计算机病毒原理与防范基础

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,2008,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机病毒原理与防范,病毒起因,计算机病毒的起因多种多,样，有的是计算机工作人员或,业余爱好者为了纯粹寻开心而制,造出来, 有的则是为防止自己的,产品被非法拷贝而制造的报复性,惩罚。一般可分为这样几种情况：,1.恶作剧：美国康奈尔大学的莫里斯，编写蠕虫程序肇事后，被称为电脑奇才，一些公司出高薪争相聘用他。,2.加密陷阱论：巴基斯坦病毒是世界上唯一给出病毒作者姓名、地址的病毒。由该国一家电脑商店的两兄弟编写，目的是追踪软件产品的非法用户。,3.游戏程序起源：1960年美国人约翰康维在编写生命游戏程序时，萌发了程序自我自制技术。其程序运行时屏幕上有许多生命元素图案在运动变化，元素在过于拥挤和稀疏时都会因缺少生存条件而死亡，只有处于合适环境中的元素才能自我复制并进行传播。,4.政治、经济和军事：一些组织和个人也会编制一些程序胜于进攻对方电脑，给对方造成灾难或直接经济损失。,病毒与计算机犯罪,莫里斯事件：,1988,年,11,月,2,日，康奈尔大学计算机科学系研究生罗但特,.,莫里斯制造的蠕虫案件。,震荡波事件：,2004,年德国,18,岁的技校生为显示自己的才能,用自己组装的电脑编写了一个名为“震荡波”的程序。该病毒不是通常意义上的病毒，而是一种以某种程序语言编写的程序文本。造成了全球巨大经济损失。美国德尔塔航空公司取消周末全部航班、欧萌委员会,1200,台计算机失灵、芬兰一家银行关闭全部营业处。,混客绝情炸弹：,2001,年由黑龙江,17,岁的高中学生池某制造。,计算机病毒是一个程序、一段可执行代码。计算机病毒,象生物病毒一样，有独特的复制能力。,广义定义,：凡是能够引起计算机数据的故障、破坏计算,机数据的程序统称为计算机病毒。,法律性、权威性,：1994年中华人民共和国计算机信息,系统安全保护条例第二十八条明确规定：计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或,者毁坏数据，影响计算机使用，并能自我自制的一组计,算机指令或者程序代码。,什么是计算机病毒,感染标记：即病毒签名。常以ASC,方式放在程序里。,破坏模块：实现病毒编写者预定的,破坏动作代码。,触发模块：根据预定条件是否满足，,控制病毒的感染或破坏。,主控模块：包括调用感染模块,进行,感染；调用触发模块，接受其返回,值；根据返回值决定是否执行破坏。,分类方法有很多。,根据攻击系统分类：攻击DOS型、,攻击WINDOWS型、攻击UNIX型、,攻击OS/2型。,根据攻击机型分：微型计算机病毒、,小型计算机病毒、工作站病毒。,根据病毒链接方式分：源码型、嵌,入型、外壳性、操作系统型。,按破坏情况分:良性病毒、恶性病毒,按传播媒介分:单机病毒、网络病毒,计算机病毒的特点,可执行性,传染性,潜伏性,可触发性,破坏性,攻击主动性,针对性,非授权性,隐蔽性,衍生性,寄生性,不可预见性,欺骗性,持久性,计算机病毒的结构,计算机病毒的分类,计算机病毒技术基础,文件系统,冯.诺依曼,体系结构,WINDOWS,程序工作原理,磁盘结构,计算机病毒的制造、传染和发作，依赖于具体的计算机硬件与软件，必须符合这些硬件和软件系统的规范要求，而这些规范要求实际就是计算机病毒的技术基础。不同的计算机硬件环境、不同的软件环境，都会制造出不同的病毒。,了解和掌握计算机硬件与软件的基础知识，对我们分析了解计算机病毒技术的特点、工作原理是十分必要的。,冯.诺依曼机体系结构,冯.诺依曼是是20世纪最杰出的数学家之一，于1945年提出,了“程序内存式”计算机的设计思想。这一卓越的思想为电子计,算机的逻辑结构设计奠定了基础，已成为计算机设计的基本原则。,冯.诺依曼式计算机的硬件由五大部件构成：,输入设备,外存储器,输出设备,程序,存储器,计算结果,控制器,外部设备接口,运算器,原始数据,指令,控制信号,存数,取数,磁盘结构,了解磁盘的结构及其数据组织的特点，对于检测和预防计,算机病毒具有十分重要的意义。,硬盘盘面以转轴中心为圆心，被均匀地划分成若干个半径不,等的称为磁道的同心圆，不同盘面上的相同直径的磁道，在垂直,方向构成一个叫做柱面的圆柱。显然柱面数等于磁道数。,磁道由首部、18个扇区和尾部构成。扇区由标识区(ID区)、,间隙、数据区和间隙组成。每个扇区为512B。,首部,尾部,扇区1,扇区N,ID区,间隙,间隙,间隙,ID区,数据区,扇区2,索引信号,容量=碰头数磁道数/面扇区数/磁道512B/扇区,标识扇区的开始与记录目标地址的信息,硬盘的数据组织,磁盘的扇区定位有两种方法：物理扇区与逻辑扇区。硬盘的物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数组成。,每一种操作系统要想在硬盘上建立自己的分区，必须由一个自己特有的实用程序来进行操作。硬盘初始化时，经过分区后建立一个主引导分区和其他几个分区。见下图：,主引导扇区,保留,FAT区,DOS引导扇区,目录区,数据区,系统隐藏分区,DOS分区1,DOS分区2,位于硬盘的0磁头0柱面1扇区，是硬盘的第1物理扇区，包括硬盘主引导程序代码、四个分区表信息和主引导记录有效标志等内容。该区受损时可用 FDISK/MBR的DOS命令来重建主引导程序和主引导记录有效标志，分区信息不会被修改。,主引导扇区结构与文件系统,区 域,内 容,0000H-01BDH,01BFH-01CDH,01CEH-01DDH,01DEH-01EDH,01EEH-01FDH,01FEH-01FFH,主引导程序代码,分区表1,分区表2,分区表3,分区表4,55AAH主引导记录有效标志,用户可用DEBUG来查看主引导记录。,文件系统是操作系统中借以组织、存储和命名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应用程序都基于文件系统进行操作，在不同种文件系统上是不能工作的。,磁盘文件系统,DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统：,FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系统使用的,主要是Ext2、Ext3，也能识别FAT16分区。,FAT12：文件名只能是8.3格式；磁盘容量最大8M；文件磁片严重,HAT16:大容量磁盘利用率低；分区创建的越大，造成的浪费越大。,FAT32：文件分配表扩大后，速度减慢；不能向下兼容；当分区,小于512M时，该格式不起作用，单个文件不能超过4G。,NTFS：有出色的安全性和稳定性，且不易产生故善人碎片，对用户权限有非常严格的限制。但兼容性不好,NTFS5.0：可支持2T的分区，是可恢复的文件系统；支持对分区、,文件夹和文件的压缩以及动态分区。,WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。,Ext2：是LINUX/GUN系统中的标准文件系统。存取文件性能好。,Ext3：是上述系统的下一代，目前离实用阶段还的一段距离。是一个日志式文件系统。,在Windows9x、NT、2000下，所有的Win32可执行文件(除VxD与DLL)都是基于Microsoft设计的一种新的文件格式：可移植的执行体,即PE格式。该格式的一些特性源自UNIX的COFF(命令目标文件)文件格式。Windows下感染可执行文件的病毒，就必须对PE格式的可执行文件进行修改。PE文件结构格式如下：,Home Page,Game Directions,MZ MS-DOS头部,MS-DOS实模式残余程序（DOS stub),PE00 PE文件标志,PE文件头,PE文件可选头部,节表（section table),节1,节2,节3,节n,PE文件格式,1.调用API函数进行,文件搜索,2.采用递归与非递归,算法进行搜索,3.内存映射文件,1.利用程序的返回,地址,在其附近搜,索Kernel32模块,基地址,2.对相应操作系统,分别给出固定的,Kernel32模块基,地址,我们在编程用常量和变量,时，一般直接用名字访问,编译后通过偏移地址访问,而计算机病毒在感染宿主,程序时,要插入到宿主程序,的代码空间,肯定要用到变,量和常量.当病毒感染host,程序后,由于依附到host程,序中的位置不同,病毒随,host载入内存后,病毒的各,变量常量在内存中的位置,自然也随之变化.病毒必须,采用重定位技术才能使自己,正常运行,WIN32病毒分析,PE病毒的,重定位技术,获取API,函数地址,感染目标搜索,概 念,组 成,分 类,特 征,植入方法,特 洛 伊 木马,一种能够在受害者毫无察觉的情况下渗透到系统的代码,硬件部分,软件部分,具体连接部分,远程控制型,密码发送型,键盘记录型,毁坏型,FTP型,多媒体型,隐蔽性,自动运行性,欺骗性,自动恢复性,功能特殊性,软件复制,电子邮件,发送超链接,缓冲区溢出攻击,WINDOWS程序设计是一种事件驱动方式的程序设,计模式。其应用程序最大的特点就是程序无固定,的流程，只是针对某个事件的处理有特定的子流,程，WINDOWS应用程序就是由许多这样的子流程,构成的。,WINDOWS应用程序本质上是面向对象的。程序提供,给用户界面的可视图像在程序内部一般也是一个,对象，用户对可视对象的操作通过事件驱动模式,触发相应对象的可用方法。程序的运行就是用户,外部操作不断产生事件，这些事件又被相应的对,象处理的过程。,CIH病毒剖析,CIH病毒是一种文件型病毒,是第一例感染WINDOWS环境下的PE格式文件的病毒。目前CIH病毒有多个版本，最流行的是CIH1.2版本。,受感染的EXE文件的文件长度未改变。,DOS及Win3.1格式的或执行文件不受感染，且在WinNT中无效,查找包含EXE特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件,4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动,CIH病毒的表现形式、危害及传播途径,CIH病毒的运行机制,碎洞攻击，将病毒化整为零插入到宿主文件中，利用BIOS芯片可重写特点，发作时向主板BIOS中写入乱码，开创了病毒直接进攻硬件的行先例。,CIH病毒程序的组成,引导模块：感染了该病毒的EXE文件运行时修改文件程序的入口地址,传染模块：病毒驻留内存过程中调用WINDOWS内核底层,表现模块,脚本病毒,脚本宿主简称WSH，是一种与语言无关的脚本宿主，可用于与WINDOWS脚本兼容的脚本引擎。WSH是一种WINDOWS管理工具。当脚本到达计算机时，WSH先充当主机的一部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。,脚本语言的前身实际上就是DOS系统下的批处理文件。脚本的应用是对应用系统的一个强大的支撑，需要一个运行环境。现在比较流行的脚本语言的Unix/Linux shell、VBScript、PHP、 JavaScript、JSP等。现在流行的脚本病毒大都是利JavaScript和VBScript编写。,JavaScript是一种解释型的、基于对象的脚本语言，是一种宽松类型的语言，不必显式地定义变量的数据类型。大多数情况下，该语言会根据需要自动进行转换。,VBScript使用ActiverX Script与宿主应用程序对话。,VBS脚本病毒,该病毒是用VBScript编写的，其脚本语言功能非常强大，利用WINDOWS系统的开放性特点，通过调用一些现成的WINDOWS对象、组件，可直接对文件系统、注册表等进行控制，功能非常强大。VBS脚本病毒具有如下特点：,编写简单,破坏力大,感染力强,传播范围广,病毒码容易被获取、变种多,欺骗性强,病毒生产机实现起来非常容易,VBS病毒机理,感染方法：,一般直接通过自我复制进行感染，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。如新欢乐时光病毒可将自己的代码附加在htm文件的尾部，并在顶部加入一条调用病毒代码的语句；而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，VBS作为后缀。,传播方式：,通过E-mail附件传播、通过局域网共享传播、通过感染htm、asp、jsp、php等网页文件传播、通过IRC聊天通道传播。,病毒加载：,修改注册表项、通过映射文件执行方式、欺骗用户，让用户自己执行、Desktop.ini和Folder.htt互相配合。,对抗反病毒的方法：,自加密、运用Execute函数、改变对象的声明方法、直接关闭反病毒软件。,VBS脚本病毒的防范,VBS病毒具有一些弱点：,运行是时需要用到一个对象：,FileSystemObject,代码通过,Windows Script Host,来解释执行,运行时需要其关联程序,Wscript.exe,的支持,通过网页传播的病毒需要,ActiveX,的支持,通过,E-mail,传播的病毒需要,OE,的自动发送邮件功能支持，但绝大多数病毒都是以,E-mail,为主要传播方式的,预防措施：,禁用文件系统对象,FileSystemObject,卸载,Windows Script Host,删除,VBS,、,VBE,、,JS,、,JSE,文件后缀名与应用程序的映射,在,Windows,目录中找到,Wscript.exe,，更名或删除,在浏览器安全选项中将“,ActiveX”,控件及插件设为禁用,禁止,OE,的自动收发邮件功能,不要隐藏系统中书籍文件类型的扩展名,安装防病毒软件,宏病毒,Microsoft Word对宏的定义是：能组织到一起作为一个独立的命令使用的一系列Word命令，它能使日常工作变得更容易。Word宏病毒是一些制作病毒的专业人员利用Micript Word的开放性即Word,Basic编程接口，专门制作的一个或多个具有病毒特点的宏的集合。这种病毒影响计算机使用，并能通过DOC文档模块进行自我复制及传播。该病毒具有如下特点：,感染,DOC,文档文件和,DOT,模板文件,传染通常是,Word,在打开一个带有该病毒的文档或模板时激活,大多含有,AutoOpen,、,AutoClose,、,AutonNew,和,AutoExit,等自动宏,必然含有对文档读写操作的宏指令,在,DOC,文档、,DOT,模板中是,BFF,的加密压缩格式存放,蠕虫病毒,蠕虫与病毒的区别表现在两个方面：,主动性不一样：蠕虫具有很强的主动性，其运行传播不需要计算机使用者干预；而病毒则必须借助使用者的某种操作才能激活。,感染对象不同：蠕虫感染的是有相应漏洞或其他脆弱性的计算机系统；而病毒则是针对计算机中的文件系统。,蠕虫的传播模型,：,Simple Epidemic Model,、,Kermack-Mckendrick,Model,、,SIS,、邹长春的,Two-Anti-Worm,。,蠕虫的传播策略,：拓扑扫描、队列扫描、子网扫描、基于目标列表的扫描、随机扫描。,蠕虫的攻击手段,：缓冲区溢出攻击、格式化字符串攻击、,DoS,与,DDoS,攻击、弱密码攻击、默认设置脆弱性攻击、社会工程方式。,