第2章 計算機病毒結(jié)構(gòu)及分析

第二章計算機病毒結(jié)構(gòu)分析,本章學(xué)習(xí)目標,掌握計算機病毒的結(jié)構(gòu)掌握計算機病毒的工作機制了解各種計算機病毒技術(shù),一、計算機病毒的結(jié)構(gòu)和工作機制,四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導(dǎo)模塊（主控模塊）兩個狀態(tài)：靜態(tài)動態(tài),圖2-1：病毒程序的生命周期,圖2-2：病毒程序的典型組成示意圖,工作機制,圖2-3：病毒的工作機制,引導(dǎo)模塊,引導(dǎo)前寄生寄生位置：引導(dǎo)區(qū)可執(zhí)行文件寄生手段：替代法（寄生在引導(dǎo)區(qū)中的病毒常用該法）鏈接法（寄生在文件中的病毒常用該法）,圖2-4替代法,圖2-5鏈接法,引導(dǎo)過程駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能引導(dǎo)區(qū)病毒引導(dǎo)過程搬遷系統(tǒng)引導(dǎo)程序-替代為病毒引導(dǎo)程序啟動時-病毒引導(dǎo)模塊-加載傳染、破壞和觸發(fā)模塊到內(nèi)存-使用常駐技術(shù)最后，轉(zhuǎn)向系統(tǒng)引導(dǎo)程序-引導(dǎo)系統(tǒng),文件型病毒引導(dǎo)過程修改入口指令-替代為跳轉(zhuǎn)到病毒模塊的指令執(zhí)行時-跳轉(zhuǎn)到病毒引導(dǎo)模塊-病毒引導(dǎo)模塊-加載傳染、破壞和觸發(fā)模塊到內(nèi)存-使用常駐技術(shù)最后，轉(zhuǎn)向程序的正常執(zhí)行指令-執(zhí)行程序,感染模塊,病毒傳染的條件被動傳染（靜態(tài)時）用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復(fù)制到另一個載體上。或者是通過網(wǎng)絡(luò)上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染。主動傳染（動態(tài)時）以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式叫做計算機病毒的主動傳染。,傳染過程系統(tǒng)（程序）運行-各種模塊進入內(nèi)存-按多種傳染方式傳染傳染方式立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開始執(zhí)行前，立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序。駐留內(nèi)存并伺機傳染，內(nèi)存中的病毒檢查當前系統(tǒng)環(huán)境，在執(zhí)行一個程序、瀏覽一個網(wǎng)頁時傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運行結(jié)束后，仍可活動，直至關(guān)閉計算機。,文件型病毒傳染機理首先根據(jù)病毒自己的特定標識來判斷該文件是否已感染了該病毒；當條件滿足時，利用INT13H將病毒鏈接到文件的特定部位，并存入磁盤中；完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標。文件型病毒傳染途徑加載執(zhí)行文件文件型計算機病毒駐內(nèi)存后，通過其所截獲的INT21中斷檢查每一個加載運行可執(zhí)行文件進行傳染。傳染不到那些用戶沒有使用的文件。瀏覽目錄過程創(chuàng)建文件過程,破壞模塊,破壞模塊的功能破壞、破壞、還是破壞破壞對象系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運行速度、磁盤、CMOS、主板和網(wǎng)絡(luò)等。破壞的程度,觸發(fā)模塊,觸發(fā)條件計算機病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個條件就是計算機病毒的觸發(fā)條件。觸發(fā)模塊的目的是調(diào)節(jié)病毒的攻擊性和潛伏性之間的平衡大范圍的感染行為、頻繁的破壞行為可能給用戶以重創(chuàng)，但是，它們總是使系統(tǒng)或多或少地出現(xiàn)異常，容易使病毒暴露。而不破壞、不感染又會使病毒失去其特性?？捎|發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。,病毒常用的觸發(fā)條件,日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)例如，運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)、感染失敗觸發(fā)等。啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)CPU型號/主板型號觸發(fā),二、常見計算機病毒的技術(shù)特征,駐留內(nèi)存病毒變種EPO（EntryPointObscuring-隱藏）技術(shù)抗分析技術(shù)（加密、反跟蹤）隱蔽性病毒技術(shù)多態(tài)性病毒技術(shù)插入型病毒技術(shù)超級病毒技術(shù)破壞性感染技術(shù)網(wǎng)絡(luò)病毒技術(shù),1駐留內(nèi)存:DOSTSR(TerminateandStayResident,DOS實現(xiàn)多任務(wù)的編程方法),圖2-6DOS病毒駐留內(nèi)存位置示意圖,已感染了計算機病毒系統(tǒng)的啟動過程如下。（1）將Boot區(qū)中的計算機病毒代碼首先讀入內(nèi)存的0000：7C00處。（2）計算機病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存，監(jiān)視系統(tǒng)的運行。（3）修改INT13H中斷服務(wù)處理程序的入口地址，使之指向計算機病毒控制模塊并執(zhí)行之。因為任何一種計算機病毒要感染軟盤或者硬盤，都離不開對磁盤的讀寫操作，修改INT13H中斷服務(wù)程序的入口地址是一項少不了的操作。（4）計算機病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000：7C00處，進行正常的啟動過程。（5）計算機病毒程序伺機等待隨時準備感染新的系統(tǒng)盤或非系統(tǒng)盤。如果發(fā)現(xiàn)有可攻擊的對象，計算機病毒還要進行下列的工作。（1）將目標盤的引導(dǎo)扇區(qū)讀入內(nèi)存，對該盤進行判別是否傳染了計算機病毒。（2）當滿足傳染條件時，則將計算機病毒的全部或者一部分寫入Boot區(qū)，把正常的磁盤的引導(dǎo)區(qū)程序?qū)懭氪疟P特寫位置。（3）返回正常的INT13H中斷服務(wù)處理程序，完成對目標盤的傳染。,1駐留內(nèi)存：引導(dǎo)區(qū)病毒的內(nèi)存駐留,大小在1K或者幾K為了避免用戶可以很容易的覺察到系統(tǒng)可用內(nèi)存的減少，一些病毒會等待DOS完全啟動成功，然后使用DOS自己的功能分配內(nèi)存。不用考慮重載。,1駐留內(nèi)存：Windows環(huán)境下病毒的內(nèi)存駐留,三種駐留內(nèi)存的方法由于Windows操作系統(tǒng)本身就是多任務(wù)的，所以最簡單的內(nèi)存駐留方法是將病毒作為一個應(yīng)用程序，病毒擁有自己的窗口（可能是隱藏的）、擁有自己的消息處理函數(shù)；另外一種方法是使用DPMI申請一塊系統(tǒng)內(nèi)存，然后將病毒代碼放到這塊內(nèi)存中；第三種方法是將病毒作為一個VXD（Win3.x或者Win9x環(huán)境下的設(shè)備驅(qū)動程序）或者在WinNTWin2000下的設(shè)備驅(qū)動程序WDM加載到內(nèi)存中運行。,防止重載的方法傳統(tǒng)的防止重入方法禁止啟動兩個實例對于VXD病毒靜態(tài)加載時，病毒會在“SYSTEM.INI”文件中包含加載設(shè)備驅(qū)動程序的一行信息；動態(tài)加載時，可能使用某些英特爾CPU的一些特殊狀態(tài)位來表示病毒是否存在于內(nèi)存中（CIH病毒就采用了這種方法）。,1駐留內(nèi)存：宏病毒的內(nèi)存駐留方法,病毒隨著宿主程序而被加載并且一直存在于系統(tǒng)中，所以從某種意義上，宏病毒都是內(nèi)存駐留病毒。宏病毒通過檢測自己的特征防止重入。,2病毒變種,變形變種新品種兩種方式：手工變種自動變種（MutationEngine：變形機）保加利亞DarkAvenger的變形機VCS（病毒構(gòu)造工具箱，VirusConstructionSet）GenVirVCL（病毒制造實驗室，VirusCreationLaboratory）PS-MPC（Phalcon-SkismMass-ProducedCodeGenerator）NGVCK（下一代病毒機，NextGenerationVirusCreationKit）VBS蠕蟲孵化器,變種分類,第一類，具備普通病毒所具有的基本特性，然而，病毒每感染一個目標后，其自身代碼與前一被感染目標中的病毒代碼幾乎沒有三個連續(xù)的字節(jié)是相同的，但這些代碼及其相對空間的排列位置是不變動的。這里稱其為一維變形病毒。第二類，除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離（相對空間位置）也是變化的，有的感染文件的字節(jié)數(shù)不定。這里稱其為二維變形病毒。,第三類，具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，隨便某一處的子病毒被激發(fā)后都能自我恢復(fù)成一個完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。例如，在某臺機器中，病毒的一部分可能藏在機器硬盤的主引導(dǎo)區(qū)中，另外幾部分也可能潛藏在可執(zhí)行文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統(tǒng)引導(dǎo)區(qū)，也可能另開墾一塊區(qū)域潛藏等等。在另一臺被感染的機器內(nèi)，病毒可能又改變了其潛藏的位置。這里稱其為三維變形病毒。第四類，具備三維變形病毒的特性，并且，這些特性隨時間動態(tài)變化。例如，在染毒的機器中，剛開機時病毒在內(nèi)存里變化為一個樣子，一段時間后又變成了另一個樣子，再次開機后病毒在內(nèi)存里又是一個不同的樣子。這里稱其為四維變形病毒。,3EPO（EntryPointObscuring）技術(shù),為什么要采用EPO技術(shù)呢？殺毒技術(shù)提高-防止被發(fā)現(xiàn)-EPO實現(xiàn)方法：最早的EPO通過改變程序入口處的代碼實現(xiàn)的。簡單但無用把宿主程序的任意位置的指令替換為跳轉(zhuǎn)語句。難點在于定位一個完整的指令（類似于一個反編譯器）,如果在一段代碼中有一條指令：228738fdff15eb0f107dcall7d100febh把它替換成新的指令CallAddressofvirus在病毒體內(nèi)還要再次調(diào)用Call7d100febh來完成宿主程序的功能。代碼如下：dwff15h;ff15eb0f107d的前綴backaddrdd0;存放ff15eb0f107d的后綴，這個后綴是變化的在病毒代碼中，把backaddr的值動態(tài)的改為Call7d100febh指令編譯后的后綴。,4抗分析技術(shù),加密技術(shù)：這是一種防止靜態(tài)分析的技術(shù)，使得分析者無法在不執(zhí)行病毒的情況下，閱讀加密過的病毒程序。反跟蹤技術(shù)：使得分析者無法動態(tài)跟蹤病毒程序的運行。,4抗分析技術(shù)：自加密技術(shù),數(shù)據(jù)加密（信息加密）例如：文件型病毒6.4就是這樣處理的，計算機病毒發(fā)作時將在屏幕上顯示的字符串被用異或操作的方式加密存儲。1575病毒加密數(shù)據(jù)文件。加密文件名COMMAND.COM病毒代碼加密ChineseBomb把宿主程序前6個字節(jié)加密并轉(zhuǎn)移位置。1701/1704用宿主程序的長度作為密鑰加密代碼。,4抗分析技術(shù)：反跟蹤技術(shù),DOS下，修改int0-3中斷Int0:除零中斷Int1:單步中斷，用于程序調(diào)試Int2:不可屏蔽中斷NMIInt3:斷點中斷，用于程序調(diào)試Windows下：封鎖鍵盤輸入關(guān)閉屏幕顯示修改堆棧指令程序運行計時動態(tài)地生成指令代碼,5隱蔽性病毒技術(shù),引導(dǎo)型隱藏方法一感染時，修改中斷服務(wù)程序使用時，截獲INT13調(diào)用,引導(dǎo)型隱藏方法二針對殺毒軟件對磁盤直接讀寫的特點。截獲INT21H，然后恢復(fù)感染區(qū)最后，再進行感染,文件型病毒的隱藏技術(shù),攔截（API,INT調(diào)用）訪問恢復(fù)再感染。例如，改變文件大小病毒，dir病毒等,宏病毒的隱藏技術(shù),刪除相關(guān)的菜單項：“文件模板”或者“工具宏”使用宏病毒自己的FileTemplates和ToolsMacro宏替代系統(tǒng)缺省的宏,6多態(tài)性病毒技術(shù),多態(tài)病毒就是沒有特殊特征碼的病毒，這種病毒無法（或極難）用特征碼掃描法檢測到。方法：使用不固定的密鑰或者隨機數(shù)加密病毒代碼運行的過程中改變病毒代碼通過一些奇怪的指令序列實現(xiàn)多態(tài)性BASIC，Shell等解釋性語言可以在一行包括很多語句。,使用加密技術(shù)的多態(tài)性,改變可執(zhí)行代碼技術(shù)的多態(tài)病毒,基本上都使用在宏病毒中，其他病毒少見。宏語言都是以BASIC為基礎(chǔ)的。引導(dǎo)型病毒在引導(dǎo)區(qū)或者分區(qū)表中，包含了一小段代碼來加載實際的病毒代碼，這段代碼在運行的過程中是可以改變的。文件型病毒“厚度”（Ply）病毒“TMC”病毒,多態(tài)病毒的級別,半多態(tài)：病毒擁有一組解密算法，感染的時候從中間隨機的選擇一種算法進行加密和感染。具有不動點的多態(tài)：病毒有一條或者幾條語句是不變的（我們把這些不變的語句叫做不動點），其他病毒指令都是可變的。帶有填充物的多態(tài)：解密代碼中包含一些沒有實際用途的代碼來干擾分析者的視線。算法固定的多態(tài)：解密代碼所使用的算法是固定的，但是實現(xiàn)這個算法的指令和指令的次序是可變的。算法可變的多態(tài)：使用了上述所有的技術(shù)，同時解密算法也是可以部分或者全部改變的。完全多態(tài)：算法多態(tài)，同時病毒體可以隨機的分布在感染文件的各個位置，但是在運行的時候能夠進行拼裝，并且可以正常工作。,查殺技術(shù),對于前面3種多態(tài)病毒，可以使用病毒特征碼或者改進后的病毒特征碼對于第4種多態(tài)病毒，可以增加多種情況的改進后的特征碼至于第5和第6種多態(tài)病毒，依靠傳統(tǒng)的特征碼技術(shù)是完全無能為力的。最好的辦法是虛擬執(zhí)行技術(shù)。,7超級病毒技術(shù),超級病毒技術(shù)就是在計算機病毒進行感染、破壞時，使得病毒預(yù)防工具無法獲得運