病毒分析01講

1、病毒分析病毒分析第第1 1講講授課教師：趙樹升授課教師：趙樹升授課日期：授課日期：2012-02計(jì)算機(jī)病毒分析【上節(jié)回顧上節(jié)回顧】1. 操作系統(tǒng)操作系統(tǒng)磁盤結(jié)構(gòu)，文件管理，內(nèi)存管理，進(jìn)程管理磁盤結(jié)構(gòu)，文件管理，內(nèi)存管理，進(jìn)程管理；2. C+程序設(shè)計(jì)程序設(shè)計(jì)【API】； 3. 計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)接收和發(fā)送數(shù)據(jù)，遠(yuǎn)程控制接收和發(fā)送數(shù)據(jù)，遠(yuǎn)程控制；4. 匯編語言匯編語言【古老，獨(dú)到功能古老，獨(dú)到功能】 計(jì)算機(jī)病毒分析如何學(xué)習(xí)如何學(xué)習(xí)l閱讀：l上網(wǎng)查資料lMSDNl練習(xí)程序計(jì)算機(jī)病毒分析第第1章計(jì)算機(jī)章計(jì)算機(jī) 病毒概述病毒概述 l1.1 定義定義 l1.2 計(jì)算機(jī)病毒的特性 l1.3 計(jì)算機(jī)病毒的分

2、類 （重點(diǎn)）（重點(diǎn)）l1.4 計(jì)算機(jī)病毒的產(chǎn)生與歷史 l1.5 計(jì)算機(jī)病毒的命名 （重點(diǎn)）（重點(diǎn)）l1.6 計(jì)算機(jī)病毒的本質(zhì) （重點(diǎn)）（重點(diǎn)）l1.7 病毒的工作機(jī)制病毒的工作機(jī)制 本章內(nèi)容計(jì)算機(jī)病毒分析1.2 計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的特性 1.傳染性 （重點(diǎn)；自我復(fù)制到相同位置）2.隱蔽性【占用磁盤、內(nèi)存或文件空間的變化】3.潛伏性 【條件滿足后觸發(fā)】4.破壞性【對(duì)硬件，操作系統(tǒng)，應(yīng)用軟件】5.不可預(yù)見 【感染時(shí)不清楚，不知道發(fā)作時(shí)間】計(jì)算機(jī)病毒分析1.3 計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類 1、按照計(jì)算機(jī)病毒侵入的系統(tǒng)分類、按照計(jì)算機(jī)病毒侵入的系統(tǒng)分類 【操作系統(tǒng)，DOS，控制臺(tái)，圖形界

3、面，保護(hù)模式，實(shí)模式，典型操作系統(tǒng)】 2、按照計(jì)算機(jī)病毒的鏈接方式分類按照計(jì)算機(jī)病毒的鏈接方式分類 【編程時(shí)插入，插入已有程序，包裹應(yīng)用程序，修改系統(tǒng)部分功能】3、按照計(jì)算機(jī)病毒的破壞性質(zhì)分類按照計(jì)算機(jī)病毒的破壞性質(zhì)分類 4、按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類 【引導(dǎo)扇區(qū)，操作系統(tǒng)，可執(zhí)行程序，宏】5、按照傳播介質(zhì)分類按照傳播介質(zhì)分類 計(jì)算機(jī)病毒分析1.4 計(jì)算機(jī)病毒的產(chǎn)生與歷史計(jì)算機(jī)病毒的產(chǎn)生與歷史 伴隨著計(jì)算機(jī)硬件、軟件技術(shù)，尤其操作系統(tǒng)的發(fā)展而發(fā)展的。 1、預(yù)言：馮諾伊曼 2、1983年11月3日，弗雷德科恩博士 3、1988年3月2日，一種蘋果

4、機(jī)的病毒發(fā)作 4、病毒的產(chǎn)生的原因病毒的產(chǎn)生的原因 ： 好奇或興趣 、報(bào)復(fù)心理 、軟件保護(hù) （江民）解釋：軟件保護(hù)，如注冊(cè)，防拷貝計(jì)算機(jī)病毒分析1.4.3 病毒的發(fā)展過程病毒的發(fā)展過程 1、DOS引導(dǎo)階段引導(dǎo)階段 ： 什么是引導(dǎo)、怎么編寫2、DOS可執(zhí)行階段可執(zhí)行階段 ：MZ格式3、PE可執(zhí)行4、變形：代碼變，難找特征碼【解釋】5、變種：機(jī)器產(chǎn)生變形6、蠕蟲：不需要人工干預(yù)7、宏病毒。什么是宏？計(jì)算機(jī)病毒分析1.4.4 病毒的發(fā)展趨勢病毒的發(fā)展趨勢1、病毒與黑客技術(shù)相結(jié)合 2、蠕蟲病毒更加泛濫 3、病毒破壞性更大 4、制作病毒的方法更簡單 【機(jī)器做】5、 病毒傳播速度更快 6、病毒的檢測與查殺

5、更困難 計(jì)算機(jī)病毒分析1.5 計(jì)算機(jī)病毒的命名計(jì)算機(jī)病毒的命名 1、反病毒公司為了方便管理，通常會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。一般格式為：.。病毒前綴。指一個(gè)病毒的種類 ；病毒名。指一個(gè)病毒的名稱 ；病毒后綴。指一個(gè)病毒的變種特征 。計(jì)算機(jī)病毒分析1.6 計(jì)算機(jī)病毒的本質(zhì)計(jì)算機(jī)病毒的本質(zhì) 是程序設(shè)計(jì)者非法利用系統(tǒng)或應(yīng)用軟件的正常功能正常功能，系統(tǒng)或應(yīng)用軟件存在的漏洞漏洞而產(chǎn)生的影響系統(tǒng)正常使用，未經(jīng)授權(quán)而運(yùn)行的程序代碼。 舉例：菜刀，鼻孔 舉例：文件鉤子與病毒（正常功能） 引導(dǎo)與引導(dǎo)病毒（未檢查引導(dǎo)代碼）計(jì)算機(jī)病毒分析1.6.1 病毒的隱藏位置病毒的隱藏位置 可執(zhí)行文件。例如在exe文

6、件中、vbs文件中。 引導(dǎo)扇區(qū)。例如軟盤的引導(dǎo)扇區(qū)。 表格和文檔。例如WORD的模板文件normal.dot中。 Java小程序和ActiveX控件。例如我們上網(wǎng)時(shí)常被提醒是否安裝ActiveX控件，文件里可能含有病毒。計(jì)算機(jī)病毒分析1.6.2 病毒對(duì)系統(tǒng)功能的利用病毒對(duì)系統(tǒng)功能的利用 BIOS功能。BIOS（Basic Input/Output System，基本輸入輸出系統(tǒng)）全稱是ROMBIOS，是只讀存儲(chǔ)器基本輸入輸出系統(tǒng)的簡寫，它實(shí)際是一組被固化到電腦中，為電腦提供最低級(jí)最直接的硬件控制的程序，它是連通軟件程序和硬件設(shè)備之間的樞紐，通俗地說，BIOS是硬件與軟件程序之間的一個(gè)“轉(zhuǎn)換器”

7、或者說是接口，負(fù)責(zé)解決硬件的即時(shí)要求，并按軟件對(duì)硬件的操作要求具體執(zhí)行。 我們?cè)趨R編語言程序設(shè)計(jì)中學(xué)到的int 10h、int 13h、int 16h等，病毒可以利用它們來在屏幕上顯示字符、讀寫扇區(qū)和獲取按鍵信息等。 DOS功能。DOS是早期微軟的磁盤操作系統(tǒng)，主要功能有文件管理、內(nèi)存管理、設(shè)備管理、作業(yè)管理和CPU管理等。這些功能主要集中在int 21h中。病毒利用這些功能進(jìn)行文件操作，內(nèi)存操作。 API函數(shù)。API的英文全稱(Application Programming Interface)，WIN32 API也就是Microsoft Windows 32位平臺(tái)的應(yīng)用程序編程接口，包含了

8、大量的函數(shù)。函數(shù)為程序設(shè)計(jì)者編程進(jìn)行文件操作、磁盤扇區(qū)操作、內(nèi)存操作、進(jìn)程管理提供了系統(tǒng)功能，同樣也方便了病毒設(shè)計(jì)者。 Office的宏。宏提供了文件操作、注冊(cè)表、執(zhí)行程序等功能，而宏病毒則利用了這些功能。 組件與腳本。組件與腳本為ASP設(shè)計(jì)提供了豐富多彩的功能，也為腳本病毒、郵件病毒、網(wǎng)頁病毒提供了同樣多的方便。計(jì)算機(jī)病毒分析1.6.3 病毒對(duì)系統(tǒng)漏洞的利用病毒對(duì)系統(tǒng)漏洞的利用 l更多的病毒是利用系統(tǒng)在設(shè)計(jì)中出現(xiàn)的漏洞。 l每暴露一種漏洞，就產(chǎn)生一種或若干種利用該漏洞的病毒。 作業(yè)：查找漏洞與對(duì)應(yīng)的病毒。計(jì)算機(jī)病毒分析1.6.4 病毒的一般結(jié)構(gòu)病毒的一般結(jié)構(gòu) 感染標(biāo)志。為了避免病毒重復(fù)感染一

9、個(gè)文件、一個(gè)扇區(qū)，病毒要在病毒數(shù)據(jù)中加一個(gè)標(biāo)志，如CIH病毒的感染標(biāo)志是加了“CIH”字符串。對(duì)于以獨(dú)立文件方式存在的病毒，如沖擊波病毒，為了避免多個(gè)病毒進(jìn)程同時(shí)運(yùn)行，使用函數(shù)CreateMutex建立了一個(gè)互斥變量“BILLY”，病毒啟動(dòng)時(shí)首先檢測有無該變量存在，存在則說明病毒程序已經(jīng)運(yùn)行，則保證內(nèi)存中只有一份病毒文件生成的進(jìn)程。 引導(dǎo)模塊。病毒程序運(yùn)行時(shí)，首先運(yùn)行的是病毒的引導(dǎo)模塊，它完成的主要功能是，操作系統(tǒng)環(huán)境檢測，感染標(biāo)志檢測，分配內(nèi)存，讀自己到內(nèi)存，設(shè)置病毒觸發(fā)條件、檢查是否滿足觸發(fā)條件等。如CIH病毒，首先檢測系統(tǒng)是否為Windows 95/98，不是則病毒程序退出。 感染模塊。

10、負(fù)責(zé)尋找被感染目標(biāo)，檢查目標(biāo)是否感染本病毒或是否滿足其它感染條件，若滿足則復(fù)制自己到目標(biāo)完成感染。 破壞模塊。不同的病毒破壞的方式和破壞的嚴(yán)重程度不一樣，取決于病毒設(shè)計(jì)者的主觀愿望與程序設(shè)計(jì)能力。破壞代碼是否執(zhí)行，取決于觸發(fā)條件。 計(jì)算機(jī)病毒分析1.6.5 感染病毒后的常見癥狀感染病毒后的常見癥狀 系統(tǒng)無法啟動(dòng)、啟動(dòng)時(shí)間延長重、復(fù)啟動(dòng)或突然重系統(tǒng)無法啟動(dòng)、啟動(dòng)時(shí)間延長重、復(fù)啟動(dòng)或突然重啟。啟。 出現(xiàn)藍(lán)屏、無故死機(jī)或系統(tǒng)內(nèi)存被耗盡。出現(xiàn)藍(lán)屏、無故死機(jī)或系統(tǒng)內(nèi)存被耗盡。 屏幕上出現(xiàn)一些亂碼。屏幕上出現(xiàn)一些亂碼。 出現(xiàn)陌生的文件、陌生的進(jìn)程。出現(xiàn)陌生的文件、陌生的進(jìn)程。 文件時(shí)間被修改，文件大小變化

11、。文件時(shí)間被修改，文件大小變化。 磁盤文件被刪除、磁盤被格式化等。磁盤文件被刪除、磁盤被格式化等。 無法正常上網(wǎng)或上網(wǎng)速度很慢。無法正常上網(wǎng)或上網(wǎng)速度很慢。 某些應(yīng)用軟件無法使用或出現(xiàn)奇怪的提示。某些應(yīng)用軟件無法使用或出現(xiàn)奇怪的提示。 計(jì)算機(jī)病毒分析1.7 病毒的工作機(jī)制病毒的工作機(jī)制 1、病毒工作過程可以分為感染、潛伏、繁殖和發(fā)作四個(gè)階段。 2、感染是指病毒自我復(fù)制并傳播給其他程序；潛伏是指病毒等非法程序?yàn)榱颂颖苡脩艉头啦《拒浖谋O(jiān)視而隱藏自身行蹤的行為；繁殖是不斷地由一個(gè)位置向另一個(gè)位置進(jìn)行傳播的過程；發(fā)作是實(shí)施的各種破壞行為。 病毒的運(yùn)行，主要是利用了系統(tǒng)提供的功能調(diào)用。系統(tǒng)提供了很多功

12、能調(diào)用，是病毒實(shí)現(xiàn)觸發(fā)、傳播和破壞的基礎(chǔ)。計(jì)算機(jī)病毒分析【課堂練習(xí)（一）課堂練習(xí)（一）】 日期觸發(fā)。許多病毒采用日期做觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、 前半年后半年觸發(fā)等。 時(shí)間觸發(fā)。時(shí)間觸發(fā)包括特定的時(shí)間觸發(fā)、染毒后累計(jì)工作時(shí)間觸發(fā)、文件最后寫入時(shí)間觸發(fā)等。 鍵盤觸發(fā)。有些病毒監(jiān)視用戶的擊鍵動(dòng)作，當(dāng)發(fā)現(xiàn)病毒預(yù)定的鍵人時(shí)，病毒被激活，進(jìn)行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動(dòng)觸發(fā)等。 操作系統(tǒng)觸發(fā)。某些病毒攻擊特定的操作系統(tǒng)、特定的版本或特定的語言版本等。 啟動(dòng)觸發(fā)。病毒對(duì)機(jī)器的啟動(dòng)次數(shù)計(jì)數(shù)，并將此值作為觸發(fā)條件稱為啟動(dòng)觸發(fā)。 訪問磁盤次數(shù)觸發(fā)。病毒對(duì)磁

13、盤I/O訪問的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件叫訪問磁盤次數(shù)觸發(fā)。 調(diào)用中斷功能/API函數(shù)觸發(fā)。病毒對(duì)中斷調(diào)用或函數(shù)調(diào)用的次數(shù)計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件。 CPU型號(hào)/主板型號(hào)觸發(fā)。病毒能識(shí)別運(yùn)行環(huán)境的CPU型號(hào)/主板型號(hào)，以預(yù)定CPU型號(hào)/主板型號(hào)做觸發(fā)條件，這種病毒的觸發(fā)方式奇特罕見。作業(yè)：用高級(jí)語言盡可能地實(shí)現(xiàn)上面的觸發(fā)。 計(jì)算機(jī)病毒分析1.7.2 病毒的傳播機(jī)制病毒的傳播機(jī)制 軟盤、光盤和軟盤、光盤和USB盤。它們作為最常用的交換媒介，在計(jì)算機(jī)應(yīng)盤。它們作為最常用的交換媒介，在計(jì)算機(jī)應(yīng)用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用，因那時(shí)計(jì)算機(jī)應(yīng)用用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用，因那時(shí)

14、計(jì)算機(jī)應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過相互拷貝、安裝，這樣病毒就能通過這些介質(zhì)傳播文件均通過相互拷貝、安裝，這樣病毒就能通過這些介質(zhì)傳播文件型病毒；另外，在用它們列目錄或引導(dǎo)機(jī)器時(shí)，引導(dǎo)區(qū)病毒會(huì)型病毒；另外，在用它們列目錄或引導(dǎo)機(jī)器時(shí)，引導(dǎo)區(qū)病毒會(huì)在軟盤與硬盤引導(dǎo)區(qū)內(nèi)互相感染。在軟盤與硬盤引導(dǎo)區(qū)內(nèi)互相感染。 硬盤。由于帶病毒的硬盤在本地或移到其他地方使用、維修等，硬盤。由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的軟盤、將干凈的軟盤、USB盤感染并再次擴(kuò)散。盤感染并再次擴(kuò)散。 網(wǎng)絡(luò)。非法者設(shè)計(jì)的個(gè)

15、人網(wǎng)頁，容易使瀏覽網(wǎng)頁者感染病毒；用網(wǎng)絡(luò)。非法者設(shè)計(jì)的個(gè)人網(wǎng)頁，容易使瀏覽網(wǎng)頁者感染病毒；用于學(xué)術(shù)研究的病毒樣本，可能成為別有用心的人的使用工具；于學(xué)術(shù)研究的病毒樣本，可能成為別有用心的人的使用工具；散見于網(wǎng)站上大批病毒制作工具、向?qū)?、程序等等，使得無編散見于網(wǎng)站上大批病毒制作工具、向?qū)А⒊绦虻鹊?，使得無編程經(jīng)驗(yàn)和基礎(chǔ)的人制造新病毒成為可能；聊天工具如程經(jīng)驗(yàn)和基礎(chǔ)的人制造新病毒成為可能；聊天工具如QQ的使用，的使用，導(dǎo)致有專門針對(duì)聊天工具的病毒出現(xiàn)；即使用戶沒有使用前面導(dǎo)致有專門針對(duì)聊天工具的病毒出現(xiàn)；即使用戶沒有使用前面的項(xiàng)目，只要計(jì)算機(jī)在網(wǎng)絡(luò)上，而系統(tǒng)存在漏洞，針對(duì)該漏洞的項(xiàng)目，只要計(jì)算機(jī)

16、在網(wǎng)絡(luò)上，而系統(tǒng)存在漏洞，針對(duì)該漏洞的病毒有可能感染該臺(tái)機(jī)器。的病毒有可能感染該臺(tái)機(jī)器。計(jì)算機(jī)病毒分析1.7.3 病毒的破壞機(jī)制病毒的破壞機(jī)制 硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄的數(shù)據(jù)被修改。 修改文件。病毒對(duì)文件的攻擊方式很多，如：刪除、改名、替換內(nèi)容、丟失部分程序代碼、修改寫入時(shí)間、丟失文件簇、丟失數(shù)據(jù)文件等。 占用內(nèi)存。病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源。 干擾其它進(jìn)程正常運(yùn)行。病毒可能會(huì)修改進(jìn)程內(nèi)存數(shù)據(jù)、插入進(jìn)程空間、引起某些進(jìn)程溢出、造成某些服務(wù)程序崩潰等。病毒激活后，其運(yùn)行將占用系統(tǒng)時(shí)間，造成其它程序運(yùn)行速度變慢。 系統(tǒng)功能被修改。病毒可能接管某些系統(tǒng)功能，造成正常的功能不能使用。 擾亂屏幕顯示。病毒擾亂屏幕顯示的方式很多，如：字符跌落、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫等。 干擾鍵盤操作。如：響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。 某些病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。 修改CMOS。例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等。有的病毒激活時(shí)，能夠?qū)MOS區(qū)進(jìn)行寫入操作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。作業(yè)：你能用高級(jí)語言實(shí)現(xiàn)上面的哪些功能?計(jì)算機(jī)病毒分析1.8 反病毒技術(shù)反病毒技術(shù)1、針對(duì)單機(jī)，、針對(duì)單機(jī)，DOS操作系統(tǒng)下操作系統(tǒng)下2、針對(duì)某個(gè)局部網(wǎng)絡(luò)，主要是針對(duì)某個(gè)局部網(wǎng)絡(luò)，主要是