計(jì)算機(jī)病毒技術(shù)特征

1、第四章是計(jì)算機(jī)病毒的技術(shù)特征。一、常見(jiàn)計(jì)算機(jī)病毒的技術(shù)特征，EPO (Entry Point腸梗阻)，反分析技術(shù)(加密，反跟蹤)，隱蔽病毒技術(shù)，多態(tài)病毒技術(shù)，插件病毒技術(shù)，超級(jí)病毒技術(shù)，破壞性感染技術(shù)，自動(dòng)病毒生成技術(shù)，網(wǎng)絡(luò)病毒技術(shù)，1常駐內(nèi)存： DOS TSR，DOS病毒常駐內(nèi)存位置示意圖， 1駐留內(nèi)存：引導(dǎo)病毒的內(nèi)存駐留在1K或幾k以內(nèi)。為了防止用戶容易注意到可用系統(tǒng)內(nèi)存的減少，有些病毒會(huì)等待dos完全啟動(dòng)，然后使用dos自己的功能來(lái)分配內(nèi)存。 超載不是問(wèn)題。1駐留內(nèi)存：病毒駐留在Windows環(huán)境下的內(nèi)存中。因?yàn)橐暣安僮飨到y(tǒng)本身是多任務(wù)的，最簡(jiǎn)單的內(nèi)存駐留方法是把病毒當(dāng)成一個(gè)應(yīng)用程序，病

2、毒有自己的窗口(可能是隱藏的)和消息處理功能。另一種方法是用DPMI申請(qǐng)一個(gè)系統(tǒng)內(nèi)存，然后把病毒代碼放到這個(gè)內(nèi)存中；第三種方法是將病毒作為vxd(VXD(Win3 . x或Win9x環(huán)境下的設(shè)備驅(qū)動(dòng)程序)或Win NTWin2000下的設(shè)備驅(qū)動(dòng)程序)加載到內(nèi)存中。防止重入的傳統(tǒng)方法禁止在靜態(tài)加載VXD病毒時(shí)啟動(dòng)兩個(gè)實(shí)例，病毒將在“系統(tǒng)”中包含一行用于加載設(shè)備驅(qū)動(dòng)程序的信息。INI 文件；在動(dòng)態(tài)加載過(guò)程中，某些英特爾處理器的一些特殊狀態(tài)位可能用來(lái)指示內(nèi)存中是否存在病毒(CIH病毒采用這種方法)。1內(nèi)存駐留：宏病毒的內(nèi)存駐留方法。病毒是由主機(jī)程序加載的，并且總是存在于系統(tǒng)中，所以從某種意義上說(shuō)，宏

3、病毒都是駐留在內(nèi)存中的病毒。宏病毒通過(guò)檢測(cè)自身特征來(lái)防止病毒再次進(jìn)入。病毒變異和新變種有兩種方式：人工變異和自動(dòng)變異(變異引擎)。保加利亞的黑暗復(fù)仇者變形機(jī)是最著名的。分類是第一類，具有普通病毒的基本特征。然而，每種病毒感染一個(gè)目標(biāo)后，其自身的代碼幾乎與前一個(gè)被感染目標(biāo)中的病毒代碼相同，連續(xù)三個(gè)字節(jié)，但這些代碼的排列位置及其相對(duì)空間不變。這里稱之為一維變形病毒。在第二類中，除了一維變形病毒的特征之外，那些被改變的代碼之間的排列距離(相對(duì)空間位置)也改變，并且一些被感染文件的字節(jié)數(shù)是不確定的。這里稱之為二維變形病毒。第三類具有二維畸形病毒的特征，分裂后可以隱藏在幾個(gè)地方，任何地方的子病毒經(jīng)過(guò)刺激

4、后都可以恢復(fù)成完整的病毒。病毒在附件上的空間位置是可變的，即隱藏位置是不確定的。例如，在某臺(tái)機(jī)器中，部分病毒可能隱藏在機(jī)器硬盤的主引導(dǎo)區(qū)中，而其他部分也可能隱藏在可執(zhí)行文件、覆蓋文件、系統(tǒng)引導(dǎo)區(qū)中，或者其他區(qū)域可能被打開(kāi)以進(jìn)行隱藏。在另一臺(tái)被感染的機(jī)器上，病毒可能已經(jīng)改變了它的隱藏位置。這里稱之為三維變形病毒。第四類具有三維變態(tài)病毒的特征，這些特征隨時(shí)間動(dòng)態(tài)變化。例如，在受感染的機(jī)器中，病毒在首次啟動(dòng)時(shí)會(huì)在內(nèi)存中變成一種外觀，然后在一段時(shí)間后會(huì)變成另一種外觀。在它再次啟動(dòng)后，病毒在記憶中是一個(gè)不同的樣子。這里稱之為四維變形病毒。3 EPO(入口點(diǎn)阻塞)技術(shù)，為什么使用EPO技術(shù)？反病毒技術(shù)的改

5、進(jìn)防止被發(fā)現(xiàn)實(shí)現(xiàn)以太網(wǎng)無(wú)源光網(wǎng)絡(luò)的三種方法：最早的以太網(wǎng)無(wú)源光網(wǎng)絡(luò)是通過(guò)改變程序入口的代碼實(shí)現(xiàn)的。用跳轉(zhuǎn)語(yǔ)句替換宿主程序中任何位置的指令都是簡(jiǎn)單但無(wú)用的。困難在于找到一個(gè)完整的指令(類似PATCH IAT反編譯程序)。如果在一段代碼中有一條指令：228738 fdff 15 EB 0f 107 dcall 7d100febh，用一條新的指令“病毒的調(diào)用地址”替換它，并再次調(diào)用7d 100 febh來(lái)完成主機(jī)程序的功能。代碼如下：dw ff15hff15eb0f107d的Backaddr dd 0前綴。保存ff15eb0f107d的后綴。這個(gè)后綴被改變了。在病毒代碼中，backaddr的值被動(dòng)態(tài)

6、地改變?yōu)橛蒀all 7d100febh指令編譯的后綴。反分析技術(shù)，加密技術(shù)：這是一種防止靜態(tài)分析的技術(shù)，這使得分析人員在不執(zhí)行病毒的情況下無(wú)法讀取加密的病毒程序。反跟蹤技術(shù)：它使分析師不可能動(dòng)態(tài)跟蹤病毒程序的運(yùn)行。Win95。Flagger病毒，4種反分析技術(shù)：自加密技術(shù)，數(shù)據(jù)加密(信息加密)，例如：6.4計(jì)算機(jī)病毒是這樣處理的，當(dāng)計(jì)算機(jī)病毒爆發(fā)時(shí)，屏幕上顯示的字符串被加密并通過(guò)異或運(yùn)算存儲(chǔ)。1575病毒加密數(shù)據(jù)文件。加密文件名COMMAND.COM病毒碼加密中文炸彈加密主機(jī)程序的前6個(gè)字節(jié)和傳輸位置。1701/1704使用主機(jī)程序的長(zhǎng)度作為密鑰來(lái)加密代碼。4、反分析技術(shù)：反跟蹤技術(shù)，在DOS

7、下，修改int 0-3中斷窗口：屏蔽鍵盤輸入，關(guān)閉屏幕顯示，修改堆棧指令程序，運(yùn)行時(shí)動(dòng)態(tài)生成指令代碼，5、隱藏病毒技術(shù)，引導(dǎo)式隱藏方法：感染時(shí)，修改中斷服務(wù)程序，攔截INT 13調(diào)用、引導(dǎo)式隱藏方法，2、反病毒軟件直接讀寫磁盤。攔截INT 21H，然后恢復(fù)感染區(qū)域，最后，執(zhí)行感染，文件病毒隱藏技術(shù)，攔截(應(yīng)用編程接口，INT調(diào)用)訪問(wèn)，恢復(fù)和再感染。例如，文件大小改變病毒、目錄病毒等。宏病毒隱藏技術(shù)，刪除相關(guān)菜單項(xiàng)：“文件模板”或“工具宏”，使用宏病毒自己的文件模板和工具宏來(lái)替換系統(tǒng)默認(rèn)的宏，6多態(tài)病毒技術(shù)，多態(tài)病毒是一種沒(méi)有特殊簽名的病毒，無(wú)法(或極難)通過(guò)簽名掃描來(lái)檢測(cè)。方法：用不固定的密

8、鑰或隨機(jī)數(shù)對(duì)病毒碼進(jìn)行加密，在運(yùn)行過(guò)程中改變病毒碼，通過(guò)一些奇怪的指令序列實(shí)現(xiàn)多態(tài)性。BASIC和Shell等解釋性語(yǔ)言可以在一行中包含許多語(yǔ)句。加密技術(shù)的多態(tài)性，改變可執(zhí)行代碼技術(shù)的多態(tài)性病毒基本上都用在宏病毒上，而其他病毒很少出現(xiàn)。宏語(yǔ)言都是基于BASIC的?？梢龑?dǎo)病毒在引導(dǎo)區(qū)或分區(qū)表中包含一小段代碼來(lái)加載實(shí)際的病毒代碼，這些代碼可以在運(yùn)行過(guò)程中更改。文件病毒“Ply”病毒“TMC”病毒，多態(tài)病毒級(jí)別，半多態(tài)：病毒有一套解密算法，當(dāng)被感染時(shí)，它從中間隨機(jī)選擇一種算法進(jìn)行加密和感染。定點(diǎn)多態(tài)性：病毒的一個(gè)或幾個(gè)句子是不可變的(我們稱這些不可變的句子為定點(diǎn))，其他病毒指令是可變的。帶有填充的多

9、態(tài)性：解密代碼包含一些無(wú)用的代碼，干擾了分析師的視線。算法固定多態(tài)性：用于解密代碼的算法是固定的，但是實(shí)現(xiàn)該算法的指令和指令的順序是可變的?？勺兯惴ǖ亩鄳B(tài)性：上述所有技術(shù)都被使用，解密算法可以部分或全部改變。完全多態(tài)性：該算法是多態(tài)的，病毒體可以隨機(jī)分布在感染文件的不同位置，但運(yùn)行時(shí)可以組裝并正常工作。對(duì)于前三種多態(tài)病毒，可以使用病毒特征或改進(jìn)的病毒特征。對(duì)于第四種多態(tài)病毒，可以添加各種情況下的改進(jìn)簽名。對(duì)于第五種和第六種多態(tài)病毒，傳統(tǒng)的簽名技術(shù)完全無(wú)能為力。最好的方法是虛擬執(zhí)行技術(shù)。，7插件病毒技術(shù)，DOS下很少有PE病毒大多是插件病毒，例如，CIH，8超級(jí)病毒技術(shù)，這是一種病毒技術(shù)，當(dāng)計(jì)算

10、機(jī)病毒被感染和破壞時(shí)，使防病毒工具無(wú)法得到運(yùn)行的機(jī)會(huì)。技術(shù)很難實(shí)現(xiàn)。與反病毒技術(shù)相比，它具有時(shí)效性。破壞性感染技術(shù)，破壞性感染病毒是一種針對(duì)計(jì)算機(jī)病毒消除技術(shù)的病毒技術(shù)。例如：Burge病毒就是這種病毒的典型代表，它會(huì)使主機(jī)文件的頭丟失560字節(jié)；哈哈哈病毒將導(dǎo)致主機(jī)程序丟失13592字節(jié)。傳播性差損傷面積小，在長(zhǎng)潛伏期條件下可提高其傳播性。10病毒自動(dòng)生成技術(shù)，針對(duì)兩種類型的病毒分析技術(shù)：根據(jù)簡(jiǎn)單的操作，自動(dòng)生成病毒(PE、宏病毒等。)并利用自動(dòng)生成技術(shù)實(shí)現(xiàn)突變引擎)，11)網(wǎng)絡(luò)病毒技術(shù)，網(wǎng)絡(luò)病毒是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)構(gòu)成安全威脅的所有程序的總和。常見(jiàn)類型：木馬蠕蟲，郵件病毒，網(wǎng)頁(yè)病毒，

11、第二，流行病毒的關(guān)鍵技術(shù)，蠕蟲利用Outlook漏洞編寫惡意代碼和流氓軟件的網(wǎng)頁(yè)病毒，1蠕蟲病毒，蠕蟲一詞的起源是在1982年，休克和Hupp提出了“蠕蟲”的概念。沖擊波騎士蠕蟲是一種病毒，其傳播通常不需要激活。它通過(guò)分布式網(wǎng)絡(luò)傳播特定的信息或錯(cuò)誤，導(dǎo)致拒絕網(wǎng)絡(luò)服務(wù)和死鎖。它具有病毒的共性，如傳播性、隱蔽性、破壞性等獨(dú)特屬性，如不利用文件寄生、對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等。有兩種類型：一種是針對(duì)企業(yè)用戶和局域網(wǎng)的，這種病毒利用系統(tǒng)漏洞主動(dòng)攻擊，會(huì)導(dǎo)致整個(gè)互聯(lián)網(wǎng)癱瘓。以“紅隊(duì)”、“尼姆達(dá)”和最新的“SQL蠕蟲王”為代表。另一種是蠕蟲病毒，其目標(biāo)是個(gè)人用戶，并通過(guò)網(wǎng)絡(luò)迅速傳播(主要以電子

12、郵件和惡意網(wǎng)頁(yè)的形式)，以喜歡蠕蟲的病毒和求職信病毒為代表。蠕蟲病毒與普通病毒的區(qū)別在于：第一，利用漏洞主動(dòng)攻擊；其次，病毒制造技術(shù)是新的；第三，結(jié)合黑客技術(shù)，潛在的威脅和損失更大；第四，有許多感染方式；第五，傳輸速度快；第七，很難清理；第三，它具有破壞性；蠕蟲病毒的機(jī)制由兩部分組成：一個(gè)主程序和另一個(gè)引導(dǎo)程序。主程序收集與當(dāng)前機(jī)器聯(lián)網(wǎng)的其他機(jī)器的信息。利用漏洞在遠(yuǎn)程機(jī)器上建立引導(dǎo)程序。引導(dǎo)程序?qū)⑷湎x病毒帶入它感染的每臺(tái)機(jī)器。目前，流行的病毒主要通過(guò)一些公開(kāi)的漏洞、腳本、電子郵件等機(jī)制傳播。例如，IRC、RPC等。蠕蟲示例，MSN蠕蟲1?；竟δ埽好Q：即時(shí)通訊蠕蟲。Win32 .網(wǎng)絡(luò)攝像頭.

13、原始大?。?88，928字節(jié)壓縮格式：PESpin編寫語(yǔ)言：微軟Visual Basic 6.0文件名：LMAO.pif，LOL.scr，bite _ mud . pif等.行為分析：(1)蠕蟲運(yùn)行后，它將釋放一個(gè)名為CZ.EXE的文件到C驅(qū)動(dòng)器的根目錄，并將其復(fù)制到%system%目錄。文件名是winhost.exe。然后，文件屬性被設(shè)置為隱藏、只讀和系統(tǒng)，并且文件的創(chuàng)建時(shí)間被更改為與系統(tǒng)文件日期相同，以便欺騙。同時(shí)，蠕蟲會(huì)在c盤和目錄中隨機(jī)生成一個(gè)擴(kuò)展名為PIF或EXE的文件，用來(lái)傳播給MSN好友。此外，病毒會(huì)在%system%目錄中生成一個(gè)msnus.exe，這是蠕蟲本身的副本。，(2)

14、將您自己添加到注冊(cè)表啟動(dòng)項(xiàng)目中，以確保在系統(tǒng)重新啟動(dòng)后您已被加載：位置：software microsoftwindowssorrentversionrun鍵名稱：win32鍵值：winhost.exe位置：software microsoftwindowssorrentversionrun Ces鍵名稱：win32鍵值：winhost . exe，(3) Worm將在C驅(qū)動(dòng)器的根目錄中生成一個(gè)名為sexy.jpg的圖片文件，并調(diào)用jpg相關(guān)程序來(lái)打開(kāi)該圖片。正常情況下，圖片會(huì)用IE打開(kāi)，打開(kāi)后的效果如下。(4)打開(kāi)本地TCP10 xx端口，頻繁連接目標(biāo)：2833608080，

15、接受黑客控制。(5)搜索MSN窗口，如果它存在，向好友列表發(fā)送一條消息來(lái)傳播它自己。3.注意事項(xiàng)：(1)手動(dòng)清潔。根據(jù)上述行為分析，終止和刪除相關(guān)的進(jìn)程文件并修復(fù)注冊(cè)表。(2)用戶可以避免從MSN接收不熟悉的附件，包括帶有EXE或SCR擴(kuò)展名的附件，以防止蠕蟲。如何防范蠕蟲，第一個(gè)保護(hù)你的工具定期掃描你的系統(tǒng)，以更新你的防病毒軟件，不要輕易執(zhí)行附件中的可執(zhí)行程序，如exe和COM，不要輕易打開(kāi)附件中的文檔文件，不要直接運(yùn)行附件郵件程序設(shè)置，只是使用預(yù)覽功能卸載腳本主機(jī)，以警惕已發(fā)送的郵件，并使用Outlook漏洞編寫病毒。電子郵件已經(jīng)成為新病毒的重要載體。病毒通過(guò)使用Outlook漏洞進(jìn)行傳播

16、：“ILoveYou”、“Melissa”)-宏病毒“Kournikova”、“HomePage”、“HappyTime”、郵件病毒分類、附件模式：病毒的主要部分隱藏在附件中?！爸黜?yè)”和“我愛(ài)你”病毒的附件是VBS文件，這是病毒的關(guān)鍵部分。郵件本身：病毒不在附件中，而是隱藏在郵件正文中?！翱鞓?lè)時(shí)光”病毒隱藏在郵件正文中。一旦用戶將鼠標(biāo)移到中毒的郵件上，郵件在閱讀之前就已經(jīng)中毒了。嵌入模式：病毒只使用電子郵件作為它們的傳播手段?！懊符惿笔且粋€(gè)隱藏和傳播的Word 97/2K宏病毒。雖然它的核心內(nèi)容是宏病毒，但病毒中有一個(gè)專門用來(lái)傳播的代碼。當(dāng)條件滿足時(shí)，打開(kāi)用戶的電子郵件地址，將受感染的郵件發(fā)送到前50個(gè)地址。電子郵件病毒傳播原理，自復(fù)制設(shè)置FSO=createobject(腳本。FSO。getfile (wscript。scriptfullname)。copy (c:temp.vbs)可以將自身復(fù)制到temp文件中。c驅(qū)動(dòng)器根目錄下的VBS。傳播電子郵件病毒通過(guò)電子郵件傳播。設(shè)置ola=創(chuàng)建對(duì)象(Outlook。應(yīng)用)錯(cuò)誤恢復(fù)下一個(gè)x=1到50設(shè)置郵件=ola。創(chuàng)建項(xiàng)目(0