第2章计算机病毒工作机制

单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第2章 计算机病毒的工作机制,1,第2章 计算机病毒的工作机制,病毒的工作步骤分析,计算机病毒的引导机制,计算机病毒的传染机制,计算机病毒的触发机制,计算机病毒的破坏机制,计算机病毒的传播机制,2,病毒的工作步骤分析,计算机病毒的引导模块,计算机病毒的感染模块,计算机病毒的表现模块,3,从本质上来看，病毒程序可以执行其他程序所能执行的一切功能。但是，与普通程序又不同的是病毒必须将自身,附着,在其他程序上。,病毒程序所依附的其他程序称为,宿主程序,。当用户运行宿主程序时，病毒程序被激活，并开始执行。,一旦病毒程序被执行，它就能执行一切意想不到的功能（如感染其他程序、删除文件等）。,4,从病毒程序的生命周期来看，它一般会经历4个阶段：,潜伏,阶段、,传染,阶段、,触发,阶段和,发作,阶段，如图2-1所示。,图2-1 病毒程序的生命周期,5,在,潜伏,阶段，病毒程序处于休眠状态,用户根本感觉不到病毒的存在，但并非所有病毒均会经历潜伏阶段。,如果某些事件发生，病毒就会被激活，并从而进入传染阶段。,处于,传染,阶段的病毒，将感染其他程序,将自身程序复制到其他程序或者磁盘的某个区域上。经过传染阶段，病毒程序已经具备运行的条件，一旦病毒被激活，则进入触发阶段。,6,实现病毒生命周期转换的病毒程序必须具有的功能模块,引导模块,传染模块,表现模块,7,计算机病毒的引导模块,计算机病毒引导模块主要实现将计算机病毒程序引入计算机内存，并使得传染和表现模块处于活动状态。,引导模块需要提供自保护功能，从而避免在内存中的自身代码不被覆盖或清除。,一旦引导模块将计算机病毒程序引入内存后，它还将为传染模块和表现模块设置相应的启动条件，以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块。,8,计算机病毒的感染模块,计算机病毒的传染模块有两个功能：,依据引导模块设置的传染条件，判断当前系统环境是否满足传染条件（如特定的日期、某个特定的程序被执行等）；,如果传染条件满足，则启动传染功能，将计算机病毒程序附加到其他宿主程序上。,9,计算机病毒的表现模块,表现模块功能也包括两个部分：,根据引导模块设置的触发条件，判断当前系统环境是否满足所需要的触发条件；,一旦触发条件满足，则启动计算机病毒程序，按照预定的计划执行（如删除程序、盗取数据等）。,10,BootingModel（）/*引导模块*/,将计算机病毒程序寄生于宿主程序中；,启动自保护功能；,设置传染条件；,设置激活条件；,加载计算机程序；,计算机病毒程序随宿主程序地运行进入系统；,11,InfectingModel（）/*传染模块*/,按照计算机病毒目标实现传染功能；,BehavingModel（）/*表现模块*/,按照计算机病毒目标实现表现功能；,12,main（）/*计算机病毒主程序*/,BootingModel（）；/*引导*/,while（1）,寻找感染对象；,If（如果感染条件不满足）continue；,InfectingModel（）；/*感染*/,if（激活条件不满足）continue；,behavingModel（）；/*表现*/,运行宿主程序；,if（计算机病毒程序需要退出）exit（）；,13,2.2 计算机病毒的引导机制,计算机病毒的寄生对象,计算机病毒的寄生方式,计算机病毒的引导过程,14,计算机病毒的寄生对象,寄生在计算机硬盘的主引导扇区中,该扇区与操作系统无关,寄生在计算机磁盘逻辑分析引导扇区中,任何操作系统都有自举过程：如DOS操作系统启动时，首先由系统读入磁盘逻辑分析引导扇区记录并执行，以将DOS读入内存,病毒为了利用这个过程，将病毒代码覆盖引导扇区，而将引导扇区数据移动到磁盘其他空间，并将这些数据占用的扇区标志为坏簇。这样，系统初始化时，病毒代码将被首先执行，从而使得病毒被激活,15,寄生在可执行程序中,病毒寄生在可执行程序中（如.EXE文件），一旦程序执行，病毒就被激活。,激活后，病毒程序首先被执行：将自身常驻内存，然后按照需要设置触发条件，也可能立即进行传染，但一般不表现。做完这些工作后，开始执行正常的程序,病毒程序也许在执行完正常程序后再设置触发条件,16,计算机病毒的寄生方式,计算机病毒的寄生方式有两种：,替代法，如图2-3所示,链接法，如图2-4所示,17,图2-3 替代法,图2-4 链接法,18,计算机病毒的引导过程,计算机病毒的引导过程一般包括以下3方面：,驻留内存,获取系统控制权,恢复系统功能,19,2.3 计算机病毒的传染机制,计算机病毒的传染方式,计算机病毒的传染过程,系统型计算机病毒传染机理,文件型计算机病毒传染机理,20,计算机病毒的传染方式,被动传染,用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体上。当然，也可能通过网络上的信息传递，把一个计算机病毒程序从一方传递到另一方。,主动传染,计算机病毒以计算机系统的运行以及计算机病毒程序处于激活状态为先决条件。,此外，按照计算机病毒传染的时间性，其传染方式也可分为立即传染和伺机传染。,21,计算机病毒的传染过程,对于计算机病毒的被动传染而言，其传染过程：,随着复制磁盘或文件工作的进行而进行的。,对于计算机病毒的主动传染而言，其传染过程是：,在系统运行时，计算机病毒通过计算机病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。,22,发现被传染的目标,（1）首先对运行的可执行文件,特定地址,的,标识位信息,进行判断是否已感染了计算机病毒。,（2）当条件满足，利用INT 13H将计算机病毒链接到可执行文件的首部、尾部或中间，并存入空间大的磁盘中。,（3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。,23,操作系统型计算机病毒的传染过程,正常的计算机 DOS启动过程如下：,（1）加电开机后进入系统检测程序，并执行该程序对系统的基本设置进行检测,（2）检测正常后从系统盘0面0道1扇区，即逻辑0扇区读入Boot引导程序到内存的0000:7C00处,（3）转入Boot执行之,24,（4）Boot判断是否为系统盘，如果不是系统盘则提示：,non-system disk or disk error,Replace and strike any key when ready,否则，读入和两个隐藏文件,（5）执行和两个隐藏文件，将装入内存,（6）系统正常运行，DOS启动成功,25,已感染了计算机病毒系统的启动过程如下：,（1）将Boot区中的计算机病毒代码首先读入内存的0000:7C00处。,（2）计算机病毒将自身全部代码读入内存的某一安全地区、常驻内存，监视系统的运行。,（3）修改INT 13H中断服务处理程序的入口地址，使之指向计算机病毒控制模块并执行之。因为任何一种计算机病毒要感染软盘或者硬盘，都离不开对磁盘的读写操作，修改INT 13H中断服务程序的入口地址是一项少不了的操作。,26,（4）计算机病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000:7C00处，进行正常的启动过程。,（5）计算机病毒程序伺机等待随时准备感染新的系统盘或非系统盘。,27,如果发现有可攻击的对象，计算机病毒还要进行下列的工作：,（1）将目标盘的引导扇区读入内存，对该盘进行判别是否传染了计算机病毒。,（2）当满足传染条件时，则将计算机病毒的全部或者一部分写入Boot区，把正常的磁盘的引导区程序写入磁盘特写位置。,（3）返回正常的INT 13H中断服务处理程序，完成对目标盘的传染。,28,系统型计算机病毒传染机理,系统型计算机病毒利用在开机引导时窃获的INT 13控制权，在整个计算机运行过程中随时监视软盘操作情况，趁读写软盘的时机读出软盘引导区，判断软盘是否染毒，如未感染就按计算机病毒的寄生方式把原引导区写到软盘另一位置，把计算机病毒写入软盘第一个扇区，从而完成对软盘的传染。,染毒的软盘在软件交流中又会传染其他计算机。,29,文件型计算机病毒传染机理,当文件型计算机病毒发现被传染的目标时，进行如下操作：,（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了计算机病毒。,（2）当条件满足，利用INT 13H将计算机病毒链接到可执行文件的首部、尾部或中间，并存入磁盘中。,（3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。,30,文件型计算机病毒通过与磁盘文件有关的操作进行传染，主要的传染途径如下：,（1）加载执行文件,文件型计算机病毒驻内存后，通过其所截获的INT 21中断检查每一个加载运行可执行文件进行传染。传染不到那些用户没有使用的文件。,31,（2）列目录过程,一些计算机病毒编制者可能感到加载传染方式每次传染一个文件速度较慢，于是后来制造出通过列目录传染的计算机病毒。,（3）创建文件过程,32,2.4 计算机病毒的触发机制,日期触发,时间触发,键盘触发,感染触发,启动触发,访问磁盘次数触发,调用中断功能触发,CPU型号/主板型号触发,33,2.5 计算机病毒的破坏机制,破坏机制在设计原则、工作原理上与传染机制基本相同。,通过修改某一中断向量入口地址（一般为时钟中断INT 8H，或与时钟中断有关的其他中断，如INT 1CH），使该中断向量指向计算机病毒程序的破坏模块。,当系统或被加载的程序访问该中断向量时，计算机病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏活动，这种破坏活动不一定都是删除磁盘文件，有的可能是显示一串无用的提示信息,34,2.6 计算机病毒的传播机制,（1）计算机病毒直接从有盘站复制到服务器中。,（2）计算机病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器。,（3）计算机病毒先传染工作站，在工作站内存驻留，在计算机病毒运行时直接通过映像路径传染到服务器中。,（4）如果远程工作站被计算机病毒侵入，计算机病毒也可以通过通信中数据交换进入网络服务器中。,在网络环境下，网络计算机病毒除了具有可传播性、可执行性、破坏性和可触发性等计算机病毒的共性外，还具有一些新的特点。（1）感染速度快。（2）扩散面广,35,思考题,1简述通常情况下计算机病毒的工作步骤。,2分析计算机病毒的寄生对象。,3计算机病毒的寄生方式有哪几种？它们的特点如何分别？,4分析计算机病毒的引导过程。,5分析计算机病毒的传染方式。,6简述计算机病毒的传染过程。,7给出系统型和文件型计算机病毒的不同感染过程。,8分析计算机病毒的触发机制。,9分析计算机病毒的破坏机制。,10分析计算机病毒的传播机制。,36,