计算机病毒基础课件

计算机病毒技术基础高平信息科学技术学院信息对抗技术教研室2005年3月实验说明（1）要求具备网络攻防基本原理、DOS系统的中断命令、文件加载形式、C++编程技术、VBS脚本编程和基于TCP/IP的WinScoket编程。（2）本实验具体内容包括：DOS系统病毒、宏病毒、脚本病毒、蠕虫病毒及防治方法。（3）要求学生通过实验掌握病毒的分析与简单攻击的方法，掌握简单的病毒的编程。一、计算机病毒概述与分类1、计算机病毒的定义计算机病毒是能够具有潜伏性、传染性、破坏性等特征的程序。2、计算机病毒的危害如果病毒的实施模块被激发时，可以进行删除文件、破坏系统和格式化磁盘、破坏网络系统与计算机系统、堵塞网络流通、毁坏计算机与网络硬件资源等严重的破坏活动。具体如下：攻击文件：包括可执行文件、数据文件、删除文件和数据。使系统操作和运行速度下降。扰乱键盘操作。浪费系统资源。干扰打印机的正常工作。攻击Boot、系统中断向量、FAT、硬盘的主引导区和目录区。侵占和删除空间。修改系统配置，攻击CMOS。格式化磁盘。干扰和修改屏幕的正常显示。大面积清除数据文件、更改文件内容、文件名称，对文件加密。修改系统文件和数据结构。攻击内存：大量占用和消耗内存空间，占用CPU时间，阻扰内存中常驻程序正常运行。攻击邮件。阻塞网络。3、计算机病毒的特征程序性：计算机病毒是一段具有特定功能的、严谨精巧的计算机程序。传染性：能自我复制、自我繁殖、感染或再生等重要属性。潜伏性：一般潜伏一定时期，等待条件成熟才会激活。干扰与破坏：能够对计算机资源进行破坏。可触发性：一般有触发条件。4、计算机病毒分类（1）按操作系统分类攻击DOS系统、攻击Windows系统、攻击UNIX系统、攻击OS/2系统。（2）按计算机病毒链接方式分类操作系统型病毒、外壳型病毒、嵌入式病毒、源码型病毒。（3）按传染方式分类引导型病毒、文件型病毒、混合型病毒。（4）按计算机病毒的寄生方式分类覆盖式寄生病毒、链接式寄生病毒、填充式寄生病毒、转储式寄生病毒。（5）按功能方式分类文件型病毒、引导型病毒、宏病毒、木马病毒、脚本病毒、邮件病毒、蠕虫病毒。二、DOS系统计算机病毒1、文件型病毒的引导过程对于文件型病毒，由于它们是依附于可执行文件上，所以病毒引导进入系统的方式，与系统可执行文件的装入执行过程紧密相关。可执行文件的装入执行，是由DOS系统INT21H的4BH功能调用完成的2、引导型病毒加载过程在自举过程中，自举程序将磁盘中的引导扇区装入内存0000:7C00处执行时，对引导扇区的合法性并未做检查，而是简单地、机械地读入执行。后面我们要介绍的“传染引导扇区型”病毒就是利用了DOS自举中这一弱点，使病毒程序先于正常DOS引导程序获得控制（3）计算机病毒在内存中的破坏(a)传染磁盘引导区的计算机病毒，在系统引导时进入内存。一般在内存的高端开辟一块区域，以容纳病毒程序常驻内存。同时修改内存地址0040:0013H和0040:0014H存放的内存可用空间的大小值。(b)传染引导区的病毒常驻内存后，一般修改BIOS的中断向量INT13H的向量地址，在以后有INT13H调用时传染工作磁盘。如：病毒修改0040:0000H一0040:0007H中的RS232的基地址。其中0040:0000H开始的一个字是COMl的基地址。而0040：0002H开始一个字是COM2的基地址。如果病毒将这两个字内容之一改为00H,则通过这个联网的系统将不能实现联网功能,造成系统通信故障。BIOS数据区中0040:0078H到0040:009FH以字为单位的单元中为各打印机的基地址。病毒修改这些数据的内容将影响系统打印机的正常工作。例2708病毒：该病毒属引导扇区型病毒，它修改了引导记录并驻留在引导盘的(主)引导扇区中，一旦从该引导程序启动系统，病毒则首先由INTl9H中断将其读入内存0:7C00H中，并将运行控制权交给它，该病毒便激活了。病毒程序首先将自身复制到内存的高端，修改内存容量标志单元0:413H，占用可用内存1KB，将原INTl3H磁盘中断服务程序的中断向量保存并将该中断向量置成新的INTl3H中断程序入口，即加上一段病毒感染程序，功能是完成当系统对软盘进行读写操作时，如果该软盘尚未感染，则将本病毒写入该软盘，完成一次病毒的传播过程。紧接着修改串行通讯口和并行打印机口的地址口，使系统在执行相应的设备驱动程序时找不到地址口，一旦执行有关的设备驱动程序，系统便会提示相应的错误信息，使这些设备无法使用，造成设备的故障或微机系统的死锁。TESTBYTEPTR[016F],E0；启动次数超过32次JNZ7D52ADDBYTEPTR[016F],01；启动次数加1MOVAX,0301PUSHCSPOPESXORBX,BXMOVCX,0001MOVDH,00；传染次数更新后INT13；写到硬盘主引导扇区中JMP7D60XORAX,AXMOVDS,AXMOVBYTEPTR[0408],00；破坏打印口地址40:08HMOVBYTEPTR[0400],00；破坏串行口地址40:00HPUSHCSPOPDSMOVBYTEPTR[016F],00MOVBYTEPTR[015A],00RET(4)引导型病毒的检测(a)察看系统内存容量是否减少。计算机一般都带有640KB基本内存，用DOS的CHKDSK命令检查时，显示此时内存总数为655360字节。如果系统被引导型病毒感染，这个数值会减少，一般为几个KB，随病毒程序的长短不同而变。内存容量的大小是存放在BIOS数据区0000:0413H中的一个字表示的。其单位是KB，对于640KB内存，其值为0280H。可以用DEBUG命令检查:d0040:0013(b)检查系统高端内存中是否有病毒代码。在系统引导后，内存的高端应该没有驻留程序。可以进入DEBUG程序察看系统高端内存，检查其中是否含有病毒程序代码。(c)检查软盘的引导扇区和硬盘的主引导扇区及硬盘DOS引导扇区。这是最常用也是最有效的一种方法。下面是用DEBUG读入引导扇区检查引导病毒的通用方法:ADEBUG—A100XXXX:0100MOVAX，0201XXXX:0103MOVBX，7C00XXXX:0106MOVCX，0001XXXX:0109MOVDX，0080XXXX:010CINT13XXXX:010EINT3—G—L10000l—L300201一Q三、宏病毒分析与设计实验宏是某些应用程序中的重要指令集，起着重要的作用，宏的编程简单易学，导致宏病毒的大量传播。通过实验，让学生理解宏的概念、原理，掌握宏的安全漏洞或缺陷，掌握检测和清除计算机宏病毒的方法，以及设计简单的宏病毒程序。1、常见宏病毒(1)只进行自身的传播，并不具有破坏性的类型。如较常见的有一种AutoOpen宏病毒，这种病毒只是将文档保存为模板，并进行自身复制，当打开带病毒的文档时，病毒就将自身传染到Word的Normal．dot模板，然后再传染给干净的文档。（2）只对用户进行骚扰，但不破坏系统的类型。如“台湾No．1”宏病毒、Helper病毒、Aliance病毒、Phardera病毒等。（3）使打印中途中断或打印出混乱信息的类型。如Nuclear、Kompu等属此类。有些宏病毒将文档中的部分字符、文本进行替换，如Concept发作时，用“，”、“e”、“not”替换所有“．”、“a”、“and”等。（4）极具破坏性的类型。MDMA．A(无政府者一号)，这种病毒既感染中文版Word，又感染英文版Word，发作时间是每月的1日。破坏性表现为在机器的批处理文件：Autoexec．bat中加入“deltree/yc：”一句，机器在下一次启动后就将自动删除C盘上的所有文件。2、宏病毒的特征由于宏病毒利用了word的文档机制进行传播，寄生于Word的文档中，它不感染EXE和COM文件，只感染文档文件。在Word启动时，自动加载Startup下模板及Normal.dot模板，以及它们所包含的宏。你可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动Word或打开文档，就自动执行具有特殊命令的宏。宏名运行条件AutoExec启动Word时AutoNew每次新建文档时AutoOpen每次打开已有文档时AutoClose每次关闭文档时AutoExit退出Word时（1）宏病毒的特点(a)传播极快。Word宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型，这给Word宏病毒传播带来很多便利。(b)制作、变种方便。Word使用宏语言WordBasic来编写宏指令。宏病毒同样用WordBasic来编写。(c)破坏可能性极大。WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE、DLI等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。（2）宏病毒的驱动方式当Word处理文档时，需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据材料以及储存和打印等。每一个动作其实都是对应着特定的宏命令，如存文件与FilwSave相对应，改名则对应FileSaveAS，打印则对应FilePrint；再例如当打开文件时，首先检查是否有AutoOpen宏是否存在，如有才能自动打开Word文档，在关闭文档时则执行AutoClose宏，当某个Doc文件感染了这类Word宏病毒，再运行这类自动宏时就是运行了病毒的本身，当关闭文档时，它会自动将所有的通用宏（也包括病毒在内）保存在模板文件中。3、建立宏的方法“工具”-“宏”-“编辑”，用户开始创建宏，可以在Normal.dot模板下输入宏病毒，调试完毕后，选择“运行”命令即可。也可以使用“VisualBasic编辑器”来创建非常灵活、功能强大的宏，其中可以包括不能录制的VisualBasic指令。方法：“工具”-“宏”-“VisualBasic编辑器”，输入宏病毒代码，调试完毕后，选择“运行”命令即可。四、脚本病毒分析脚本程序的执行离不开WSH（WindowsScriptHost，Windows脚本宿主）环境，WSH为宿主脚本创建环境。也就是说，当脚本到达你的计算机时，WSH充当主机的部分，它使对象和服务可用于脚本，并提供一系列脚本执行指南。（1）脚本病毒的主要特点：(a)由于脚本是直接解释执行，可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。这类病毒通过htm文档，Email附件或其它方式，可以在很短时间内传遍世界各地，其手段相似，无非是在附件中安置病毒本体，然后利用人类天生的好奇心，通过邮件主题或邮件内容诱惑人们点击附件中的病毒体而被感染。比如ILoveYou，库尔尼科娃病毒、蔡依林裸照病毒、Sircam等。几乎所有的电子邮件病毒均为附件带毒，收到邮件后只要不打开附件，一般不会感染病毒。新型的邮件病毒的邮件正文即为病毒，用户接收到带毒邮件后，即使不将邮件打开，只要将鼠标指向邮件，通过预览功能病毒也会被自动激活，如“Romeo&Juliet”(罗密欧和朱丽叶)、“HappyTime”（欢乐时光）等，也有人说这才是真正意义上的邮件病毒。(b)病毒源码容易被获取，变种多。由于VBS病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获取还是比较简单。因此，这类病毒稍微改变一下病毒的结构或者特征值，很多杀毒软件可能就无能为力。(c)骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，譬如，邮件的附件名采用双后缀，如.jpg.vbs或txt.vbs，由于系统默认不显示后缀，这样，用户看到这个文件的时候，就会认为它是一个jpg图片或文本文件