世上最完整的病毒分析及实例

第3章病毒分析本章介绍病毒的原理与所使用的技术，以及防止病毒的方法：●常见病毒的原理；●可执行文件病毒修改文件的方法；●可执行文件病毒使用的常用技术；●优化可执行文件防病毒；●文件过滤驱动在反病毒上的应用。这是本章涉及的问题。1.1病毒概述“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外流行的定义为：是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。计算机病毒是人为编写的，具有自我复制能力，是未经用户允许执行的代码。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的和未经用户允许的。它的主要特征有传染性、隐蔽性、潜伏性、破坏性和不可预见性。传染性是病毒最重要的一条特性。按照计算机病毒侵入的系统分类，分为DOS系统下的病毒、Windows系统下的病毒、UNIX系统下的病毒和OS/2系统下的病毒。按照计算机病毒的链接方式分类可分为源码型病毒、嵌入型病毒、外壳型病毒。按照传播介质分类，可以分为可分为单机病毒和网络病毒。随着Windows系统的发展，引导型病毒已经不再，宏病毒也少见。目前见得多的是感第3章病毒分析•277•染本机可执行文件的PE病毒和通过网络在计算机之间传播的蠕虫病毒比较常见。1.2PE病毒分析Windows下常见的可执行文件，一种是二进制文件，就是扩展名为exe、dll、src和sys等的文件，它们的执行是由explorer.exe（资源管理器）、cmd.exe（控制台，类似DOS界面）或其它程序调用执行的。另一种是文本格式文件，例如扩展名为htm和html，可以由iexplorer.exe调用，由script.exe来解释执行的文件。从Windows2000以后，其二进制文件文件为PE结构。PE的意思就是可移植的执行体（PortableExecutable），它是Windows的32位环境自身所带的执行体文件格式。它的一些特性继承自Unix的Coff(commonobjectfileformat)文件格式，同时为了保证与旧版本MS-DOS及Windows操作系统的兼容，PE文件格式也保留了MS-DOS中那熟悉的MZ头部。病毒能够感染PE文件，因为病毒设计者深知其结构。1.2.1PE病毒常用技术病毒也和正常的应用程序一样，涉及到函数的调用和变量的使用。1、调用API函数的方法API是“ApplicationProgrammingInterface”的英文缩写，很象DOS下的中断。中断是系统提供的功能，在DOS运行后就被装载在内存中，而API函数是当应用程序运行时，通过将函数所在的动态连接库装载到内存后调用函数的。请大家先在MSDN的“索引”中输入函数“MessageBox”然后回车，就可以查到该函数的使用方法。MSDN是微软提供的开发帮助，是在Windows下编程必备的资料文件。在Windows下设计应用程序不直接或间接使用API是不可能的，有些高级语言看似没有使用API，只不过它们提供的模块对API进了封装。API的使用分为静态和动态使用两种方式。在源程序中调用API两种方式都可以使用，但对未公开API因为无相应的头文件，只能使用动态方式。下面以VC++中调用MessageBox说明两种方式的区别。(1)静态方式charnote_inf[]=”谢谢使用”;charnote_head[]=”提示信息”;::MessageBox(0,note_inf,note_head,MB_OK);//::表示全局函数反汇编结果如图3-1。“PUSH00000000”对应的是MB_OK常量入栈，“PUSH0040302C”文档安全•278•对应的是一个字符串的偏移地址入栈，“PUSH00403020”对应的是另一个字符串偏移地址的入栈，第2行“PUSH00000000”对应窗口句柄入栈。当程序执行时，装载器会将user32.dll装载到应用程序虚拟空间，同时将MessageBoxA（对应ANSI格式，另一种为UNICODE格式，用MessageBoxW表示。这是因为函数的参数有字符串，而字符串有两种格式所致）的入口地址填充到虚拟地址004021B8h。虚拟地址004021B8h是由PE头中IMAGE_DATA_DIRECTORY数组来定位的，当编译器生成PE文件时就计算好了。图3-1API的汇编调用(2)动态方式动态方式先定义函数指针，使用函数LoadLibrary装载要调用的函数所在的dll文件，获取模块句柄。然后调用GetProcAddress获取要调用的函数的地址。voidCTestDlg::OnButton{//定义MessageBox函数指针typedefint(WINAPI*_MessageBox)(HWNDhWnd,LPCTSTRlpText,LPCTSTRlpCaption,UINTuType);//定义MessageBox指针变量_MessageBoxnew_MessageBox;//装载MessageBox函数所在dll文件HINSTANCEhb=LoadLibrary(user32.dll);//获取ANSI格式的MessageBox函数地址new_MessageBox=(_MessageBox)GetProcAddress(hb,MessageBoxA);//动态调用函数MessageBox第3章病毒分析•279•new_MessageBox(0,欢迎使用!,提示信息,MB_OK);//释放MessageBox函数所在模块CloseHandle(hb);}动态方式是在需要调用函数时才将函数所在模块调入到内存的，同时也不需要编译器为该函数在导入表中建立相应的项。2、病毒调用API函数病毒要完成相应的功能，不可能不调用API函数。病毒感染PE文件可能是在源程序中加入病毒代码，但多数是在生成PE文件后通过修改PE文件感染的。对后种情况，病毒难以去为使用的API建立导入表项，只有使用第动态方式调用API。动态使用API的前提是预先知道LoadLibrary和GetProcAddress的地址，可以预先设定或搜索API的地址实现。一个正常的Windows程序，它至少需要调用模块kernel32.dll，因为应用程序正常退出时需要调用函数ExitProcess，而该函数位于模块kernel32.dll内。然而函数LoadLibrary和GetProcAddress也位于模块kernel32.dll内。既然模块kernel32.dll总在内存，如果我们知道这两个函数地址，直接调用就可以了。(1)检测函数地址先用间接方式检测函数的地址，代码如下，结果见图3-2。voidCTestDlg::OnButton1(){//定义函数LoadLibrary和GetProcAddress的原型typedefHINSTANCE(WINAPI*_LoadLibrary)(LPCTSTRlpLibFileName);typedefFARPROC(WINAPI*_GetProcAddress)(HMODULEhModule,LPCSTRlpProcName);//定义指针_LoadLibrarynew_LoadLibrary;_GetProcAddressnew_GetProcAddress;//装载函数所在模块kernel32.dllHINSTANCEhb=LoadLibrary(kernel32.dll);//获取函数首地址new_LoadLibrary=(_LoadLibrary)GetProcAddress(hb,LoadLibraryA);new_GetProcAddress=(_GetProcAddress)GetProcAddress(hb,GetProcAddress);//显示结果CStringinf;文档安全•280•inf.Format(LoadLibrary=%Xh\r\nGetProcAddress=%Xh,new_LoadLibrary,new_GetProcAddress);::MessageBox(0,inf,地址信息,MB_OK);CloseHandle(hb);}图3-2取函数地址(2)在程序中直接使用函数地址如下的代码直接使用函数LoadLibrary和GetProcAddress地址，然后用它们动态调用函数MessageBox，执行的结果是显示信息框。voidCTestDlg::OnButton2(){//定义MessageBox原型typedefint(WINAPI*_MessageBox)(HWNDhWnd,LPCTSTRlpText,LPCTSTRlpCaption,UINTuType);charfunName[]=MessageBoxA;//定义地址DWORDLoadLibraryAddr=0x77E80221;DWORDGetProcAddressAddr=0x77E80CAB;_MessageBoxnew_MessageBox;//定义函数所在模块名HINSTANCEhb;chardllName[]=user32.dll;__asm{;VC++中嵌入汇编代码第3章病毒分析•281•leaeax,dllNamepusheaxmovebx,LoadLibraryAddrcallebx;调用LoadLibrary获取shell32.dll模块句柄movhb,eax//直接使用地址leaeax,funNamepusheaxpushhbmovebx,GetProcAddressAddr;调用LoadLibrary获取shell32.dll模块句柄callebxmovnew_MessageBox,eax}//动态调用MessageBox，显示信息框new_MessageBox(0,欢迎使用!,提示信息,MB_OK);CloseHandle(hb);}预先设定API地址使代码比较短,但只能局限在某个操作系统版本下运行，也必须先保证它所在模块在内存中。同一个API函数，在不同的系统下的地址可能不相同。该方法，也叫“预编码”技术。(3)搜索API地址只需要从虚拟内存搜索到LoadLibrary和GetProcAddress的地址，用这两个函数就可以获取其它函数的地址。前面已经介绍过，一般程序都会加载LoadLibrary和GetProcAddress所在的库文件kernel32.dll，那么在内存中搜索kernel32.dll所在基地址，然后再分析kernel32.dll的PE结构，就可以找到LoadLibrary和GetProcAddress的地址。分析多个Windows系统，可以知道kernel32.dll加载的大致地址，比如根据在9X下其加载地址是0xBFF70000，在Windows2000下加载基址是0x77E80000，然后可由该地址向高地址搜索可以找到其基址。也可以由高地址到低地址开始搜索，搜索开始的地址由程序入口处的ESP获得。程序装载器调用一个程序后将程序的返回地址入栈，然后转去执行该程序。经反汇编证明，返回地址是属于Kernel32.dll模块中。由于内存属性决定，有些内存可能因未分配而不能