網(wǎng)絡(luò)病毒分析

網(wǎng)絡(luò)與信息安全技術(shù)計(jì)算機(jī)病毒分析2/1/202311計(jì)算機(jī)病毒的狀態(tài)計(jì)算機(jī)病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)靜態(tài)病毒，是指存在于輔助存儲(chǔ)介質(zhì)中的計(jì)算機(jī)病毒，一般不能執(zhí)行病毒的破壞或表現(xiàn)功能，其傳播只能通過文件下載(拷貝)實(shí)現(xiàn)因?yàn)殪o態(tài)病毒尚未被加載、尚未進(jìn)入內(nèi)存，不可能獲取系統(tǒng)的執(zhí)行權(quán)限病毒之所以處于靜態(tài)，有兩種可能沒有用戶啟動(dòng)該病毒或運(yùn)行感染了該病毒的文件該病毒存在于不可執(zhí)行它的系統(tǒng)中當(dāng)病毒完成初始引導(dǎo)，進(jìn)入內(nèi)存后，便處于動(dòng)態(tài)。動(dòng)態(tài)病毒本身處于運(yùn)行狀態(tài)，通過截流盜用系統(tǒng)中斷等方式監(jiān)視系統(tǒng)運(yùn)行狀態(tài)或竊取系統(tǒng)控制權(quán)。病毒的主動(dòng)傳染和破壞作用，都是動(dòng)態(tài)病毒的“杰作”2/1/202321計(jì)算機(jī)病毒的狀態(tài)計(jì)算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換病毒由靜態(tài)轉(zhuǎn)變?yōu)閯?dòng)態(tài)的過程，稱為病毒的啟動(dòng)。實(shí)際上，病毒的啟動(dòng)過程就是病毒的首次激活過程內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)行機(jī)制所執(zhí)行時(shí)，動(dòng)態(tài)病毒就處于可激活態(tài)一般而言，動(dòng)態(tài)病毒都是可激活的系統(tǒng)正在執(zhí)行病毒代碼時(shí)，動(dòng)態(tài)病毒就處于激活態(tài)病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài)對(duì)于處于不同狀態(tài)的病毒，應(yīng)采用不同的分析、清除手段2/1/202331計(jì)算機(jī)病毒的狀態(tài)計(jì)算機(jī)病毒的基本流程與狀態(tài)轉(zhuǎn)換2/1/202342計(jì)算機(jī)病毒的基本環(huán)節(jié)計(jì)算機(jī)病毒要完成一次完整的傳播破壞過程，必須經(jīng)過以下幾個(gè)環(huán)節(jié)：分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延2/1/20235病毒的目的快速傳染隱藏自己變形2/1/20236病毒感染的一般過程

計(jì)算機(jī)病毒的感染過程與生物學(xué)病毒的感染過程非常相似，它寄生在宿主程序中，進(jìn)入計(jì)算機(jī)，并借助操作系統(tǒng)和宿主程序的運(yùn)行，復(fù)制自身，大量繁殖。計(jì)算機(jī)病毒感染的一般過程為：①當(dāng)計(jì)算機(jī)運(yùn)行染毒的宿主程序時(shí)，病毒奪取控制權(quán)。②尋找感染的突破口。③將病毒程序嵌入感染目標(biāo)中。2/1/20237文件型病毒傳染原理和特征2/1/20238核心態(tài)與用戶態(tài)操作系統(tǒng)代碼、設(shè)備驅(qū)動(dòng)程序代碼使用特權(quán)級(jí)0(Ring0)，工作于系統(tǒng)核心態(tài)普通的用戶程序使用特權(quán)極3(Ring3)，工作在用戶態(tài)Windows2000/XP下普通應(yīng)用程序?qū)诵膽B(tài)功能的調(diào)用示意2/1/20239獲取API函數(shù)地址Win32程序一般運(yùn)行在Ring3級(jí)，處于保護(hù)模式Win32下的系統(tǒng)功能調(diào)用，不是通過中斷實(shí)現(xiàn)，而是通過調(diào)用動(dòng)態(tài)連接庫中的API函數(shù)實(shí)現(xiàn)Win32PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實(shí)現(xiàn)某些功能，但是對(duì)于Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址2/1/202310搜索感染目標(biāo)文件搜索文件是病毒尋找目標(biāo)文件的非常重要的功能在Win32匯編中，通常采用如下幾個(gè)API函數(shù)進(jìn)行文件搜索FindFirstFile根據(jù)文件名查找文件FindNextFile根據(jù)調(diào)用FindFirstFile函數(shù)時(shí)指定的一個(gè)文件名查找下一個(gè)文件FindClose用來關(guān)閉由FindFirstFile函數(shù)創(chuàng)建的一個(gè)搜索句柄2/1/202311病毒感染技術(shù)感染是一個(gè)病毒賴以長(zhǎng)期存活的根本，所以要大規(guī)模的搜索，感染感染再感染！FindFirstFile，F(xiàn)indNextFile，F(xiàn)indClose，除非你hook了某些系統(tǒng)API（參考Win32.Kriz)，否則這三個(gè)API是Win32病毒必備的、搜索再搜索，感染再感染。目前Win32病毒分為兩個(gè)主流，一類最常見，覆蓋host程序最后一個(gè)section的relocation，或者干脆直接綴在最后一個(gè)section后面，把它擴(kuò)大一些。這種技術(shù)很簡(jiǎn)單，例子可參見Funlove，有著復(fù)雜的polymorphism引擎，體積比較大的病毒一般也都用這種技術(shù)。第二類就是像Elkern那樣把自己盡可能地插進(jìn)host體內(nèi)，盡可能地插，對(duì)于VC編譯出來的PE文件，它的filealignment是4K，所以section之間的空隙加起來很可能有4，5K，足可以容下一個(gè)Win32病毒。這種技術(shù)比較麻煩一些，調(diào)試也復(fù)雜，主要流行的有Elkern。2/1/202312蠕蟲傳染原理2/1/202313蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細(xì)分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞MIME描述漏洞2/1/202314蠕蟲與漏洞網(wǎng)頁蠕蟲（木馬）主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個(gè)包含特殊代碼的頁面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波、沖擊波殺手利用LSASS溢出漏洞的震蕩波、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲2/1/202315蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”2/1/202316蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計(jì)算機(jī)中掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然后對(duì)這一地址段上的主機(jī)進(jìn)行掃描沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過程，大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞對(duì)掃描策略的改進(jìn)在IP地址段的選擇上，可以主要針對(duì)當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描，對(duì)外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描對(duì)掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描把掃描分散在不同的時(shí)間段進(jìn)行2/1/202317蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機(jī)掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)2/1/202318感染的主機(jī)數(shù)與感染強(qiáng)度示意圖2/1/202319木馬的傳染方式2/1/202320特洛伊木馬的定義特洛伊木馬(TrojanHorse)，簡(jiǎn)稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進(jìn)入被攻擊的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)控2/1/202321特洛伊木馬的定義木馬與病毒一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特點(diǎn)而定義的特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義的，更多情況下是根據(jù)其意圖來定義的木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程序中得到安裝、啟動(dòng)木馬的權(quán)限，DLL木馬甚至采用動(dòng)態(tài)嵌入技術(shù)寄生在合法程序的進(jìn)程中木馬一般不具有普通病毒所具有的自我繁殖、主動(dòng)感染傳播等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說，木馬也是廣義病毒的一個(gè)子類木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性2/1/202322特洛伊木馬的結(jié)構(gòu)木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成2/1/202323特洛伊木馬的基本原理運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過程2/1/202324特洛伊木馬的基本原理用netstat查看木馬打開的端口2/1/202325特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址由于木馬端口是事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得服務(wù)端的IP地址獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描2/1/202326特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立2/1/202327特洛伊木馬的基本原理木馬通道與遠(yuǎn)程控制木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會(huì)出現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本地操作2/1/202328特洛伊木馬的基本原理木馬的基本原理特洛伊木馬包括客戶端和服務(wù)器端兩個(gè)部分，也就是說，木馬其實(shí)是一個(gè)服務(wù)器-客戶端程序攻擊者通常利用一種稱為綁定程序(exe-binder)的工具將木馬服務(wù)器綁定到某個(gè)合法軟件上，誘使用戶運(yùn)行合法軟件。只要用戶運(yùn)行該軟件，特洛伊木馬的服務(wù)器就在用戶毫無察覺的情況下完成了安裝過程攻擊者要利用客戶端遠(yuǎn)程監(jiān)視、控制服務(wù)器，必需先建立木馬連接；而建立木馬連接，必需先知道網(wǎng)絡(luò)中哪一臺(tái)計(jì)算機(jī)中了木馬獲取到木馬服務(wù)器的信息之后，即可建立木馬服務(wù)器和客戶端程序之間的聯(lián)系通道，攻擊者就可以利用客戶端程序向服務(wù)器程序發(fā)送命令，達(dá)到操控用戶計(jì)算機(jī)的目的2/1/202329特洛伊木馬的傳播方式木馬常用的傳播方式，有以下幾種：以郵件附件的形式傳播控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人通過OICQ、QQ等聊天工具軟件傳播在進(jìn)行聊天時(shí)，利用文件傳送功能發(fā)送偽裝過的木馬程序給對(duì)方通過提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播木馬程序一般非常小，只有是幾K到幾十K，如果把木馬捆綁到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這些下載的文件的同時(shí)，也運(yùn)行了木馬通過一般的病毒和蠕蟲傳播通過帶木馬的磁盤和光盤進(jìn)行傳播2/1/202330特洛伊木馬技術(shù)的發(fā)展木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個(gè)階段Unix階段Windows階段木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一代木馬只是進(jìn)行簡(jiǎn)單的密碼竊取、發(fā)送等，沒有什么特別之處第二代木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說是國內(nèi)木馬的典型代表之一第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度第四代木馬在進(jìn)程隱藏方面，做了很大的改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程；或者掛接PSAPI(ProcessStatusAPI)，實(shí)現(xiàn)木馬程序的隱藏2/1/202331U盤病毒的特點(diǎn)隨著U盤等移動(dòng)存儲(chǔ)介質(zhì)使用的越來越廣泛，它已經(jīng)成為木馬、病毒等傳播的主要途徑之一。U盤病毒，并不是單指某一種病毒，也不是說只是通過U盤傳播的病毒，而是泛指所有通過移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播的病毒事實(shí)上它可以通過系統(tǒng)上所有的分區(qū)進(jìn)行傳播,只是因?yàn)楹芏鄷r(shí)候它們都表現(xiàn)在U盤上，所以我們才統(tǒng)稱這些病毒為U盤病毒

目前U盤病毒傳播的方式主要有以下幾種：1、通過autorun.inf文件進(jìn)行傳播的(目前U盤病毒最普遍的傳播方式）2、偽裝成其他文件，病毒把U盤下所有文件夾隱藏，并把自己復(fù)制成與原文件夾名稱相同的具有文件夾圖標(biāo)的文件，當(dāng)你點(diǎn)擊時(shí)病毒會(huì)執(zhí)行自身并且打開隱藏的該名稱的文件夾。

3、通過可執(zhí)行文件感染傳播，很古老的一種傳播手段，但是依然有效。2/1/2023321.關(guān)鍵文件Autorun.infAutorun.inf文件本身并不是病毒，它是自動(dòng)運(yùn)行的一個(gè)配置文件。這個(gè)文件通常在驅(qū)動(dòng)器的根目錄下(是一個(gè)隱藏的系統(tǒng)文件)，文件的內(nèi)容包含著一些簡(jiǎn)單的命令，告訴系統(tǒng)這個(gè)新插入的光盤或硬件應(yīng)該自動(dòng)啟動(dòng)什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標(biāo)改成某個(gè)路徑下的圖標(biāo)，它的格式通常是下面這樣：[AutoRun]open=auto.exe//自動(dòng)運(yùn)行auto.exe程序shellexecute=auto.exe//啟動(dòng)指定的auto.exeshell\Auto\command=auto.exe//定義設(shè)備右鍵菜單執(zhí)行命令行，右鍵U盤的時(shí)候會(huì)出現(xiàn)auto菜單2/1/2023331.關(guān)鍵文件Autorun.inf由于windows系統(tǒng)中的自動(dòng)播放功能默認(rèn)情況下是處于未配置的狀態(tài)。這就使得只要在機(jī)器上接入移動(dòng)的存儲(chǔ)介質(zhì)，就會(huì)自動(dòng)的播放。這個(gè)原因也是導(dǎo)致U盤病毒傳播的一個(gè)最主要的因素。我們只要在U盤的根目錄下建立autorun.inf文件和某些特定的執(zhí)行程序，并把執(zhí)行程序的路徑和名字寫到autorun.inf文件中，就可以在U盤插入系統(tǒng)后自動(dòng)運(yùn)行該執(zhí)行文件，而這些執(zhí)行程序可以是任何我們想要它運(yùn)行程序（病毒、木馬、灰色軟件等等）。2/1/202334解決辦法

---11、關(guān)閉“ShellHardwareDetection”服務(wù)，關(guān)閉這個(gè)服務(wù)后再放入光盤或U盤時(shí)系統(tǒng)將不再掃描這些移動(dòng)介質(zhì)的內(nèi)容，也就不會(huì)運(yùn)行Autorun.inf中所配置的文件了。關(guān)閉服務(wù)的方法如下：?jiǎn)螕糸_始菜單的運(yùn)行，輸入“services.msc”（也可以通過點(diǎn)擊開始->設(shè)置->控制面板->管理工具->服務(wù)）來打開服務(wù)窗口，在窗口右側(cè)顯示的內(nèi)容中找到“名稱”列，在“名稱”列里找到“ShellHardwareDetection”（可以隨便單擊一下“名稱”列里的內(nèi)容，再按鍵盤上的S鍵，快速地定位），單擊右鍵，再單擊屬性彈出屬性對(duì)話框，先選擇停止，然后在常規(guī)選項(xiàng)卡里的“啟動(dòng)類型(E)”右邊的下拉菜單中選擇“已禁用”，最后確定退出，重啟計(jì)算機(jī)即可。2/1/202335解決辦法

---22、關(guān)閉windows的自動(dòng)播放功能，方法如下：在開始、運(yùn)行中輸入gpedit.msc后回車。會(huì)出現(xiàn)組策略的控制窗口，在該窗口中選擇計(jì)算機(jī)設(shè)置->管理模板->系統(tǒng)->關(guān)閉自動(dòng)播放，雙擊關(guān)閉自動(dòng)播放，然后選擇已啟用，選擇關(guān)閉所有驅(qū)動(dòng)器。2/1/202336解決辦法

---33、修改注冊(cè)表來禁止自動(dòng)播放，方法如下：在開始運(yùn)行中輸入regedit.exe后回車，調(diào)出注冊(cè)表編輯器，定位到[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer]進(jìn)行修改。"NoDriveTypeAutoRun"指定按設(shè)備類型禁止自動(dòng)播放。1：未知類型，4：可移動(dòng)磁盤，8：硬盤，10：網(wǎng)絡(luò)驅(qū)動(dòng)器，20：光驅(qū)，40：RAM驅(qū)動(dòng)器，80：未知類型，F(xiàn)F：所有類型。若要禁止某一類型自動(dòng)播放，直接使用對(duì)應(yīng)的值，若要禁止幾種類型，則使用它們數(shù)值相加的值，如95=1+4+10+80，91=1+10+80，b5=1+4+10+20+80。"NoDriveAutoRun"指定按盤符禁止自動(dòng)播放。相關(guān)設(shè)置可以參考NoDrives值，最大值為hex:ff,ff,ff,03，禁止所有盤自動(dòng)播放。2/1/2023372.披著各種偽裝的U盤病毒

U盤原來存在的文件夾全部被隱藏，取而代之的是一個(gè)偽裝成文件夾圖標(biāo)的EXE文件。因?yàn)椴僮飨到y(tǒng)缺省情況下，并不顯示已知文件類型的文件擴(kuò)展名，也就是說類似于“我的工作報(bào)告.exe”的程序，缺省情況下我們只看到“我的工作報(bào)告”，并且這個(gè)文件看上去就是個(gè)文件夾，很多人就會(huì)去直接雙擊訪問。又是Windows缺省設(shè)置在幫助病毒傳播者欺騙用戶，缺省情況下windows不顯示文件擴(kuò)展名。U盤病毒偽裝者利用社會(huì)工程學(xué)成功的入侵了超過50萬臺(tái)PC。2/1/202338解決辦法如果你修改了文件夾選項(xiàng)，配置了顯示文件的擴(kuò)展名，這個(gè)文件夾偽裝者就會(huì)露出真面目2/1/202339病毒高級(jí)技術(shù)2/1/202340駐留在內(nèi)存為了生存，病毒要盡可能長(zhǎng)時(shí)間地駐留在內(nèi)存中，而不是host程序一結(jié)束就完蛋了。有三種種方法，一是象Funlove那樣在系統(tǒng)目錄里釋放一個(gè)文件，并修改注冊(cè)表或者建立一個(gè)系統(tǒng)服務(wù)。這種方式很普通，也很普遍，大多數(shù)病毒包括蠕蟲都這么干。另一種方式則是感染所有的已運(yùn)行進(jìn)程。在Win2K下很容易實(shí)現(xiàn),CreateRemoteThread，但要想在所有Win32平臺(tái)下實(shí)現(xiàn)，則要比較高的技巧。工作在ring0病毒，內(nèi)核模式病毒。2/1/202341內(nèi)核模式病毒W(wǎng)indowsNT/2K環(huán)境下第一個(gè)以內(nèi)核模式驅(qū)動(dòng)程序運(yùn)行，并駐留內(nèi)存的寄生型病毒是Infis.Infis作為內(nèi)核模式驅(qū)動(dòng)程序駐留內(nèi)存，并且掛鉤文件操作，它能夠在文件打開時(shí)立即感染該文件。安裝程序把病毒拷貝到系統(tǒng)內(nèi)存中，并在系統(tǒng)注冊(cè)表中添加該病毒的注冊(cè)項(xiàng)。該病毒把自己的可執(zhí)行代碼連同自己的PE文件頭一起追加到目標(biāo)文件的末尾，然后從自己代碼中提取出一個(gè)名為INF.SYS的獨(dú)立驅(qū)動(dòng)程序，把這個(gè)程序保存在%SystemRoot%\system32\drivers目錄下，修改注冊(cè)表，保證下一次系統(tǒng)啟動(dòng)時(shí)病毒也能夠進(jìn)入運(yùn)行狀態(tài)。2/1/202342檢測(cè)方法檢查系統(tǒng)驅(qū)動(dòng)程序列表中已經(jīng)裝入的驅(qū)動(dòng)程序的名稱，如果在驅(qū)動(dòng)程序列表中發(fā)現(xiàn)了病毒驅(qū)動(dòng)程序，說明基本上感染了病毒病毒可能使用隱藏技術(shù)避免在驅(qū)動(dòng)程序列表中出現(xiàn)，需要通過計(jì)算機(jī)管理器中的驅(qū)動(dòng)程序列表。2/1/202343病毒的隱藏技術(shù)隱藏是病毒的天性，在業(yè)界對(duì)病毒的定義里，“隱蔽性”就是病毒的一個(gè)最基本特征，任何病毒都希望在被感染的計(jì)算機(jī)中隱藏起來不被發(fā)現(xiàn)，因?yàn)椴《径贾挥性诓槐话l(fā)現(xiàn)的情況下，才能實(shí)施其破壞行為。為了達(dá)到這個(gè)目的，許多病毒使用了各種不同的技術(shù)來躲避反病毒軟件的檢驗(yàn)，這樣就產(chǎn)生了各種各樣令普通用戶頭痛的病毒隱藏形式。隱藏窗口&隱藏進(jìn)程&隱藏文件桌面看不到任務(wù)管理器中不可見文件中看不到2/1/202344進(jìn)程隱藏Windows9x中的任務(wù)管理器是不會(huì)顯示服務(wù)類進(jìn)程，結(jié)果就被病毒鉆了空子，病毒將自身注冊(cè)為“服務(wù)進(jìn)程”，可以躲避用戶的監(jiān)視。Windows2000/xp/2003等操作系統(tǒng)上已經(jīng)無效了，直接使用系統(tǒng)自帶的任務(wù)管理器便能發(fā)現(xiàn)和迅速終止進(jìn)程運(yùn)行。2/1/202345通過DLL實(shí)現(xiàn)進(jìn)程隱藏Windows系統(tǒng)的另一種“可執(zhí)行文件”----DLL，DLL文件沒有程序邏輯，是由多個(gè)功能函數(shù)構(gòu)成，它并不能獨(dú)立運(yùn)行，一般都是由進(jìn)程加載并調(diào)用的。運(yùn)行DLL文件最簡(jiǎn)單的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自帶的動(dòng)態(tài)鏈接庫工具，可以用來在命令行下執(zhí)行動(dòng)態(tài)鏈接庫中的某個(gè)函數(shù)，Rundll32的使用方法如下：

Rundll32DllFileName

FuncName

例如我們編寫了一個(gè)MyDll.dll，這個(gè)動(dòng)態(tài)鏈接庫中定義了一個(gè)MyFunc的函數(shù)，那么，我們通過Rundll32.exeMyDll.dll

MyFunc就可以執(zhí)行MyFunc函數(shù)的功能。

假設(shè)我們?cè)贛yFunc函數(shù)中實(shí)現(xiàn)了病毒的功能，那么我們不就可以通過Rundll32來運(yùn)行這個(gè)病毒了么？在系統(tǒng)管理員看來，進(jìn)程列表中增加的是Rundll32.exe而并不是病毒文件，這樣也算是病毒的一種簡(jiǎn)易欺騙和自我保護(hù)方法2/1/202346特洛伊DLL特洛伊DLL的工作原理是使用木馬DLL替換常用的DLL文件，通過函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL，截獲并處理特定的消息。例如，我們知道WINDOWS的Socket1.x的函數(shù)都是存放在wsock32.dll中的，那么我們自己寫一個(gè)wsock32.dll文件，替換掉原先的wsock32.dll（將原先的DLL文件重命名為wsockold.dll）我們的wsock32.dll只做兩件事，一是如果遇到不認(rèn)識(shí)的調(diào)用，就直接轉(zhuǎn)發(fā)給wsockold.dll（使用函數(shù)轉(zhuǎn)發(fā)器forward）；二是遇到特殊的請(qǐng)求（事先約定的）就解碼并處理。這樣理論上只要木馬編寫者通過SOCKET遠(yuǎn)程輸入一定的暗號(hào)，就可以控制wsock32.dll（木馬DLL）做任何操作2/1/202347動(dòng)態(tài)嵌入技術(shù)DLL木馬的最高境界是動(dòng)態(tài)嵌入技術(shù)，動(dòng)態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。理論上來說，在Windows中的每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，別的進(jìn)程是不允許對(duì)這個(gè)私有空間進(jìn)行操作的，但是實(shí)際上，我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存存在多種動(dòng)態(tài)嵌入技術(shù)中：窗口Hook、掛接API、遠(yuǎn)程線程2/1/202348遠(yuǎn)程線程技術(shù)遠(yuǎn)程線程技術(shù)指的是通過在另一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。在進(jìn)程中，可以通過CreateThread函數(shù)創(chuàng)建線程，被創(chuàng)建的新線程與主線程（就是進(jìn)程啟動(dòng)時(shí)被同時(shí)自動(dòng)建立的那個(gè)線程）共享地址空間以及其他的資源通過CreateRemoteThread也同樣可以在另一個(gè)進(jìn)程內(nèi)創(chuàng)建新線程，被創(chuàng)建的遠(yuǎn)程線程同樣可以共享遠(yuǎn)程進(jìn)程的地址空間，所以，實(shí)際上，我們通過一個(gè)遠(yuǎn)程線程，進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間，也就擁有了那個(gè)遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。這種病毒難以處理。2/1/202349文件隱藏早期，把病毒文件屬性設(shè)為隱藏，修改文件不顯示隱藏文件。高級(jí)階段通過HOOK文件讀取函數(shù)，自動(dòng)隱藏病毒文件。公開的主流檢測(cè)隱藏文件主要有兩種方法：第一種是文件系統(tǒng)層的檢測(cè)，屬于這一類的有Icesword，darkspy，gmer等。第二種便是磁盤級(jí)別的低級(jí)檢測(cè)（DiskLow-LevelScanning），屬于這一類的ark也很多，典型代表為rootkit

unhooker，filereg（is的插件），rootkitrevealer，blacklight等。2/1/202350加殼木馬再狡猾，可是一旦被殺毒軟件定義了特征碼，在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當(dāng)于給木馬穿了件衣服，這樣殺毒軟件就認(rèn)不出來了，但有部分殺毒軟件會(huì)嘗試對(duì)常用殼進(jìn)行脫殼，然后再查殺。除了被動(dòng)的隱藏外，最近還發(fā)現(xiàn)了能夠主動(dòng)和殺毒軟件對(duì)著干的殼，木馬在加了這種殼之后，一旦運(yùn)行，則外殼先得到程序控制權(quán)，由其通過各種手段對(duì)系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞，最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己"體內(nèi)"的木馬體并執(zhí)行之。2/1/202351AV終結(jié)者Autorun.inf

一個(gè)暗藏殺機(jī)的文本格式，以至于有些殺軟都加入病毒庫，傳播U盤病毒的罪魁禍?zhǔn)?，很多情況下我們把它視為敵人，如果配合系統(tǒng)默認(rèn)的"自動(dòng)播放"功能,那激活病毒的機(jī)率將會(huì)是100%。線程插入全名叫“遠(yuǎn)程創(chuàng)建