H2003031185_胡尧_一种简单的计算机病毒的实现.doc
【精品】VC++一种简单的计算机病毒的实现(源代码+论文)
收藏
资源目录
压缩包内文档预览:(预览前20页/共27页)
编号:1639525
类型:共享资源
大小:47.96KB
格式:RAR
上传时间:2017-08-30
上传人:机****料
认证信息
个人认证
高**(实名认证)
河南
IP属地:河南
50
积分
- 关 键 词:
-
精品
vc
一种
简单
计算机病毒
实现
源代码
论文
- 资源描述:
-
【精品】VC++一种简单的计算机病毒的实现(源代码+论文),精品,vc,一种,简单,计算机病毒,实现,源代码,论文
- 内容简介:
-
分类号: U D C: 007)5858 级:公 开 编 号: 2003031185 成 都 信 息 工 程 学 院 学 位 论 文 一种简单 的 计算机病毒的 实现 论文作者姓名: 胡 尧 申请学位专业: 计算机科学与技术 申请学位类别: 工学学士 指导教师姓名(职称): 张金全(讲师) 论文提交日期: 2007 年 6 月 9 日 一种简单 的 计算机病毒 的实现 摘 要 计算机病毒是干扰计算机正常运行并造成计算机软硬件故障,破坏计算机数据的能进行自我复制的计算机程序或指令集合。随着计算机在社会生活各个领域的广泛应用,计算机病毒攻击与防范技术也在不断拓展,防范计算机病毒也越来越受到高度重视。 本论文从脚本病毒的基本理论和实现脚本病毒的关键技术出发,实现了一个简单的脚本病毒,深入分析了脚本病毒的机制及原理。本论文概述了计算机病毒的发展历史,发展趋势,简单介绍了实现脚本病毒所需要的及注册表的基本知识。重点讲述了该脚本病毒的工作原理以及各个模块所使用的主要技术,并以该脚本病毒的 源 代 码 为例,分析了设计思路,感染模块,破坏模块,标记模块的功能, 实现 了脚本病毒采用递归算法进行的搜索磁盘机制和感染机制。 关键词: 计算机病毒 ; 注册表 ; 本宿主; 递归算法 of a he is a or a of s It of in of of is of on s s a is s is We s of we on of of of of At we 目 录 论文总页数: 23 页 1 引 言 . 1 2 病毒的发展史 . 1 算机病毒的发展历史 . 1 算机病毒的当前状况 . 1 算机病毒的发展 趋势 . 2 3 相关工具简要介绍 . 3 绍 . 3 言 简介 . 5 册表基本知识 . 6 4 本病毒特点及原理分析 . 7 本病毒的特点 . 7 本病毒原理分析 . 8 染破坏文件部分 . 8 改注册表 . 8 置感染标记 . 8 5 脚本病毒的实现 . 8 本病毒必要知识 . 8 取文本文件对象 . 9 文件的操作 . 10 能流程图 . 11 计思路 . 11 能模块实现 . 11 函数模块 . 11 染文件模块 . 14 索文件模块 . 15 坏模块 . 16 册表操作模块 . 17 染标记模块 . 19 结 论 . 20 参考文献 . 21 致 谢 . 22 声 明 . 23 第 1 页 共 23 页 1 引 言 近年来计算机技术高速发展,各种各样的新技术得到了应用, 新 技术的发展为我们带来了方便,使信息交流更加快捷有效,而病毒也随着计算机技术的 广泛应用 而得到了发展,从 到 毒无处不在,甚至愈演愈烈,对计算的破 坏也在不断升级,研究病毒 原理及结构迫在眉睫。知己知彼,百战百胜,研究计算机病毒有助于 反病毒技术的发展,了解病毒的原理和结构才能清除和防治病毒,减少病毒给我们带来的损失。 本文 以一个脚本病毒为例,分别解析了计算机病毒的 感染 模块、破坏模块、搜索模块,解析病毒程序的一般结构。分析了各模块的功能特征 ,以及实现了一个 脚本 病毒,达到对 脚本 病毒原理进行深入 分析 的目的。 此文的目的在于了解病毒的发展状况及病毒程序的设计思路,掌握病毒基础知识,使我们能够尽早的防治和尽快的发现病毒的存在,提高计算机的安全性,意义不言而喻。 2 病 毒的发展史 算机 病毒 的发展历史 到了 1987 年,第一个电脑病毒 于诞生了。一般而言,业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟:巴斯特( 阿姆捷特( 写的,他们在当地经营一家贩卖个人电脑的商店,由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件, 会发作,将盗拷者的硬盘剩余空间给吃掉。 这个病毒在当时并没有太大的杀伤力,但后来一些有心人士以 蓝图,制作出一些变形的病毒。而其他新的病毒创作,也纷纷出笼,不仅有个人创作,甚至出现不少创作集团(如 各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,百家争鸣。 算机 病毒 的当前状况 1 计算机网络(互联网、局域网)成为计算机病毒的主要传播途径,使用计算机网络逐渐成为计算机病毒发作条件的共同点 。 计算机病毒最早只通过文件拷贝传播,当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展,目前计算机病毒可通过 计算机网络利用多种方式(电子邮件、网页、即时通讯软件等)进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了计第 2 页 共 23 页 算机病毒传染的高效率。与以前计算机病毒给我们的印象相比,计算机病毒的主动性(主动扫描可以感染的计算机)、独立性(不再依赖宿主文件)更强了。 2 计算机病毒变形的速度极快并向混合型、多样化发展 计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒( 是综合了文件型、蠕虫型病毒的 特性,这种发展趋势会造成反病毒工作更加困难。 2004 年 1 月 27日,一种新型蠕虫病毒在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络。不同反病毒厂商将其命名为 弹、诺威格、小邮差变种等,该病毒采用的是病毒和垃圾邮件相结合的少见战术,不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。 3 运行方式和传播方式的隐蔽性 微软安全中心发布 的 漏洞安全公告中 提及的 洞,危害等级被定为 “ 严重 ” 。在被计算机病毒感染的计算机中,你 可能只看到一些常见的正常进程如 ,其实它是计算机病毒进程。 4 利用操作系统漏洞传播 操作系统是联系计算机用户和计算机系统的桥梁,也是计算机系统的核心,目前应用最为广泛的是 列的操作系统。随着 作系统使用率的减少,感染 作系统的计算机病毒也将退出历史舞台;随着 对 作系统的计算机病毒将成为主流。 5 计算机病毒技术与黑客技术将日益融合 严格来说,木马和后门程序并不是计算机病毒,因为它们不能自我复制和扩散 。但随着计算机病毒技术与黑客技术的发展,病毒编写者最终将会把这两种技术进行了融合。 6 物质利益将成为推动计算机病毒发展的最大动力 从计算机病毒的发展史来看,对技术的兴趣和爱好是计算机病毒发展的源动力。但越来越多的迹象表明,物质利益将成为推动计算机病毒发展的最大动力。 如今,不少银行都提供网上验证或密码钥匙,用户千万不要只图节省费用而冒失去巨大资金风险。 买密码钥匙或数字证书是相当必要的。 算机 病毒 的发展趋势 对所有脚本类病毒发展的展望 : 随着网络的飞速发展,网络蠕虫病毒开始流行,而 本蠕虫则更加 突出,不仅数量多,而且威力大。由于利用脚本编写病毒比较简单,除了将继续流行目前的 本病毒外,将会逐渐出现更多的其它脚本类病毒,譬如 毒等。但是脚本并不是真正病毒技术爱好者编写病毒的 最佳工具,并且脚本病毒解除起来比较容易、相对容易防范。第 3 页 共 23 页 脚本病毒仍将继续流行,但是能够具有像爱虫、新欢乐时光那样大影响的脚本蠕虫病毒只是少数。 计算机病毒的发展趋势: 1 高频度 病毒疫情发作的频率高 。造成较大影响的计算机病毒达到百余种之多。恶性病毒的比例大,病毒对计算机用户的危害增大; 2 传播速度快,危 害面广 由于网络的特征决定了国内计算机病毒几乎与国外病毒疫情同步爆发,且迅速大面积流行。目前对用户安全威胁最大的是恶性网络蠕虫病毒 3 病毒制作技术新 与传统的计算机病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现,易于修改以产生新的变种,从而逃避反病毒软件的搜索。例如 “ 爱虫 ” 病毒是用 言编写的,只要通过 自带的编辑软件修改病毒代码中的一部分,就能轻而易举地制造病毒变种,以躲避反病毒软件的追击。 4 病毒形式多样化 病毒呈现多样化的趋势。病毒分析显示,虽然新病毒不 断产生,但较早的病毒发作仍很普遍,并向卡通图片、 方面发展。 此外,新的病毒更善于伪装,如主题会在传播中改变,许多病毒会伪装成常用程序,或者将病毒代码写入文件内部长度而不发生变化,用来麻痹计算机用户。 5 病毒生成工具 以往计算机病毒都是编程高手制作的,编写病毒显示自己的技术。 “ 库尔尼科娃 ” 病毒的设计者只是修改下载的 虫孵化器, “ 库尔尼科娃 ” 病毒就诞生了。据报道, 虫孵化器被人们下载了十五万次以上。由于这类工具在网络上可以很容易地获得,使得现在新病毒出现的频率超出以往任何时候。 3 相关工具简要介绍 绍 码在本地是通过 释执行的。 本的执行离不开 微软提供的一种基于 32 位 台的、与语言无关的脚本解释机制,它使得脚本能够直接在 面或 者 命令提示符下运行。利用 户能够操纵 象、 象、注册表和文件系统 等 。 1 概述 “ 的缩略形式,其通用的中文译名为“ 本宿主 ” 。 它是内嵌于 作系统中的脚本语言工作环境。个概念最早出现于 8 操作系统。 第 4 页 共 23 页 的批 处理命令类似于如今 的脚本语言。微软在研发 8 时,为了实现多类脚本文件在 面或 令提示符下的直接运行,就在系统内植入了一个基于 32 位 台、并独立于语言的脚本运行环境,并将其命名为“ 。 构于 上,通过充当 脚本引擎控制器, 户充分利用威力强大的脚本指令语言扫清了障碍。 2 组成 带的几个内置对象包括: 由 供的对象 作为 开给脚本引擎。 通过 性访问。 由 供的对象。 通过 法访问。 通过 法访问。 通过 问。 通过 性访问。 通过 性访问。 它 们主要可以完成环境变量的获取,网络登陆,驱动器映射,快截方式创建,程序加载,特殊文件夹(如系统文件夹)信息获取等功能。 3 作用 设计,在很大程度上考虑到了 “ 非交互性脚本( no ” 的需要。在这一指导思想下产生的 脚本带来非常强大的功能,可以利用它完成映射网络驱动器、检索及修改环境变量、处理注册表项等工作;管理员还可以使用 支持功能来创建简单的登陆脚本,甚至可以编写脚本来管理活动目录。而事实上,上述功能的实现,均与 置的多个对象密切相关,这些内置对象肩负着直接处理脚本指令的重任。 有 14 个内置对象,它们各自有着明确分工。具体而言,位于最底部的 要作用是提取命令行变量,确定脚本文件名,确定 行文件名( 是 确认 本信息,创建、关连及分离象,写入事件,按程序结束一个脚本文件的运行,向默认的输出设备(如对话框、命令行)输出信息等; 作用是获取全部的命令行变量;责获取指定的命令行参数集; 责获取未经指定的命令行参数集; 主要作用是开放或关闭网络共享,连接或断开网络打印机,映射或取消网络中 的共享,获取当前登陆用户的信息; 页 共 23 页 可以创建一个远程脚本对象; 以实现网络中对计算机系统的远程管理,也可按计划对其它程序 /脚本进行处理; 作用在于:当一个远程脚本( 象)因脚本错误而终止时,获取可用的错误信息;要负责程序的本地运行,处理注册表项、创建快捷方式、获取系统文件夹信息,处理环境变量; 要用于按计划创建快捷方式; 于 获 取 任 意 一 个 殊 文 件 夹 的 信 息 ; 于 按 程 序 要 求 创 建 进 入 互 联 网 资 源 的 快 捷 方 式 ;于获取任意的环境变量(如 于确定一个脚本文件的运行状态及错误信息。 言 简介 程序开发语言 族的最新成员,它将灵活的脚本应用于更广泛的领域,包括 户机脚本和 的 务器 用 )脚本与宿主应用程序对话。使用 览器和其他宿主应用程序不再需要每个脚本部件的特殊集成代码。 本使宿主可以编译 取和调用入口点及管理开发者可用的命名空间。通过 言厂商可以建立标准脚本运行时语言。 提供运行时支持。 在与多个 一起定义 。 本标准以使脚本引擎可以互换。 本可用在 ) ) 。 简化版本。编程方法和 本相同。 有一种数据类型,即, 型。 支持 传统的 I/O 功能,即不能通过 句和函数在客户机上读写文件,这样防止了可能对客户机造成的危害; 能调用 数,这是因为 数调用会危及客户机的安全,如病毒可以轻而易举地通过 数调用来破坏客户机; 持 系统对象,但 支持 象,该对象用于为应用程序提供运行时错误处理。 可编写服务器脚本,也可编写客户端脚本。 客户端编程语言 的优点是浏览器完成了所有的工作,这可以减轻服务器的负担 , 客户端程序运行起来比服务器端程序快得多。 第 6 页 共 23 页 册表基本知识 册表是帮助 制硬件、软件、用户环境和 面的一套数据文件,注册表包含在 录下两个文件 过 录下的 序可以存取注册表数据库。在以前,在 更早版本(在 前),这些功能是靠 其他和应用程序有关联的 件来实现的 . 注册表( 操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心 “ 数据库 ” ;是一个巨大的树状分层的数据库。它记录了用户安装在机器上的软件和每个程序的相互关联关系;它包含了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据等。 在系统中注册表是一个记录 32 位驱动的设置和位置的数据库。当操作系统需要存取硬件设备,它使用驱动程序,甚至设备是一个 持的设备。无持的设备安装时必须需要驱动,这个驱动是独立于操作系 统的,但是操作系统需要知道从哪里找到它们,文件名、版本号、其他设置和信息,没有注册表对设备的记录,它们就不能被使用。 注册表有六大根键 : 1 根键保存了存放在本地计算机口令列表中的用户标识和密码列表,即用户设置。每个用户的预配置信息都存储在 键中。 内容取决于计算机是否激活了用户配置文件,若未激活用户配置文件,则可以看到称为 单一子键,该子键包括和所有用户相关的各种设置,并且和 的 件相配合。若激活了用户配置文件并且正确地执行了登录,则还有一个 “ 用户名 ” 的子键,该用户名为用户登录的名称。 2 根键包含本地工作站中存放的当前登录的用户信息 ,包括用户登录用户名和暂存的密码。 3 根键存放着定义当前用户桌面配置 (如显示器等 )的数据 ,最后使用的文档列表( 其他有关当前用户的 8 中文版的安装的信息。 4 键由多个子键组成,具 体可分为两种:一种是已经注册的各类文件的扩展名,另一种是各种文件类型的有关信息。左栏中的子键就是各种已经注册的文件第 7 页 共 23 页 扩展名。注册表内己经登记的文件扩展名中,有系统默认和应用程序自定义的扩展名。应用程序只有把自定义的扩展名在注册表中登记,系统才能识别和关联使用有关的文档,但只有经过注册的扩展名,系统才能自动关联。 5 册表的核心,计算机的各种硬件和软件的配置均存在于此。它包括以下八个部分: 置、 动程序、 插即用、 件、 全、 件、 统。每部分中又包括许多子键。该根键存放本地计算机硬件数据 ,此根键下的子关键字包括在 ,用来提供 需的信息 ,或者在远程计算机中可访问的一组键中。该根键中的许多子键与 件中设置项类似。 6 根键存放了系统在运行时动态数据,此数据在每次显示时都是变化的,因此,此根键下的信息没有放在注册表中。 4 本 病毒 特 点及原理 分析 本病毒的特点 毒是用 写而成,该脚本语言功能非常强大,它们利用统的开放性特点,通过调用一些现成的 象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用 现时变得极其容易。 本病毒具有如下几个特点: 1 编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。 2 破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃 ,网络发生严重阻塞。 3 感染力强。由于脚本是直接解释执行,并且它不需要像 毒那样,需要做复杂的 件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。 4 传播范围大。这类病毒通过 档, 件或其它方式,可以在很短时间内传遍世界各地。 5 病毒源码容易被获取,变种多。由于 毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很 多杀毒软件可能就无能为力。 6 欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如 “ , “ ,由于系统第 8 页 共 23 页 默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个 片文件。 7 使得病毒生产机实现起来非常容易。 8 本病毒的弱点 本病毒由于其编写语言为脚本,因而它不会像 件那样方便灵活,它的运行是需要条件的。 1) 绝大部分 本病毒运行的时候需要用到一个对象: 2) 码是通过 解释执行的。 3) 本病毒的运行需要其关联程序 支持。 4)通过网页传播的病毒需要 支持 。 5)通过 播的病毒需要 自动发送邮件功能支持,但是绝大部分病毒都是以 主要传播方式的 。 本病毒原理分析 染破坏文件部分 定义系统文件操作对象 , 通过 法得到文件夹下的所有文件 , 通过 法得到所有文件的后缀名 , 比较 后缀名 , 如果后缀名是“ , “ , “ , “ , “ , “ , 则将 量写入文件,覆盖原文件的内容,实现感染功能。如果后缀名是 “ , “ ,“ ,则直接删除文件 。 递归调用 上述步骤。 改注册表 定义修改注册表过程 调用 程实现注册表的修改 置感染标记 打开当前文件 , 读入当前文件,判断是否有 “ou by 段。如果 匹配 ,则 该文件已经被 感染,如果无匹配,则实行感染操作。感染操作为读入病毒代码。 具体步骤及实现代码请参见下一部分。 5 脚本病毒 的实现 本病毒必要知识 介 象模型能对文件系统进行访问处理。该模型提供了一个基于对象的工具,通过它所提供的一系列属性和方法,可以在应用程序中更简单、灵活地对文件系统进行各种操作。 第 9 页 共 23 页 象模型包含以下几种对象: 象:允许收集系统物理或通过 系统逻辑连接的硬盘、 驱动器的可用空间、共享名等信息。 象:允许创建、删除或移动文件夹,并向系统查询文件夹的名称、路径等。 象:允许创建、删除或移动文件,并向系统查询文件的名称、路径等。 象:允许创建和读写文本文件。 象:提供一整套用于驱动器、文件夹和文件操作的方法,在功能上可以把它看作是上面几个对象的集合并且经常与它们配合使用。与该对象相关联的很多方 法重复了前面四个对象中的方法,因此既可以通过象来对驱动器、文件夹和文件进行大多数操作,也可以通过对应的驱动器、文件夹或文件对象对这些组件进行操作。 型通过两种方法实现对同一对象的操作,其操作效果是相同的,提供这种冗余功能的目的是为了实现最大的编程灵活性。 取文本文件对象 1 创建一个 象实例要进行文件操作,首先必须创建一个 象实例,用来 创 建或打开一个文 件 创建一个 象 实 例 的 具 体 格 式 为 ( 以 为例: 2 用 获取文本文件对象 供了两种方法用于获取文本文件对象 中用于创建文件的是 于打开已存在文件的是 种方法的返回结果都是一个 象的实例,利用该对象可以进行文件的具体操作 创 建一个新文件 创建新文件的方法的具体格式为 (以 例 ): 其中: 一个 ,指定要建立的文件的名称,通常为文件的实际路径 加文件名称。 一个 ,表示如果有同名文件存在时是否覆盖原来的文件该参数可以省略,缺省时为 不覆盖原来文件 一个 ,表 示要建立的文件是 件还是 参数可以省略,缺省时为 为 件 打开已存在的文件 第 10 页 共 23 页 打开已存在文件的方法的具体格式为 (以 例 ): 中: 一个 ,指定要打开的文件的名称,通常为文件的实际路径加文件名称 。 常数值,表示打开文件的目的, )表示用于读取数据; 示用于增加数据 该参数可以省略,缺省时为 一个 ,表示要打开的文件不存在时是否创建新文件, 该参数可以省略,缺省时为 不创建新文件 。 示文件打开的方式其可能的值及含义如下: 方式打开 。 方式打开 。 系统默认的方式打开 。 该参数可以省略,缺省时为 式 文件 的 操作 在建立或 打开了文件之后,就可利用对象 供的方法进行文件的实际操作了 1 用于写操作的方法有: 将由 定的字符串写入到文件中 。 在文件中写入由 定的字符串,并写入一个换行字符 。 参数 以省略,此时将在文件中插入一个空行 。 在文件中插入若干空行,行数由 定 。 2 用于读操作的方法和属性方法有: 属性是一个 ,表示文件指针是否已指向当前行的行尾 。 属性是一个 ,表示文件指针是否已指向文件尾 。 属性是一个整数值,表示文件指针在当前行中的位置 。 属性是一个整数值,表示文件指针所在行的行号 。 第 11 页 共 23 页 该方法从文件当前位置开始,读入由 回一个字符串 。 方法从文件当前位置开始,读入当前行的内容直到行尾,返回 一个字符串 。 方法从当前位置开始,读入整个文件的内容直到文件结束,返回一个字符串 。 该方法从文件当前位置开
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
|
2:不支持迅雷下载,请使用浏览器下载
3:不支持QQ浏览器下载,请用其他浏览器
4:下载后的文档和图纸-无水印
5:文档经过压缩,下载后原文更清晰
|
川公网安备: 51019002004831号