕虫在目前看来，会是一个终极的武器。
  郑辉先生在其博士毕业论文《internet蠕虫研讨》中阐发两者的区别如下，
  1.存在情势，病毒是寄生，蠕虫是独立个体。
  2.复制情势，病毒是拔出到宿主文件（金州解释：即寄托文件好比win系统的pe布局），蠕虫是自身的拷贝。（金州解释，这一点是任何蠕虫能发展的根本。）
  3.熏染机制，病毒是宿主程序运转。（金州解释，即必要运转病毒文件或含病毒文件）蠕虫是系统毛病。
  4.打击目标，病毒是当地文件（金州解释，即某台机器）。蠕虫是网络上的其他盘算机。
  5.触发熏染，病毒是盘算机利用者，蠕虫是程序自身。
  6.影响重点，病毒是文件系统，蠕虫是网络功能和系统功能。
  7.盘算机利用者的脚色，病毒传播中的要害关键。蠕虫无关。（金州解释，是不是会中毒，和盘算机的操作者的程度有很大干系，程度越高，中毒的大概性越小，但是岂论你程度多高，都很难防备蠕虫，这个题目上面表明。）
  8.防治步伐，病毒从系统文件中摘除，蠕虫打补丁。
  9.反抗主体，病毒面对的是盘算机利用者，反病毒的厂商。蠕虫面对的是系统软件和办事软件提供商，网络管理人员。
  从中不丢脸出，蠕虫和病毒的最大区别，用简单的话说便是，蠕虫是活的，有生命的，就像在网络中游走的一个人一样，而病毒倒是半生命体，像是机器人，必要一定的触发机制。病毒也具有传播性，但是传播本领绝对非常强大。并且因为系统操作者的程度差别，病毒能造成的危害也差别。
  二〉蠕虫反抗蠕虫的浅显看法
  以上郑辉先生枚举的特点中略过了一点，也是我最喜好的一点，个人感觉这一点很有前程。即病毒一样平常有害，否则也不叫病毒了。但是蠕虫不一定，有一些好的蠕虫，有些人也希望开辟出好的蠕虫。比方最早的蠕虫，1980年Xerox PARC 研讨人员编写蠕虫的目标是为了辅助科学实验。core war游戏中，Reaper(收割者)蠕虫会寻找 Creeper（匍匐者）蠕虫，然后杀失它，最后自杀。当前在lion蠕虫横行的时候，这个蠕虫听说是原来红盟的lion主创，为对付日本用的，后来宛如出了题目，为了补救，呈现了cheese蠕虫，便是针对lion蠕虫的，会清除lion,这应该是迄今为止的为数未几的一个真正在internet展开的蠕虫反抗，但是并不乐成，因为蠕虫传播的底子是占用少量的网络资源。这几年来宛如没有这样的蠕虫反抗呈现。之所以呈现cheese蠕虫和lion蠕虫的反抗，金州觉得很大缘故原由是因为当时lion蠕虫套用了ramen蠕虫的部分代码，ramen代码当时已经为一些人掌握。lion蠕虫也很快被剖析出来。2001.3月lion蠕虫被发现，2001.5.5日有人就在宁静核心技术论坛公布了《狮子蠕虫剖析(LinuxAid)》一文（https://www.xfocus.net/bbs/index.php?act=SE&f=2&t=531&p=1729），这应该是海内比力早的比力好的对蠕虫具体题目的阐发文章。2002年左晓栋，戴英侠公布《“狮子”蠕虫阐发及相干讨论》，这篇文章我没有，不知道核心和《狮子蠕虫剖析》是不是雷同。那位大哥如果有（电子版的），不麻烦的话给小弟一份。：：））。lion蠕虫之所以能被很快的剖析出来，重要是加密做的不好，具体可参考趋势病毒库中对它的描述。外洋Max Vision也写过反抗ADM蠕虫的蠕虫。这篇文字是初步探讨，就未几说了。
  总之，寄托蠕虫反抗蠕虫的思绪固然不错，但是实行起来并不是很有可行性。金州浅显觉得缘故原由有二
  1.是蠕虫因为利用毛病传播，自己就具有时效性。当补丁打好之后，蠕虫根本就over了并且随着网络上一些硬件防火墙的推行和个人防火墙的功能提高，网络宁静监控和预警体系的加强，对蠕虫地抵制本领大大提高。尤其是硬件防火墙。简单的蠕虫越来越难大范围的传播。使蠕虫反抗蠕虫得到了实际的空间，并且容易丧失时效性。
  2.凡是蠕虫都是依快速传播为天性，这种传播占用少量的网络资源，甚至极大概造成网络的瘫痪。这使蠕虫反抗蠕虫暗含了危险性。
  但是蠕虫反抗蠕虫终究是一个很好的思绪，尤其是在小范围内。如某些要害系统，如银行大概军方系统，当针对这些系统的蠕虫在这些宁静性较高的外部网快速传播的时候，用蠕虫反抗蠕虫应该是最快的办理方法。以上金州个人看法，比力浅陋。见笑。
  三〉浅显的对蠕虫的判断
  金觉得蠕虫在恶意程序中具有以下比力独特的特点（看法比力菜。），
  1.传播速度快，1988年，morris蠕虫几天之内熏染了6000台internet办事器，到了2001年codered红色代码发作，9小时内打击25台盘算机。此蠕虫听说孕育发生于中美黑客大战末期，打击后留下“Hacked by Chinese!”字样，估计是中国人写的。coderedII是美国人抨击，遇到中文系统会增长打击线程。codered传播体系良好，技术美满。个人感觉是蠕虫发展的里程碑。伯克莱大学的Nicholas Weaver 还已经预言会呈现可以在半个小时内熏染整个internet的蠕虫。总之如今蠕虫的传播速度是越来越快了，金州觉得这正是它最大的特点和最大的危害性所在。
  2.不会重复发作。一个蠕虫，尤其是熏染较广的蠕虫一样平常只会发作一次。这个道理很简单，蠕虫能快速传播寄托的是系统的毛病，一旦呈现较广的危害，毛病天然会很快的被补上。蠕虫如果得到了传播的途径，灭亡是一定的，单机的蠕虫都不难被清撤除。蠕虫和病毒不一样，有些病毒难以清除，拔出较深，但是蠕虫的特点在于快速传播，不是清除不失，而是你赶不上它传播的速度。不外近来很多蠕虫运用了病毒的一些驻留技术，就像一些病毒运用了蠕虫的传播技术。但是仍旧很难成为主流。缘故原由照旧蠕虫传播的第一位决定的。
  3.利用系统毛病。蠕虫一样平常利用系统毛病传播，这个毛病一样平常指的是1.系统文件的毛病，好比outlook，ie,iis等毛病都可以造成蠕虫的敏捷传播，比方codered利用iis的.ida毛病。sadmind蠕虫利用unicode解码毛病等。只有主动能利用这些毛病快速传播的才是蠕虫。很多利用了系统文件毛病但是必要手工触发的并不能算是蠕虫，比方利用mime毛病的就不是，谁人必要一定的触发机制，固然当时影响很大。金山公司公布的MSN小尾巴(worm.MSNFunny)蠕虫病毒阐发报告中提到的谁人也不是蠕虫，金州个人觉得归为一种病毒比力适当而不是蠕虫。2.利用系统自己毛病，缓冲区溢出被用的较多，如nimda蠕虫。尤其是一些新的exploit很大概被蠕虫利用起来。
  4.是活的。就像一个活人一样。如果然如影象碎片《融合生物学特性的蠕虫病毒计划》那样智能化的发展起来，甚至可以比他说的更智能化。大概那样蠕虫将能成为一种网络中永生的东西。智能化的蠕虫已经呈现了。但是还不是很美满。
  最后，个人感觉蠕虫是一个大题目，应该是网络战争中最有广泛效能的武器。也是最难防备的网络灾祸，海内研讨的文章找到的并未几，研讨深化的找到的也并未几，大概是因为目前来说一个蠕虫不大概长期泛滥的缘故。不外听说很多很锋利的蠕虫都是海内的大哥们弄出来的。妙手一定多多。大概是一些好的文章我孤陋见不到，学习不到，惋惜惋惜。所以只能简单的说些用处不大的东西。谢谢郑辉大哥的精美著作并致敬。：：：）））
  参考文献
  1.《internet蠕虫研讨》郑辉 南开大学博士论文
  2.《狮子蠕虫剖析(LinuxAid)》Max Vision
  3.《MSN小尾巴(worm.MSNFunny)蠕虫病毒阐发报告》金山公司
  4.《由错误MIME毛病的利用想到的》icyfox[E.S.T]
  5.《融合生物学特性的蠕虫病毒计划》影象碎片 [E.S.T]
  （金州解释：以上相干资料大部分可在邪恶八进制信息宁静团队（www.eviloctal.com）找到。凡文中注明金州看法的中央都不大成熟。仅仅个人看法。不严谨。）
  金州 2006.6.11 16.05
  邪恶八进制信息宁静团队
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：