病毒与计算机安全

1、精选文库郑州轻工业学院本科设计题目：病毒与计算机安全学生姓名： 张 波系另计算机与通信工程学院专业：网络运维班级：13 02学号：541307110250指导教师： 吉星、程立辉2016 年计算机技术不断进化创新，病毒技术也与时俱进。病毒己经成为一种社会 现象，影响力与日俱增。现在的视窗操作系统下的病毒己经非常完善了，它们使用汇编、高级和脚 本语言编写，禾u用了系统的种种漏洞，使用先进的加密和隐藏 算法，可以对 杀毒软件进行攻击。全世界每年因病毒造成的损失不可 估量。在反病毒行业中，杀毒软件厂商迫于商业性的目的，不得不将一些很简单的问题隐藏在广告和宣传的迷雾之中。从Win32病毒所需基础知识开

2、始，详细阐述了 PE格式、重定位、API地址获取、遍历网络与硬盘、利用IRC, P2P, E-Mail传播病毒的原理与细节。最后，本文讨论了反病毒的一些关键技术：样本的截获、特征码提 取、特 征字原理以及当前最流行的对抗变形和未知病毒的启发式扫描 技术。关键词：病毒；多态;变形;扫描;启发式1 .结论.i精选文库 -目录1.1 课题背景1 .1.1什么是计算机病毒.2 . 1.2目的与意义.2 .病毒基础知识2. 1 PE文件格式与计算机病毒2 . 1. 1PE文件格式与Win32病毒的关系3 .L2PE文件格式介绍2.2 地址与汇编指令的本质72. 2. 1地址的基本概念.3. 2.2映射的

3、本质.4. 2. 3重要汇编指令的含义与技巧 ,52.3 方汇编技术62.4 小结673.病毒传播途径3. 1通过1PC传播4. 2通过电子邮件传播.4.1.1 原理83. 3利用Sniffer来建立信任关系.-1一 ，J 2N11JL人I 亡不 4.病毒的或T JTV1 ,结论.3. 4通过IRC聊天通道传播.4 .病毒的攻与防10精选文库4J样本截获技术二104. 2提取样本技术二115. 3女D何发现普通病毒114. 3.1特征码扫描简介11432特征字扫描.124.4女D何发现变形病毒和未知病毒134.4.1 简单变形二134. 4. 2 模拟器(Emulator)原理134. 4.

4、3传统扫描技术与启发式代码分析扫描技术的结合运用154.5小结175.病毒预测106.结论18精选文库1.绪论1.1课题背景人类进入了信息社会创造了电子计算机，同时也创造了计算机病 毒。由于计 算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝 着能够迅速传播、更好的隐蔽自己并对抗反病毒手段的方向发展。同时，病毒己被 人们利用其特有的性质与其他功能相结合进行有目的的活动。病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是In ternet的 广泛应用，促进了病毒的空前活跃，网络蠕虫传播更快更广，Windows病毒更加复 杂，网络蠕虫成为病毒设计者的首选（也有人认为蠕虫

5、并不是病毒，蠕虫和病毒 是有分别的，见In ter net标准RFC2828）.目前，计算机病毒之所以到处不断的泛滥，其一方面的原因就是查解病毒的 手段总是跟在一些新病毒的后面发展，所以新病毒就能跳过传统的病毒特征代码分 析、动态仿真跟踪、实时监控程序、自动解压缩技术等常用反病毒手段的监视而到 处传染。1.1.1什么是计算机病毒计算机病毒（Computer Virus）在中华人民共和国计算机信息系 统安全保护条例中被明确定义为：H指编制或者在计算机程序中插入的破坏计算机功能 或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代 码”。简单精确的说，能够主动复制自身的一组指令就

6、是病毒。这包含了两个要 素，一个是主动，这是病毒传播特性的体现，如果可以四处 传播但却是被动进的， 就不是病毒，比如QQ大家从腾讯网站上下载，QQ.exe得到四处传播，但因为是被 动进行，所以不是病毒；另一个是一段指令，这体现了病毒的寄生性，也就是病 毒这个名称的来历，因为生物界中的病毒都是寄生在细胞内，它不是细胞，不能单 独生存，却可以在不同细胞中复制自身。病毒也一样，它的寄生体就是程序（文 件）。那么，作为一个完整的文件来传播的，就类似于生物界中的细菌（细菌是细 胞），那就是蠕虫，现在也被广义地看作病毒。随着互联网的普及和迅猛发展，病 毒也向着多元化方向发展，很多病毒都具有病毒和蠕虫等的多

7、重特性。1. 1.2目的与意义计算机病毒破坏硬盘上的数据，拥塞网络，干扰人们的正常生活，每年的直接 和间接经济损失都数以百亿计。防治病毒的重要性不言而 喻。2.病毒基础知识2. 1 PE文件格式与计算机病毒在编写Dos文件型病毒时，不可避免我们要非常了解MZ文件格式。同样如果 想在Windows环境下编写感染EXE的文件型病毒，我们不得 不先在PE文件格式上 下一番功夫。2. 1. 1 PE文件格式与Win32病毒的关系Win32病毒感染文件时，一般都是针对EXE,SCF文件，而这些文 件都是PE 格式，所以，只有了解PE格式的规范和细节，才能编写PE文件型病毒。一般来 说，Win32病毒是这

8、样被运行的：1 .用户点击（或者系统自动运行）一个染毒程序2 . PE装载器（系统程序）通过PE文件中的Address Of Entry Point和Image Base之和来定位第一条语句在内存的偏移。3 .从第一条语句开始执行（这时其实执行的是病毒代码）4 .病毒主体代码执行完毕，将控制权交给染毒程序。5 .染毒程序继续执行。可见，Win32病毒要想对.EXE文件进行传染，了解PE文件格式确 实是不可 少的。下面我们就将结合计算机病毒的感染原理，具体分析一下PE文件的具体格 式。2.1.2PE文件格式介绍PE就是Portable Executable （可移植的执行体）。它是Win32可

9、执行文 件的标准格式。Portable Executable意味着此文件格式是跨wi n32平台的。 即使Win dows运行在非In tel的CPUh,任何wi n32平台的PE装载器都能识别 和使用该文件格式。当然，移植到不同的CPUh PE执行文件必然得有一些改变。所 有Win32执行体（都使用PE文件格式，包括NT的内核模式驱动程序（kernel mode drivers）,因 而研究PE文件格式，除了有助于了解病毒的传染原理之外， 也给了我们洞悉悉Windows结构的良机。表1T是PE文件格式的概要。衷卜1 PEW式巅TabU I* I AhStrwt of PE formatDOS

10、 MZ headerDOS stubPE headet,Scciiom bbleSection ISectjan ZSection Section n所有PE文件（甚至32位的DLLs）必须以一个简单的DOSMZheader开始。 有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体，然后运行 紧随MZ header之后的DOS stub. DOS stub实际上 是个有效的EXE在不支持PE 文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串“This P rogram requires Win dows。紧接着DOS stub的是PE headero包含了许多PE装载

11、器用到的 重要域。执 行体在支持PE文件结构的操作系统中执行时，PE装载器将从DOSMZh6ad6r中找 到PE head6r的起始偏移量。因而跳过了 DOS stub直接定位到真正的文件头PE headero2. 2地址与汇编指令的本质221地址的基本概念虚拟地址二逻辑地址二【段选择子】：【线形地址】，利用段选择子 找到描 述符，描述符有字段表示段的基地址(在Win32中都是0,所以线形地址就是真正 地址)还有字段表示段属性，实际上起到保护作用。事实上，在Win32中，其他地址己经不重要了，关键的只是线形 地址。我们 在程序中使用的都是线形地址，我们完全可以忘记虚拟内存的概念，认为每个进程

12、确实具有4G的物理内存，0S和CPU屏蔽了这个细节。不考虑它，也不会影响程 序的编写。程序在执行时，CPU会将我们使用的地址(可能是硬编码或寄存器)转换为物理地址。寻址时，最重要的寄存器是eip和CR3.CR3勺内容是物理地址，这在寻址过 程中是很特殊的，因为Win32在保护模式下，感觉上都是 虚拟地址，但是，如果 真的都是虚拟地址，可就真的没办法定位到物理内存了。CPU只是根据eip的值一条一条的执行。此时访问的地址就是本进程(P)的 4G空间，执行P的指令。如何实现的呢？关键是页表。222映射的本质内存和 CPU 之间有一个 MM 部件(Memory Management Unit), c

13、pu执行时，把eip高20位作为一个索引，再将index+CR3的作为高20位，eip 的低12位作为低12位组合在一起，形成新的32位地址，这 就是物理地址,把页 表想象成一个数组，个数为22O(1M),大小为4M页表当然存储在物理内存中，CR3 就是数组首地址。数组的每一项为一个DWORD双字的前20位表示一个物理页面。 形象地：页号(0T9)页属性保留(30)提交(31)CR 开00100rw 101001010100011110011这表明，物理内存的第4个物理页面提交，第9个保留.每个进程都含有这样一个页表，其中的页号可能一样，就是对应相同的物理 页面，比如内存映射文件。此时一个进程

14、修改的数据，其他进程访问时也会改变。 每个进程都有4G的内存可以使用，只是很多页面没有提交而己，这就是每个进程 有4G的原理。所谓映射，简单的说，就是将页表项的保留和提交设置为1而已解除映射则 置。解除后，再使用线形地址访问内存时，找到页表相应 项，发现此页面没有保 留，就会发生内存错误。值得注意的是，即使使用Map View Of File,页表中提交字 段也未必 是1,只是作了保留标志，其他函数请求内存时就不会重复 分配了，真正访问这个 页面时再产生页错误而真正分配物理页。2. 2. 3重要汇编指令的含义与技巧指令含义1. CALLX VPUSH EIP;IMPX 这是唯一获得 EIP 的

15、方法。2. P USHX SUB ESP ,4;M0VES P,X3. RET POP EIP 把栈顶内容放入 EIP 4. STOSD M0V EDI, EAX ;ADD EDI, 4 技巧1 .将寄存器清零XOR EAX, EA 不要用 MOV EAX, 0寄存器和零比较OR EAX, EAX 不要用 CMP EAX, 0连续多个PUSH 0XOR EAX, EAXP USH EAX P USH EAX P USH EAX不要用 PUSH 0 PUSH 02 . 3方汇编技术这种方法要求病毒包括一个小型的反汇编软件，感染的时候，将当满足被感染文件加载到内存中，然后一条一条代码的进行反汇编,

16、某个特定的条件的时候（病毒认为可以安全的改变代码了）指令替换成一条跳转指令，跳转到病毒代码中， CNTV和“中间感染”病毒是用这种方法插入跳转到病毒的指令。见图2.3:rxc EAXH JMT *1肿庶首祐；PUSH UhlPOP LCX发现合道向但MM ,一图2.32 . 4小结本章介绍了病毒需要的基本知识，PE格式，汇编指令以及地址的含义。3 .病毒传播途径3.1通过1PC传播1 .相关命令1）建立非空连接：Ne use WP ipc 用户名/user:“密码，2）拷贝文件Copy virus .exe Wremote ipadm inadmin就是c: winnt或c: Windows目

17、录，使用c , d就是C盘D盘。3）查看时间Net time remote ip4） at remote ip time virus.exe用at命令启动virus.exe （这里设置的时间要比主机时间）2.程序实现NET. IP Remote Name二（char*）Remotel PWipcWNetAddCo nn ectio n2 （&NET, & p assword, ftusemame, 0）;Copy File （LocalViursFile, Remote IP admi n）;这种方法依赖于密码.3. 2通过电子邮件传播321原理编写电子邮件客户端程序，把病毒作为附件发送过去。

18、可是，发送给谁呢？这就要获得电子邮件地址。322 SMTP协议框架我们先来看看SMTP勺发送协议，在fc821(smtp)和fcl521(mime)里面写得 非常清楚，SMTP勺整个发送过程如下：Sock6t连接后，按SMTP协议通讯(注意每条命令结尾符”回车换行、回车、换行，结束)：1 、 HELOvDomainrnExa mp le:HELOsmt p. 163. netrn 2、MAILFROM:rn发送者的Email地址。xam pie:MAILFR0M: src163. netrn 3. 3 利用 Sniffer 来建立信任关系从 Win2000 开始，Win Sock 2 的 ws

19、aloctl 可以给一个 S0CK_RAW类型的socket设置SI0RCVAL属性，这样该socket就可以收到所有经过本机的所有数据。因此无需自己编写驱动程序就可以截获流经本 机的数据 了。F面将利用这个原理，获得邮件地址及信任关系。步骤如下1 .创建Raw Socket, 设置SIO_RCVAL1截获所有流经本网卡的数据包。2 .分析收到的PE包头，如果Dest Port是25转3,否则抛弃，继续执行23 .取出数据，寻找 Helo hrn、From:flan to:trn、Mail Frommfrn.、Rctp To rtrn、忽略 ,取出 h , f , t, mf , rt 这些有

20、 用数据。4 .如果ip包的SrcIP为本机ip,则保存mf,作为本机发送邮件的可选发件人，收件人为本机发现的邮件地址。5 .向rt发送邮件，病毒为附件，发件人为fvmfL6 .向mf发送邮件，病毒为附件，发件人为标题为Re:h至于是否从ip包中收集SMTPServer的信息以及用户的Q令，做为未来发送 邮件只用是 一种选择。因为可以查询DNS的MX记录来获MTP信息，因 此可以不选择。3. 4通过IRC聊天通道传播SCRI PT. NIISCRIPT. NII自身是一个mlRC脚本语言，它内部的命令允许其他人控制你的IRC对话，使得mIRC客户端产生两个安全漏洞，一个是auto-DCC-ge

21、t,一个是mIRC目录下的CRIPTINI会自动执行。它本身不 是一个病 毒，但病毒可以修改SCRIPT. NII,使mIRC用户在聊天时传播自身。二.通过mIRC聊天通道传播这段代码在OMIRC F创建script, ini文件，写入的命令使得任 何人在加 入你聊天的通道时，将病毒发送给他。命令在mIRC的帮助文件中有详细讲解。Seri pt nO=o nl: joi n: *:if（$ ni ck=$me）（halt）n 仁/descend 串 nickVirusPathn3=l4.病毒的攻与防4. 1样本截获技术经常看到AV软件的广告上说XX公司率先截获了 XX病毒，这种截获的方法 通常

22、给人以过分复杂的感觉，其实并不神奇，这就是蜜罐系统（这种蜜罐与分析 Hacker行为的那个不一样！）可以如下构造：准备一台上网机器，安装Win2k+Spl （不装SPI可能受到无数初级 菜鸟的 Scan）,再安装HS6. 0和SQLServer 2002,能开的服务都打开，最好再装上 NAV （防止重复获得已知 病毒的样本），并装上ISA FireWall来监控网络流，也 装上Sn iff er XP来做底层包截获，最后装上文件变化记录敬监视文件可以只有 几种类型的几个文件就行了再用Ghost备份这台机器的硬盘。现在己经准备了一台这样的DIY型蜜罐了，到Hot Mail注册一个E-mail,

23、然后加入多个国外的新闻组等热闹的地方（这样子才有可能得到样本！）。接下 来就是等待了，查Outlook的Mails,等到Sniff6r XP的 监视出现流量异常或NAV被关闭或NAV失效，此时应该多打开几 次一些Program 目录下的程序以确保病毒的感染，然后一 IPCS和US进来的病毒或蠕虫会开一些 新进程，用Ctrl+Alt+Del 把他们查出来，找到那些文件一复制到存样本的小盘里（推荐USB移动硬盘），然后把文件变化 记录器中变化的文件拷出来。这样子就得到了疑似样本了。4. 2提取样本技术样本有Office文档，脚本，PE文件，网络数据包等形式，在准备分析前， 需要一些基本工具：一台性

24、能不错的机器（能运行VMWar就 行了），够大的内存和硬盘。安装Win2k,最新的SoBIce, IDA pro,PEDumpLanguage没有特殊之处，如果没采用EP0和简单病毒一样，采用EP0则 和EP0病毒一样，只是分析病毒代码和变形算法具有相当的难度。得到样本后，接下来的工作就是分析病毒，对于普通病毒，要提取特征码， 加到特征数据库；对于变形病毒，要分析其特征，升级杀毒程序。4. 3如何发现普通病毒特征码和特征字扫描依然是行之有效的方法。4. 3. 1特征码扫描简介特征码就是某个病毒所具有的与其它病毒不同，而且又可以把它和正常程 序区别开的一段代码。存储特征码的数据库结构各不相同，不

25、过大体上都得有特征 码，病毒描述信息等部分组成。扫描法是检测一个文件，如果在文件内部所有具有可执行属性的节发现了某 一种特定字节串，就表明发现了该字节串所代表的病毒。病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各 种计算机病毒的代码串；另一部分是利用该代码库进行扫描 的扫描程序。病毒扫 描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒的种类有多 少。病毒代码串的选择是非常重要的。短小的病毒只有一百多个字节，病毒代码 长的有上IOKB字节的。如果随意从病毒体内选一段作为代表该病毒的特征代码 串，可能在不同的环境中，该特征串并不真正具有代表性，不能用于将该串所对 应

26、的病 毒检查出来。选这种串做为病毒代码库的特征串就是不合适的。代码串一 定要在仔细分析了程序之后才能选出最具代表特性的，足以将该病毒区别于其它 病毒和该病毒的其它变种的代码串。一般情况下，代码串是连续的若干个字节组成的串，但是有些扫描软件采用 的是可变长串，即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串 时，只要除“模糊”字节之外的字串都能完好匹则也能判别出病毒。配，例如给定特征串：“E9 7C 00 10 ? 37 CB贝 J E9 7C 00 10 27 37 和 CB E9 7C 00 10 9C 37 CB ”都能被识别出来。一些AV产品，当匹配一个特征串后，再对剩余部分计算

27、CRC来确 为了提高 认。扫描速度，扫描串一般是20-30个字节，并且只是从固定的指令开始，比 如41 /cmp eax, # , push eax , jz , mov reg, r/m ,mov eax, # , call , jmp当扫描未知病毒时，大多数AV产品使用模拟器(emulation),而 有一些仍 然在使用特征串扫描。432特征字扫描特征字识别法是基于特征串扫描法发展起来的一种新方法。特征字识别法 只需从病毒体内抽取很少几个关键的特征字，组成特征字库。由于需要处理的字 节很少，而又不必进行串匹配，大大加快了识 别速度，当被处理的程序很大时表 现更突出。使用基于特征串扫描法的查

28、病毒软件方法与使用基于特征字识别法的查病毒 软件方法是一样的。只要运行查毒程序，就能将己知的病毒检查出来。将这两种方法应用到实际中，都需要不断地对病毒库进 行扩充，一 捕捉到病毒，经过提取特征并加入到病毒库，就能使查病 毒程序多检查出一种新 病毒来。4. 4如何发现变形病毒和未知病毒441简单变形对于前面提到的简单变形，AV可以用特征码模糊匹配它的解密头。如：Mov ecx, Virus SizeMov edi , Virus_StartDecry pt: xor edi, keyLoop Decry pt这段代码Virus_Size, Virus_Start, key正 是变化的，其他是固定

29、的， 好适应于模糊匹配。4. 4. 2模拟器(Emulator)原理实现启发扫描的就是模拟器，它截获文件操作，让文件先在VM中运行一段时间， 未发现病毒再让程序真正运行。检测变形病毒时，模拟器运行文件代码，跟踪文 件映像的虚拟内存，发现连续的内部被修改后，会认为这是被解密的代码，在从 中扫描特征串来发现病毒。为了避免模拟器永远运行下去，当它运行到指令条数的上限时，或遇到未知API 时就会停止(因为它不知道API有多少参数，无法正常返回)。为了提高模拟器 的效率，它还使用了很多技巧：1 .排除字符串比如，如果一个程序含有这条指令ADD eax,3机器码有3种形式05 03 00 00 00;32

30、位立即数83 C0 03 81 CO 03 00 00 00如果一个变形 带符号 病毒只能在1, 3两种情况下变化，那么如果发现了指令不带符号2,那么就可以排除这种病毒的可能性。2 .包含字符串 如果一个病毒包含了 ADD如果,CLC/JC/MOV EAX, EAX,等无用指 令,那么 如果在文件中找不到这些指令，就认为文件没有感染这种病 鼻3 .遍历所有分支最新的模拟器并不是按照程序的流程执行，因为有些病毒的执行存在一定的概 率，它产生一个随机数，符合一定条件时在运行，否则返回宿主，那么很可能逃 过模拟器。所以，模拟器会遍历程序所有分支，遇到不可到达的再回溯，这样， 可以有效的对付这类病毒。

31、4 .根据病毒行为特征变形病毒在复制自身时，两个版本几乎找不到任何两个相同的字节，是特征穿完 全失效。几乎等同于未知病毒。但是从感染文件的角度来说，并无特别之处。这 就可以用启发式来判断以下方面：1）入口是否在最后一个段目前病毒体积很大，通常给宿主文件添加一个节，存放病毒。2）入口是否己imp开始其实是最简单的EPO. JM匡U病毒执行。好处是不必修改入口。3）SizeOfCode 错误病毒具有代码段的属性，但有些病毒不把自己体积计算到SizeofCode4）可疑的节名和正常的编译器生成的节名不同，病毒的节有自己的特色名字。5）从K6nle132中导入的可疑函数，比如使用索引。正常程序不会这样

32、做，直接引用函数。6）入口附近存在重定位代码（CALL/POP）病毒必备。7）多个PE头原来的PE头不够大，自己生成一个。8）不正确的校验和很多病毒不重新计算校验和。9）打了补丁的输入节很可能挂接了 APL病毒常用手段。同时结合以下技巧：1）排除字符串2）感染标记3）垃圾代码4）解密例程注意，这些是病毒未在虚拟机中运行前的判断，上面提到的可以功能是在运行程 序中发现的，不可混淆。另外，还可以根据某些特性判断变形病毒，比如前面获得api地址中提到的，获取API地址通常是一个循环，按照固定次序。模拟器到达Get Proc Addresso的第一条指令后，会停下来判断 参数，如 果模拟器检测到获得地

33、址的顺序和病毒相同，就可以增加是病毒的可疑度。443传统扫描技术与启发式代码分析扫描技术的结合运用前面论述了启发式代码分析技术的优点和长处，会不会引起某些 人的误 解，以为传统的检测扫描技术就可以丢弃了呢？情况当然不是这样。从实际应 用的效果看来，传统的手法由于基于对已知病毒的分析和研究，在检测时能够更 准确，减少误报；但如果是对待此前根本没有见过的新病毒，由于传统手段的知 识库并不存在该类（种）病毒的特征 数据，则有可能产生漏报的严重后果。而这 时基于规则和定义的启发式代码分析技术则正好可以大显身手，使这类新病毒不 至成为漏网之鱼。传统与启发式技术的结合支用，可以使病毒检测软件的检出率提 高到前所未 有的水平，而另一方面，又大大降低了总的误报率。详见 以下测试实验结果对比 数据：醴发式判定结果传统式判定结果可能的*正箱果T净 干净有毒 有S干冷有S有非常可能就是于净的 很可能逞报梅可能韦辱 ft有可能确实？ 结合使用nia 001%0. oooon分析的结论相一，致那么真实的结果往往就如同其判断结论一样砍无，疑两种不同技术对同一检测样分析的结果不一致的情况比较少 见，这种情 形下需借助另外的分析去得