病毒的逻辑结构与基本

1、第十讲 病毒的逻辑结构与基本机制一. 计算机病毒的状态与基本环节1.1 计算机病毒的状态计算机病毒在传播中存在两种状态：静态和动态。静态病毒动态病毒病毒处于静态的原因：没有用户启动该病毒或运行感染了该病毒的文件该病毒存在于不可执行它的系统中内存中的动态病毒的两种状态：激活态和灭活态。病毒的引导：病毒由静态变为动态的过程。病毒的首次激活过程：病毒的引导过程。一. 计算机病毒的状态与基本环节1.2 计算机病毒的基本环节1.分发拷贝阶段2.潜伏繁殖阶段3.破坏表现阶段二. 计算机病毒的基本结构2.1 一个简单的计算机病毒下面是一个DOS批处理病毒源程序autoexec.bat（假设从A盘启动）ECH

2、O OFFIF EXIST c:autoexec.bat GOTO VirusGOTO No_Virus:Virusc:REN autoexec.bat auto.batCOPY a:autoexec.bat c:ECHO Hello World!二. 计算机病毒的基本结构:No_Virusa:ECHO ON/AUTO PAUSE二. 计算机病毒的基本结构2.2 计算机病毒的逻辑结构感染标志引导模块感染模块破坏模块三. 计算机病毒的传播机制3.1 病毒实施感染的前提条件病毒在什么情况下有可能被首次执行？染有引导型病毒的磁盘在启动计算机时，病毒被执行。文件型病毒的病毒代码在执行染毒文件时被执行。

3、初始化批处理启动病毒，或利用系统初始化配置文件 的启动项启动病毒。Win32病毒借助Windows注册表的特殊键值，在启动 Windows时随之启动。病毒感染的一个必要条件：有传染目标病毒宿主。三. 计算机病毒的传播机制3.2 病毒的感染对象和感染过程1. 感染对象 目前出现的计算机病毒来看，其寄生对象主要有：寄生在磁盘引导扇区寄生在可执行文件中2.传染方式 传染：计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。 促使病毒传染的两种情况：被动传染和主动传染。三. 计算机病毒的传播机制3.传染过程 被动传染的传染过程 主动传染的传染过程 感染过程分为两类：立即传染和驻留内存

4、并伺机传染。 计算机病毒感染的过程：当宿主程序运行时，截取控制权寻找感染的突破口将病毒代码放入新的宿主程序 病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点。三. 计算机病毒的传播机制3.3 引导型病毒传染机理引导型病毒的工作原理是基于操作系统的上电或重启算法。引导型病毒感染硬盘的方式：感染主引导扇区感染活动分区引导扇区3.4 文件型病毒传染机理3.5 混合感染和交叉感染四. 文件型病毒的感染方式4.1 寄生感染4.2 无入口点感染4.3 滋生感染4.4 链式感染4.5 OBJ、LIB和源码的感染五. 计算机病毒的触发机制病毒常用的触发条件：1.日期触发2

5、.时间触发3.键盘触发4.感染触发5.启动触发6.访问磁盘次数/调用中断功能触发7.CPU型号/主板型号触发8.打开或预览Email附件触发9.随机触发六. 计算机病毒的破坏机制n计算机病毒的破坏机制在设计原则，工作原理上与传染机制相似，也是通过修改某一中断向量入口地址，使该中断向量指向病毒程序的破坏模块。n这样当被加载的程序或系统访问该中断向量 时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏。n计算机病毒的破坏行为体现了病毒的杀伤力n病毒的破坏程度取决于：六. 计算机病毒的破坏机制病毒常见的攻击部位和破坏目标：攻击系统数据区攻击文件攻击内存干扰系统运行扰乱输

6、出设备扰乱键盘七. 计算机病毒程序结构示例n病毒名称：Win32.Funlove4608(4099)n病毒类型：文件型 nFunlove病毒是一个Win32pe病毒，因病毒体内含有字符串Fun Loving Criminal而命名为Funlove病毒。属驻留内存、感染文件型，感染EXE、SCR、OCX三种类型的文件，被感染文件增长4099字节，病毒进驻系统后将会在Windows的System目录下建立flcss.exe文件，是病毒本身的点滴器，长度4608字节。七. 计算机病毒程序结构示例nFunlove病毒可以通过局域网进行传播，当染毒程序运行后，该病毒将创建一份名为“flcss.exe的文件，放在当前Windows系统的System目录下（NT系统中为System32），并同时开启一个线程进行自身的传染，被感染的宿主程序运行时几乎没有时间延迟。n病毒的感染部分代码将搜索所有本地驱动器（从C:到Z:）以及网络资源（局域网上的共享文件夹），在其中搜索带有EXE、SCR、OCX扩展名的文件，验证后进行感染，对齐最后一个节之后将自身代码填入其中、修改PE程序入口代码，被感染文件长度通常会增加4099字节或者更多。该病毒比较奇