计算机病毒结构及分析PPT学习教案VIP

1、会计学1计算机病毒结构及分析计算机病毒结构及分析第1页/共43页第2页/共43页 潜伏阶段 传染阶段 触发阶段 发作阶段 潜伏期结束 传染结束 触发条件 病毒引导模块 病毒传染模块 病毒表现模块 激活传染条件判断模块 传染功能实现模块 触发表现条件判断模块 表现功能实现模块 图2-1： 病毒程序的生命周期 图2-2： 病毒程序的典型组成示意图 第3页/共43页图2-3： 病毒的工作机制 第4页/共43页第5页/共43页 剩余的宿主 程序 宿主程序 病毒程序 病毒程序 宿主程序 宿主程序 病毒程序 宿主程序 宿主程序 病毒程序 （a）链接在头部 （b）链接在尾部 （c）链接在中间 图2-4 替代

2、法 图2-5 链接法第6页/共43页第7页/共43页第8页/共43页第9页/共43页第10页/共43页第11页/共43页第12页/共43页第13页/共43页第14页/共43页第15页/共43页DOS系统区内存控制块（MCB）内存块1为病毒分配的内存块内存块2为病毒分配一块内存高端内存区域视频内存块中断向量表空闲区域病毒代码空闲区域空闲区域空闲区域图2-6 DOS病毒驻留内存位置示意图 第16页/共43页第17页/共43页第18页/共43页第19页/共43页第20页/共43页第21页/共43页第22页/共43页第23页/共43页第24页/共43页第25页/共43页第26页/共43页第27页/共4

3、3页第28页/共43页n动态地生成指令代码第29页/共43页DOS应用程序原来的INT13H服务程序DOS下的杀毒软件病毒感染后的INT13H服务程序普通扇区普通扇区被病毒感染的扇区被病毒感染的扇区的原始扇区读扇区调用读请求读请求返回数据返回数据返回数据第30页/共43页n 最后，再进行感染DOS命令解释程序（COMMAND.COM）感染后的INT 21H功能40H（加载一个程序执行）用户敲入AV.EXE执行反病毒程序恢复被病毒感染的扇区为原来的内容原来的INT21H功能重新感染扇区返回DOS命令解释程序（COMMAND.COM）第31页/共43页DOS INT21H调用INT13H（直接磁盘

4、访问）列目录功能（FindFirst、FindNext）读写功能（Read、Write）执行功能（EXEC）其他功能（rename等）视窗操作系统下，支持长文件名的扩展DOS调用隐藏病毒扇区列目录时显示感染前的文件大小读写文件看到正常的文件内容执行或者搜索时隐藏病毒在支持长文件名的系统隐藏自身第32页/共43页第33页/共43页第34页/共43页MOV reg_1, countMOV reg_2, keyMOV reg_3, offsetLOOP：xxx byte ptr reg_3，reg_2DEC reg_1Jxx LOOP其中，reg_1、reg_2和reg_3是从AX、BX、CX、DX、SI、DI、BP中随机挑选的寄存器，感染不同的文件，解密代码使用随机的寄存器count是加密数据的长度，key是加密的密钥，offset是加密代码的偏移量，感染的时候，这些数值都是随机生成的，不同的感染都不一样xxx是XOR、ADD、SUB等不同运算指令的通称，使用什么运算指令是感染的时候随机选择的Jxx是ja、jnc等不同条件跳转指令的通称，使用什么跳转指令也是感染的时候随机选择的加密后的病毒代码第35页/共43