病毒分析01讲

1、病毒分析病毒分析第第1 1讲讲授课教师：赵树升授课教师：赵树升授课日期：授课日期：2012-02计算机病毒分析【上节回顾上节回顾】1. 操作系统操作系统磁盘结构，文件管理，内存管理，进程管理磁盘结构，文件管理，内存管理，进程管理；2. C+程序设计程序设计【API】； 3. 计算机网络计算机网络接收和发送数据，远程控制接收和发送数据，远程控制；4. 汇编语言汇编语言【古老，独到功能古老，独到功能】 计算机病毒分析如何学习如何学习l阅读：l上网查资料lMSDNl练习程序计算机病毒分析第第1章计算机章计算机 病毒概述病毒概述 l1.1 定义定义 l1.2 计算机病毒的特性 l1.3 计算机病毒的分

2、类 （重点）（重点）l1.4 计算机病毒的产生与历史 l1.5 计算机病毒的命名 （重点）（重点）l1.6 计算机病毒的本质 （重点）（重点）l1.7 病毒的工作机制病毒的工作机制 本章内容计算机病毒分析1.2 计算机病毒的特性计算机病毒的特性 1.传染性 （重点；自我复制到相同位置）2.隐蔽性【占用磁盘、内存或文件空间的变化】3.潜伏性 【条件满足后触发】4.破坏性【对硬件，操作系统，应用软件】5.不可预见 【感染时不清楚，不知道发作时间】计算机病毒分析1.3 计算机病毒的分类计算机病毒的分类 1、按照计算机病毒侵入的系统分类、按照计算机病毒侵入的系统分类 【操作系统，DOS，控制台，图形界

3、面，保护模式，实模式，典型操作系统】 2、按照计算机病毒的链接方式分类按照计算机病毒的链接方式分类 【编程时插入，插入已有程序，包裹应用程序，修改系统部分功能】3、按照计算机病毒的破坏性质分类按照计算机病毒的破坏性质分类 4、按照计算机病毒的寄生部位或传染对象分类按照计算机病毒的寄生部位或传染对象分类 【引导扇区，操作系统，可执行程序，宏】5、按照传播介质分类按照传播介质分类 计算机病毒分析1.4 计算机病毒的产生与历史计算机病毒的产生与历史 伴随着计算机硬件、软件技术，尤其操作系统的发展而发展的。 1、预言：冯诺伊曼 2、1983年11月3日，弗雷德科恩博士 3、1988年3月2日，一种苹果

4、机的病毒发作 4、病毒的产生的原因病毒的产生的原因 ： 好奇或兴趣 、报复心理 、软件保护 （江民）解释：软件保护，如注册，防拷贝计算机病毒分析1.4.3 病毒的发展过程病毒的发展过程 1、DOS引导阶段引导阶段 ： 什么是引导、怎么编写2、DOS可执行阶段可执行阶段 ：MZ格式3、PE可执行4、变形：代码变，难找特征码【解释】5、变种：机器产生变形6、蠕虫：不需要人工干预7、宏病毒。什么是宏？计算机病毒分析1.4.4 病毒的发展趋势病毒的发展趋势1、病毒与黑客技术相结合 2、蠕虫病毒更加泛滥 3、病毒破坏性更大 4、制作病毒的方法更简单 【机器做】5、 病毒传播速度更快 6、病毒的检测与查杀

5、更困难 计算机病毒分析1.5 计算机病毒的命名计算机病毒的命名 1、反病毒公司为了方便管理，通常会按照病毒的特性，将病毒进行分类命名。一般格式为：.。病毒前缀。指一个病毒的种类 ；病毒名。指一个病毒的名称 ；病毒后缀。指一个病毒的变种特征 。计算机病毒分析1.6 计算机病毒的本质计算机病毒的本质 是程序设计者非法利用系统或应用软件的正常功能正常功能，系统或应用软件存在的漏洞漏洞而产生的影响系统正常使用，未经授权而运行的程序代码。 举例：菜刀，鼻孔 举例：文件钩子与病毒（正常功能） 引导与引导病毒（未检查引导代码）计算机病毒分析1.6.1 病毒的隐藏位置病毒的隐藏位置 可执行文件。例如在exe文

6、件中、vbs文件中。 引导扇区。例如软盘的引导扇区。 表格和文档。例如WORD的模板文件normal.dot中。 Java小程序和ActiveX控件。例如我们上网时常被提醒是否安装ActiveX控件，文件里可能含有病毒。计算机病毒分析1.6.2 病毒对系统功能的利用病毒对系统功能的利用 BIOS功能。BIOS（Basic Input/Output System，基本输入输出系统）全称是ROMBIOS，是只读存储器基本输入输出系统的简写，它实际是一组被固化到电脑中，为电脑提供最低级最直接的硬件控制的程序，它是连通软件程序和硬件设备之间的枢纽，通俗地说，BIOS是硬件与软件程序之间的一个“转换器”

7、或者说是接口，负责解决硬件的即时要求，并按软件对硬件的操作要求具体执行。 我们在汇编语言程序设计中学到的int 10h、int 13h、int 16h等，病毒可以利用它们来在屏幕上显示字符、读写扇区和获取按键信息等。 DOS功能。DOS是早期微软的磁盘操作系统，主要功能有文件管理、内存管理、设备管理、作业管理和CPU管理等。这些功能主要集中在int 21h中。病毒利用这些功能进行文件操作，内存操作。 API函数。API的英文全称(Application Programming Interface)，WIN32 API也就是Microsoft Windows 32位平台的应用程序编程接口，包含了

8、大量的函数。函数为程序设计者编程进行文件操作、磁盘扇区操作、内存操作、进程管理提供了系统功能，同样也方便了病毒设计者。 Office的宏。宏提供了文件操作、注册表、执行程序等功能，而宏病毒则利用了这些功能。 组件与脚本。组件与脚本为ASP设计提供了丰富多彩的功能，也为脚本病毒、邮件病毒、网页病毒提供了同样多的方便。计算机病毒分析1.6.3 病毒对系统漏洞的利用病毒对系统漏洞的利用 l更多的病毒是利用系统在设计中出现的漏洞。 l每暴露一种漏洞，就产生一种或若干种利用该漏洞的病毒。 作业：查找漏洞与对应的病毒。计算机病毒分析1.6.4 病毒的一般结构病毒的一般结构 感染标志。为了避免病毒重复感染一

9、个文件、一个扇区，病毒要在病毒数据中加一个标志，如CIH病毒的感染标志是加了“CIH”字符串。对于以独立文件方式存在的病毒，如冲击波病毒，为了避免多个病毒进程同时运行，使用函数CreateMutex建立了一个互斥变量“BILLY”，病毒启动时首先检测有无该变量存在，存在则说明病毒程序已经运行，则保证内存中只有一份病毒文件生成的进程。 引导模块。病毒程序运行时，首先运行的是病毒的引导模块，它完成的主要功能是，操作系统环境检测，感染标志检测，分配内存，读自己到内存，设置病毒触发条件、检查是否满足触发条件等。如CIH病毒，首先检测系统是否为Windows 95/98，不是则病毒程序退出。 感染模块。

10、负责寻找被感染目标，检查目标是否感染本病毒或是否满足其它感染条件，若满足则复制自己到目标完成感染。 破坏模块。不同的病毒破坏的方式和破坏的严重程度不一样，取决于病毒设计者的主观愿望与程序设计能力。破坏代码是否执行，取决于触发条件。 计算机病毒分析1.6.5 感染病毒后的常见症状感染病毒后的常见症状 系统无法启动、启动时间延长重、复启动或突然重系统无法启动、启动时间延长重、复启动或突然重启。启。 出现蓝屏、无故死机或系统内存被耗尽。出现蓝屏、无故死机或系统内存被耗尽。 屏幕上出现一些乱码。屏幕上出现一些乱码。 出现陌生的文件、陌生的进程。出现陌生的文件、陌生的进程。 文件时间被修改，文件大小变化

11、。文件时间被修改，文件大小变化。 磁盘文件被删除、磁盘被格式化等。磁盘文件被删除、磁盘被格式化等。 无法正常上网或上网速度很慢。无法正常上网或上网速度很慢。 某些应用软件无法使用或出现奇怪的提示。某些应用软件无法使用或出现奇怪的提示。 计算机病毒分析1.7 病毒的工作机制病毒的工作机制 1、病毒工作过程可以分为感染、潜伏、繁殖和发作四个阶段。 2、感染是指病毒自我复制并传播给其他程序；潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为；繁殖是不断地由一个位置向另一个位置进行传播的过程；发作是实施的各种破坏行为。 病毒的运行，主要是利用了系统提供的功能调用。系统提供了很多功

12、能调用，是病毒实现触发、传播和破坏的基础。计算机病毒分析【课堂练习（一）课堂练习（一）】 日期触发。许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、 前半年后半年触发等。 时间触发。时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。 键盘触发。有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。 操作系统触发。某些病毒攻击特定的操作系统、特定的版本或特定的语言版本等。 启动触发。病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 访问磁盘次数触发。病毒对磁

13、盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。 调用中断功能/API函数触发。病毒对中断调用或函数调用的次数计数，以预定次数做触发条件。 CPU型号/主板型号触发。病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件，这种病毒的触发方式奇特罕见。作业：用高级语言尽可能地实现上面的触发。 计算机病毒分析1.7.2 病毒的传播机制病毒的传播机制 软盘、光盘和软盘、光盘和USB盘。它们作为最常用的交换媒介，在计算机应盘。它们作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用用的早期对病毒的传播发挥了巨大的作用，因那时

14、计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过相互拷贝、安装，这样病毒就能通过这些介质传播文件均通过相互拷贝、安装，这样病毒就能通过这些介质传播文件型病毒；另外，在用它们列目录或引导机器时，引导区病毒会型病毒；另外，在用它们列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。在软盘与硬盘引导区内互相感染。 硬盘。由于带病毒的硬盘在本地或移到其他地方使用、维修等，硬盘。由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘、将干净的软盘、USB盘感染并再次扩散。盘感染并再次扩散。 网络。非法者设计的个

15、人网页，容易使浏览网页者感染病毒；用网络。非法者设计的个人网页，容易使浏览网页者感染病毒；用于学术研究的病毒样本，可能成为别有用心的人的使用工具；于学术研究的病毒样本，可能成为别有用心的人的使用工具；散见于网站上大批病毒制作工具、向导、程序等等，使得无编散见于网站上大批病毒制作工具、向导、程序等等，使得无编程经验和基础的人制造新病毒成为可能；聊天工具如程经验和基础的人制造新病毒成为可能；聊天工具如QQ的使用，的使用，导致有专门针对聊天工具的病毒出现；即使用户没有使用前面导致有专门针对聊天工具的病毒出现；即使用户没有使用前面的项目，只要计算机在网络上，而系统存在漏洞，针对该漏洞的项目，只要计算机

16、在网络上，而系统存在漏洞，针对该漏洞的病毒有可能感染该台机器。的病毒有可能感染该台机器。计算机病毒分析1.7.3 病毒的破坏机制病毒的破坏机制 硬盘主引寻扇区、Boot扇区、FAT表、文件目录的数据被修改。 修改文件。病毒对文件的攻击方式很多，如：删除、改名、替换内容、丢失部分程序代码、修改写入时间、丢失文件簇、丢失数据文件等。 占用内存。病毒额外地占用和消耗系统的内存资源。 干扰其它进程正常运行。病毒可能会修改进程内存数据、插入进程空间、引起某些进程溢出、造成某些服务程序崩溃等。病毒激活后，其运行将占用系统时间，造成其它程序运行速度变慢。 系统功能被修改。病毒可能接管某些系统功能，造成正常的功能不能使用。 扰乱屏幕显示。病毒扰乱屏幕显示的方式很多，如：字符跌落、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写等。 干扰键盘操作。如：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。 某些病毒运行时，会使计算机的喇叭发出响声。 修改CMOS。例如系统时钟、磁盘类型、内存容量等。有的病毒激活时，能够对CMOS区进行写入操作，破坏系统CMOS中的数据。作业：你能用高级语言实现上面的哪些功能?计算机病毒分析1.8 反病毒技术反病毒技术1、针对单机，、针对单机，DOS操作系统下操作系统下2、针对某个局部网络，主要是针对某个局部网络，主要是