第3章 计算机病毒基本机制

计算机病毒原理及防范技术Nemo.dy第3章计算机病毒基本机制3.4触发机制3.3感染机制

3.2计算机病毒的结构和3种机制

3.1计算机病毒的5种状态3.5破坏机制

教学要求：理解：病毒原理的基础部分，有关计算机病毒的基本构成、作用方式等方面.

掌握：计算机病毒的5种状态、计算机病毒的结构和3种机制、传播感染机制、触发机制、破坏机制。3.1计算机病毒的5种状态计算机病毒也是一种程序，只是这种程序具有一定的特殊性。人类之所以将其称为“病毒”，就是考虑到这种特殊程序和生物病毒的很多共同点。在生物界中有很多病毒，对其对应的物种有着这样或那样的危害，但是它们也有不构成威胁的时候。这是由它们所处的状态决定的。同样的，计算机病毒也有自己的不同状态（这里是指目前病毒所处的状态，和后面病毒技巧中的“多态”技术是完全不同的概念），必须清楚地知道这些状态，才能对病毒进行有效地防治。3.1计算机病毒的5种状态（续）计算机病毒在传播中有两种状态：静态和动态。这是以病毒当前所在位置为判断依据的。如果病毒处于辅助存储介质，如硬盘、DVD上时，称其为静态病毒；如果病毒位于内存中，则称之为动态病毒。静态病毒是没有危害性的，因为任何计算机程序都必须通过系统加载并进入内存，才有被执行的资格。这里所谓的“资格”，是指即使程序进入内存，但还需要系统执行它才能够表现自己。静态病毒就好像一个标本一样，不具有传染、破坏等动作特征。因此，把处于静态的病毒也称为休眠状态病毒。但是，这些病毒还是有会被加载的可能，那个时候它们就会“活”过来。所以，将病毒位于辅助存储器上的时期称为潜伏期。其次，还有一种特殊情况，那就是由于病毒所处的计算机系统没有具备执行它的条件，如专对Windows98操作系统的病毒进入了WindowsXP操作系统甚至UNIX操作系统的硬盘。显然处于这种境况的病毒是不会被装载的。但是它们有可能附着在E-mail附件上，或是通过局域网、FTP等途径传播到合适的系统上，从而造成危害。这就是所谓的多相病毒传播机制。3.1计算机病毒的5种状态（续）动态病毒则不同，它们本身已经进入了计算机内存，因此肯定是适应所在系统的。而且病毒一定是有宿主的，宿主启动带动它们的启动，所以这个时候病毒已经处于运行状态，只是未必被激活。病毒从静态转变为动态的过程，就是病毒和操作系统监察机制相对抗的过程，称为病毒的启动。病毒必须瞒过操作系统，让它以为目前所运行的是正常程序，才会被顺利加载。这是因为目前的操作系统普遍不能判断加载的程序是否为被感染程序，这是操作系统的一大漏洞。对于普通用户只能使用第三方工具来实现病毒的防堵。3.1计算机病毒的5种状态（续）病毒处于动态，就已经启动了。但是进入内存并不是最后的阶段。处于动态的病毒也有两种状态：激活态和能激活态。能激活态是一种准备状态，是指存在于内存中的动态病毒可以被正常的运行机制执行。病毒此时已经修改了系统中断调用，或是设备驱动头等，使这些中断、驱动等指向自己，从而在当系统要运行正常中断、设备时运行病毒本身，达到被执行的目的。激活态则是正在被执行的病毒。此时它拥有系统的控制权，时时刻刻监视系统的一举一动，一旦条件符合，就执行相应的传染、破坏等动作。3.1计算机病毒的5种状态（续）除了上面说的意外，内存中的病毒还有一种比较特殊的状态：失活态。之所以说其特殊，是因为虽然这时病毒也在内存里，但是不能继续正常工作了。出现这种情况的机会不多，大都是由于用户、反病毒软件等对病毒运行加以干预造成的。当然，也不排除系统出现某些问题从而“因祸得福”。需要将失活态和静态病毒分清楚，它们是截然不同的。处于失活态的病毒是没有任何活动能力的，不能传播也不能做出破坏性动作，因此是我们很愿意看见的。因为内存只要掉电，里面的内容就会被清空。这时只需要重启一次计算机就能将它们完全清理出计算机。3.2计算机病毒的机构和3种机制病毒是一种基于硬件和操作系统的程序，一般由4部分组成：主控模块、感染模块、触发模块和破坏模块。病毒的最大特点就是能感染，从而保证自己顽强的生命力。触发模块控制着整个病毒的工作，感染模块和破坏模块都是在触发条件一定的情况下执行的。破坏模块负责做出一些破坏性的动作，并非所有的病毒都有破坏模块，或至少是独立的破坏模块，如著名的巴基斯坦病毒。与此相对应的，计算机病毒就有3种机制：感染机制、触发机制及破坏机制。需要说明的是，破坏机制并不一定对应破坏模块，有的病毒没有专门的破坏模块，但是却能造成用户的重大损失，如后面将详细看到的大麻病毒。3.2计算机病毒的机构和3种机制（续）所谓传染是指计算机病毒由一个宿主体内传播到另一个宿主的过程。但是请注意，计算机上有潜在宿主并不是病毒传播的充分条件，病毒要传染还有一个前提，这个前提又可分为以下两种。被动传染用户在进行复制磁盘或文件时，把一个感染病毒的宿主复制到另一个媒介上，这个过程也通过当今发达的网络进行。主动传染病毒处于激活态，只要传染条件满足，触发模块就会自动运行，从而让染毒程序能主动地把病毒传染给另一个宿主。3.2计算机病毒的机构和3种机制（续）三大模块触发模块则是一个判断机构，它时时刻刻监察目前的系统所处的环境是否满足病毒设计者事先给定的发作条件，控制着病毒的感染和破坏动作。触发的方式有很多种，如时间触发、日期触发等，会在后面专门讲到。破坏模块则是负责病毒的破坏工作，其在设计原则、工作原理上与传染机制基本相同。它也需要修改某一中断向量入口地址（一般为时钟中断INT8H，相关的其他中断，如INT1CH），使该中断向量指向病毒程序的破坏模块。一旦该中断向量被访问，病毒破坏模块就立即被激活。破坏模块一般也分为两部分：判断部分和动作部分。判断部分负责检查目前的系统环境，看是否适合进行破坏活动，并为破坏动作搜集相关系统信息；动作部分则是在判断设定条件满足的情况下，进行各种破坏活动，如删除文件、显示提示信息等。3.3感染机制计算机病毒的感染机制又称传播机制。病毒是一种特殊的程序，它必须寄生在一个合法的程序中。这一点和生物病毒极其相似，它们有其自身的病毒体（病毒程序）和宿主。病毒生活在宿主中。一旦病毒程序成功感染某个合法程序，病毒就成了该程序的一部分，并拥有合法的地位。于是一个合法的程序就成了病毒程序的宿主，或称为病毒程序的载体。对于宿主而言，病毒几乎可以感染它的任何位置。可以理解为病毒和其宿主在感染后就是一个有机的整体，它们一同工作和生活；但是病毒又有自己的主张，当条件满足时它就会自己动作。病毒为了保证自己的被调用概率较高，会寄生于多个程序或区域中，而且它们的感染对象是有一定选择的，一定是使用频率很高的才会引起它们的注意，因为只有宿主活动它们才有被调用的机会。3.3感染机制（续）一般来说，病毒的感染目标是一些可执行代码，计算机系统中可执行文件只有两种：引导程序和可执行文件。另一类经常被感染的目标是宏（Macro），宏是一种可执行代码，但是不能独立作为文件存在，它们所感染的是一类称为宏病毒的特殊病毒。病毒还会感染BIOS，不过由于现在基于FlashROM的BIOS都带写保护，所以即使被感染，只需要重写BIOS即可消除病毒。下面是病毒的一般感染目标：硬盘系统分配表扇区（主引导扇区）；硬盘Boot扇区；软盘Boot扇区；覆盖文件（.OVL）；可执行文件（.EXE）；命令文件（.COM）；COMMAND文件；IBM-BIO文件；IBM-DOS文件。3.3感染机制（续）T偶数噬菌体的感染复制过程3.3感染机制（续）病毒代码占据了原始的引导扇区的数据，为了能够让系统正常启动（系统不启动病毒自己也没有办法行动，病毒和宿主的关系是“唇亡齿寒”），于是把真正的BOOT扇区信息移到磁盘的其他扇区。当病毒的加载工作已经完成，进驻内存后，就会引导DOS到存储引导信息的新扇区，从而使系统和用户无法发觉信息被挪到新的地方。同时至少病毒的一个有效部分仍驻留在内存中，于是当新的磁盘插入时，病毒就会把自己写到新的磁盘上。当这个盘用于另一台机器时，病毒就会以同样的方法传播到那台机器的引导扇区上。这就是引导型病毒的传播方式，如同潜伏在系统启动过程中的必经之地，在每次启动的半途中，病毒程序便会夺取控制权，为病毒的感染做准备。此种感染方式的特点是：病毒有频繁攻击的机会，每次启动病毒都会被激活。隐蔽性差，极易被发觉。病毒必须保存好原Boot扇区或主引导扇区，否则自己也无法启动。如病毒长度大于512B，需占用别的扇区（想想这是为什么？）。3.3感染机制（续）常驻内存的病毒的特点如下：病毒将其代码隐藏到RAM内存区中，这个区域是用户一般不易注意到的地方，是病毒理想的栖身场所。可争取较长的病毒活动时间。宿主程序退出运行之后，病毒代码可独立地伺机继续攻击。病毒常驻内存的同时，篡改系统中断，以便被激活。3.3感染机制（续）病毒驻留内存的代码常常是病毒修改过的“中断处理程序”，病毒通过修改中断向量，使预定的中断发生时先运行驻留内存的病毒程序，以便进行感染和破坏。这些被修改的中断向量常常是操作系统程序和应用程序运行时经常涉及的中断。病毒修改中断时常涉及的中断及功能：INT9H：读取键盘输入。INT8H：计时中断。INT13H：读、写磁盘。INT25H：读磁盘逻辑扇区。INT26H：写磁盘逻辑扇区。INT21H的4BH：在可执行程序中调用另一程序。3.3感染机制（续）病毒感染宿主后，一般都会引起宿主程序长度的变化，因为它需要把自己放入宿主程序中。显然，不同病毒引起的宿主长度变化是不同的，因为病毒本身长度就随着种类不同而变化，加上感染方式各异，于是宿主长度变化量就千差万别。总体来说，宿主感染病毒后长度变化情况有4种：长度不变。增长的长度为恒定值。增长的长度在一个固定范围内变化。每次被病毒感染，宿主程序的长度都发生变化。注意，能做到使目标宿主染毒后长度保持不变的病毒都采用了特殊编程技巧，其共同特点是要么隐蔽性极强，要么破坏力奇大。总之，具有这种能力的病毒一定是恶性病毒，需要特别提高警惕性。3.3感染机制（续）所谓单次感染，有的书上也称其为“一次性感染”，顾名思义就是指病毒对宿主只感染一次，若病毒在对感染目标检测发现其已经染上自己这种病毒就不再感染它。重复性感染则是指无论目标是否已被感染，病毒在设定次数内都会对其再次进行感染动作。重复感染过程如图所示。3.3感染机制（续）简单重复感染属于这一类的病毒感染次数是没有设定上限的，且每次感染的病毒代码、代码长度及植入宿主的位置都是一样的。简单重复感染很多时候并不是作者有意为之，而是编程错误所致，如著名的Jerusalem（耶路撒冷病毒）。有限次数重复感染这类病毒也比较简单，和上面一种相比的区别就是它们感染宿主的次数有一个预设值，达到这个值后则不再继续感染。变长度重复感染此类病毒每次感染宿主，都会造成宿主长度变化量的不定值增长。如果不给它设一个感染上限，则宿主的长度会不断增加，直到机器无法装载，从而死机或系统崩溃。这种感染方式看起来比较笨，但是作用效果却十分可怕。变位重复感染这类病毒的特点在于其每次感染宿主时，植入病毒代码的位置都会发生改变。如1992年1月被发现的AUTO病毒。它的感染目标是COM文件，每次感染宿主的长度变化量都是129B。但它每次感染的位置是不同的：第一次感染的植入点在宿主头部；以后每次感染的植入点在宿主尾部。3.3感染机制（续）两种不同的感染引导区的方法：3.3感染机制（续）寄生式感染（ParasiticInfection）是最常见的感染方式，病毒将自身的代码植入宿主，只要这么做了，不论植入点在宿主的头部、尾部，还是中间部位，都称为寄生感染。3.3感染机制（续）感染DOS下COM文件3.3感染机制（续）感染MZ文件3.3感染机制（续）两种感染驱动程序尾部的方法：3.3感染机制（续）插入式感染：3.3感染机制（续）RAM病毒插入示例（逆插入）：3.3感染机制（续）滋生感染（CompanionInfection）是一类很不常见的手法。由于其特殊的工作方式，使用滋生感染法的病毒一般又称为伴侣病毒。滋生感染一共有3种做法。这一系列病毒首先在目录中搜索EXE文件，但是不去动它，而是生成一个和该EXE文件同名的COM文件。换句话说，这时的目录下面有了两个文件名相同但后缀一个是EXE一个是COM的文件。EXE文件没有丝毫改变，而COM文件则完全就是病毒体本身。也就是说，滋生感染法病毒的病毒体是独立作为文件存在的，但是又不能脱开它的宿主。这时，只要用户输入那个文件名，根据DOS下COM文件运行优先级高于EXE文件的规则，运行的是病毒体。只要这个目录下的病毒文件还在，EXE文件就总不能被执行。显然这种办法只适用于DOS，且对于有经验的用户意义不大。需要对目标文件的文件名略加修改（如改掉后缀名的最后一个字母），然后将病毒文件以原始目标文件名存放，同时现在几乎所有的这类病毒都会将被修改的目标文件的属性改为“隐藏”。这种做法比上面的使用范围要广得多，在Windows下同样适用。这一种方法更少见，叫做PATH滋生。它利用DOS-PATH的搜索特点，具体来说又有3种做法：一是将自己存为目标文件的文件名，然后添加进DOS-PATH的高级目录中，这样根据执行的优先级就是病毒体先被激活；二是将目标文件移动到该目录的子目录下；三是将病毒体所在文件的文件名修改成比较吸引人的名字，诱骗用户点击。3.3感染机制（续）DIR-Ⅱ病毒感染软盘的方式（链式感染）：3.3感染机制（续）零长度感染病毒在感染宿主程序时，要将病毒程序放入宿主程序中，这样做一般会使宿主程序增长，很容易被人发现。而零长度感染病毒在感染时，虽然也把病毒程序放入宿主程序中，但宿主程序的长度却保持不变，这类病毒不易被发现，有很好的潜伏性。这类病毒采用特殊的编程技巧。具体说来又有两种方法：空洞法和压缩法。3.3感染机制（续）空洞法这种方法需要先在宿主程序中寻找到合适的“空洞”，然后病毒将修改宿主程序的开始部分使之指向自己，从而能保证自己首先运行。所谓“空洞”（Cavity）指的是宿主中具有的长度足够且全部为0的程序数据区或堆栈区。1991年发现于保加利亚的Phoenix2000病毒即为一例，它会事先检查目标中有没有连续的2000B长的全0空间，如果有则将自身代码写入，否则不感染。3.3感染机制（续）压缩法这种手法使用到文件压缩技术。为了说明清楚，设被感染前的正常宿主为O1，压缩后的宿主为O2，病毒体为V，则具体步骤如下：（1）病毒发现O1，于是调用自带压缩模块对其进行压缩，使其变为O2，且V和O2的长度总和不大于O1。（2）病毒将V放在O2的头部，组成一个长度等于O1的文件。上面就是感染的步骤，如果需要执行染毒程序，则将上述步骤倒过来，并将其中的压缩操作换位解压缩操作即可。3.4触发机制计算机病毒