chp3计算机病毒的基本机制

计算机病毒的基本机制计算机病毒原理－第三章3.1计算机病毒的状态传播过程中存在两种状态静态病毒存在于辅助存储介质（如硬盘、软盘、优盘、光盘）中的计算机病毒，一般不能执行病毒的破坏或表现功能动态病毒病毒完成初始引导，进入内存后，便处于动态3.1计算机病毒的状态静态病毒传播只能通过文件下载（拷贝）实现由于尚未被加载、尚未进入内存，不可能获取系统的执行权限处于静态的两种可能：•没有用户启动该病毒或运行感染了该病毒的文件•该病毒存在于不可执行它的系统中（早期DOS病毒不能在Windows中被加载）3.1计算机病毒的状态动态病毒本身处于运行状态通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权病毒的主动传染和破坏作用都是动态病毒的“杰作”3.1计算机病毒的状态病毒的启动病毒由静态转变为动态的过程启动过程即为病毒的首次激活过程内存中的动态病毒分为两种状态•可激活态：内存中的病毒代码能够被系统的正常运行机制所执行•激活态：系统正在执行病毒代码动态病毒一般是可激活的病毒处于激活态时不一定进行传染和破坏进行传染和破坏时，必然处于激活态计算机病毒的基本流程与状态转换静态病毒引导加载、设置激活、触发条件动态病毒可激活态激活态满足激活条件？满足感染条件？满足破坏条件？病毒感染病毒破坏满足满足不满足满足不满足潜伏或消散3.1计算机病毒的状态可激活态的病毒并未获得系统控制权INT13H被病毒控制，但如果正常程序不调用INT13H则病毒无计可施只能说获得了部分系统控制权，而不是获得了全部系统控制权病毒处于激活态时真正获得了全部系统控制权系统当前正在执行的就是病毒代码病毒几乎能做软件所能做的一切3.1计算机病毒的状态失活态内存中病毒的一种较为特殊的状态一般情况下不会出现由于用户对病毒的干预（杀毒软件或手工方法）内存中的病毒代码不能被系统的正常运行机制执行处于失活态的病毒不可能进行传染或破坏与静态病毒的不同仅在于病毒代码在内存中但得不到执行如恢复正确中断向量表，则相应动态病毒失活破坏病毒的可触发性，必定存在外在干预3.1计算机病毒的状态处于不同状态的病毒，应采用不同的分析、清除手段处于静态的病毒•采用静态代码分析•删除病毒文件或从被感染文件中“摘除”病毒即可处于动态的病毒•首先对病毒进行“灭活”处理•保证内存干净•着手清除计算机病毒的基本环节分发拷贝阶段病毒处于静态（休眠状态）主要通过文件下载（拷贝）这种被动方式进行传播潜伏繁殖阶段病毒将自身复制到其他程序或磁盘区域上，使之成为新的传染源破坏表现阶段触发条件成熟时在系统中爆发系统因病毒的破坏而表现出各种异常3.2.1计算机病毒的基本结构一个简单的计算机病毒3.2.2计算机病毒的逻辑结构感染标志破坏表现模块感染模块引导模块计算机病毒程序传染功能的实施部分激活感染功能的判断部分破坏表现功能的实施部分触发破坏表现功能的判断部分3.2.2计算机病毒的逻辑结构既有分工又有合作，互相依靠彼此协调引导模块是传染模块、破坏模块的基础破坏模块依赖传染模块扩大攻击范围传染模块是计算机病毒的核心有些病毒并没有引导模块Vienna病毒利用操作系统的加载机制瞬间动态执行感染和破坏表现模块没有表现性的病毒更增强了隐蔽性3.2.2计算机病毒的逻辑结构感染标志又称病毒签名不是所有病毒都有感染标志病毒程序感染宿主时，把感染标志写入宿主程序，作为该程序已被感染的标记一些数字或字符串以ASCII码方式存放在程序里感染程序前进行搜索，看其是否有感染标志•如果有，则说明已被感染，就不再进行感染•如果没有，执行感染有的病毒反复感染同一程序3.2.2计算机病毒的逻辑结构感染标志不仅能被病毒用来决定是否实施感染，还被病毒用来实施欺骗4096病毒常驻内存后，用DIR命令查看目录，则全部染毒文件长度和时间都是感染以前的正常值内存中没有该病毒时，发现被感染文件长度增长4096B每感染一个文件，便在其文件目录里做记号执行DIR命令时，病毒先于系统去查看目录，对感染文件先做处理，而后显示正常值来欺骗用户3.2.2计算机病毒的逻辑结构不同病毒的感染标志的位置、内容都不同巴基斯坦病毒：引导扇区04H处，内容为1234H大麻病毒：主引导扇区或引导扇区的0H处，内容为EA0500C007耶路撒冷：染毒文件尾部，内容“MSDOS”杀毒软件可以将感染标志作为病毒特征码之一利用病毒根据感染标志是否进行感染这一特征进行免疫（人为、主动添加感染标志）3.2.2计算机病毒的逻辑结构引导模块：染毒后首先运行的模块检查运行的环境•确定OS类型、内存容量、现行区段、磁盘设置、显示器类型等参数将病毒引入内存，使病毒处于动态，并保护内存中的病毒代码不被覆盖设置病毒的激活条件和触发条件，使病毒处于可激活态，以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块3.2.2计算机病毒的逻辑结构感染模块：病毒实施感染动作寻找感染目标检查目标中是否存在感染标志或感染条件是否满足如果没有感染标记或条件满足，进行感染，将病毒代码放入宿主程序感染过程进驻内存判断感染条件（控制病毒的感染动作和感染的频率）实施感染3.2.2计算机病毒的逻辑结构破坏模块：负责实施病毒的破坏动作又称为病毒的表现模块内部是实现病毒编写者预定破坏动作的代码病毒的破坏力取决于破坏模块破坏行为和破坏程度取决于病毒编写者的主观愿望和技术能力是否执行破坏模块，取决于预定的触发条件是否满足3.3计算机病毒的传播机制也称为感染机制或传染机制目的是实现病毒自身的复制和隐藏病毒的传染性是判断一个程序为病毒的必要条件修改传播模块代码，可以使病毒失效，产生没有传染性的病毒样本，供反病毒研究针对其传播机制，及时切断传播途径3.3.1实施感染的前提条件病毒感染的必要条件病毒代码在本次启动之后，至少被执行过一次静态病毒变成具有感染力的动态病毒要感染←处于激活态←可激活态←取得过系统控制权←执行过病毒代码←病毒要有启动的机会只要使病毒没有被执行的机会，那么病毒就不可能实施感染3.3.1实施感染的前提条件首次执行情况可能是染有引导型病毒的磁盘在启动计算机时•无论该磁盘是否是真正的系统引导盘，是否成功启动文件型病毒的病毒代码在执行染毒文件时初始化批处理启动病毒，或利用系统初始化配置文件的启动项启动病毒Win32病毒借助Windows注册表的特殊键值只要避开以上情况，就可以保证内存是干净的，就不必担心病毒的感染Windows自动启动程序的十大藏身之所当前用户专有的启动文件夹:\DocumentsandSettings\用户名\“开始”菜单\程序\启动对所有用户有效的启动文件夹:\DocumentsandSettings\AllUsers\“开始”菜单\程序\启动Load注册键HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CuttrentVersion\Windows\loadUserinit注册键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit能够使系统启动时自动初始化程序Userinit.exe，逗号分隔多个程序Windows自动启动程序的十大藏身之所Explorer\Run注册键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrenVersion\Policies\Explore\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\Policies\Explorer\RunRunServicesOnce注册键用来启动服务程序启动时间在用户登录之前，先于其他通过注册键启动的程序RunServices注册键该键指定的程序紧接RunServicesOnce指定的程序之后，但均在用户登录之前Windows自动启动程序的十大藏身之所RunOnce\Setup注册键指定了用户登录之后运行的程序RunOnce注册键安装程序通常用RunOnce自动运行程序在用户登录之后立即运行程序运行时机在其他Run键制定的程序之前HKEY_CURRENT_USER下的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行Run注册键自动运行程序常用的注册键HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前3.3.2病毒感染对象和感染过程感染对象必须寄生在可以获取执行权的寄生对象上寄生对象有两种寄生在磁盘引导扇区寄生在可执行文件其他宏病毒和脚本病毒，通过打开OFFICE文档或浏览网页等用户行为获得执行权蠕虫主要寄生在内存中，不感染引导扇区和文件3.3.2病毒感染对象和感染过程传染方式计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程计算机病毒赖以生存和进行传播的媒介两种方式病毒的被动传染：•拷贝磁盘或网络传递病毒的主动传染：•系统的运行并且病毒处于激活态3.3.2病毒感染对象和感染过程传染过程当宿主程序运行时，截取控制权寻找感染的突破口将病毒代码放入新的宿主程序被动传染随着拷贝磁盘或文件工作的进行而进行主动传染常驻内存，并在系统内存中监视系统的运行设置感染触发条件实施病毒的传染3.3.2病毒感染对象和感染过程两大类立即传染病毒在被执行到的瞬间，抢在宿主程序开始执行前立即感染磁盘上的其他程序，然后再执行宿主程序驻留内存并伺机传染病毒检查当前系统环境，在执行一个程序或DIR等操作时感染磁盘上的程序宿主程序运行结束后，仍可活动，直至关闭计算机3.3.3引导型病毒传染机理软盘容量小方便移动交换使用在运行过程中可能多次更换软盘硬盘作为固定设备安装在计算机内部使用大多数计算机配备唯一一只硬盘针对软硬盘的不同特点采用不同的传染方式3.3.3引导型病毒传染机理引导型病毒传染软盘开机引导时窃取INT31H控制权计算机运行过程中随时监视软盘操作情况趁读写软盘的时机读出软盘引导区判断软盘是否已染毒•若未感染就按病毒的寄生方式把原引导区写到软盘另一位置，把病毒写入软盘引导扇区染毒的软盘在软件交流中传染其他机器由于在每个读写阶段都要读引导区，既影响PC工作效率，又容易因驱动器频繁寻道而造成物理损伤3.3.4文件型病毒传染机理执行可执行文件后进驻内存监视系统运行，发现传染目标首先对运行的可执行文件特定地址的标识位信息进行判断，判断是否已感染了病毒当条件满足，实施感染•利用INT13H将病毒链接到可执行文件的首部、尾部或中间，并存盘完成传染后，继续监视系统的运行，试图寻找新的攻击目标3.3.4文件型病毒传染机理主要传染途径加载执行文件进驻内存后通过其在引导阶段设置的感染触发条件检查每一个加载运行可执行文件并进行传染加载传染每次传染一个文件，传染不到那些用户没有使用的文件创建文件过程利用创建文件过程把病毒附加到新文件上去更为隐蔽狡猾，新文件生来带毒3.3.4文件型病毒传染机理列目录过程感到加载传染方式每次传染一个文件速度较慢在用户列硬盘目录时候检查每一个文件的扩展名，如果是可执行文件就调用传染模块进行传染可以一次传染硬盘一个子目录下全部可执行文件•“新欢乐时光”：在每个目录中生成folder.htt和desktop.ini，计算机运行速度明显变慢，任务列表中可以看到大量的Wscript.exe程序在运行软盘读写速度慢，如果一次传染多个文件，既费时间又容易被发现，所以采用列一次目录只传染一个文件的方式3.3.5混合