計算機病毒原理與防范,胡繼榮制作,病毒起因計算機病毒的起因多種多樣，有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來,有的則是為防止自己的產(chǎn)品被非法拷貝而制造的報復性懲罰。一般可分為這樣幾種情況：,1.惡作?。好绹的螤柎髮W的莫里斯，編寫蠕蟲程序肇事后，被稱為電腦奇才，一些公司出高薪爭相聘用他。,2.加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國一家電腦商店的兩兄弟編寫，目的是追蹤軟件產(chǎn)品的非法用戶。,3.游戲程序起源：1960年美國人約翰康維在編寫生命游戲程序時，萌發(fā)了程序自我自制技術(shù)。其程序運行時屏幕上有許多生命元素圖案在運動變化，元素在過于擁擠和稀疏時都會因缺少生存條件而死亡，只有處于合適環(huán)境中的元素才能自我復制并進行傳播。,4.政治、經(jīng)濟和軍事：一些組織和個人也會編制一些程序勝于進攻對方電腦，給對方造成災難或直接經(jīng)濟損失。,病毒與計算機犯罪,莫里斯事件：1988年11月2日，康奈爾大學計算機科學系研究生羅但特.莫里斯制造的蠕蟲案件。震蕩波事件：2004年德國18歲的技校生為顯示自己的才能,用自己組裝的電腦編寫了一個名為“震蕩波”的程序。該病毒不是通常意義上的病毒，而是一種以某種程序語言編寫的程序文本。造成了全球巨大經(jīng)濟損失。美國德爾塔航空公司取消周末全部航班、歐萌委員會1200臺計算機失靈、芬蘭一家銀行關(guān)閉全部營業(yè)處?；炜徒^情炸彈：2001年由黑龍江17歲的高中學生池某制造。,什么是計算機病毒,感染標記：即病毒簽名。常以ASC方式放在程序里。破壞模塊：實現(xiàn)病毒編寫者預定的破壞動作代碼。觸發(fā)模塊：根據(jù)預定條件是否滿足，控制病毒的感染或破壞。主控模塊：包括調(diào)用感染模塊,進行感染；調(diào)用觸發(fā)模塊，接受其返回值；根據(jù)返回值決定是否執(zhí)行破壞。,分類方法有很多。根據(jù)攻擊系統(tǒng)分類：攻擊DOS型、攻擊WINDOWS型、攻擊UNIX型、攻擊OS/2型。根據(jù)攻擊機型分：微型計算機病毒、小型計算機病毒、工作站病毒。根據(jù)病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統(tǒng)型。按破壞情況分:良性病毒、惡性病毒按傳播媒介分:單機病毒、網(wǎng)絡(luò)病毒,計算機病毒的特點,可執(zhí)行性傳染性潛伏性可觸發(fā)性破壞性攻擊主動性針對性非授權(quán)性隱蔽性衍生性寄生性不可預見性欺騙性持久性,計算機病毒的結(jié)構(gòu),計算機病毒的分類,計算機病毒技術(shù)基礎(chǔ),文件系統(tǒng),馮.諾依曼體系結(jié)構(gòu),WINDOWS程序工作原理,磁盤結(jié)構(gòu),計算機病毒的制造、傳染和發(fā)作，依賴于具體的計算機硬件與軟件，必須符合這些硬件和軟件系統(tǒng)的規(guī)范要求，而這些規(guī)范要求實際就是計算機病毒的技術(shù)基礎(chǔ)。不同的計算機硬件環(huán)境、不同的軟件環(huán)境，都會制造出不同的病毒。了解和掌握計算機硬件與軟件的基礎(chǔ)知識，對我們分析了解計算機病毒技術(shù)的特點、工作原理是十分必要的。,馮.諾依曼機體系結(jié)構(gòu),馮.諾依曼是是20世紀最杰出的數(shù)學家之一，于1945年提出了“程序內(nèi)存式”計算機的設(shè)計思想。這一卓越的思想為電子計算機的邏輯結(jié)構(gòu)設(shè)計奠定了基礎(chǔ)，已成為計算機設(shè)計的基本原則。馮.諾依曼式計算機的硬件由五大部件構(gòu)成：,磁盤結(jié)構(gòu),了解磁盤的結(jié)構(gòu)及其數(shù)據(jù)組織的特點，對于檢測和預防計算機病毒具有十分重要的意義。,硬盤盤面以轉(zhuǎn)軸中心為圓心，被均勻地劃分成若干個半徑不等的稱為磁道的同心圓，不同盤面上的相同直徑的磁道，在垂直方向構(gòu)成一個叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。,磁道由首部、18個扇區(qū)和尾部構(gòu)成。扇區(qū)由標識區(qū)(ID區(qū))、間隙、數(shù)據(jù)區(qū)和間隙組成。每個扇區(qū)為512B。,首部,尾部,扇區(qū)1,扇區(qū)N,ID區(qū),間隙,間隙,間隙,ID區(qū),數(shù)據(jù)區(qū),扇區(qū)2,索引信號,容量=碰頭數(shù)磁道數(shù)/面扇區(qū)數(shù)/磁道512B/扇區(qū),標識扇區(qū)的開始與記錄目標地址的信息,硬盤的數(shù)據(jù)組織,磁盤的扇區(qū)定位有兩種方法：物理扇區(qū)與邏輯扇區(qū)。硬盤的物理扇區(qū)由驅(qū)動器號、磁頭號(面號)、柱面號與扇區(qū)號四個參數(shù)組成。,每一種操作系統(tǒng)要想在硬盤上建立自己的分區(qū)，必須由一個自己特有的實用程序來進行操作。硬盤初始化時，經(jīng)過分區(qū)后建立一個主引導分區(qū)和其他幾個分區(qū)。見下圖：,主引導扇區(qū),保留,FAT區(qū),DOS引導扇區(qū),目錄區(qū),數(shù)據(jù)區(qū),系統(tǒng)隱藏分區(qū),DOS分區(qū)1,DOS分區(qū)2,位于硬盤的0磁頭0柱面1扇區(qū)，是硬盤的第1物理扇區(qū)，包括硬盤主引導程序代碼、四個分區(qū)表信息和主引導記錄有效標志等內(nèi)容。該區(qū)受損時可用FDISK/MBR的DOS命令來重建主引導程序和主引導記錄有效標志，分區(qū)信息不會被修改。,主引導扇區(qū)結(jié)構(gòu)與文件系統(tǒng),用戶可用DEBUG來查看主引導記錄。,文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲和命名文件的結(jié)構(gòu)。磁盤或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應(yīng)用程序都基于文件系統(tǒng)進行操作，在不同種文件系統(tǒng)上是不能工作的。,磁盤文件系統(tǒng),DOS/WINDOWS系統(tǒng)操作系統(tǒng)中共使用了6種不同的文件系統(tǒng)：FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系統(tǒng)使用的主要是Ext2、Ext3，也能識別FAT16分區(qū)。,FAT12：文件名只能是8.3格式；磁盤容量最大8M；文件磁片嚴重HAT16:大容量磁盤利用率低；分區(qū)創(chuàng)建的越大，造成的浪費越大。FAT32：文件分配表擴大后，速度減慢；不能向下兼容；當分區(qū)小于512M時，該格式不起作用，單個文件不能超過4G。NTFS：有出色的安全性和穩(wěn)定性，且不易產(chǎn)生故善人碎片，對用戶權(quán)限有非常嚴格的限制。但兼容性不好NTFS5.0：可支持2T的分區(qū)，是可恢復的文件系統(tǒng)；支持對分區(qū)、文件夾和文件的壓縮以及動態(tài)分區(qū)。WinFS:建立在NTFS文件系統(tǒng)之上。請上微軟官方網(wǎng)站查看。Ext2：是LINUX/GUN系統(tǒng)中的標準文件系統(tǒng)。存取文件性能好。Ext3：是上述系統(tǒng)的下一代，目前離實用階段還的一段距離。是一個日志式文件系統(tǒng)。,在Windows9x、NT、2000下，所有的Win32可執(zhí)行文件(除VxD與DLL)都是基于Microsoft設(shè)計的一種新的文件格式：可移植的執(zhí)行體,即PE格式。該格式的一些特性源自UNIX的COFF(命令目標文件)文件格式。Windows下感染可執(zhí)行文件的病毒，就必須對PE格式的可執(zhí)行文件進行修改。PE文件結(jié)構(gòu)格式如下：,HomePage,GameDirections,PE文件格式,1.調(diào)用API函數(shù)進行文件搜索2.采用遞歸與非遞歸算法進行搜索3.內(nèi)存映射文件,1.利用程序的返回地址,在其附近搜索Kernel32模塊基地址2.對相應(yīng)操作系統(tǒng)分別給出固定的Kernel32模塊基地址,我們在編程用常量和變量時，一般直接用名字訪問,編譯后通過偏移地址訪問,而計算機病毒在感染宿主程序時,要插入到宿主程序的代碼空間,肯定要用到變量和常量.當病毒感染host程序后,由于依附到host程序中的位置不同,病毒隨host載入內(nèi)存后,病毒的各變量常量在內(nèi)存中的位置自然也隨之變化.病毒必須采用重定位技術(shù)才能使自己正常運行,WIN32病毒分析,概念,組成,分類,特征,植入方法,特洛伊木馬,一種能夠在受害者毫無察覺的情況下滲透到系統(tǒng)的代碼,硬件部分,軟件部分,具體連接部分,遠程控制型,密碼發(fā)送型,鍵盤記錄型,毀壞型,FTP型,多媒體型,隱蔽性,自動運行性,欺騙性,自動恢復性,功能特殊性,軟件復制,電子郵件,發(fā)送超鏈接,緩沖區(qū)溢出攻擊,WINDOWS程序設(shè)計是一種事件驅(qū)動方式的程序設(shè)計模式。其應(yīng)用程序最大的特點就是程序無固定的流程，只是針對某個事件的處理有特定的子流程，WINDOWS應(yīng)用程序就是由許多這樣的子流程構(gòu)成的。WINDOWS應(yīng)用程序本質(zhì)上是面向?qū)ο蟮?。程序提供給用戶界面的可視圖像在程序內(nèi)部一般也是一個對象，用戶對可視對象的操作通過事件驅(qū)動模式觸發(fā)相應(yīng)對象的可用方法。程序的運行就是用戶外部操作不斷產(chǎn)生事件，這些事件又被相應(yīng)的對象處理的過程。,CIH病毒剖析,CIH病毒是一種文件型病毒,是第一例感染W(wǎng)INDOWS環(huán)境下的PE格式文件的病毒。目前CIH病毒有多個版本，最流行的是CIH1.2版本。,受感染的EXE文件的文件長度未改變。DOS及Win3.1格式的或執(zhí)行文件不受感染，且在WinNT中無效查找包含EXE特征“CIHv”過程中顯示一大堆符合查找特征的可執(zhí)行文件4月26日開機會黑屏、硬盤指示燈閃爍、重新開機時無法啟動,CIH病毒的表現(xiàn)形式、危害及傳播途徑,CIH病毒的運行機制,碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫特點，發(fā)作時向主板BIOS中寫入亂碼，開創(chuàng)了病毒直接進攻硬件的行先例。,CIH病毒程序的組成,引導模塊：感染了該病毒的EXE文件運行時修改文件程序的入口地址傳染模塊：病毒駐留內(nèi)存過程中調(diào)用WINDOWS內(nèi)核底層表現(xiàn)模塊,腳本病毒,腳本宿主簡稱WSH，是一種與語言無關(guān)的腳本宿主，可用于與WINDOWS腳本兼容的腳本引擎。WSH是一種WINDOWS管理工具。當腳本到達計算機時，WSH先充當主機的一部分，它使對象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南。腳本語言的前身實際上就是DOS系統(tǒng)下的批處理文件。腳本的應(yīng)用是對應(yīng)用系統(tǒng)的一個強大的支撐，需要一個運行環(huán)境?，F(xiàn)在比較流行的腳本語言的Unix/Linuxshell、VBScript、PHP、JavaScript、JSP等。現(xiàn)在流行的腳本病毒大都是利JavaScript和VBScript編寫。JavaScript是一種解釋型的、基于對象的腳本語言，是一種寬松類型的語言，不必顯式地定義變量的數(shù)據(jù)類型。大多數(shù)情況下，該語言會根據(jù)需要自動進行轉(zhuǎn)換。VBScript使用ActiverXScript與宿主應(yīng)用程序?qū)υ挕?VBS腳本病毒,該病毒是用VBScript編寫的，其腳本語言功能非常強大，利用WINDOWS系統(tǒng)的開放性特點，通過調(diào)用一些現(xiàn)成的WINDOWS對象、組件，可直接對文件系統(tǒng)、注冊表等進行控制，功能非常強大。VBS腳本病毒具有如下特點：編寫簡單破壞力大感染力強傳播范圍廣病毒碼容易被獲取、變種多欺騙性強病毒生產(chǎn)機實現(xiàn)起來非常容易,VBS病毒機理,感染方法：一般直接通過自我復制進行感染，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。如新歡樂時光病毒可將自己的代碼附加在htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語句；而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，VBS作為后綴。,傳播方式：通過E-mail附件傳播、通過局域網(wǎng)共享傳播、通過感染htm、asp、jsp、php等網(wǎng)頁文件傳播、通過IRC聊天通道傳播。,病毒加載：修改注冊表項、通過映射文件執(zhí)行方式、欺騙用戶，讓用戶自己執(zhí)行、Desktop.ini和Folder.htt互相配合。,對抗反病毒的方法：自加密、運用Execute函數(shù)、改變對象的聲明方法、直接關(guān)閉反病毒軟件。,VBS腳本病毒的防范,VBS病毒具有一些弱點：運行是時需要用到一個對象：FileSystemObject代碼通過WindowsScriptHost來解釋執(zhí)行運行時需要其關(guān)聯(lián)程序Wscript.exe的支持通過網(wǎng)頁傳播的病毒需要ActiveX的支持通過E-mail傳播的病毒需要OE的自動發(fā)送郵件功能支持，但絕大多數(shù)病毒都是以E-mail為主要傳播方式的預防措施：禁用文件系統(tǒng)對象FileSystemObject卸載WindowsScriptHost刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射在Windows目錄中找到Wscript.exe，更名或刪除在瀏覽器安全選項中將“ActiveX”控件及插件設(shè)為禁用禁止OE的自動收發(fā)郵件功能不要隱藏系統(tǒng)中書籍文件類型的擴展名安裝防病毒軟件,宏病毒,MicrosoftWord對宏的定義是：能組織到一起作為一個獨立的命令使用的一系列Word命令，它能使日常工作變得更容易。Word宏病毒是一些制作病毒的專業(yè)人員利用MicriptWord的開放性即WordBasic編程接口，專門制作的一個或多個具有病毒特點的宏的集合。這種病毒影響計算機使用，并能通過DOC文檔模塊進行自我復制及傳播。該病毒具有如下特點：感染DOC文檔文件和DOT模板文件傳染通常是Word在打開一個帶有該病毒的文檔或模板時激活大多含有AutoOpen、AutoClose、AutonNew和AutoExit等自動宏必然含有對文檔讀寫操作的宏指令在DOC文檔、DOT模板中是BFF的加密壓縮格式存放,蠕蟲病毒,蠕蟲與病毒的區(qū)別表現(xiàn)在兩個方面：主動性不一樣：蠕蟲具有很強的主動性，其運行傳播不需要計算機使用者干預；而病毒則必須借助使用者的某種操作才能激活。感染對象不同：蠕蟲感染的是有相應(yīng)漏洞或其他脆弱性的計算機系統(tǒng)；而病毒則是針對計算機中的文件系統(tǒng)。蠕蟲的傳播模型：SimpleEpidemicModel、Kermack-MckendrickModel、SIS、鄒長春的Two-Anti-Worm。蠕蟲的傳播策略：拓撲掃描、隊列掃描、子網(wǎng)掃描、基于目標列表的掃描、隨機掃描。蠕蟲的攻擊手段：緩沖區(qū)溢出攻擊、格式化字符串攻擊、DoS與DDoS攻擊、弱密碼攻擊、默認設(shè)置脆弱性攻擊、社會工程方式。,