计算机病毒原理与防范基础

1、计算机病毒原理与防范胡继荣制作胡继荣制作 病毒起因病毒起因 计算机病毒的起因多种多计算机病毒的起因多种多 样，有的是计算机工作人员或样，有的是计算机工作人员或 业余爱好者为了纯粹寻开心而制业余爱好者为了纯粹寻开心而制 造出来造出来, 有的则是为防止自己的有的则是为防止自己的 产品被非法拷贝而制造的报复性产品被非法拷贝而制造的报复性 惩罚。一般可分为这样几种情况：惩罚。一般可分为这样几种情况：1.1.恶作剧：美国康奈尔大学的莫里斯，编写蠕虫程序肇恶作剧：美国康奈尔大学的莫里斯，编写蠕虫程序肇事后，被称为电脑奇才，一些公司出高薪争相聘用他。事后，被称为电脑奇才，一些公司出高薪争相聘用他。2.2.加

2、密陷阱论：巴基斯坦病毒是世界上唯一给出加密陷阱论：巴基斯坦病毒是世界上唯一给出病毒作者姓名、地址的病毒。由该国一家电脑商病毒作者姓名、地址的病毒。由该国一家电脑商店的两兄弟编写，目的是追踪软件产品的非法用店的两兄弟编写，目的是追踪软件产品的非法用户。户。3.3.游戏程序起源：游戏程序起源：19601960年美国人约翰康维在编写年美国人约翰康维在编写生命游戏程序时，萌发了程序自我自制技术。其生命游戏程序时，萌发了程序自我自制技术。其程序运行时屏幕上有许多生命元素图案在运动变程序运行时屏幕上有许多生命元素图案在运动变化，元素在过于拥挤和稀疏时都会因缺少生存条化，元素在过于拥挤和稀疏时都会因缺少生存

3、条件而死亡，只有处于合适环境中的元素才能自我件而死亡，只有处于合适环境中的元素才能自我复制并进行传播。复制并进行传播。4.4.政治、经济和军事：一些组织和个人也会编制政治、经济和军事：一些组织和个人也会编制一些程序胜于进攻对方电脑，给对方造成灾难或一些程序胜于进攻对方电脑，给对方造成灾难或直接经济损失。直接经济损失。病毒与计算机犯罪病毒与计算机犯罪F莫里斯事件：莫里斯事件：19881988年年1111月月2 2日，康奈尔大学计算机科学日，康奈尔大学计算机科学系研究生罗但特系研究生罗但特. .莫里斯制造的蠕虫案件。莫里斯制造的蠕虫案件。 F震荡波事件：震荡波事件：20042004年德国年德国18

4、18岁的技校生为显示自己的岁的技校生为显示自己的才能才能, ,用自己组装的电脑编写了一个名为用自己组装的电脑编写了一个名为“震荡波震荡波”的程的程序。该病毒不是通常意义上的病毒，而是一种以某种程序。该病毒不是通常意义上的病毒，而是一种以某种程序语言编写的程序文本。造成了全球巨大经济损失。美序语言编写的程序文本。造成了全球巨大经济损失。美国德尔塔航空公司取消周末全部航班、欧萌委员会国德尔塔航空公司取消周末全部航班、欧萌委员会12001200台计算机失灵、芬兰一家银行关闭全部营业处。台计算机失灵、芬兰一家银行关闭全部营业处。 F混客绝情炸弹：混客绝情炸弹：20012001年由黑龙江年由黑龙江171

5、7岁的高中学生池某岁的高中学生池某制造。制造。 什么是计算机病毒感染标记：即病毒签名。常以感染标记：即病毒签名。常以ASCASC方式放在程序里。方式放在程序里。破坏模块：实现病毒编写者预定的破坏模块：实现病毒编写者预定的破坏动作代码。破坏动作代码。触发模块：根据预定条件是否满足，触发模块：根据预定条件是否满足，控制病毒的感染或破坏。控制病毒的感染或破坏。主控模块：包括调用感染模块主控模块：包括调用感染模块, ,进行进行感染；调用触发模块，接受其返回感染；调用触发模块，接受其返回值；根据返回值决定是否执行破坏。值；根据返回值决定是否执行破坏。分类方法有很多。分类方法有很多。根据攻击系统分类：攻击

6、根据攻击系统分类：攻击DOS型、型、攻击攻击WINDOWS型、攻击型、攻击UNIX型、型、攻击攻击OS/2型。型。根据攻击机型分：微型计算机病毒、根据攻击机型分：微型计算机病毒、小型计算机病毒、工作站病毒。小型计算机病毒、工作站病毒。根据病毒链接方式分：源码型、嵌根据病毒链接方式分：源码型、嵌入型、外壳性、操作系统型。入型、外壳性、操作系统型。按破坏情况分按破坏情况分:良性病毒、恶性病毒良性病毒、恶性病毒按传播媒介分按传播媒介分:单机病毒、网络病毒单机病毒、网络病毒计算机病毒的特点计算机病毒的特点可执行性可执行性传染性传染性潜伏性潜伏性可触发性可触发性破坏性破坏性攻击主动性攻击主动性针对性针对

7、性非授权性非授权性隐蔽性隐蔽性衍生性衍生性寄生性寄生性不可预见性不可预见性欺骗性欺骗性持久性持久性计算机病毒的结构计算机病毒的结构计算机病毒的分类计算机病毒的分类计算机病毒技术基础计算机病毒技术基础文件系统文件系统冯冯. .诺依曼诺依曼体系结构体系结构WINDOWS程序工作原理程序工作原理磁盘结构磁盘结构 计算机病毒的制造、传染和发计算机病毒的制造、传染和发作，依赖于具体的计算机硬件与软作，依赖于具体的计算机硬件与软件，必须符合这些硬件和软件系统件，必须符合这些硬件和软件系统的规范要求，而这些规范要求实际的规范要求，而这些规范要求实际就是计算机病毒的技术基础。不同就是计算机病毒的技术基础。不同

8、的计算机硬件环境、不同的软件环的计算机硬件环境、不同的软件环境，都会制造出不同的病毒。境，都会制造出不同的病毒。 了解和掌握计算机硬件与软件的了解和掌握计算机硬件与软件的基础知识，对我们分析了解计算机基础知识，对我们分析了解计算机病毒技术的特点、工作原理是十分病毒技术的特点、工作原理是十分必要的。必要的。冯冯. .诺依曼机体系结构诺依曼机体系结构 冯冯. .诺依曼是是诺依曼是是2020世纪最杰出的数学家之一，于世纪最杰出的数学家之一，于19451945年提出年提出了了“程序内存式程序内存式”计算机的设计思想。这一卓越的思想为电子计计算机的设计思想。这一卓越的思想为电子计算机的逻辑结构设计奠定了

9、基础，已成为计算机设计的基本原则。算机的逻辑结构设计奠定了基础，已成为计算机设计的基本原则。 冯冯. .诺依曼式计算机的硬件由五大部件构成：诺依曼式计算机的硬件由五大部件构成：输入设备输入设备外存储器外存储器输出设备输出设备程序程序存储器存储器计算结果计算结果控制器控制器外部设备接口外部设备接口运算器运算器原始数据原始数据指令指令控制信号控制信号存数存数取数取数磁盘结构磁盘结构 了解磁盘的结构及其数据组织的特点，对于检测和预防计了解磁盘的结构及其数据组织的特点，对于检测和预防计算机病毒具有十分重要的意义。算机病毒具有十分重要的意义。 硬盘盘面以转轴中心为圆心，被均匀地划分成若干个半径不硬盘盘面

10、以转轴中心为圆心，被均匀地划分成若干个半径不等的称为磁道的同心圆，不同盘面上的相同直径的磁道，在垂直等的称为磁道的同心圆，不同盘面上的相同直径的磁道，在垂直方向构成一个叫做柱面的圆柱。显然柱面数等于磁道数。方向构成一个叫做柱面的圆柱。显然柱面数等于磁道数。 磁道由首部、磁道由首部、1818个扇区和尾部构成。扇区由标识区个扇区和尾部构成。扇区由标识区(ID(ID区区) )、间隙、数据区和间隙组成。每个扇区为间隙、数据区和间隙组成。每个扇区为512B512B。首部首部尾部尾部扇区扇区1扇区扇区NIDID区区间隙间隙间隙间隙间隙间隙IDID区区数据区数据区扇区扇区2索引信号索引信号容量容量= =碰头

11、数碰头数磁道数磁道数/ /面面扇区数扇区数/ /磁道磁道512B/512B/扇区扇区标识扇区的标识扇区的开始与记录开始与记录目标地址的目标地址的信息信息硬盘的数据组织硬盘的数据组织 磁盘的扇区定位有两种方法：物理扇区与逻辑扇区。硬盘的磁盘的扇区定位有两种方法：物理扇区与逻辑扇区。硬盘的物理扇区由驱动器号、磁头号物理扇区由驱动器号、磁头号(面号面号)、柱面号与扇区号四个参数、柱面号与扇区号四个参数组成。组成。 每一种操作系统要想在硬盘上建立自己的分区，必须由一个每一种操作系统要想在硬盘上建立自己的分区，必须由一个自己特有的实用程序来进行操作。硬盘初始化时，经过分区后建自己特有的实用程序来进行操作

12、。硬盘初始化时，经过分区后建立一个主引导分区和其他几个分区。见下图：立一个主引导分区和其他几个分区。见下图：主引导扇区主引导扇区 保留保留FATFAT区区DOSDOS引导扇区引导扇区目录区目录区数据区数据区系统隐藏分区系统隐藏分区DOS分区分区1DOS分区分区2位于硬盘的位于硬盘的0 0磁头磁头0 0柱面柱面1 1扇区，是硬盘的第扇区，是硬盘的第1 1物理扇区，包括硬盘主引导程序代码、四物理扇区，包括硬盘主引导程序代码、四个分区表信息和主引导记录有效标志等内个分区表信息和主引导记录有效标志等内容。该区受损时可用容。该区受损时可用 FDISK/MBRFDISK/MBR的的DOSDOS命令命令来重

13、建主引导程序和主引导记录有效标志，来重建主引导程序和主引导记录有效标志，分区信息不会被修改。分区信息不会被修改。主引导扇区结构与文件系统主引导扇区结构与文件系统区区 域域内内 容容0000H-01BDH0000H-01BDH01BFH-01CDH01BFH-01CDH01CEH-01DDH01CEH-01DDH01DEH-01EDH01DEH-01EDH01EEH-01FDH01EEH-01FDH01FEH-01FFH01FEH-01FFH主引导程序代码主引导程序代码分区表分区表1 1分区表分区表2 2分区表分区表3 3分区表分区表4 455AAH55AAH主引导记录有效标志主引导记录有效标志

14、用户可用用户可用DEBUGDEBUG来查看主引导记录。来查看主引导记录。 文件系统是操作系统中借以组织、存储和命名文件的结构。文件系统是操作系统中借以组织、存储和命名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应用程序都基于文件系统进行操作，在不同种文件系统上是不能工用程序都基于文件系统进行操作，在不同种文件系统上是不能工作的。作的。磁盘文件系统磁盘文件系统 DOS/WINDOWS DOS/WINDOWS系统操作系统中共使用了系统操作系统中共使用了6 6种不同的文件系统：种不同的文件系统：FAT12FAT12、FAT

15、16FAT16、FAT32FAT32、NTFSNTFS、NTFS5.0NTFS5.0、WinFSWinFS。LINUXLINUX系统使用的系统使用的主要是主要是Ext2Ext2、Ext3Ext3，也能识别，也能识别FAT16FAT16分区。分区。FAT12FAT12：文件名只能是：文件名只能是8.38.3格式；磁盘容量最大格式；磁盘容量最大8M8M；文件磁片严重；文件磁片严重HAT16:HAT16:大容量磁盘利用率低；分区创建的越大，造成的浪费越大。大容量磁盘利用率低；分区创建的越大，造成的浪费越大。FAT32FAT32：文件分配表扩大后，速度减慢；不能向下兼容；当分区：文件分配表扩大后，速度

16、减慢；不能向下兼容；当分区小于小于512M512M时，该格式不起作用，单个文件不能超过时，该格式不起作用，单个文件不能超过4G4G。NTFSNTFS：有出色的安全性和稳定性，且不易产生故善人碎片，对用：有出色的安全性和稳定性，且不易产生故善人碎片，对用户权限有非常严格的限制。但兼容性不好户权限有非常严格的限制。但兼容性不好NTFS5.0NTFS5.0：可支持：可支持2T2T的分区，是可恢复的文件系统；支持对分区、的分区，是可恢复的文件系统；支持对分区、文件夹和文件的压缩以及动态分区。文件夹和文件的压缩以及动态分区。WinFSWinFS: :建立在建立在NTFSNTFS文件系统之上。请上微软官方

17、网站查看。文件系统之上。请上微软官方网站查看。Ext2Ext2：是：是LINUX/GUNLINUX/GUN系统中的标准文件系统。存取文件性能好。系统中的标准文件系统。存取文件性能好。Ext3Ext3：是上述系统的下一代，目前离实用阶段还的一段距离。是：是上述系统的下一代，目前离实用阶段还的一段距离。是一个日志式文件系统。一个日志式文件系统。 在在Windows9xWindows9x、NTNT、20002000下，所有的下，所有的Win32Win32可执行文件可执行文件( (除除VxDVxD与与DLL)DLL)都是基于都是基于MicrosoftMicrosoft设计的一种新的文件格式：可移植的设

18、计的一种新的文件格式：可移植的执行体执行体, ,即即PEPE格式。该格式的一些特性源自格式。该格式的一些特性源自UNIXUNIX的的COFF(COFF(命令目命令目标文件标文件) )文件格式。文件格式。WindowsWindows下感染可执行文件的病毒，就必须下感染可执行文件的病毒，就必须对对PEPE格式的可执行文件进行修改。格式的可执行文件进行修改。PEPE文件结构格式如下：文件结构格式如下：Home PageGame DirectionsMZ MS-DOS头部头部MS-DOS实模式残余程序（实模式残余程序（DOS stub)PE00 PE文件标志文件标志PE文件头文件头PE文件可选头部文件

19、可选头部节表（节表（section table)节节1节节2节节3节节nPEPE文件格式文件格式1.调用调用API函数进行函数进行 文件搜索文件搜索2.采用递归与非递归采用递归与非递归 算法进行搜索算法进行搜索3.内存映射文件内存映射文件 1.1.利用程序的返回利用程序的返回 地址地址, ,在其附近搜在其附近搜 索索Kernel32Kernel32模块模块 基地址基地址2.2.对相应操作系统对相应操作系统 分别给出固定的分别给出固定的 Kernel32模块基模块基 地址地址我们在编程用常量和变量我们在编程用常量和变量时，一般直接用名字访问时，一般直接用名字访问, ,编译后通过偏移地址访问编译后

20、通过偏移地址访问, ,而计算机病毒在感染宿主而计算机病毒在感染宿主程序时程序时, ,要插入到宿主程序要插入到宿主程序的代码空间的代码空间, ,肯定要用到变肯定要用到变量和常量量和常量. .当病毒感染当病毒感染hosthost程序后程序后, ,由于依附到由于依附到hosthost程程序中的位置不同序中的位置不同, ,病毒随病毒随hosthost载入内存后载入内存后, ,病毒的各病毒的各变量常量在内存中的位置变量常量在内存中的位置自然也随之变化自然也随之变化. .病毒必须病毒必须采用重定位技术才能使自己采用重定位技术才能使自己正常运行正常运行WIN32WIN32病毒分析病毒分析概概 念念组组 成成

21、分分 类类特特 征征植入方法植入方法 特特 洛洛 伊伊 木马木马一种能够在受害者毫无察觉的情况下渗透到系统的代码一种能够在受害者毫无察觉的情况下渗透到系统的代码硬件部分硬件部分软件部分软件部分具体连接部分具体连接部分远程控制型远程控制型密码发送型密码发送型键盘记录型键盘记录型毁坏型毁坏型FTP型型多媒体型多媒体型隐蔽性隐蔽性自动运行性自动运行性 欺骗性欺骗性 自动恢复性自动恢复性 功能特殊性功能特殊性软件复制软件复制电子邮件电子邮件 发送超链接发送超链接 缓冲区溢出攻击缓冲区溢出攻击 WINDOWS WINDOWS程序设计是一种事件驱动方式的程序设程序设计是一种事件驱动方式的程序设 计模式。其

22、应用程序最大的特点就是程序无固定计模式。其应用程序最大的特点就是程序无固定 的流程，只是针对某个事件的处理有特定的子流的流程，只是针对某个事件的处理有特定的子流 程，程，WINDOWSWINDOWS应用程序就是由许多这样的子流程应用程序就是由许多这样的子流程 构成的。构成的。 WINDOWSWINDOWS应用程序本质上是面向对象的。程序提供应用程序本质上是面向对象的。程序提供 给用户界面的可视图像在程序内部一般也是一个给用户界面的可视图像在程序内部一般也是一个 对象，用户对可视对象的操作通过事件驱动模式对象，用户对可视对象的操作通过事件驱动模式 触发相应对象的可用方法。程序的运行就是用户触发相

23、应对象的可用方法。程序的运行就是用户 外部操作不断产生事件，这些事件又被相应的对外部操作不断产生事件，这些事件又被相应的对 象处理的过程。象处理的过程。 CIHCIH病毒剖析病毒剖析 CIH CIH病毒是一种文件型病毒病毒是一种文件型病毒, ,是第一例感染是第一例感染WINDOWSWINDOWS环境下的环境下的PEPE格式文件的病毒。目前格式文件的病毒。目前CIHCIH病毒有多个版本，最流行的是病毒有多个版本，最流行的是CIH1.2CIH1.2版本。版本。受感染的受感染的EXE文件的文件长度未改变。文件的文件长度未改变。DOS及及Win3.1格式的或执行文件不受感染，且在格式的或执行文件不受感

24、染，且在WinNT中无效中无效查找包含查找包含EXE特征特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件过程中显示一大堆符合查找特征的可执行文件4月月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动CIHCIH病毒的表现形式、危害及传播途径病毒的表现形式、危害及传播途径CIHCIH病毒的运行机制病毒的运行机制碎洞攻击，将病毒化整为零插入到宿主文件中，利用碎洞攻击，将病毒化整为零插入到宿主文件中，利用BIOS芯片可重写特点，芯片可重写特点，发作时向主板发作时向主板BIOS中写入乱码，开创了病毒直接进攻硬件的行先例。中写入乱码，开创了病

25、毒直接进攻硬件的行先例。CIHCIH病毒程序的组成病毒程序的组成引导模块：感染了该病毒的引导模块：感染了该病毒的EXE文件运行时修改文件程序的入口地址文件运行时修改文件程序的入口地址传染模块：病毒驻留内存过程中调用传染模块：病毒驻留内存过程中调用WINDOWS内核底层内核底层表现模块表现模块脚本病毒脚本病毒 脚本宿主简称脚本宿主简称WSHWSH，是一种与语言无关的脚本宿主，可用于，是一种与语言无关的脚本宿主，可用于与与WINDOWSWINDOWS脚本兼容的脚本引擎。脚本兼容的脚本引擎。WSHWSH是一种是一种WINDOWSWINDOWS管理工具。管理工具。当脚本到达计算机时，当脚本到达计算机时

26、，WSHWSH先充当主机的一部分，它使对象和服务先充当主机的一部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。可用于脚本，并提供一系列脚本执行指南。 脚本语言的前身实际上就是脚本语言的前身实际上就是DOSDOS系统下的批处理文件。脚本的系统下的批处理文件。脚本的应用是对应用系统的一个强大的支撑，需要一个运行环境。现在应用是对应用系统的一个强大的支撑，需要一个运行环境。现在比较流行的脚本语言的比较流行的脚本语言的Unix/Linux shellUnix/Linux shell、VBScriptVBScript、PHPPHP、 JavaScriptJavaScript、JSPJSP等。现

27、在流行的脚本病毒大都是利等。现在流行的脚本病毒大都是利JavaScriptJavaScript和和VBScriptVBScript编写。编写。 JavaScriptJavaScript是一种解释型的、基于对象的脚本语言，是一种宽是一种解释型的、基于对象的脚本语言，是一种宽松类型的语言，不必显式地定义变量的数据类型。大多数情况下，松类型的语言，不必显式地定义变量的数据类型。大多数情况下，该语言会根据需要自动进行转换。该语言会根据需要自动进行转换。 VBScriptVBScript使用使用ActiverXActiverX Script Script与宿主应用程序对话。与宿主应用程序对话。VBSVB

28、S脚本病毒脚本病毒 该病毒是用该病毒是用VBScript编写的，其脚本语言功能非常强大，编写的，其脚本语言功能非常强大，利用利用WINDOWS系统的开放性特点，通过调用一些现成的系统的开放性特点，通过调用一些现成的WINDOWS对象、组件，可直接对文件系统、注册表等进行控对象、组件，可直接对文件系统、注册表等进行控制，功能非常强大。制，功能非常强大。VBS脚本病毒具有如下特点：脚本病毒具有如下特点：v 编写简单编写简单v破坏力大破坏力大v感染力强感染力强v传播范围广传播范围广v病毒码容易被获取、变种多病毒码容易被获取、变种多v欺骗性强欺骗性强v病毒生产机实现起来非常容易病毒生产机实现起来非常容

29、易VBSVBS病毒机理病毒机理 感染方法：感染方法：一般直接通过自我复制进行感染，病毒中的绝大部分代一般直接通过自我复制进行感染，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。如新欢乐时光病毒可将码都可以直接附加在其他同类程序的中间。如新欢乐时光病毒可将自己的代码附加在自己的代码附加在htm文件的尾部，并在顶部加入一条调用病毒代文件的尾部，并在顶部加入一条调用病毒代码的语句；而爱虫病毒则是直接生成一个文件的副本，将病毒代码码的语句；而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，拷入其中，并以原文件名作为病毒文件名的前缀，VBS作为后缀。作

30、为后缀。 传播方式：传播方式：通过通过E-mail附件传播、通过局域网共享传播、通过感染附件传播、通过局域网共享传播、通过感染htm、asp、jsp、php等网页文件传播、通过等网页文件传播、通过IRC聊天通道传播。聊天通道传播。 病毒加载：病毒加载：修改注册表项、通过映射文件执行方式、欺骗用户，让修改注册表项、通过映射文件执行方式、欺骗用户，让用户自己执行、用户自己执行、Desktop.ini和和Folder.htt互相配合。互相配合。 对抗反病毒的方法：对抗反病毒的方法：自加密、运用自加密、运用Execute函数、改变对象的声明函数、改变对象的声明方法、直接关闭反病毒软件。方法、直接关闭反

31、病毒软件。VBSVBS脚本病毒的防范脚本病毒的防范VBSVBS病毒具有一些弱点：病毒具有一些弱点：n运行是时需要用到一个对象：运行是时需要用到一个对象：FileSystemObjectFileSystemObjectn代码通过代码通过Windows Script HostWindows Script Host来解释执行来解释执行n运行时需要其关联程序运行时需要其关联程序Wscript.exeWscript.exe的支持的支持n通过网页传播的病毒需要通过网页传播的病毒需要ActiveXActiveX的支持的支持n通过通过E-mailE-mail传播的病毒需要传播的病毒需要OEOE的自动发送邮件功

32、能支持，但绝的自动发送邮件功能支持，但绝大多数病毒都是以大多数病毒都是以E-mailE-mail为主要传播方式的为主要传播方式的预防措施：预防措施：禁用文件系统对象禁用文件系统对象FileSystemObjectFileSystemObject卸载卸载Windows Script HostWindows Script Host删除删除VBSVBS、VBEVBE、JSJS、JSEJSE文件后缀名与应用程序的映射文件后缀名与应用程序的映射在在WindowsWindows目录中找到目录中找到Wscript.exeWscript.exe，更名或删除，更名或删除在浏览器安全选项中将在浏览器安全选项中将“ActiveX”ActiveX”控件及插件设为禁用控件及插件设为禁用禁止禁止OEOE的自动收发邮件功能的自动收发邮件功能不要隐藏系统中书籍文件类型的扩展名不要隐藏系统中书籍文件类型的扩展名安装防病毒软件安装防病毒软件宏病毒宏病毒 Microsoft Word Microsoft Word对宏的定义是：能组织到一起作为一个独立的对宏的定义是：能组织到一起作为