病毒的發(fā)展與技術(shù)計算機(jī)病毒的發(fā)展過程

病毒的開展與技術(shù)主講人：彭國軍計算機(jī)病毒的特點傳染性破壞性寄生性隱蔽性程序性〔可執(zhí)行性〕埋伏性可觸發(fā)性衍生性欺騙性不可預(yù)見性什么是計算機(jī)病毒？一組具有可以進(jìn)展自我傳播的破壞性代碼或程序。計算機(jī)病毒的開展過程20世紀(jì)60年代初，美國貝爾實驗室三個年輕的程序員編寫了一個名為“磁芯大戰(zhàn)〞的游戲，游戲中的一方經(jīng)過復(fù)制本身來擺脫對方的控制，這就是所謂“計算機(jī)病毒第一個雛形。20世紀(jì)70年代，美國作家雷恩在其出版的<P1的青春>一書中構(gòu)思了一種可以自我復(fù)制的計算機(jī)程序，并第一次稱之為“計算機(jī)病毒〞。計算機(jī)病毒的開展過程到了20世紀(jì)80年代后期，巴基斯坦有兩個以編軟件為生的兄弟〔也就是如今的程序員〕，他們?yōu)榱舜驌裟切┍I版軟件的運用者，設(shè)計出了一個名為“巴基斯坦智囊〞的病毒，該病毒只傳染軟盤引導(dǎo)區(qū)。這就是最早在世界上流行的第一個真正的病毒。1988年至1989年，我國也相繼出現(xiàn)了能感染硬盤和軟盤引導(dǎo)區(qū)的Stoned〔石頭〕病毒，該病毒替代碼中有明顯的標(biāo)志“YourPcisnowStoned！〞。20世紀(jì)90年代以前病毒的弱點被感染的文件大小明顯添加病毒代碼主體沒有加密。訪問文件的日期得到更新。很容易被debug工具跟蹤這些病毒中，略微有點對抗反病毒手段的只需YankeeDoole病毒，當(dāng)它發(fā)現(xiàn)他用Debug工具跟蹤它的時候，它會自動從文件中消逝。計算機(jī)病毒的開展過程接著，就出現(xiàn)了一些能對本身進(jìn)展簡單加密的病毒，譬如當(dāng)內(nèi)存有1741病毒，用DIR列目錄表的時候，這個病毒就會掩蓋被感染文件后添加的字節(jié)數(shù)，使人看起來文件的大小沒有什么變化。1992年以后，出現(xiàn)了是一種叫做DIR2的病毒，這種病毒非常典型，并且其整個程序大小只需263個字節(jié)。計算機(jī)病毒的開展過程20世紀(jì)內(nèi)，絕大多數(shù)病毒是基于DOS系統(tǒng)的，有80%的病毒能在Windows中傳染。宏病毒的出現(xiàn)，代表有美麗莎,臺灣一號等病毒消費機(jī)現(xiàn)身，1996年下半年在國內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL〞三種“病毒消費機(jī)軟件〞計算機(jī)病毒的開展過程Internet的廣泛運用，激發(fā)了病毒的活力。病毒經(jīng)過網(wǎng)絡(luò)的快速傳播和破壞，為世界帶來了一次一次的宏大災(zāi)難。1998年2月，臺灣省的陳盈豪，編寫出了破壞性極大的惡性病毒CIH-1.2版，并定于每年的4月26日發(fā)作破壞CIH引見陳盈豪：當(dāng)時臺灣的一個大學(xué)生1998年2月，1.2版1998年4月26日，臺灣少量發(fā)作1999年4月26日，全球發(fā)作破壞主板BIOSCIH特點經(jīng)過網(wǎng)絡(luò)〔軟件下載〕傳播全球有超越6000萬臺的機(jī)器被感染第一個可以破壞計算機(jī)硬件的病毒全球直接經(jīng)濟(jì)損失超越10億美圓計算機(jī)病毒的開展過程1999年2月，“美麗莎〞病毒席卷了整個歐美大陸這是世界上最大的一次病毒浩劫，也是最大的一次網(wǎng)絡(luò)蠕蟲大泛濫?！懊利惿曇姶笮l(wèi).史密斯，美國新澤西州工程師在16小時內(nèi)席卷全球互聯(lián)網(wǎng)至少呵斥10億美圓的損失！經(jīng)過email傳播傳播規(guī)?！?0的n次方，n為傳播的次數(shù)〕計算機(jī)病毒的開展過程2000年5月，在歐美又迸發(fā)了“愛蟲〞網(wǎng)絡(luò)蠕蟲病毒，呵斥了比“美麗莎〞病毒破壞性更大的經(jīng)濟(jì)損失。這個病毒屬于vbs腳本病毒，可以經(jīng)過html，irc，email進(jìn)展大量的傳播。愛蟲病毒引見菲律賓“AMA〞電腦大學(xué)計算機(jī)系的學(xué)生一個星期內(nèi)就傳遍5大洲微軟、Intel等在內(nèi)的大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓全球經(jīng)濟(jì)損失達(dá)幾十億美圓愛蟲病毒特點經(jīng)過電子郵件傳播，向地址本中一切用戶發(fā)帶毒郵件經(jīng)過聊天通道IRC、VBS、網(wǎng)頁傳播能刪除計算機(jī)內(nèi)的部分文件制造大量新的電子郵件，運用戶文件泄密、網(wǎng)絡(luò)負(fù)荷劇增。一年后出現(xiàn)的愛蟲變種VBS／LoveLetter．CM它還會在Windows目錄下駐留一個染有CIH病毒的文件，并將其激活。計算機(jī)病毒的開展過程再后來就出現(xiàn)有更多的網(wǎng)絡(luò)蠕蟲。譬如，紅色代碼，藍(lán)色代碼、求職者病毒、尼姆達(dá)〔Nimda〕、FUN_LOVE，最近還在流行的新歡樂光陰等等。計算機(jī)病毒的開展過程7月18日午夜，紅色代碼大面積迸發(fā)，被攻擊的電腦數(shù)量到達(dá)35.9萬臺。被攻擊的電腦中44%位于美國，11%在韓國，5%在中國，其他分散在世界各地。7月19日，“紅色代碼〞病毒開場瘋狂攻擊美國白宮網(wǎng)站，白宮網(wǎng)站管理員將白宮網(wǎng)站從原來的IP地址轉(zhuǎn)移到另外一個地址，才幸免于難。

紅色代碼的特點該病毒經(jīng)過微軟公司IIS系統(tǒng)破綻進(jìn)展感染，它使IIS效力程序處置懇求數(shù)據(jù)包時溢出，導(dǎo)致把此“數(shù)據(jù)包〞當(dāng)作代碼運轉(zhuǎn)，病毒駐留后再次經(jīng)過此破綻感染其它效力器。它只存在于內(nèi)存，傳染時借助這個效力器的網(wǎng)絡(luò)銜接攻擊其它的效力器，直接從一臺電腦內(nèi)存?zhèn)鞯搅硪慌_電腦內(nèi)存。它所呵斥的破壞主要是涂改網(wǎng)頁,對網(wǎng)絡(luò)上的其它效力器進(jìn)展攻擊，被攻擊的效力器又可以繼續(xù)攻擊其它效力器。在每月的20-27日，向美國白宮網(wǎng)站發(fā)動攻擊。將WWW英文站點改寫為“Hello!WelcometoWorm!HackedbyChinese!〞。

計算機(jī)病毒的開展過程7月31日，格林尼治時間午夜整點，“紅色代碼II〞迸發(fā)，在全球大面積蔓延。據(jù)統(tǒng)計：紅色代碼發(fā)作的行業(yè)集中在計算機(jī)信息行業(yè)和網(wǎng)站，約占70-80%其次就是企事業(yè)單位，包括學(xué)校，政府機(jī)構(gòu)等，約占20%-30%。其中北京地域發(fā)作最為嚴(yán)重，約占80%。紅色代碼II特點具有紅色代碼的特點可以攻擊任何言語的系統(tǒng)。在遭到攻擊的機(jī)器上植入“特洛伊木馬〞，擁有極強(qiáng)的可擴(kuò)展性。未感染那么注冊Atom并創(chuàng)建300個病毒線程。當(dāng)判別到系統(tǒng)默許的言語ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個。IP隨機(jī)數(shù)發(fā)生器產(chǎn)生用于病毒感染的目的電腦IP地址。(40萬/天〕當(dāng)病毒在判別日期大于2002年10月時，會立刻強(qiáng)行重啟計算機(jī)紅色代碼呵斥的危害網(wǎng)絡(luò)性能急劇下降，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備負(fù)載加重，甚至解體等。硬盤數(shù)據(jù)可以被遠(yuǎn)程讀寫直接經(jīng)濟(jì)損失：26億美圓計算機(jī)病毒的開展過程2001年9月18日出現(xiàn)的尼姆達(dá)病毒2001年最為兇猛的惡意蠕蟲病毒，豈今為止已給全球帶來不可估量的經(jīng)濟(jì)損失。該病毒不僅傳播速度快、危害性強(qiáng)，而且自我繁衍才干更是位居各大病毒之首。已有五種新變種相繼粉墨登場，作惡不可謂不大。利用unicode破綻，與黑客技術(shù)相結(jié)合。尼姆達(dá)病毒的傳播過程2001年9月18日，首先在美國出現(xiàn)，當(dāng)天下午，有超越130，000臺效力器和個人電腦遭到感染?！脖泵乐蕖?001年9月18日晚上，在日本、香港、南韓、新加坡和中國都收到了遭到感染的報告。〔亞洲〕2001年9月19日，有超越150000個公司被感染，西門子在他的網(wǎng)絡(luò)遭到浸透之后，被迫關(guān)掉效力器。〔歐洲〕尼姆達(dá)的四種傳播方式文件感染W(wǎng)WW局域網(wǎng)尼姆達(dá)的四種傳播方式文件感染：尼姆達(dá)在本地機(jī)器上尋覓系統(tǒng)中的EXE文件，并將病毒代碼置入原文件體內(nèi)，從而到達(dá)對文件的感染。當(dāng)用戶執(zhí)行像游戲一類的受感染的程序文件時，病毒就開場傳播。郵件感染：尼姆達(dá)經(jīng)過MAPI從郵件的客戶端及本地的HTML文件中搜索郵件地址，然后將病毒發(fā)送給這些地址。這些郵件都包含一個名為README.EXE的附件，在某些系統(tǒng)中該附件可以自動執(zhí)行，從而感染整個系統(tǒng)。網(wǎng)絡(luò)蠕蟲：它還會經(jīng)過掃描internet，來試圖尋覓www效力器，一旦找到WEB效力器，該病毒便會利用知的平安破綻來感染該效力器，假設(shè)感染勝利，就會恣意修正該站點的WEB頁，當(dāng)在WEB上沖浪的用戶閱讀該站點時，不知不覺中便會被自動感染。經(jīng)過局域網(wǎng)：查找.doc文件，找到就會把本身復(fù)制到目錄中命名為riched20.dll〔word,notepad翻開時會調(diào)用文件riched20.dll)。SirCam網(wǎng)絡(luò)蠕蟲病毒首發(fā)于英國的惡性網(wǎng)絡(luò)蠕蟲病毒觸發(fā)日期：10月16日病毒行為：蠕蟲將染毒機(jī)器中產(chǎn)生的隨機(jī)文檔隱藏到本身代碼中；蠕蟲將刪除C盤上的一切文件及文件夾，僅當(dāng)系統(tǒng)日期格式為D/M/Y〔日/月/年〕；每次啟動時蠕蟲經(jīng)過向c:\recycled\sircam.sys文件中添加文本使硬盤上的空余空間被充溢當(dāng)蠕蟲執(zhí)行8000次后，會停頓執(zhí)行。直接經(jīng)濟(jì)損失：11.5億美圓SirCam病毒的傳播途徑病毒傳播：1〕郵件：從兩種渠道獲取郵件地址：搜索以下文件：sho*.,get*.,hot*.,*.htm并將郵件地址拷貝到%Windows%\sc??.dll(其中？代表隨機(jī)的數(shù)字或字母)

搜索一切驅(qū)動器，尋覓*.wab文件〔Windows地址簿〕并拷貝其中的郵件地址。2〕共享驅(qū)動器：搜索一切共享驅(qū)動器將蠕蟲復(fù)制到該驅(qū)動器中。并：將本身拷貝到\recycled\sirc32.exe在\autoexec.bat文件中添加一行：

"@win\recycled\sirc32.exe“復(fù)制文件\Windows\rundll32.exe到\Windows\run32.exe用本地文件c:\recycled\sirc32.exe交換\Windows\rundll32.exe

求職信病毒特征“求職信〞系列變種病毒利用微軟系統(tǒng)的破綻，可以自動感染，無須翻開附件，因此危害性很大。

其變種具有很強(qiáng)的隱蔽性，可以“隨機(jī)應(yīng)變〞地自動改換不同的郵件主題和內(nèi)容，瓦解郵件接納者的警惕性。

在郵件內(nèi)部存放發(fā)送信息的一部分，這些變種病毒會偽造虛偽信息，掩蓋病毒的真實來源。

求職信病毒特征可以繞開一些流行殺毒軟件的監(jiān)控，甚至專門針對一些殺毒軟件進(jìn)展攻擊。

利用局域網(wǎng)上的共享文件夾進(jìn)展傳染，其傳播特點類似“尼姆達(dá)〞病毒。在網(wǎng)絡(luò)上出現(xiàn)的一些“求職信〞變種的專殺工具，由于無法適用于一切的變種，因此在殺除一些變種病毒時，會連病毒帶文件一同刪除，結(jié)果呵斥殺病毒把電腦一同“殺死〞的情況?！爸袊诳通曇?002年6月6日，“中國黑客〞病毒出現(xiàn)，它發(fā)明了全球首創(chuàng)的“三線程〞技術(shù)。主線程：往硬盤寫入病毒文件或感染其他執(zhí)行文件。分線程1：監(jiān)視主線程并保證主線程的運轉(zhuǎn)，一旦主線程被去除，這個監(jiān)視器就將主病毒體再次調(diào)入。分線程2：不斷監(jiān)視注冊表的某個值〔run項〕，一旦被人工或反病毒軟件修正，他立刻重新寫入這個值，保證本人下次啟動時拿到控制權(quán)。“中國黑客〞病毒的特點很多反病毒軟件普通都是直接修正會引起病毒自動加載的注冊表選項，但是它沒有留意到這個病毒馬上又將這個值改回去了。在傳播方式上，“中國黑客〞尋覓用戶郵件地址薄來向外發(fā)病毒郵件傳播，或經(jīng)過局域網(wǎng)傳播，這一點與求職信病毒非常類似。另外，在Windows95/98/Me系統(tǒng)下，“中國黑客〞病毒學(xué)習(xí)了CIH病毒，它獲得了系統(tǒng)的最高權(quán)限。此外，“中國黑客〞病毒還預(yù)留了接口，只需作者情愿的話很多破壞功能與傳播方式很快就可以加上。還有，病毒體內(nèi)的感染開關(guān)沒有翻開，所以目前此病毒還不能感染文件，但實踐上病毒體內(nèi)的感染代碼曾經(jīng)比較完好，加上幾行代碼就可以實現(xiàn)感染W(wǎng)indows下的.EXE、.DLL、.SCR等文件。病毒的開展趨勢從以上病毒的開展過程我們可以看出病毒有如下的開展趨勢：病毒向有智能和有目的的方向開展未來凡能呵斥艱苦危害的，一定是“蠕蟲〞。“蠕蟲〞的特征是快速地不斷復(fù)制本身，以求在最短的時間內(nèi)傳播到最大范圍。病毒開場與黑客技術(shù)結(jié)合，他們的結(jié)合將會為世界帶來無可估量的損失病毒的開展趨勢從Sircam、“尼姆達(dá)〞、“求職信〞、“中文求職信〞到“中國黑客〞，這類病毒越來越向輕感染文件、反復(fù)制本身的方向開展。病毒的大面積傳播與網(wǎng)絡(luò)的開展密不可分基于分布式通訊的病毒很能夠在不久即將出現(xiàn)未來病毒與反病毒之間比的就是速度，而加強(qiáng)對新病毒的反響和處置速度，將成為反病毒廠商的中心競爭力之一。計算機(jī)病毒的種類和數(shù)量Dos病毒40000多種Win9x病毒600多種winnt/win2000病毒200多種Word宏病毒7500多種excel宏病毒1500多種〔2000年12月統(tǒng)計數(shù)據(jù)〕病毒100多種Script腳本病毒500多種macintos蘋果機(jī)病毒50種

linux病毒5種手機(jī)病毒2種

合計550000多種病毒所采用的技術(shù)花指令防止靜態(tài)反匯編簡單自加密對抗特征值查毒法多態(tài)poly普通就是用randomkey加密一樣的vir主體代碼,解碼部分是變化的,存儲在磁盤上的代碼因此是各不一樣，AVER因此就無法簡單地根據(jù)特征值掃描.變形〔變態(tài)〕每傳染一次加密算法變化，原病毒體也發(fā)生變化meta就更深化一步,使每次infect后的代碼主體都不一樣,這樣顯然使查殺的難度添加.效果比poly好. 一個通俗的比喻poly就是象給一樣的芯加了不同的外殼,從外表看來是不一樣,但是芯的內(nèi)容并沒有變化,只需擊破外殼里面都是一樣的,但meta是使整體發(fā)生變化,沒有完全一樣的芯或外殼.當(dāng)今的幾種典型反病毒技術(shù)特征值技術(shù)虛擬機(jī)技術(shù)啟發(fā)式掃描技術(shù)計算機(jī)病毒疫苗編寫Win32病毒的幾個關(guān)鍵Api函數(shù)的獲取不能直接援用動態(tài)鏈接庫需求本人尋覓api函數(shù)的地址，然后直接調(diào)用該地址一點背景:在PELoader裝入我們的程序啟動后堆棧頂?shù)牡刂肥鞘浅绦虻那巴刂?一定在Kernel中!因此我們可以得到這個地址,然后向低地址縮減驗證不斷到找到模塊的起始地址,驗證條件為PE頭不能大于4096bytes,PEheader的ImageBase值應(yīng)該和當(dāng)前指針相等.病毒沒有.data段，變量和數(shù)據(jù)全部放在.code段

編寫Win32病毒的幾個關(guān)鍵偏移地址的重定位Calldeltadelta:popebpsubebp,offsetdelta那么變量var1的真正偏移地址為：var1+ebp對PE文件格式的了解PE文件格式一覽

DOSMZheaderDOSstubPEheaderSectiontableSection1Section2Section...SectionnPEheaderPeheader由三部分組成字串“PE\0\0〞〔Signature〕映像文件頭〔FileHeader〕可選映像頭〔OptionalHeader〕字串“PE\0\0〞Signature一dword類型，值為50h,45h,00h,00h〔PE\0\0〕。本域為PE標(biāo)志，我們可以此識別給定文件能否為有效PE文件。這個字串在文件中的位置〔e_lfanew〕，可以在DOS程序頭中找到它的指針，它占用四個字節(jié)，位于文件開場偏移3CH字節(jié)中。

映像文件頭該構(gòu)造域包含了關(guān)于PE文件物理分布的信息，比如節(jié)數(shù)目、文件執(zhí)行機(jī)器等。

它實踐上是構(gòu)造IMAGE_FILE_HEADER的簡稱。映像文件頭構(gòu)造IMAGE_FILE_HEADERSTRUCT

MachineWORD?

NumberOfSectionsWORD?

TimeDateStampdd?

PointerToSymbolTabledd?

NumberOfSymbolsdd?

SizeOfOptionalHeaderWORD?

CharacteristicsWORD?

IMAGE_FILE_HEADERENDS映像文件頭的根本信息順序名字

大?。ㄗ止?jié)）描述1Machine*2機(jī)器類型，x86為14ch2NumberOfSection**2文件中節(jié)的個數(shù)3TimeDataStamp4生成該文件的時間4PointerToSymbleTable4COFF符號表的偏移5NumberOfSymbols4符號數(shù)目6SizeOfOptionalHeader2可選頭的大小7Characteristics*2關(guān)于文件信息的標(biāo)記，比如文件是exe還是dll可選映像頭optionalheader構(gòu)造是IMAGE_NT_HEADERS中的最后成員。包含了PE文件的邏輯分布信息。該構(gòu)造共有31個域，一些是很關(guān)鍵，另一些不太常用。這里只引見那些真正有用的域。這兒有個關(guān)于PE文件格式的常用術(shù)語:RVA

RVA代表相對虛擬地址。它是相對虛擬空間里的一個地址。舉例闡明，假設(shè)PE文件裝入虛擬地址(VA)空間的400000h處，且進(jìn)程從虛址401000h開場執(zhí)行，我們可以說進(jìn)程執(zhí)行起始地址在RVA1000h。每個RVA都是相對于模塊的起始VA的。

可選映像頭名字描述AddressOfEntryPoint*PE裝載器準(zhǔn)備運行的PE文件的第一個指令的RVA。若要改變整個執(zhí)行的流程，可以將該值指定到新的RVA，這樣新RVA處的指令首先被執(zhí)行。ImageBasePE文件的優(yōu)先裝載地址。比如，如果該值是400000h，PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處。若該地址區(qū)域已被其他模塊占用，那PE裝載器會選用其他空閑地址。SectionAlignment內(nèi)存中節(jié)對齊的粒度。FileAlignment文件中節(jié)對齊的粒度?？蛇x映像頭名字描述MajorSubsystemVersion

MinorSubsystemVersionwin32子系統(tǒng)版本。若PE文件是專門為Win32設(shè)計的，該子系統(tǒng)版本必定是4.0否則對話框不會有3維立體感。SizeOfImage內(nèi)存中整個PE映像體的尺寸。SizeOfHeaders所有頭+節(jié)表的大小，也就等于文件尺寸減去文件中所有節(jié)的尺寸?？梢砸源酥底鳛镻E文件第一節(jié)的文件偏移量。SubsystemNT用來識別PE文件屬于哪個子系統(tǒng)。DataDirectory一IMAGE_DATA_DIRECTORY結(jié)構(gòu)數(shù)組。每個結(jié)構(gòu)給出一個重要數(shù)據(jù)結(jié)構(gòu)的RVA，比如引入地址表等。DataDirectory數(shù)據(jù)目錄一個IMAGE_DATA_DIRECTORY數(shù)組，里面放的是這個可執(zhí)行文件的一些重要部分的RVA和尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組的項數(shù)由上一個域給出。IMAGE_DATA_DIRECTORY包含有兩個域，如下：IMAGE_DATA_DIRECTORYVitualAddressDD?SizeDD?IMAGE_DATA_DIRECTORYENDS節(jié)表節(jié)表其實就是緊挨著PEheader的一構(gòu)造數(shù)組。該數(shù)組成員的數(shù)目由fileheader(IMAGE_FILE_HEADER)構(gòu)造中NumberOfSections域的域值來決議。節(jié)表構(gòu)造又命名為IMAGE_SECTION_HEADER。構(gòu)造中放的是一個節(jié)的信息，如名字、地址、長度、屬性等。IMAGE_SECTION_HEADER順序名字大?。ㄗ止?jié)）描述1Name*8節(jié)名2PhysicalAddress或VirtualSize4OBJ文件用作表示本節(jié)物理地址EXE文件中表示節(jié)的真實尺寸3Virtual*4這個值+映像基地址=本節(jié)在內(nèi)存中的真正地址。OBJ中無意義。4SizeOfRawData*4本節(jié)的原始尺寸5PointerToRawData*4本節(jié)原始數(shù)據(jù)在文件中的位置IMAGE_SECTION_HEADER順序名字大?。ㄗ止?jié)）描述6PointerToRelocations4OBJ中表示該節(jié)重定位信息的偏移EXE文件中無意義7PointerToLinenumbers4行號偏移8NumberOfRelocations2本節(jié)要重定位的數(shù)目9NumberOfLinenumbers2本節(jié)在行號表中的行號數(shù)目10Characteristics*4節(jié)屬性節(jié)“節(jié)〔Section)〞