網(wǎng)絡(luò)病毒分析

1、17:33:321網(wǎng)絡(luò)與信息安全技術(shù)計算機(jī)病毒分析17:33:3221 計算機(jī)病毒的狀態(tài)n計算機(jī)病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動態(tài)q靜態(tài)病毒，是指存在于輔助存儲介質(zhì)中的計算機(jī)病毒，一般不能執(zhí)行病毒的破壞或表現(xiàn)功能，其傳播只能通過文件下載(拷貝)實(shí)現(xiàn)q因為靜態(tài)病毒尚未被加載、尚未進(jìn)入內(nèi)存，不可能獲取系統(tǒng)的執(zhí)行權(quán)限q病毒之所以處于靜態(tài)，有兩種可能n沒有用戶啟動該病毒或運(yùn)行感染了該病毒的文件n該病毒存在于不可執(zhí)行它的系統(tǒng)中q當(dāng)病毒完成初始引導(dǎo)，進(jìn)入內(nèi)存后，便處于動態(tài)。動態(tài)病毒本身處于運(yùn)行狀態(tài)，通過截流盜用系統(tǒng)中斷等方式監(jiān)視系統(tǒng)運(yùn)行狀態(tài)或竊取系統(tǒng)控制權(quán)。病毒的主動傳染和破壞作用，都是動態(tài)病毒的

2、“杰作”17:33:3231 計算機(jī)病毒的狀態(tài)n計算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換q病毒由靜態(tài)轉(zhuǎn)變?yōu)閯討B(tài)的過程，稱為病毒的啟動。實(shí)際上，病毒的啟動過程就是病毒的首次激活過程q內(nèi)存中的動態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。n當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)行機(jī)制所執(zhí)行時，動態(tài)病毒就處于可激活態(tài)n一般而言，動態(tài)病毒都是可激活的n系統(tǒng)正在執(zhí)行病毒代碼時，動態(tài)病毒就處于激活態(tài)n病毒處于激活態(tài)時，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時，必然處于激活態(tài)n對于處于不同狀態(tài)的病毒，應(yīng)采用不同的分析、清除手段17:33:3241 計算機(jī)病毒的狀態(tài)計算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換計算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換動

3、態(tài)病毒靜態(tài)病毒引導(dǎo)加載，設(shè)置激活、觸發(fā)條件病毒感染病毒破壞滿足激活條件？滿足破壞條件？滿足滿足潛伏或消散不滿足可激活態(tài)激活態(tài)滿足感染條件？不滿足滿足不滿足17:33:3352 計算機(jī)病毒的基本環(huán)節(jié)n計算機(jī)病毒要完成一次完整的傳播破壞過程，必須經(jīng)過以下幾個環(huán)節(jié)：q分發(fā)拷貝階段q潛伏繁殖階段q破壞表現(xiàn)階段n在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒n我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延17:33:336病毒的目的n快速傳染n隱藏自己n變形17:33:337病毒感染的一般過程 計算機(jī)病毒的感染過程與生物學(xué)病毒的感染過程非常相似，它寄生在宿主程

4、序中，進(jìn)入計算機(jī)，并借助操作系統(tǒng)和宿主程序的運(yùn)行，復(fù)制自身，大量繁殖。計算機(jī)病毒感染的一般過程為： 當(dāng)計算機(jī)運(yùn)行染毒的宿主程序時，病毒奪取控制權(quán)。 尋找感染的突破口。 將病毒程序嵌入感染目標(biāo)中。17:33:338文件型病毒傳染原理和特征感染方式1感染方式2病毒代碼HOST程序代碼HOST程序代碼頭病毒代碼HOST程序代碼頭HOST程序代碼HOST程序代碼頭HOST程序代碼感染MZ文件頭PE/NE文件頭感染前的程序MZ文件頭(修改后)PE/NE文件頭(修改后)感染前的程序病毒代碼17:33:339核心態(tài)與用戶態(tài)n操作系統(tǒng)代碼、設(shè)備驅(qū)動程序代碼使用特權(quán)級0(Ring 0)，工作于系統(tǒng)核心態(tài)n普通的

5、用戶程序使用特權(quán)極3(Ring 3) ，工作在用戶態(tài)Win32應(yīng)用程序Win32子系統(tǒng)動態(tài)連接庫Ntdll.dll內(nèi)存、進(jìn)程、線程、IO等管理核心體設(shè)備驅(qū)動程序硬件抽象層(HAL)用戶態(tài)(Ring 3)核心態(tài)(Ring 0)Win32應(yīng)用程序Windows 2000/XP下下普通應(yīng)用程序普通應(yīng)用程序?qū)诵膽B(tài)功能的對核心態(tài)功能的調(diào)用示意調(diào)用示意17:33:3310獲取API函數(shù)地址qWin32程序一般運(yùn)行在Ring 3級，處于保護(hù)模式qWin32下的系統(tǒng)功能調(diào)用，不是通過中斷實(shí)現(xiàn)，而是通過調(diào)用動態(tài)連接庫中的API函數(shù)實(shí)現(xiàn)qWin32 PE病毒和普通Win32 PE程序一樣需要調(diào)用API函數(shù)實(shí)現(xiàn)某

6、些功能，但是對于Win32 PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)q病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址17:33:3311搜索感染目標(biāo)文件n搜索文件是病毒尋找目標(biāo)文件的非常重要的功能n在Win32匯編中，通常采用如下幾個API函數(shù)進(jìn)行文件搜索qFindFirstFilen根據(jù)文件名查找文件qFindNextFilen根據(jù)調(diào)用FindFirstFile函數(shù)時指定的一個文件名查找下一個文件qFindClosen用來關(guān)閉由FindFirstFile函數(shù)創(chuàng)建的一個搜索句柄17:33:3312病毒感染技術(shù)n感染是一個病毒賴以長期存活

7、的根本，所以要大規(guī)模的搜索，感染感染再感染！nFindFirstFile，F(xiàn)indNextFile，F(xiàn)indClose，除非你hook了某些系統(tǒng)API（參考Win32.Kriz)，否則這三個API是Win32病毒必備的、搜索再搜索，感染再感染。n目前Win32病毒分為兩個主流，一類最常見，覆蓋host程序最后一個section的relocation，或者干脆直接綴在最后一個section后面，把它擴(kuò)大一些。這種技術(shù)很簡單，例子可參見Funlove，有著復(fù)雜的polymorphism引擎，體積比較大的病毒一般也都用這種技術(shù)。n第二類就是像Elkern那樣把自己盡可能地插進(jìn)host體內(nèi)，盡可能地插

8、，對于VC編譯出來的PE文件，它的file alignment是4K，所以section之間的空隙加起來很可能有4，5K，足可以容下一個Win32病毒。這種技術(shù)比較麻煩一些，調(diào)試也復(fù)雜，主要流行的有Elkern。17:33:3313蠕蟲傳染原理17:33:3314蠕蟲與漏洞n網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動傳播n根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細(xì)分q郵件蠕蟲n主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞包含蠕蟲的郵件非法的MIME頭部解出的蠕蟲程序感染機(jī)器Content-Type:

9、audio/x-wav; name=worm.exeContent-Transfer-Encoding: base64TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/AwiT8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8iBXorikeORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQMHUwCDJP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAwMIME描述漏洞描述漏洞17:33:33

10、15蠕蟲與漏洞q網(wǎng)頁蠕蟲（木馬）n主要是利用IFrame漏洞和MIME漏洞n網(wǎng)頁蠕蟲可以分為兩種q用一個IFrame插入一個Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法q用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個包含特殊代碼的頁面去下載放在另一個網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播q系統(tǒng)漏洞蠕蟲n利用RPC溢出漏洞的沖擊波、沖擊波殺手n利用LSASS溢出漏洞的震蕩波、震蕩波殺手n系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過去n它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲17:

11、33:3316蠕蟲的工作方式與掃描策略n蠕蟲的工作方式一般是“掃描攻擊復(fù)制”隨機(jī)生成IP地址有些蠕蟲給出確定的地址范圍，還有一些給出傾向性策略，用于產(chǎn)生某個范圍內(nèi)的IP地址地址探測主機(jī)是否存在?漏洞是否存在?攻擊、傳染現(xiàn)場處理虛線框內(nèi)的所有工作可以在一個數(shù)據(jù)包內(nèi)完成是是否否17:33:3317蠕蟲的工作方式與掃描策略n蠕蟲的掃描策略q現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計算機(jī)中q掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然后對這一地址段上的主機(jī)進(jìn)行掃描q沒有優(yōu)化的掃描程序可能會不斷重復(fù)上面這一過程，大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞n對掃描策略的改進(jìn)q在IP地

12、址段的選擇上，可以主要針對當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描，對外網(wǎng)段則隨機(jī)選擇幾個小的IP地址段進(jìn)行掃描q對掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描q把掃描分散在不同的時間段進(jìn)行17:33:3318蠕蟲的工作方式與掃描策略n蠕蟲常用的掃描策略q選擇性隨機(jī)掃描(包括本地優(yōu)先掃描)q可路由地址掃描(Routable Scan)q地址分組掃描(Divide-Conquer Scan)q組合掃描(Hybrid Scan)q極端掃描(Extreme Scan)17:33:3319感染的主機(jī)數(shù)與感染強(qiáng)度示意圖感染強(qiáng)度感染的主機(jī)數(shù)慢啟動階段緩消失階段快速傳染階段17:33:3320木馬的傳染方式17:33:3321特洛伊

13、木馬的定義n特洛伊木馬(Trojan Horse)，簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計算機(jī)，就悄悄地在宿主計算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計算機(jī)中修改文件、修改注冊表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息n古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進(jìn)入被攻擊的計算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)控17:33:3322特洛伊木馬的定義n木馬與病毒q一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特點(diǎn)而定義的q特洛伊木馬主要是根據(jù)它的

14、有效載體，或者是其功能來定義的，更多情況下是根據(jù)其意圖來定義的q木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程序中得到安裝、啟動木馬的權(quán)限，DLL木馬甚至采用動態(tài)嵌入技術(shù)寄生在合法程序的進(jìn)程中q木馬一般不具有普通病毒所具有的自我繁殖、主動感染傳播等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說，木馬也是廣義病毒的一個子類n木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控n木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性17:33:3323特洛伊木馬的結(jié)構(gòu)n木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成配置控制響應(yīng)木馬程序配置程

15、序控制程序木馬服務(wù)器木馬控制端(客戶端)17:33:3324特洛伊木馬的基本原理n運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過程木馬信息控制端Internet服務(wù)端配置木馬傳播木馬運(yùn)行木馬信息反饋建立連接遠(yuǎn)程控制17:33:3325特洛伊木馬的基本原理n用netstat查看木馬打開的端口6662676267021096ESTABLISHEDLISTENING:ProtoLocal AddressForeign AddressState TCP TCP服務(wù)端IP地址木馬端口控制端IP地址控制端端口連接狀態(tài)：連接已建立等待連接17

16、:33:3326特洛伊木馬的基本原理n木馬控制端與服務(wù)端連接的建立q控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址q由于木馬端口是事先設(shè)定的，為已知項，所以最重要的是如何獲得服務(wù)端的IP地址q獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描17:33:3327特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立木馬控制端與服務(wù)端連接的建立17:33:3428特洛伊木馬的基本原理n木馬通道與遠(yuǎn)程控制q木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會出現(xiàn)一條通道q控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同

17、本地操作控制端程序木馬程序10966267控制端服務(wù)端竊取密碼文件操作修改注冊表系統(tǒng)操作17:33:3429特洛伊木馬的基本原理n木馬的基本原理q特洛伊木馬包括客戶端和服務(wù)器端兩個部分，也就是說，木馬其實(shí)是一個服務(wù)器-客戶端程序q攻擊者通常利用一種稱為綁定程序(exe-binder)的工具將木馬服務(wù)器綁定到某個合法軟件上，誘使用戶運(yùn)行合法軟件。只要用戶運(yùn)行該軟件，特洛伊木馬的服務(wù)器就在用戶毫無察覺的情況下完成了安裝過程q攻擊者要利用客戶端遠(yuǎn)程監(jiān)視、控制服務(wù)器，必需先建立木馬連接；而建立木馬連接，必需先知道網(wǎng)絡(luò)中哪一臺計算機(jī)中了木馬q獲取到木馬服務(wù)器的信息之后，即可建立木馬服務(wù)器和客戶端程序之間

18、的聯(lián)系通道，攻擊者就可以利用客戶端程序向服務(wù)器程序發(fā)送命令，達(dá)到操控用戶計算機(jī)的目的17:33:3430特洛伊木馬的傳播方式n木馬常用的傳播方式，有以下幾種：q以郵件附件的形式傳播n控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人q通過OICQ、QQ等聊天工具軟件傳播n在進(jìn)行聊天時，利用文件傳送功能發(fā)送偽裝過的木馬程序給對方q通過提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播n木馬程序一般非常小，只有是幾K到幾十K，如果把木馬捆綁到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這些下載的文件的同時，也運(yùn)行了木馬q通過一般的病毒和蠕蟲傳播

19、q通過帶木馬的磁盤和光盤進(jìn)行傳播17:33:3431特洛伊木馬技術(shù)的發(fā)展n木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個階段qUnix階段qWindows階段n木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代q第一代木馬n只是進(jìn)行簡單的密碼竊取、發(fā)送等，沒有什么特別之處q第二代木馬n在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說是國內(nèi)木馬的典型代表之一q第三代木馬n在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度q第四代木馬n在進(jìn)程隱藏方面，做了很大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程；或者掛接PSAPI(Process Sta

20、tus API)，實(shí)現(xiàn)木馬程序的隱藏17:33:3432U盤病毒的特點(diǎn)n隨著U盤等移動存儲介質(zhì)使用的越來越廣泛，它已經(jīng)成為木馬、病毒等傳播的主要途徑之一。nU盤病毒，并不是單指某一種病毒，也不是說只是通過U盤傳播的病毒，而是泛指所 有通過移動存儲介質(zhì)進(jìn)行傳播的病毒q事實(shí)上它可以通過系統(tǒng)上所有的分區(qū)進(jìn)行傳播,只是因為很多 時候它們都表現(xiàn)在U盤上，所以我們才統(tǒng)稱這些病毒為U盤病毒 n目前U盤病毒傳播的方式主要有以下幾種：q1、通過autorun.inf文件進(jìn)行傳播的(目前U盤病毒最普遍的傳播方式） q2、偽裝成其他文件，病毒把U盤下所有文件夾隱藏，并把自己復(fù)制成與原文件夾名稱相同的具有文 件夾圖標(biāo)

21、的文件，當(dāng)你點(diǎn)擊時病毒會執(zhí)行自身并且打開隱藏的該名稱的文件夾。q 3、通過可執(zhí)行文件感染傳播，很古老的一種傳播手段，但是依然有效。 17:33:34331.關(guān)鍵文件關(guān)鍵文件Autorun.infnAutorun.inf文件本身并不是病毒，它是自動運(yùn)行的一個配置文件。這個文件通常在驅(qū)動器的根目錄下(是一個隱 藏的系統(tǒng)文件)，文件的內(nèi)容包含著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應(yīng)該自動啟動什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標(biāo)改成某個路 徑下的圖標(biāo)，它的格式通常是下面這樣： qAutoRun open=auto.exe /自動運(yùn)行auto.exe程序 shellexecute=au

22、to.exe/啟動指定的auto.exe shellAutocommand=auto.exe/定義設(shè)備右鍵菜單執(zhí)行命令行，右鍵U盤的時候會出現(xiàn)auto菜單17:33:34341.關(guān)鍵文件關(guān)鍵文件Autorun.infn由于windows系統(tǒng)中的自動播放功能默認(rèn)情況下是處于未配置的狀態(tài)。這就使得只要在機(jī)器上接入移 動的存儲介質(zhì)，就會自動的播放。這個原因也是導(dǎo)致U盤病毒傳播的一個最主要的因素。n我們只要在 U盤的根目錄下建立autorun.inf文件和某些特定的執(zhí)行程序，并把執(zhí)行程序的路徑和名字寫到 autorun.inf文件中，就可以在U盤插入系統(tǒng)后自動運(yùn)行該執(zhí)行文件，而這些執(zhí)行程序可以是任何我

23、們想 要它運(yùn)行程序（病毒、木馬、灰色軟件等等）。 17:33:3435解決辦法解決辦法 -1n1、關(guān)閉“Shell Hardware Detection”服務(wù)，關(guān)閉這個服務(wù)后再放入光盤或U盤時系統(tǒng)將不再掃描 這些移動介質(zhì)的內(nèi)容，也就不會運(yùn)行Autorun.inf中所配置的文件了。n關(guān)閉服務(wù)的方法如下： 單擊開始菜單的運(yùn)行，輸入“services.msc”（也可以通過點(diǎn)擊開始-設(shè)置-控制面板-管理工具 -服務(wù)）來打開服務(wù)窗口，在窗口右側(cè)顯示的內(nèi)容中找到“名稱”列，在“名稱”列里找到 “Shell Hardware Detection”（可以隨便單擊一下“名稱”列里的內(nèi)容，再按鍵盤上的S鍵，快速

24、地定位），單擊右鍵，再單擊屬性彈出屬性對話框，先選擇停止，然后在常規(guī)選項卡里的“啟動 類型(E)”右邊的下拉菜單中選擇“已禁用”，最后確定退出，重啟計算機(jī)即可。 17:33:3436解決辦法解決辦法 -2n2、關(guān)閉windows的自動播放功能，方法如下： 在開始、運(yùn)行中輸入gpedit.msc后回車。會出現(xiàn)組策略的控制窗口，在該窗口中選擇 計算機(jī)設(shè)置-管理模板-系統(tǒng)-關(guān)閉自動播放，雙擊關(guān)閉自動播放，然后選擇已啟用，選擇關(guān)閉所 有驅(qū)動器。 17:33:3437解決辦法解決辦法 -3n3、修改注冊表來禁止自動播放，方法如下： 在開始運(yùn)行中輸入regedit.exe后回車，調(diào)出注冊表編輯器，定位到

25、HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer 進(jìn)行修改。 NoDriveTypeAutoRun 指定按設(shè)備類型禁止自動播放。 1：未知類型，4：可移動磁盤，8：硬盤，10：網(wǎng)絡(luò)驅(qū)動器，20：光驅(qū)，40：RAM驅(qū)動器，80： 未知類型，F(xiàn)F：所有類型。若要禁止某一類型自動播放，直接使用對應(yīng)的值，若要禁止幾種類型， 則使用它們數(shù)值相加的值，如95=1+4+10+80，91=1+10+80， b5=1+4+10+20+80。 NoDriveAutoRun指定按盤符禁止自動播放。相關(guān)設(shè)置可以參

26、考NoDrives值，最大值為 hex:ff,ff,ff,03，禁止所有盤自動播放。 17:33:34382.披著各種偽裝的披著各種偽裝的U盤病毒盤病毒 nU盤原來存在的文件夾全部被隱藏，取而代之的是一個偽裝成文件夾圖標(biāo)的EXE文件。 n因為操作系統(tǒng)缺省情況下，并不顯示已知文件類型的文件擴(kuò)展名，也就是說類似于“我的工作報告.exe”的程序，缺省情況下我們只看到“我的工作報告”，并且這個文件看上去就是個文件夾，很多人就會去直接雙擊訪問。n又是Windows 缺省設(shè)置在幫助病毒傳播者欺騙用戶，缺省情況下windows 不顯示文件擴(kuò)展名。 nU盤病毒偽裝者利用社會工程學(xué)成功的入侵了超過50萬臺PC。

27、17:33:3439解決辦法n如果你修改了文件夾選項，配置了顯示文件的擴(kuò)展名，這個文件夾偽裝者就會露出真面目 17:33:3440病毒高級技術(shù)17:33:3441駐留在內(nèi)存n為了生存，病毒要盡可能長時間地駐留在內(nèi)存中，而不是host程序一結(jié)束就完蛋了。n有三種種方法，一是象Funlove那樣在系統(tǒng)目錄里釋放一個文件，并修改注冊表或者建立一個系統(tǒng)服務(wù)。這種方式很普通，也很普遍，大多數(shù)病毒包括蠕蟲都這么干。n另一種方式則是感染所有的已運(yùn)行進(jìn)程。在Win2K下很容易實(shí)現(xiàn),CreateRemoteThread，但要想在所有Win32平臺下實(shí)現(xiàn)，則要比較高的技巧。n工作在ring 0病毒，內(nèi)核模式病毒。

28、17:33:3442內(nèi)核模式病毒nWindowsNT/2K環(huán)境下第一個以內(nèi)核模式驅(qū)動程序運(yùn)行，并駐留內(nèi)存的寄生型病毒是Infis.nInfis作為內(nèi)核模式驅(qū)動程序駐留內(nèi)存，并且掛鉤文件操作，它能夠在文件打開時立即感染該文件。n安裝程序把病毒拷貝到系統(tǒng)內(nèi)存中，并在系統(tǒng)注冊表中添加該病毒的注冊項。該病毒把自己的可執(zhí)行代碼連同自己的PE文件頭一起追加到目標(biāo)文件的末尾，然后從自己代碼中提取出一個名為INF.SYS的獨(dú)立驅(qū)動程序，把這個程序保存在%SystemRoot% system32 drivers目錄下，修改注冊表，保證下一次系統(tǒng)啟動時病毒也能夠進(jìn)入運(yùn)行狀態(tài)。17:33:3443檢測方法n檢查系統(tǒng)

29、驅(qū)動程序列表中已經(jīng)裝入的驅(qū)動程序的名稱，如果在驅(qū)動程序列表中發(fā)現(xiàn)了病毒驅(qū)動程序，說明基本上感染了病毒n病毒可能使用隱藏技術(shù)避免在驅(qū)動程序列表中出現(xiàn)，需要通過計算機(jī)管理器中的驅(qū)動程序列表。17:33:3444病毒的隱藏技術(shù)n隱藏是病毒的天性，在業(yè)界對病毒的定義里，“隱蔽性”就是病毒的一個最基本特征，任何病毒都希望在被感染的計算機(jī)中隱藏起來不被發(fā)現(xiàn)，因為病毒都只有在不被發(fā)現(xiàn)的情況下，才能實(shí)施其破壞行為。為了達(dá)到這個目的，許多病毒使用了各種不同的技術(shù)來躲避反病毒軟件的檢驗，這樣就產(chǎn)生了各種各樣令普通用戶頭痛的病毒隱藏形式。 n隱藏窗口 & 隱藏進(jìn)程 & 隱藏文件 q桌面看不到q任務(wù)管

30、理器中不可見 q文件中看不到17:33:3445進(jìn)程隱藏nWindows 9x中的任務(wù)管理器是不會顯示服務(wù)類進(jìn)程，結(jié)果就被病毒鉆了空子，病毒將自身注冊為“服務(wù)進(jìn)程”，可以躲避用戶的監(jiān)視。nWindows2000/xp/2003等操作系統(tǒng)上已經(jīng)無效了，直接使用系統(tǒng)自帶的任務(wù)管理器便能發(fā)現(xiàn)和迅速終止進(jìn)程運(yùn)行 。17:33:3446通過DLL實(shí)現(xiàn)進(jìn)程隱藏nWindows系統(tǒng)的另一種“可執(zhí)行文件”-DLL，DLL文件沒有程序邏輯，是由多個功能函數(shù)構(gòu)成，它并不能獨(dú)立運(yùn)行，一般都是由進(jìn)程加載并調(diào)用的。 n運(yùn)行DLL文件最簡單的方法是利用Rundll32.exe，Rundll/Rundll32是Window

31、s自帶的動態(tài)鏈接庫工具，可以用來在命令行下執(zhí)行動態(tài)鏈接庫中的某個函數(shù)，Rundll32的使用方法如下：Rundll32 DllFileName FuncName例如我們編寫了一個MyDll.dll，這個動態(tài)鏈接庫中定義了一個MyFunc的函數(shù)，那么，我們通過Rundll32.exe MyDll.dll MyFunc就可以執(zhí)行MyFunc函數(shù)的功能。假設(shè)我們在MyFunc函數(shù)中實(shí)現(xiàn)了病毒的功能，那么我們不就可以通過Rundll32來運(yùn)行這個病毒了么？在系統(tǒng)管理員看來，進(jìn)程列表中增加的是Rundll32.exe而并不是病毒文件，這樣也算是病毒的一種簡易欺騙和自我保護(hù)方法 17:33:3447特洛伊

32、DLL n特洛伊DLL的工作原理是使用木馬DLL替換常用的DLL文件，通過函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL，截獲并處理特定的消息。n例如，我們知道WINDOWS的Socket1.x的函數(shù)都是存放在wsock32.dll中的，那么我們自己寫一個wsock32.dll文件，替換掉原先的wsock32.dll（將原先的DLL文件重命名為wsockold.dll）我們的wsock32.dll只做兩件事，一是如果遇到不認(rèn)識的調(diào)用，就直接轉(zhuǎn)發(fā)給wsockold.dll（使用函數(shù)轉(zhuǎn)發(fā)器forward）；二是遇到特殊的請求（事先約定的）就解碼并處理。這樣理論上只要木馬編寫者通過SOCKET遠(yuǎn)程輸入一定的暗

33、號，就可以控制wsock32.dll（木馬DLL）做任何操作 17:33:3448動態(tài)嵌入技術(shù) nDLL木馬的最高境界是動態(tài)嵌入技術(shù)，動態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。n理論上來說，在Windows中的每個進(jìn)程都有自己的私有內(nèi)存空間，別的進(jìn)程是不允許對這個私有空間進(jìn)行操作的，但是實(shí)際上，我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存n存在多種動態(tài)嵌入技術(shù)中：窗口Hook、掛接API、遠(yuǎn)程線程 17:33:3449遠(yuǎn)程線程技術(shù)n遠(yuǎn)程線程技術(shù)指的是通過在另一個進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個進(jìn)程的內(nèi)存地址空間。n在進(jìn)程中，可以通過CreateThread函數(shù)創(chuàng)建線程，被創(chuàng)

34、建的新線程與主線程（就是進(jìn)程啟動時被同時自動建立的那個線程）共享地址空間以及其他的資源n通過CreateRemoteThread也同樣可以在另一個進(jìn)程內(nèi)創(chuàng)建新線程，被創(chuàng)建的遠(yuǎn)程線程同樣可以共享遠(yuǎn)程進(jìn)程的地址空間，所以，實(shí)際上，我們通過一個遠(yuǎn)程線程，進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間，也就擁有了那個遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。n這種病毒難以處理。 17:33:3450文件隱藏n早期，把病毒文件屬性設(shè)為隱藏，修改文件不顯示隱藏文件。n高級階段通過HOOK文件讀取函數(shù)，自動隱藏病毒文件。n公開的主流檢測隱藏文件主要有兩種方法：第一種是文件系統(tǒng)層的檢測，屬于這一類的有Ice sword，darkspy，gmer等。

35、n第二種便是磁盤級別的低級檢測（Disk Low-Level Scanning），屬于這一類的ark也很多，典型代表為rootkit unhooker，filereg（is的插件），rootkit revealer，blacklight等。17:33:3451加殼n木馬再狡猾，可是一旦被殺毒軟件定義了特征碼，在運(yùn)行前就被攔截了。n要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當(dāng)于給木馬穿了件衣服，這樣殺毒軟件就認(rèn)不出來了，但有部分殺毒軟件會嘗試對常用殼進(jìn)行脫殼，然后再查殺。n除了被動的隱藏外，最近還發(fā)現(xiàn)了能夠主動和殺毒軟件對著干的殼，木馬在加了這種殼之后，一旦運(yùn)行，則外殼先得到程序控制權(quán)，由其通過各種手段對系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞，最后在確認(rèn)安全(殺毒軟件的