关于蠕虫病毒传播模式的分析

蠕虫的基本结构和传播过程
入侵过程的分析
蠕虫传播的一般模式分析
蠕虫传播的其他可能模式
从安全防御的角度看蠕虫的传播模式

一、蠕虫的基本结构和传播过程

蠕虫的基本程序结构为：

1、传播模块：负责蠕虫的传播，这是本文要讨论的部分。

2、隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。

3、目的功能模块：实现对计算机的控制、监视或破坏等功能。

传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。

蠕虫程序的一般传播过程为：

1.扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

2.攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。

3.复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

我们可以看到，传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术，没有蠕虫的传播技术，也就谈不上什么蠕虫技术了。

二、入侵过程的分析

想必大家对入侵的一般步骤都是比较熟悉的。我们简单回忆一下。

第一步：用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。

第二步：针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。

第三步：利用获得的权限在主机上安装后门、跳板、控制端、监视器等等，清除日志。

我们一步一步分析。

先看第一步，搜集信息，有很多种方法，包括技术的和非技术的。采用技术的方法包括用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。非技术的方法包括和主机的管理员拉关系套口风，骗取信任，威逼利诱等各种少儿不宜的手段。当然是信息搜集的越全越好。搜集完信息后进入第二步。

第二步，对搜集来的信息进行分析，找到可以有效利用的信息。如果有现成的漏洞可以利用，上网找到该漏洞的攻击方法，如果有攻击代码就直接COPY下来，然后用该代码取得权限,OK了；如果没有现成的漏洞可以利用，就用根据搜集的信息试探猜测用户密码，另一方面试探研究分析其使用的系统，争取分析出一个可利用的漏洞。如果最后能找到一个办法获得该系统权限，那么就进入第三步，否则，放弃。

第三步，有了主机的权限，你想干什么就干什么吧。如果你不知道想干什么，那你就退出来去玩你喜欢玩的游戏吧。

扫描时,应该考虑扫描的地址段,尽量让不同的程序体不扫重复的网段.另外在扫描时间上不要太集中,对漏洞的利用应该做成模式,方便将新的漏洞加入.