您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > chp3计算机病毒的基本机制
计算机病毒的基本机制计算机病毒原理-第三章3.1计算机病毒的状态传播过程中存在两种状态静态病毒存在于辅助存储介质(如硬盘、软盘、优盘、光盘)中的计算机病毒,一般不能执行病毒的破坏或表现功能动态病毒病毒完成初始引导,进入内存后,便处于动态3.1计算机病毒的状态静态病毒传播只能通过文件下载(拷贝)实现由于尚未被加载、尚未进入内存,不可能获取系统的执行权限处于静态的两种可能:•没有用户启动该病毒或运行感染了该病毒的文件•该病毒存在于不可执行它的系统中(早期DOS病毒不能在Windows中被加载)3.1计算机病毒的状态动态病毒本身处于运行状态通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权病毒的主动传染和破坏作用都是动态病毒的“杰作”3.1计算机病毒的状态病毒的启动病毒由静态转变为动态的过程启动过程即为病毒的首次激活过程内存中的动态病毒分为两种状态•可激活态:内存中的病毒代码能够被系统的正常运行机制所执行•激活态:系统正在执行病毒代码动态病毒一般是可激活的病毒处于激活态时不一定进行传染和破坏进行传染和破坏时,必然处于激活态计算机病毒的基本流程与状态转换静态病毒引导加载、设置激活、触发条件动态病毒可激活态激活态满足激活条件?满足感染条件?满足破坏条件?病毒感染病毒破坏满足满足不满足满足不满足潜伏或消散3.1计算机病毒的状态可激活态的病毒并未获得系统控制权INT13H被病毒控制,但如果正常程序不调用INT13H则病毒无计可施只能说获得了部分系统控制权,而不是获得了全部系统控制权病毒处于激活态时真正获得了全部系统控制权系统当前正在执行的就是病毒代码病毒几乎能做软件所能做的一切3.1计算机病毒的状态失活态内存中病毒的一种较为特殊的状态一般情况下不会出现由于用户对病毒的干预(杀毒软件或手工方法)内存中的病毒代码不能被系统的正常运行机制执行处于失活态的病毒不可能进行传染或破坏与静态病毒的不同仅在于病毒代码在内存中但得不到执行如恢复正确中断向量表,则相应动态病毒失活破坏病毒的可触发性,必定存在外在干预3.1计算机病毒的状态处于不同状态的病毒,应采用不同的分析、清除手段处于静态的病毒•采用静态代码分析•删除病毒文件或从被感染文件中“摘除”病毒即可处于动态的病毒•首先对病毒进行“灭活”处理•保证内存干净•着手清除计算机病毒的基本环节分发拷贝阶段病毒处于静态(休眠状态)主要通过文件下载(拷贝)这种被动方式进行传播潜伏繁殖阶段病毒将自身复制到其他程序或磁盘区域上,使之成为新的传染源破坏表现阶段触发条件成熟时在系统中爆发系统因病毒的破坏而表现出各种异常3.2.1计算机病毒的基本结构一个简单的计算机病毒3.2.2计算机病毒的逻辑结构感染标志破坏表现模块感染模块引导模块计算机病毒程序传染功能的实施部分激活感染功能的判断部分破坏表现功能的实施部分触发破坏表现功能的判断部分3.2.2计算机病毒的逻辑结构既有分工又有合作,互相依靠彼此协调引导模块是传染模块、破坏模块的基础破坏模块依赖传染模块扩大攻击范围传染模块是计算机病毒的核心有些病毒并没有引导模块Vienna病毒利用操作系统的加载机制瞬间动态执行感染和破坏表现模块没有表现性的病毒更增强了隐蔽性3.2.2计算机病毒的逻辑结构感染标志又称病毒签名不是所有病毒都有感染标志病毒程序感染宿主时,把感染标志写入宿主程序,作为该程序已被感染的标记一些数字或字符串以ASCII码方式存放在程序里感染程序前进行搜索,看其是否有感染标志•如果有,则说明已被感染,就不再进行感染•如果没有,执行感染有的病毒反复感染同一程序3.2.2计算机病毒的逻辑结构感染标志不仅能被病毒用来决定是否实施感染,还被病毒用来实施欺骗4096病毒常驻内存后,用DIR命令查看目录,则全部染毒文件长度和时间都是感染以前的正常值内存中没有该病毒时,发现被感染文件长度增长4096B每感染一个文件,便在其文件目录里做记号执行DIR命令时,病毒先于系统去查看目录,对感染文件先做处理,而后显示正常值来欺骗用户3.2.2计算机病毒的逻辑结构不同病毒的感染标志的位置、内容都不同巴基斯坦病毒:引导扇区04H处,内容为1234H大麻病毒:主引导扇区或引导扇区的0H处,内容为EA0500C007耶路撒冷:染毒文件尾部,内容“MSDOS”杀毒软件可以将感染标志作为病毒特征码之一利用病毒根据感染标志是否进行感染这一特征进行免疫(人为、主动添加感染标志)3.2.2计算机病毒的逻辑结构引导模块:染毒后首先运行的模块检查运行的环境•确定OS类型、内存容量、现行区段、磁盘设置、显示器类型等参数将病毒引入内存,使病毒处于动态,并保护内存中的病毒代码不被覆盖设置病毒的激活条件和触发条件,使病毒处于可激活态,以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块3.2.2计算机病毒的逻辑结构感染模块:病毒实施感染动作寻找感染目标检查目标中是否存在感染标志或感染条件是否满足如果没有感染标记或条件满足,进行感染,将病毒代码放入宿主程序感染过程进驻内存判断感染条件(控制病毒的感染动作和感染的频率)实施感染3.2.2计算机病毒的逻辑结构破坏模块:负责实施病毒的破坏动作又称为病毒的表现模块内部是实现病毒编写者预定破坏动作的代码病毒的破坏力取决于破坏模块破坏行为和破坏程度取决于病毒编写者的主观愿望和技术能力是否执行破坏模块,取决于预定的触发条件是否满足3.3计算机病毒的传播机制也称为感染机制或传染机制目的是实现病毒自身的复制和隐藏病毒的传染性是判断一个程序为病毒的必要条件修改传播模块代码,可以使病毒失效,产生没有传染性的病毒样本,供反病毒研究针对其传播机制,及时切断传播途径3.3.1实施感染的前提条件病毒感染的必要条件病毒代码在本次启动之后,至少被执行过一次静态病毒变成具有感染力的动态病毒要感染←处于激活态←可激活态←取得过系统控制权←执行过病毒代码←病毒要有启动的机会只要使病毒没有被执行的机会,那么病毒就不可能实施感染3.3.1实施感染的前提条件首次执行情况可能是染有引导型病毒的磁盘在启动计算机时•无论该磁盘是否是真正的系统引导盘,是否成功启动文件型病毒的病毒代码在执行染毒文件时初始化批处理启动病毒,或利用系统初始化配置文件的启动项启动病毒Win32病毒借助Windows注册表的特殊键值只要避开以上情况,就可以保证内存是干净的,就不必担心病毒的感染Windows自动启动程序的十大藏身之所当前用户专有的启动文件夹:\DocumentsandSettings\用户名\“开始”菜单\程序\启动对所有用户有效的启动文件夹:\DocumentsandSettings\AllUsers\“开始”菜单\程序\启动Load注册键HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CuttrentVersion\Windows\loadUserinit注册键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit能够使系统启动时自动初始化程序Userinit.exe,逗号分隔多个程序Windows自动启动程序的十大藏身之所Explorer\Run注册键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrenVersion\Policies\Explore\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\Policies\Explorer\RunRunServicesOnce注册键用来启动服务程序启动时间在用户登录之前,先于其他通过注册键启动的程序RunServices注册键该键指定的程序紧接RunServicesOnce指定的程序之后,但均在用户登录之前Windows自动启动程序的十大藏身之所RunOnce\Setup注册键指定了用户登录之后运行的程序RunOnce注册键安装程序通常用RunOnce自动运行程序在用户登录之后立即运行程序运行时机在其他Run键制定的程序之前HKEY_CURRENT_USER下的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行Run注册键自动运行程序常用的注册键HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前3.3.2病毒感染对象和感染过程感染对象必须寄生在可以获取执行权的寄生对象上寄生对象有两种寄生在磁盘引导扇区寄生在可执行文件其他宏病毒和脚本病毒,通过打开OFFICE文档或浏览网页等用户行为获得执行权蠕虫主要寄生在内存中,不感染引导扇区和文件3.3.2病毒感染对象和感染过程传染方式计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程计算机病毒赖以生存和进行传播的媒介两种方式病毒的被动传染:•拷贝磁盘或网络传递病毒的主动传染:•系统的运行并且病毒处于激活态3.3.2病毒感染对象和感染过程传染过程当宿主程序运行时,截取控制权寻找感染的突破口将病毒代码放入新的宿主程序被动传染随着拷贝磁盘或文件工作的进行而进行主动传染常驻内存,并在系统内存中监视系统的运行设置感染触发条件实施病毒的传染3.3.2病毒感染对象和感染过程两大类立即传染病毒在被执行到的瞬间,抢在宿主程序开始执行前立即感染磁盘上的其他程序,然后再执行宿主程序驻留内存并伺机传染病毒检查当前系统环境,在执行一个程序或DIR等操作时感染磁盘上的程序宿主程序运行结束后,仍可活动,直至关闭计算机3.3.3引导型病毒传染机理软盘容量小方便移动交换使用在运行过程中可能多次更换软盘硬盘作为固定设备安装在计算机内部使用大多数计算机配备唯一一只硬盘针对软硬盘的不同特点采用不同的传染方式3.3.3引导型病毒传染机理引导型病毒传染软盘开机引导时窃取INT31H控制权计算机运行过程中随时监视软盘操作情况趁读写软盘的时机读出软盘引导区判断软盘是否已染毒•若未感染就按病毒的寄生方式把原引导区写到软盘另一位置,把病毒写入软盘引导扇区染毒的软盘在软件交流中传染其他机器由于在每个读写阶段都要读引导区,既影响PC工作效率,又容易因驱动器频繁寻道而造成物理损伤3.3.4文件型病毒传染机理执行可执行文件后进驻内存监视系统运行,发现传染目标首先对运行的可执行文件特定地址的标识位信息进行判断,判断是否已感染了病毒当条件满足,实施感染•利用INT13H将病毒链接到可执行文件的首部、尾部或中间,并存盘完成传染后,继续监视系统的运行,试图寻找新的攻击目标3.3.4文件型病毒传染机理主要传染途径加载执行文件进驻内存后通过其在引导阶段设置的感染触发条件检查每一个加载运行可执行文件并进行传染加载传染每次传染一个文件,传染不到那些用户没有使用的文件创建文件过程利用创建文件过程把病毒附加到新文件上去更为隐蔽狡猾,新文件生来带毒3.3.4文件型病毒传染机理列目录过程感到加载传染方式每次传染一个文件速度较慢在用户列硬盘目录时候检查每一个文件的扩展名,如果是可执行文件就调用传染模块进行传染可以一次传染硬盘一个子目录下全部可执行文件•“新欢乐时光”:在每个目录中生成folder.htt和desktop.ini,计算机运行速度明显变慢,任务列表中可以看到大量的Wscript.exe程序在运行软盘读写速度慢,如果一次传染多个文件,既费时间又容易被发现,所以采用列一次目录只传染一个文件的方式3.3.5混合
本文标题:chp3计算机病毒的基本机制
链接地址:https://www.777doc.com/doc-2905792 .html