計算機(jī)病毒結(jié)構(gòu)及分析PPT學(xué)習(xí)教案

1、會計學(xué)1計算機(jī)病毒結(jié)構(gòu)及分析計算機(jī)病毒結(jié)構(gòu)及分析第1頁/共43頁第2頁/共43頁 潛伏階段 傳染階段 觸發(fā)階段 發(fā)作階段 潛伏期結(jié)束 傳染結(jié)束 觸發(fā)條件 病毒引導(dǎo)模塊 病毒傳染模塊 病毒表現(xiàn)模塊 激活傳染條件判斷模塊 傳染功能實現(xiàn)模塊 觸發(fā)表現(xiàn)條件判斷模塊 表現(xiàn)功能實現(xiàn)模塊 圖2-1： 病毒程序的生命周期 圖2-2： 病毒程序的典型組成示意圖 第3頁/共43頁圖2-3： 病毒的工作機(jī)制 第4頁/共43頁第5頁/共43頁 剩余的宿主 程序 宿主程序 病毒程序 病毒程序 宿主程序 宿主程序 病毒程序 宿主程序 宿主程序 病毒程序 （a）鏈接在頭部 （b）鏈接在尾部 （c）鏈接在中間 圖2-4 替代

2、法 圖2-5 鏈接法第6頁/共43頁第7頁/共43頁第8頁/共43頁第9頁/共43頁第10頁/共43頁第11頁/共43頁第12頁/共43頁第13頁/共43頁第14頁/共43頁第15頁/共43頁DOS系統(tǒng)區(qū)內(nèi)存控制塊（MCB）內(nèi)存塊1為病毒分配的內(nèi)存塊內(nèi)存塊2為病毒分配一塊內(nèi)存高端內(nèi)存區(qū)域視頻內(nèi)存塊中斷向量表空閑區(qū)域病毒代碼空閑區(qū)域空閑區(qū)域空閑區(qū)域圖2-6 DOS病毒駐留內(nèi)存位置示意圖 第16頁/共43頁第17頁/共43頁第18頁/共43頁第19頁/共43頁第20頁/共43頁第21頁/共43頁第22頁/共43頁第23頁/共43頁第24頁/共43頁第25頁/共43頁第26頁/共43頁第27頁/共4

3、3頁第28頁/共43頁n動態(tài)地生成指令代碼第29頁/共43頁DOS應(yīng)用程序原來的INT13H服務(wù)程序DOS下的殺毒軟件病毒感染后的INT13H服務(wù)程序普通扇區(qū)普通扇區(qū)被病毒感染的扇區(qū)被病毒感染的扇區(qū)的原始扇區(qū)讀扇區(qū)調(diào)用讀請求讀請求返回數(shù)據(jù)返回數(shù)據(jù)返回數(shù)據(jù)第30頁/共43頁n 最后，再進(jìn)行感染DOS命令解釋程序（COMMAND.COM）感染后的INT 21H功能40H（加載一個程序執(zhí)行）用戶敲入AV.EXE執(zhí)行反病毒程序恢復(fù)被病毒感染的扇區(qū)為原來的內(nèi)容原來的INT21H功能重新感染扇區(qū)返回DOS命令解釋程序（COMMAND.COM）第31頁/共43頁DOS INT21H調(diào)用INT13H（直接磁盤

4、訪問）列目錄功能（FindFirst、FindNext）讀寫功能（Read、Write）執(zhí)行功能（EXEC）其他功能（rename等）視窗操作系統(tǒng)下，支持長文件名的擴(kuò)展DOS調(diào)用隱藏病毒扇區(qū)列目錄時顯示感染前的文件大小讀寫文件看到正常的文件內(nèi)容執(zhí)行或者搜索時隱藏病毒在支持長文件名的系統(tǒng)隱藏自身第32頁/共43頁第33頁/共43頁第34頁/共43頁MOV reg_1, countMOV reg_2, keyMOV reg_3, offsetLOOP：xxx byte ptr reg_3，reg_2DEC reg_1Jxx LOOP其中，reg_1、reg_2和reg_3是從AX、BX、CX、DX、SI、DI、BP中隨機(jī)挑選的寄存器，感染不同的文件，解密代碼使用隨機(jī)的寄存器count是加密數(shù)據(jù)的長度，key是加密的密鑰，offset是加密代碼的偏移量，感染的時候，這些數(shù)值都是隨機(jī)生成的，不同的感染都不一樣xxx是XOR、ADD、SUB等不同運(yùn)算指令的通稱，使用什么運(yùn)算指令是感染的時候隨機(jī)選擇的Jxx是ja、jnc等不同條件跳轉(zhuǎn)指令的通稱，使用什么跳轉(zhuǎn)指令也是感染的時候隨機(jī)選擇的加密后的病毒代碼第35頁/共43