计算机病毒原理与防范基础

《计算机病毒原理与防范基础》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

计算机病毒原理与防范胡继荣制作 病毒起因计算机病毒的起因多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来,有的则是为防止自己的产品被非法拷贝而制造的报复性惩罚。一般可分为这样几种情况：1.恶作剧：美国康奈尔大学的莫里斯，编写蠕虫程序肇事后，被称为电脑奇才，一些公司出高薪争相聘用他。2.加密陷阱论：巴基斯坦病毒是世界上唯一给出病毒作者姓名、地址的病毒。由该国一家电脑商店的两兄弟编写，目的是追踪软件产品的非法用户。3.游戏程序起源：1960年美国人约翰康维在编写生命游戏程序时，萌发了程序自我自制技术。其程序运行时屏幕上有许多生命元素图案在运动变化，元素在过于拥挤和稀疏时都会因缺少生存条件而死亡，只有处于合适环境中的元素才能自我复制并进行传播。4.政治、经济和军事：一些组织和个人也会编制一些程序胜于进攻对方电脑，给对方造成灾难或直接经济损失。 病毒与计算机犯罪莫里斯事件：1988年11月2日，康奈尔大学计算机科学系研究生罗但特.莫里斯制造的蠕虫案件。震荡波事件：2004年德国18岁的技校生为显示自己的才能,用自己组装的电脑编写了一个名为“震荡波”的程序。该病毒不是通常意义上的病毒，而是一种以某种程序语言编写的程序文本。造成了全球巨大经济损失。美国德尔塔航空公司取消周末全部航班、欧萌委员会1200台计算机失灵、芬兰一家银行关闭全部营业处。混客绝情炸弹：2001年由黑龙江17岁的高中学生池某制造。 计算机病毒是一个程序、一段可执行代码。计算机病毒象生物病毒一样，有独特的复制能力。广义定义：凡是能够引起计算机数据的故障、破坏计算机数据的程序统称为计算机病毒。法律性、权威性：1994年《中华人民共和国计算机信息系统安全保护条例》第二十八条明确规定：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我自制的一组计算机指令或者程序代码。什么是计算机病毒 感染标记：即病毒签名。常以ASCⅡ方式放在程序里。破坏模块：实现病毒编写者预定的破坏动作代码。触发模块：根据预定条件是否满足，控制病毒的感染或破坏。主控模块：包括调用感染模块,进行感染；调用触发模块，接受其返回值；根据返回值决定是否执行破坏。分类方法有很多。根据攻击系统分类：攻击DOS型、攻击WINDOWS型、攻击UNIX型、攻击OS/2型。根据攻击机型分：微型计算机病毒、小型计算机病毒、工作站病毒。根据病毒链接方式分：源码型、嵌入型、外壳性、操作系统型。按破坏情况分:良性病毒、恶性病毒按传播媒介分:单机病毒、网络病毒计算机病毒的特点可执行性传染性潜伏性可触发性破坏性攻击主动性针对性非授权性隐蔽性衍生性寄生性不可预见性欺骗性持久性计算机病毒的结构计算机病毒的分类 计算机病毒技术基础文件系统冯.诺依曼体系结构WINDOWS程序工作原理磁盘结构计算机病毒的制造、传染和发作，依赖于具体的计算机硬件与软件，必须符合这些硬件和软件系统的规范要求，而这些规范要求实际就是计算机病毒的技术基础。不同的计算机硬件环境、不同的软件环境，都会制造出不同的病毒。了解和掌握计算机硬件与软件的基础知识，对我们分析了解计算机病毒技术的特点、工作原理是十分必要的。 冯.诺依曼机体系结构冯.诺依曼是是20世纪最杰出的数学家之一，于1945年提出了“程序内存式”计算机的设计思想。这一卓越的思想为电子计算机的逻辑结构设计奠定了基础，已成为计算机设计的基本原则。冯.诺依曼式计算机的硬件由五大部件构成：输入设备外存储器输出设备程序存储器计算结果控制器外部设备接口运算器原始数据指令控制信号存数取数 磁盘结构了解磁盘的结构及其数据组织的特点，对于检测和预防计算机病毒具有十分重要的意义。硬盘盘面以转轴中心为圆心，被均匀地划分成若干个半径不等的称为磁道的同心圆，不同盘面上的相同直径的磁道，在垂直方向构成一个叫做柱面的圆柱。显然柱面数等于磁道数。磁道由首部、18个扇区和尾部构成。扇区由标识区(ID区)、间隙、数据区和间隙组成。每个扇区为512B。…………首部尾部扇区1扇区NID区间隙间隙间隙ID区数据区扇区2索引信号容量=碰头数×磁道数/面×扇区数/磁道×512B/扇区标识扇区的开始与记录目标地址的信息 硬盘的数据组织磁盘的扇区定位有两种方法：物理扇区与逻辑扇区。硬盘的物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数组成。每一种操作系统要想在硬盘上建立自己的分区，必须由一个自己特有的实用程序来进行操作。硬盘初始化时，经过分区后建立一个主引导分区和其他几个分区。见下图：主引导扇区保留FAT区DOS引导扇区目录区数据区系统隐藏分区DOS分区1DOS分区2位于硬盘的0磁头0柱面1扇区，是硬盘的第1物理扇区，包括硬盘主引导程序代码、四个分区表信息和主引导记录有效标志等内容。该区受损时可用FDISK/MBR的DOS命令来重建主引导程序和主引导记录有效标志，分区信息不会被修改。 主引导扇区结构与文件系统区域内容0000H-01BDH01BFH-01CDH01CEH-01DDH01DEH-01EDH01EEH-01FDH01FEH-01FFH主引导程序代码分区表1分区表2分区表3分区表455AAH主引导记录有效标志用户可用DEBUG来查看主引导记录。文件系统是操作系统中借以组织、存储和命名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应用程序都基于文件系统进行操作，在不同种文件系统上是不能工作的。 磁盘文件系统DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统：FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系统使用的主要是Ext2、Ext3，也能识别FAT16分区。FAT12：文件名只能是8.3格式；磁盘容量最大8M；文件磁片严重HAT16:大容量磁盘利用率低；分区创建的越大，造成的浪费越大。FAT32：文件分配表扩大后，速度减慢；不能向下兼容；当分区小于512M时，该格式不起作用，单个文件不能超过4G。NTFS：有出色的安全性和稳定性，且不易产生故善人碎片，对用户权限有非常严格的限制。但兼容性不好NTFS5.0：可支持2T的分区，是可恢复的文件系统；支持对分区、文件夹和文件的压缩以及动态分区。WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。Ext2：是LINUX/GUN系统中的标准文件系统。存取文件性能好。Ext3：是上述系统的下一代，目前离实用阶段还的一段距离。是一个日志式文件系统。 在Windows9x、NT、2000下，所有的Win32可执行文件(除VxD与DLL)都是基于Microsoft设计的一种新的文件格式：可移植的执行体,即PE格式。该格式的一些特性源自UNIX的COFF(命令目标文件)文件格式。Windows下感染可执行文件的病毒，就必须对PE格式的可执行文件进行修改。PE文件结构格式如下：HomePageGameDirectionsMZMS-DOS头部MS-DOS实模式残余程序（DOSstub)PEPE文件标志PE文件头PE文件可选头部节表（sectiontable)节1节2节3……节nPE文件格式 1.调用API函数进行文件搜索2.采用递归与非递归算法进行搜索3.内存映射文件1.利用程序的返回地址,在其附近搜索Kernel32模块基地址2.对相应操作系统分别给出固定的Kernel32模块基地址我们在编程用常量和变量时，一般直接用名字访问,编译后通过偏移地址访问,而计算机病毒在感染宿主程序时,要插入到宿主程序的代码空间,肯定要用到变量和常量.当病毒感染host程序后,由于依附到host程序中的位置不同,病毒随host载入内存后,病毒的各变量常量在内存中的位置自然也随之变化.病毒必须采用重定位技术才能使自己正常运行WIN32病毒分析PE病毒的重定位技术获取API函数地址感染目标搜索 概念组成分类特征植入方法特洛伊木马一种能够在受害者毫无察觉的情况下渗透到系统的代码硬件部分软件部分具体连接部分远程控制型密码发送型键盘记录型毁坏型FTP型多媒体型隐蔽性自动运行性欺骗性自动恢复性功能特殊性软件复制电子邮件发送超链接缓冲区溢出攻击 WINDOWS程序设计是一种事件驱动方式的程序设计模式。其应用程序最大的特点就是程序无固定的流程，只是针对某个事件的处理有特定的子流程，WINDOWS应用程序就是由许多这样的子流程构成的。WINDOWS应用程序本质上是面向对象的。程序提供给用户界面的可视图像在程序内部一般也是一个对象，用户对可视对象的操作通过事件驱动模式触发相应对象的可用方法。程序的运行就是用户外部操作不断产生事件，这些事件又被相应的对象处理的过程。 CIH病毒剖析CIH病毒是一种文件型病毒,是第一例感染WINDOWS环境下的PE格式文件的病毒。目前CIH病毒有多个版本，最流行的是CIH1.2版本。受感染的EXE文件的文件长度未改变。DOS及Win3.1格式的或执行文件不受感染，且在WinNT中无效查找包含EXE特征“CIHv”过程中显示一大堆符合查找特征的可执行文件4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动CIH病毒的表现形式、危害及传播途径CIH病毒的运行机制碎洞攻击，将病毒化整为零插入到宿主文件中，利用BIOS芯片可重写特点，发作时向主板BIOS中写入乱码，开创了病毒直接进攻硬件的行先例。CIH病毒程序的组成引导模块：感染了该病毒的EXE文件运行时修改文件程序的入口地址传染模块：病毒驻留内存过程中调用WINDOWS内核底层表现模块 脚本病毒脚本宿主简称WSH，是一种与语言无关的脚本宿主，可用于与WINDOWS脚本兼容的脚本引擎。WSH是一种WINDOWS管理工具。当脚本到达计算机时，WSH先充当主机的一部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。脚本语言的前身实际上就是DOS系统下的批处理文件。脚本的应用是对应用系统的一个强大的支撑，需要一个运行环境。现在比较流行的脚本语言的Unix/Linuxshell、VBScript、PHP、JavaScript、JSP等。现在流行的脚本病毒大都是利JavaScript和VBScript编写。JavaScript是一种解释型的、基于对象的脚本语言，是一种宽松类型的语言，不必显式地定义变量的数据类型。大多数情况下，该语言会根据需要自动进行转换。VBScript使用ActiverXScript与宿主应用程序对话。 VBS脚本病毒该病毒是用VBScript编写的，其脚本语言功能非常强大，利用WINDOWS系统的开放性特点，通过调用一些现成的WINDOWS对象、组件，可直接对文件系统、注册表等进行控制，功能非常强大。VBS脚本病毒具有如下特点：编写简单破坏力大感染力强传播范围广病毒码容易被获取、变种多欺骗性强病毒生产机实现起来非常容易 VBS病毒机理感染方法：一般直接通过自我复制进行感染，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。如新欢乐时光病毒可将自己的代码附加在htm文件的尾部，并在顶部加入一条调用病毒代码的语句；而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，VBS作为后缀。传播方式：通过E-mail附件传播、通过局域网共享传播、通过感染htm、asp、jsp、php等网页文件传播、通过IRC聊天通道传播。病毒加载：修改注册表项、通过映射文件执行方式、欺骗用户，让用户自己执行、Desktop.ini和Folder.htt互相配合。对抗反病毒的方法：自加密、运用Execute函数、改变对象的声明方法、直接关闭反病毒软件。 VBS脚本病毒的防范VBS病毒具有一些弱点：运行是时需要用到一个对象：FileSystemObject代码通过WindowsScriptHost来解释执行运行时需要其关联程序Wscript.exe的支持通过网页传播的病毒需要ActiveX的支持通过E-mail传播的病毒需要OE的自动发送邮件功能支持，但绝大多数病毒都是以E-mail为主要传播方式的预防措施：禁用文件系统对象FileSystemObject卸载WindowsScriptHost删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射在Windows目录中找到Wscript.exe，更名或删除在浏览器安全选项中将“ActiveX”控件及插件设为禁用禁止OE的自动收发邮件功能不要隐藏系统中书籍文件类型的扩展名安装防病毒软件 宏病毒MicrosoftWord对宏的定义是：能组织到一起作为一个独立的命令使用的一系列Word命令，它能使日常工作变得更容易。Word宏病毒是一些制作病毒的专业人员利用MicriptWord的开放性即WordBasic编程接口，专门制作的一个或多个具有病毒特点的宏的集合。这种病毒影响计算机使用，并能通过DOC文档模块进行自我复制及传播。该病毒具有如下特点：感染DOC文档文件和DOT模板文件传染通常是Word在打开一个带有该病毒的文档或模板时激活大多含有AutoOpen、AutoClose、AutonNew和AutoExit等自动宏必然含有对文档读写操作的宏指令在DOC文档、DOT模板中是BFF的加密压缩格式存放 蠕虫病毒蠕虫与病毒的区别表现在两个方面：主动性不一样：蠕虫具有很强的主动性，其运行传播不需要计算机使用者干预；而病毒则必须借助使用者的某种操作才能激活。感染对象不同：蠕虫感染的是有相应漏洞或其他脆弱性的计算机系统；而病毒则是针对计算机中的文件系统。蠕虫的传播模型：SimpleEpidemicModel、Kermack-MckendrickModel、SIS、邹长春的Two-Anti-Worm。蠕虫的传播策略：拓扑扫描、队列扫描、子网扫描、基于目标列表的扫描、随机扫描。蠕虫的攻击手段：缓冲区溢出攻击、格式化字符串攻击、DoS与DDoS攻击、弱密码攻击、默认设置脆弱性攻击、社会工程方式。