計算機(jī)病毒原理

計算機(jī)病毒原理第1頁，共39頁，2023年，2月20日，星期四什么是計算機(jī)病毒?“傳播”永遠(yuǎn)是第一位的～如同它的生物同類，計算機(jī)病毒也是一段可復(fù)制的電腦程序傳播的副產(chǎn)品－

消耗系統(tǒng)資源(CodeRed.A),破壞原始數(shù)據(jù)(I-Worm.Klez),泄密(I-Worm.Sircam)和侵蝕flash-BIOS（閃存）,癱瘓系統(tǒng).第2頁，共39頁，2023年，2月20日，星期四惡意程序歷史:“起源”1790sMid1951CharlesBabbadgeJohnvonNeumann一種自我無限制循環(huán)復(fù)制的數(shù)學(xué)理論1959L.S.Penrose雙次復(fù)制技術(shù)的空間性模擬運(yùn)算(“ScientificAmerican”)F.G.Stahl復(fù)制理論最初的實踐是在IBM650上1962BellLabsV.Vissotsky,G.MacIlroy,R.Morris制作“Darvin（磁心大戰(zhàn)）”的游戲第3頁，共39頁，2023年，2月20日，星期四惡意程序歷史:“萌發(fā)”19701974“Rabbit”onmainframes1975“Pervadinganimal”gameonUNIVAC1108FredKohen“ElkCloner”onApple2PCs198310.11.1983LehighUnv.“Virus”definition+demoCreeper/ReapercounterstrikeinARPAnet19811986“Brain”virus:the1stboot,PC-basedvirusBasitFarooqAlvi第4頁，共39頁，2023年，2月20日，星期四病毒–啟蒙期第一只計算機(jī)病毒

–“boot”（引導(dǎo)區(qū)）破壞者Boot/Brain.是一只通過磁盤引導(dǎo)記錄感染硬盤MBR記錄的病毒當(dāng)國際互聯(lián)網(wǎng)和網(wǎng)絡(luò)數(shù)據(jù)存儲成為主流，軟盤逐漸淡出交互介質(zhì)時，Bootviruses（引導(dǎo)區(qū)病毒）就走向沒落。今天,bootviruses不再時流行性病毒,然而還是有一些bootviruses存在(eg.Boot/NYB.A,Boot/Ripper.A,Boot/WYX.A)第5頁，共39頁，2023年，2月20日，星期四惡意程序歷史:“發(fā)展”1986198719881stvirusmyth(MikeRoChennel),MorrisWorminARPAnet“Jerusalem”epidemic:COM/EXEinfector1990Polymorphicviruses(Chameleon)Stealthviruses(Frodo,Whale)“Virdem”:COM-infectablevirus19891992“Win.Vir_1_4”–1stWindowsvirusRalfBurgerEugeneKasperskystartskillingviruses第6頁，共39頁，2023年，2月20日，星期四PCViruses的演化在bootviruses之后,病毒傳播迎來了一個以文件為主要介質(zhì)的時代

(MSDOS時代,主要通過.COM和.EXE格式的文件進(jìn)行傳播)顯然,boot區(qū)域

文件感染是可以同時存在的(eg.Tequila.2468.A,OneHalf.3544)在日臻成熟的病毒技術(shù)發(fā)展中,引導(dǎo)區(qū)改寫和文件寄生方式的感染這兩種攻擊技術(shù)也逐漸分離開并分別發(fā)展。第7頁，共39頁，2023年，2月20日，星期四惡意程序歷史:“發(fā)展”199519961997“Bliss”1stLinuxvirus“AEP”1stOS/2virus“Laroux”1stExcelvirus1999Wormerabegins:“Happy99”,“Melissa”“Concept”1stmacrovirus19982000“AccessiV”1stAccessvirus“Triplicate:cross-platformvirus“Rabbit”1stscriptvirus“ILoveYou”Palmattack–“Liberty”第8頁，共39頁，2023年，2月20日，星期四攻擊程序的進(jìn)化Macroviruses–第一只宏病毒被發(fā)現(xiàn)在1995(theWM/Concept.A被編寫于1994)打破了“文檔不會被病毒感染”這樣一個神話迅速成為計算機(jī)病毒的傳播途徑;宏病毒的攻擊重點一下集中在MicrosoftOffice應(yīng)用軟件上1999年3月26日–病毒史上應(yīng)該記住的一天，一種全新的病毒攻擊理念被一個病毒作者詮釋出來，此后的攻擊大多借鑒與此第9頁，共39頁，2023年，2月20日，星期四攻擊在持續(xù)...W97M/Melissa.A@mm讓這個世界在一天內(nèi)承受的病毒攻擊超過之前的任何一天該項攻擊技術(shù)被迅速應(yīng)用到VBS攻擊領(lǐng)域,從此以后郵件攻擊迅速取代傳統(tǒng)Officemacroviruses成為惡意程序制作個攻擊的主要手段更多VBSviruses以電子郵件為載體驚醒傳播–eg.VBS/LoveLetter.A@mm,VBS/VBSWG.J@mm,VBS/Stages.A@mm第10頁，共39頁，2023年，2月20日，星期四Win32不再安全在用戶一片要求加固WIN32架構(gòu)的呼聲中我們迎來了新世紀(jì)（2001）針對Win32的越來越多的攻擊使得2000年的世界顯得有些不知所措，電子郵件和WIN32文檔不再安寧,－Win32/Ska.A@m,Win32/MyPics.A@mm、Win32/ExploreZip.A@m第11頁，共39頁，2023年，2月20日，星期四網(wǎng)絡(luò)蠕蟲-Networkworms1988年“Morris”攻擊Sun和VAX主機(jī)揭開了這只計算機(jī)病毒的重要分支的面紗

事隔13年，沉寂多年的魔鬼再次顯露其猙獰的面孔，通過互聯(lián)網(wǎng)（不是電子郵件）發(fā)起沖擊－VBS/Netlog.Aworm局域網(wǎng)蠕蟲也成為一只不可忽視的攻擊(eg.Win32/ExploreZip.A@m)第12頁，共39頁，2023年，2月20日，星期四惡意程序歷史:“當(dāng)代”200120022003Numerousnetworkwormsattacks“Codered”filelessworm2004-2009…Helkern/Slammeroutbreak第13頁，共39頁，2023年，2月20日，星期四InternetWorms–

一個理念的革命大約在2001年7月13日,Win32/CodeRed.A下網(wǎng)CodeRed.A作為第一只以‘a(chǎn)-la-Morris方式進(jìn)行傳播的現(xiàn)代Internetworm它的理念被更多病毒作者所借鑒(隨后不久，以CodeRed.A的理念為藍(lán)本的另幾只蠕蟲被制作出來，其攻擊的方式都是以CodeRed.A為原型來改作，技術(shù)原理上相差不遠(yuǎn))以CodeRed.A為原型的蠕蟲如：Win32/Nimda@mmorWin32/SqlSpida。Win32/Slammer.A成為迄今已知的傳播速度最快的PCworm,從發(fā)起攻擊到命中90%的目標(biāo)前后不超過15分鐘。

第14頁，共39頁，2023年，2月20日，星期四“Malware”一個時髦術(shù)語誕生了。viruses和trojans過去被稱為“gray”程序的現(xiàn)在都通稱“malware”（惡意程序）惡意程序涵蓋了幾乎所有不受歡迎的程序。Spam（垃圾信息）,hoaxes（玩笑程序）,dialers（撥號器）,DoS攻擊攻擊,exploitsandhackingtools（黑客工具）ormail/newsflooders等現(xiàn)在都通稱malware反病毒軟件也被稱為“AntiMalware”第15頁，共39頁，2023年，2月20日，星期四一個有計劃自動運(yùn)行的計算機(jī)程序預(yù)謀的未知的運(yùn)行后造成計算機(jī)系統(tǒng)故障、數(shù)據(jù)竄改、丟失和破壞計算機(jī)病毒惡意程序第16頁，共39頁，2023年，2月20日，星期四一個有計劃自動運(yùn)行的計算機(jī)程序預(yù)謀的未知的運(yùn)行后造成計算機(jī)系統(tǒng)故障、數(shù)據(jù)竄改、丟失和破壞Computerviruses:+同源復(fù)制寄生惡意程序Networkworms:+同源個體復(fù)制Trojanhorses:+社會工程學(xué)混合攻擊(“Blended”Threats)第17頁，共39頁，2023年，2月20日，星期四惡意程序的運(yùn)行環(huán)境惡意程序存在的三條件

第18頁，共39頁，2023年，2月20日，星期四受歡迎并具有誘惑性的程序2.實用簡單內(nèi)容急需的文檔3.存在大量安全隱患和弱點的系統(tǒng)平臺基本條件具備以上三個條件，病毒攻擊的溫床就形成了。第19頁，共39頁，2023年，2月20日，星期四傳播流行起初,惡意程序是網(wǎng)絡(luò)黑客們用來為自己的作品提供更廣泛傳播和平滑地入侵各種系統(tǒng)平臺的手段極少使用的操作系統(tǒng)和應(yīng)用軟件:被惡意程序作為攻擊目標(biāo)的可能性

=

0%為廣泛應(yīng)用于市場和商用領(lǐng)域的操作系統(tǒng)和應(yīng)用軟件:被惡意程序作為攻擊目標(biāo)的可能性

=100%調(diào)查顯示大量的惡意程序是針對

Windows和

Linux操作系統(tǒng)以及在上面運(yùn)行的各種應(yīng)用軟件第20頁，共39頁，2023年，2月20日，星期四文檔當(dāng)文檔的內(nèi)容包含了計算機(jī)的程序規(guī)則和服務(wù)規(guī)則時，這種類型的文檔就成了合法用戶和黑客們所共需的了例如,大多數(shù)移動電話使用者是不會和他人共享文檔和信息的（智能手機(jī)出外），這樣黑客和正常的使用者都無法利用這種平臺來進(jìn)行文檔交互。

結(jié)論:一般的普通手機(jī)是不會受到惡意程序的攻擊的另一方面,一些移動電話的使用者大量的和環(huán)境進(jìn)行信息和文檔交互操作，這方面在智能手機(jī)和手機(jī)操作系統(tǒng)出現(xiàn)后更為突出結(jié)論:2004年出現(xiàn)了第一只攻擊SymbianandWindowsCE操作系統(tǒng)的病毒第21頁，共39頁，2023年，2月20日，星期四警惕未知…安全的基本守則：千萬不要忽視您所不了解的未知和新的程序和文檔可能帶來的不協(xié)調(diào)的東西，警惕那些存在潛在危險的服務(wù)。結(jié)論:信息交互越頻繁，系統(tǒng)受到的安全挑戰(zhàn)越大通過Java調(diào)試啟動“sandbox”模式來檢測那些未知的不可靠的代碼和程序第22頁，共39頁，2023年，2月20日，星期四惡意程序分述經(jīng)典病毒（Computerviruses）網(wǎng)絡(luò)蠕蟲（Networkworms）木馬程序（Trojanprograms）第23頁，共39頁，2023年，2月20日，星期四病毒病毒攻擊的平臺:MS-DOSWindowsUnix\LinuxVBAScript(VBS,JavaScript,BAT,PHPetc)病毒活動的基本范圍:文件系統(tǒng)（File）引導(dǎo)區(qū)（Boot）Macro文件Script第24頁，共39頁，2023年，2月20日，星期四經(jīng)典病毒感染方法寄生(預(yù)設(shè)－文件頭、懸掛－文件尾、插入－文件體)伴生（重命名原文件－拷備病毒體、修改原程序或文件調(diào)用順序）復(fù)寫（反編譯技術(shù)的濫用）鏈接(NTFS數(shù)據(jù)流)第25頁，共39頁，2023年，2月20日，星期四蠕蟲一些“病毒的同伙”是通過網(wǎng)絡(luò)進(jìn)行傳播的，但它們并不修改磁盤傷得文件和扇區(qū)。.它們小心算計這網(wǎng)絡(luò)的各個通路的節(jié)點，從一個內(nèi)存進(jìn)入另一個內(nèi)存，腳不沾地地在網(wǎng)路中游蕩這些“病毒”(嚴(yán)格意義上：蠕蟲并不是病毒)有點會出現(xiàn)在系統(tǒng)中，但卻并不申請系統(tǒng)的資源（內(nèi)存出外）第26頁，共39頁，2023年，2月20日，星期四蠕蟲Email-Worm(電子郵件群組)

一封附掛帶病毒附件的電子郵件群發(fā)有聯(lián)系的電子郵件地址，一旦感染它會強(qiáng)迫受害者繼續(xù)發(fā)送副本郵件。并且迅速將病毒體復(fù)制到本地硬盤上的Windows或Windows系統(tǒng)文件夾，同時修改注冊表啟動項或者WIN.INI或SYSTEM.INI文件，以保障病毒在操作系統(tǒng)下次啟動時繼續(xù)占據(jù)心頭內(nèi)存。另外，搜索本地郵件地址簿和儲存在磁盤上的還有電子郵件地址的文件內(nèi)容，將其中的電子郵件地址作為下次繼續(xù)發(fā)送帶毒郵件的列表。該類蠕蟲有時也會自帶簡單的郵件發(fā)送引擎來實現(xiàn)病毒郵件的自動發(fā)送。第27頁，共39頁，2023年，2月20日，星期四蠕蟲ICQ-Worm,MSN-Worm(InstantMessengerWorm)AInstantMessengerworm的攻擊通常立足于及時通訊網(wǎng)絡(luò)(IM)。這種網(wǎng)絡(luò)上運(yùn)行的一些軟件時該類蠕蟲的重點-ICQ,MSN,Yahoo!,AOL和其他。IMworm一旦激活,通常會自動搜本地及時通訊軟件的地址簿并通過地址群發(fā)帶毒蠕蟲。某些蠕蟲利用社會工程學(xué)和各種陷阱技術(shù)誘使受害者點擊運(yùn)行并拷備蠕蟲副本。還有一些IMworms可以智能分析及時通訊服務(wù)器上的漏洞，進(jìn)行弱點攻擊，并利用該類服務(wù)器的弱點發(fā)送垃圾信息.第28頁，共39頁，2023年，2月20日，星期四蠕蟲IRC-WormIRCworm通常使用用戶的IRC網(wǎng)絡(luò)來傳播。

一些類蠕蟲通過感染IRC服務(wù)器來達(dá)到感染和傳播的目的.更多的是通過IRC客戶端來傳播。通常時候，當(dāng)IRC用戶聯(lián)入任何IRC服務(wù)器后，IRCworm會立即產(chǎn)駁倒這個服務(wù)器。某些IRCworms同時是backdoor程序和木馬程序.第29頁，共39頁，2023年，2月20日，星期四蠕蟲P2P-WormApeer-to-peernetwork(P2P)worm的攻擊通常立足于P2P(peer-to-peer)網(wǎng)絡(luò)。

一些著名的P2P網(wǎng)絡(luò)是他們主要工基地戰(zhàn)場-Gnutella,Kazaa,Morpheus等。有很多的P2P-Worm是通過KazaaP2P網(wǎng)絡(luò)進(jìn)行攻擊.他們通常在Kazaa客戶端的共享文件夾制作一個具有誘惑力的副本,來等待受害者的訪問下載或直接執(zhí)行。當(dāng)蠕蟲副本備下載訪問或者直接執(zhí)行，則會被傳播到另一個虛擬網(wǎng)絡(luò)區(qū)域中。

這種類型的傳播一個無休止的環(huán)第30頁，共39頁，2023年，2月20日，星期四蠕蟲LAN-Worm顧名思義，該類蠕蟲的攻擊是作用于LAN(本地局域網(wǎng)絡(luò)).他們往往是從局域網(wǎng)的一個計算機(jī)項另一臺計算機(jī)的共享文件夾進(jìn)行傳播他們NetBios服務(wù)，利用137和139網(wǎng)絡(luò)端口進(jìn)行傳播。他們也可以修改遠(yuǎn)程計算機(jī)的Windows.ini類型文件。Windows9x的操作系統(tǒng)最容易收到這種蠕蟲的攻擊第31頁，共39頁，2023年，2月20日，星期四蠕蟲傳播人為因素(社會工程學(xué))弱點漏洞強(qiáng)力傳播（前門攻擊）第32頁，共39頁，2023年，2月20日，星期四TrojansArchBomb

（邏輯炸彈）Backdoor（后門程序）Trojan-PSW（密碼小偷）Trojan-Clicker（誤導(dǎo)木馬/廣告木馬）Trojan-Downloader（下載木馬）Trojan-Dropper（木馬包裹）Trojan-Notifier（告密木馬）Trojan-Spy（間諜木馬）Trojan-Proxy（代理木馬）Trojan-Dialer（撥號木馬）Bot（IRC-Backdoor傀儡蟲）其他類第33頁，共39頁，2023年，2月20日，星期四TrojansTrojan-Dropper（木馬包裹）Trojan-Downloader（下載木馬）Trojandropper可以在一個操作系統(tǒng)中同時調(diào)用多種不同種類的惡意程序。一個標(biāo)準(zhǔn)的Trojandropper一般是用一個很小的打包文件，把多個惡意程序集合集合在一起（trojans,worm,backboor)這種木馬一旦被激活，則被它封閉在文件中的各種惡意程序就一起釋放出來，一般都是釋放在系統(tǒng)臨時緩存文件夾。并開始同時運(yùn)行。Trojandownloader

通常是黑客用以掩蓋通過網(wǎng)站和FTP網(wǎng)站用來下載相關(guān)木馬程序真實目，同時下載并運(yùn)行所需惡意程序的工具。Trojandownloader可以在用戶不知情地情況下自動下載木馬或者后門程序并激活第34頁，共39頁，2023年，2月20日，星期四TrojansTrojan-PSW（密碼小偷）Trojan-Spy（間諜木馬）盜竊密碼地木馬程序一般利用一個安裝在系統(tǒng)重的后門程序和一個鍵盤記錄器來工作。當(dāng)用戶通過鍵盤來輸入密碼地時候，隱藏在windows系統(tǒng)內(nèi)存中地鍵盤記錄模塊就開始工作了。隨后把密碼數(shù)據(jù)儲存到鍵盤記錄模塊地數(shù)據(jù)庫中并立即發(fā)送給黑客。一般在發(fā)送密碼地同時也會發(fā)送受害者地主機(jī)IP、RAS(路由轉(zhuǎn)換)和網(wǎng)絡(luò)架構(gòu)。

這樣地后果就是黑客可以自由地進(jìn)出受害者地主機(jī)，同時還可以利用受害者地網(wǎng)絡(luò)資源來進(jìn)行更廣泛地犯罪行為。第35頁，共39頁，2023年，2月20日，星期四TrojansTrojan-Clicker誤導(dǎo)木馬/廣告木馬）Trojan-Notifier（告密木馬）TrojanClicker一般隱藏在系統(tǒng)內(nèi)存中，并常常試圖鏈接某些特定網(wǎng)站，以增加訪問量賺取更大地利潤。一些Tr