计算机病毒原理与防范基础

《计算机病毒原理与防范基础》由会员分享，可在线阅读，更多相关《计算机病毒原理与防范基础（22页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,,,*,2008,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,计算机病毒原理与防范,病毒起因,,计算机病毒的起因多种多,,样

2、，有的是计算机工作人员或,,业余爱好者为了纯粹寻开心而制,,造出来, 有的则是为防止自己的,,产品被非法拷贝而制造的报复性,,惩罚。一般可分为这样几种情况：,,1.恶作剧：美国康奈尔大学的莫里斯，编写蠕虫程序肇事后，被称为电脑奇才，一些公司出高薪争相聘用他。,2.加密陷阱论：巴基斯坦病毒是世界上唯一给出病毒作者姓名、地址的病毒。由该国一家电脑商店的两兄弟编写，目的是追踪软件产品的非法用户。,3.游戏程序起源：1960年美国人约翰康维在编写生命游戏程序时，萌发了程序自我自制技术。其程序运行时屏幕上有许多生命元素图案在运动变化，元素在过于拥挤和稀疏时都会因缺少生存条件而死亡，只有处于合适环境中的元

3、素才能自我复制并进行传播。,4.政治、经济和军事：一些组织和个人也会编制一些程序胜于进攻对方电脑，给对方造成灾难或直接经济损失。,,病毒与计算机犯罪,莫里斯事件：,1988,年,11,月,2,日，康奈尔大学计算机科学系研究生罗但特,.,莫里斯制造的蠕虫案件。,,,震荡波事件：,2004,年德国,18,岁的技校生为显示自己的才能,,,用自己组装的电脑编写了一个名为“震荡波”的程序。该病毒不是通常意义上的病毒，而是一种以某种程序语言编写的程序文本。造成了全球巨大经济损失。美国德尔塔航空公司取消周末全部航班、欧萌委员会,1200,台计算机失灵、芬兰一家银行关闭全部营业处。,,,混客绝情炸弹：,200

4、1,年由黑龙江,17,岁的高中学生池某制造。,,,,,计算机病毒是一个程序、一段可执行代码。计算机病毒,,象生物病毒一样，有独特的复制能力。,,广义定义,：凡是能够引起计算机数据的故障、破坏计算,,机数据的程序统称为计算机病毒。,,法律性、权威性,：1994年《中华人民共和国计算机信息,,系统安全保护条例》第二十八条明确规定：计算机病毒,,是指编制或者在计算机程序中插入的破坏计算机功能或,,者毁坏数据，影响计算机使用，并能自我自制的一组计,,算机指令或者程序代码。,,什么是计算机病毒,,,感染标记：即病毒签名。常以ASCⅡ,,方式放在程序里。,,破坏模块：实现病毒编写者预定的,,破坏动作代码。

5、,,触发模块：根据预定条件是否满足，,,控制病毒的感染或破坏。,,主控模块：包括调用感染模块,进行,,感染；调用触发模块，接受其返回,,值；根据返回值决定是否执行破坏。,,,分类方法有很多。,,根据攻击系统分类：攻击DOS型、,,攻击WINDOWS型、攻击UNIX型、,,攻击OS/2型。,,根据攻击机型分：微型计算机病毒、,,小型计算机病毒、工作站病毒。,,根据病毒链接方式分：源码型、嵌,,入型、外壳性、操作系统型。,,按破坏情况分:良性病毒、恶性病毒,,按传播媒介分:单机病毒、网络病毒,计算机病毒的特点,可执行性,,传染性,,潜伏性,,可触发性,,破坏性,,攻击主动性,,针对性,,非授权性,

6、,隐蔽性,,衍生性,,寄生性,,不可预见性,,欺骗性,,持久性,计算机病毒的结构,计算机病毒的分类,,,计算机病毒技术基础,文件系统,冯.诺依曼,,体系结构,WINDOWS,,程序工作原理,磁盘结构,计算机病毒的制造、传染和发作，依赖于具体的计算机硬件与软件，必须符合这些硬件和软件系统的规范要求，而这些规范要求实际就是计算机病毒的技术基础。不同的计算机硬件环境、不同的软件环境，都会制造出不同的病毒。,,了解和掌握计算机硬件与软件的基础知识，对我们分析了解计算机病毒技术的特点、工作原理是十分必要的。,冯.诺依曼机体系结构,冯.诺依曼是是20世纪最杰出的数学家之一，于1945年提出,,了“程序内存

7、式”计算机的设计思想。这一卓越的思想为电子计,,算机的逻辑结构设计奠定了基础，已成为计算机设计的基本原则。,,冯.诺依曼式计算机的硬件由五大部件构成：,,输入设备,外存储器,输出设备,程序,存储器,计算结果,控制器,外部设备接口,运算器,原始数据,指令,控制信号,存数,取数,,,磁盘结构,了解磁盘的结构及其数据组织的特点，对于检测和预防计,,算机病毒具有十分重要的意义。,硬盘盘面以转轴中心为圆心，被均匀地划分成若干个半径不,,等的称为磁道的同心圆，不同盘面上的相同直径的磁道，在垂直,,方向构成一个叫做柱面的圆柱。显然柱面数等于磁道数。,磁道由首部、18个扇区和尾部构成。扇区由标识区(ID区)、

8、,,间隙、数据区和间隙组成。每个扇区为512B。,……,……,首部,尾部,扇区1,扇区N,ID区,间隙,间隙,间隙,ID区,数据区,扇区2,索引信号,容量=碰头数×磁道数/面×扇区数/磁道×512B/扇区,标识扇区的开始与记录目标地址的信息,,,硬盘的数据组织,磁盘的扇区定位有两种方法：物理扇区与逻辑扇区。硬盘的物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数组成。,每一种操作系统要想在硬盘上建立自己的分区，必须由一个自己特有的实用程序来进行操作。硬盘初始化时，经过分区后建立一个主引导分区和其他几个分区。见下图：,主引导扇区,保留,FAT区,DOS引导扇区,目录区,数据区,系统隐藏分

9、区,,DOS分区1,DOS分区2,位于硬盘的0磁头0柱面1扇区，是硬盘的第1物理扇区，包括硬盘主引导程序代码、四个分区表信息和主引导记录有效标志等内容。该区受损时可用 FDISK/MBR的DOS命令来重建主引导程序和主引导记录有效标志，分区信息不会被修改。,,,,主引导扇区结构与文件系统,,区 域,内 容,0000H-01BDH,,01BFH-01CDH,,01CEH-01DDH,,01DEH-01EDH,,01EEH-01FDH,,01FEH-01FFH,主引导程序代码,,分区表1,,分区表2,,分区表3,,分区表4,,55AAH主引导记录有效标志,用户可用DEBUG来查看主引导

10、记录。,文件系统是操作系统中借以组织、存储和命名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的，大部分应用程序都基于文件系统进行操作，在不同种文件系统上是不能工作的。,,,磁盘文件系统,,DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统：,,FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系统使用的,,主要是Ext2、Ext3，也能识别FAT16分区。,FAT12：文件名只能是8.3格式；磁盘容量最大8M；文件磁片严重,,HAT16:大容量磁盘利用率低；分区创建的越大，造成的浪费越大。,,FAT32：文件分配表扩大后，速度减慢；不能

11、向下兼容；当分区,,小于512M时，该格式不起作用，单个文件不能超过4G。,,NTFS：有出色的安全性和稳定性，且不易产生故善人碎片，对用户权限有非常严格的限制。但兼容性不好,,NTFS5.0：可支持2T的分区，是可恢复的文件系统；支持对分区、,,文件夹和文件的压缩以及动态分区。,,WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。,,Ext2：是LINUX/GUN系统中的标准文件系统。存取文件性能好。,,Ext3：是上述系统的下一代，目前离实用阶段还的一段距离。是一个日志式文件系统。,,,在Windows9x、NT、2000下，所有的Win32可执行文件(除VxD与DLL)都是基

12、于Microsoft设计的一种新的文件格式：可移植的执行体,即PE格式。该格式的一些特性源自UNIX的COFF(命令目标文件)文件格式。Windows下感染可执行文件的病毒，就必须对PE格式的可执行文件进行修改。PE文件结构格式如下：,Home Page,Game Directions,MZ MS-DOS头部,MS-DOS实模式残余程序（DOS stub),PE\0\0 PE文件标志,PE文件头,PE文件可选头部,节表（section table),节1,节2,节3,……,节n,PE文件格式,,,1.调用API函数进行,,文件搜索,,2.采用递归与非递归,,算法进行搜索,,3.内存映射文

13、件,1.利用程序的返回,,地址,在其附近搜,,索Kernel32模块,,基地址,,2.对相应操作系统,,分别给出固定的,,,Kernel32模块基,,地址,,,我们在编程用常量和变量,,时，一般直接用名字访问,,,编译后通过偏移地址访问,,,而计算机病毒在感染宿主,,程序时,要插入到宿主程序,,的代码空间,肯定要用到变,,量和常量.当病毒感染host,,程序后,由于依附到host程,,序中的位置不同,病毒随,,host载入内存后,病毒的各,,变量常量在内存中的位置,,自然也随之变化.病毒必须,,采用重定位技术才能使自己,,正常运行,WIN32病毒分析,PE病毒的,,重定位技术,获取API,,函

14、数地址,感染目标搜索,,,概 念,组 成,分 类,特 征,植入方法,特 洛 伊 木马,一种能够在受害者毫无察觉的情况下渗透到系统的代码,硬件部分,软件部分,具体连接部分,远程控制型,密码发送型,键盘记录型,毁坏型,FTP型,多媒体型,隐蔽性,自动运行性,欺骗性,自动恢复性,功能特殊性,软件复制,电子邮件,发送超链接,缓冲区溢出攻击,,,WINDOWS程序设计是一种事件驱动方式的程序设,,计模式。其应用程序最大的特点就是程序无固定,,的流程，只是针对某个事件的处理有特定的子流,,程，WINDOWS应用程序就是由许多这样的子流程,,构成的。,,WINDOWS应用程序本质上是面向对象的。程序提供,,

15、给用户界面的可视图像在程序内部一般也是一个,,对象，用户对可视对象的操作通过事件驱动模式,,触发相应对象的可用方法。程序的运行就是用户,,外部操作不断产生事件，这些事件又被相应的对,,象处理的过程。,,CIH病毒剖析,CIH病毒是一种文件型病毒,是第一例感染WINDOWS环境下的PE格式文件的病毒。目前CIH病毒有多个版本，最流行的是CIH1.2版本。,受感染的EXE文件的文件长度未改变。,,DOS及Win3.1格式的或执行文件不受感染，且在WinNT中无效,,查找包含EXE特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件,,4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动,

16、CIH病毒的表现形式、危害及传播途径,CIH病毒的运行机制,碎洞攻击，将病毒化整为零插入到宿主文件中，利用BIOS芯片可重写特点，发作时向主板BIOS中写入乱码，开创了病毒直接进攻硬件的行先例。,CIH病毒程序的组成,引导模块：感染了该病毒的EXE文件运行时修改文件程序的入口地址,,传染模块：病毒驻留内存过程中调用WINDOWS内核底层,,表现模块,,,脚本病毒,脚本宿主简称WSH，是一种与语言无关的脚本宿主，可用于与WINDOWS脚本兼容的脚本引擎。WSH是一种WINDOWS管理工具。当脚本到达计算机时，WSH先充当主机的一部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。,,脚本语

17、言的前身实际上就是DOS系统下的批处理文件。脚本的应用是对应用系统的一个强大的支撑，需要一个运行环境。现在比较流行的脚本语言的Unix/Linux shell、VBScript、PHP、 JavaScript、JSP等。现在流行的脚本病毒大都是利JavaScript和VBScript编写。,,JavaScript是一种解释型的、基于对象的脚本语言，是一种宽松类型的语言，不必显式地定义变量的数据类型。大多数情况下，该语言会根据需要自动进行转换。,,VBScript使用ActiverX Script与宿主应用程序对话。,,,VBS脚本病毒,该病毒是用VBScript编写的，其脚本语言功能非常强大，

18、利用WINDOWS系统的开放性特点，通过调用一些现成的WINDOWS对象、组件，可直接对文件系统、注册表等进行控制，功能非常强大。VBS脚本病毒具有如下特点：,,编写简单,,破坏力大,,感染力强,,传播范围广,,病毒码容易被获取、变种多,,欺骗性强,,病毒生产机实现起来非常容易,,,VBS病毒机理,,感染方法：,一般直接通过自我复制进行感染，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。如新欢乐时光病毒可将自己的代码附加在htm文件的尾部，并在顶部加入一条调用病毒代码的语句；而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，VBS作为后缀。,

19、,传播方式：,通过E-mail附件传播、通过局域网共享传播、通过感染htm、asp、jsp、php等网页文件传播、通过IRC聊天通道传播。,,病毒加载：,修改注册表项、通过映射文件执行方式、欺骗用户，让用户自己执行、Desktop.ini和Folder.htt互相配合。,,对抗反病毒的方法：,自加密、运用Execute函数、改变对象的声明方法、直接关闭反病毒软件。,,,VBS脚本病毒的防范,VBS病毒具有一些弱点：,,运行是时需要用到一个对象：,FileSystemObject,,代码通过,Windows Script Host,来解释执行,,运行时需要其关联程序,Wscript.exe,的支

20、持,,通过网页传播的病毒需要,ActiveX,的支持,,通过,E-mail,传播的病毒需要,OE,的自动发送邮件功能支持，但绝大多数病毒都是以,E-mail,为主要传播方式的,,预防措施：,,禁用文件系统对象,FileSystemObject,,卸载,Windows Script Host,,删除,VBS,、,VBE,、,JS,、,JSE,文件后缀名与应用程序的映射,,在,Windows,目录中找到,Wscript.exe,，更名或删除,,在浏览器安全选项中将“,ActiveX”,控件及插件设为禁用,,禁止,OE,的自动收发邮件功能,,不要隐藏系统中书籍文件类型的扩展名,,安装防病毒软件,,,

21、宏病毒,Microsoft Word对宏的定义是：能组织到一起作为一个独立的命令使用的一系列Word命令，它能使日常工作变得更容易。Word宏病毒是一些制作病毒的专业人员利用Micript Word的开放性即Word,,Basic编程接口，专门制作的一个或多个具有病毒特点的宏的集合。这种病毒影响计算机使用，并能通过DOC文档模块进行自我复制及传播。该病毒具有如下特点：,,感染,DOC,文档文件和,DOT,模板文件,,传染通常是,Word,在打开一个带有该病毒的文档或模板时激活,,大多含有,AutoOpen,、,AutoClose,、,AutonNew,和,AutoExit,等自动宏,,必然含有

22、对文档读写操作的宏指令,,在,DOC,文档、,DOT,模板中是,BFF,的加密压缩格式存放,,,,蠕虫病毒,蠕虫与病毒的区别表现在两个方面：,,主动性不一样：蠕虫具有很强的主动性，其运行传播不需要计算机使用者干预；而病毒则必须借助使用者的某种操作才能激活。,,感染对象不同：蠕虫感染的是有相应漏洞或其他脆弱性的计算机系统；而病毒则是针对计算机中的文件系统。,,蠕虫的传播模型,：,Simple Epidemic Model,、,Kermack-Mckendrick,Model,、,SIS,、邹长春的,Two-Anti-Worm,。,,蠕虫的传播策略,：拓扑扫描、队列扫描、子网扫描、基于目标列表的扫描、随机扫描。,,蠕虫的攻击手段,：缓冲区溢出攻击、格式化字符串攻击、,DoS,与,DDoS,攻击、弱密码攻击、默认设置脆弱性攻击、社会工程方式。,,,,,