計(jì)算機(jī)病毒原理與防范基礎(chǔ)

1、計(jì)算機(jī)病毒原理與防范胡繼榮制作胡繼榮制作 病毒起因病毒起因 計(jì)算機(jī)病毒的起因多種多計(jì)算機(jī)病毒的起因多種多 樣，有的是計(jì)算機(jī)工作人員或樣，有的是計(jì)算機(jī)工作人員或 業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制 造出來(lái)造出來(lái), 有的則是為防止自己的有的則是為防止自己的 產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性 懲罰。一般可分為這樣幾種情況：懲罰。一般可分為這樣幾種情況：1.1.惡作?。好绹?guó)康奈爾大學(xué)的莫里斯，編寫(xiě)蠕蟲(chóng)程序肇惡作劇：美國(guó)康奈爾大學(xué)的莫里斯，編寫(xiě)蠕蟲(chóng)程序肇事后，被稱為電腦奇才，一些公司出高薪爭(zhēng)相聘用他。事后，被稱為電腦奇才，一些公司出高薪爭(zhēng)相聘用他。2.2.加

2、密陷阱論：巴基斯坦病毒是世界上唯一給出加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國(guó)一家電腦商病毒作者姓名、地址的病毒。由該國(guó)一家電腦商店的兩兄弟編寫(xiě)，目的是追蹤軟件產(chǎn)品的非法用店的兩兄弟編寫(xiě)，目的是追蹤軟件產(chǎn)品的非法用戶。戶。3.3.游戲程序起源：游戲程序起源：19601960年美國(guó)人約翰康維在編寫(xiě)年美國(guó)人約翰康維在編寫(xiě)生命游戲程序時(shí)，萌發(fā)了程序自我自制技術(shù)。其生命游戲程序時(shí)，萌發(fā)了程序自我自制技術(shù)。其程序運(yùn)行時(shí)屏幕上有許多生命元素圖案在運(yùn)動(dòng)變程序運(yùn)行時(shí)屏幕上有許多生命元素圖案在運(yùn)動(dòng)變化，元素在過(guò)于擁擠和稀疏時(shí)都會(huì)因缺少生存條化，元素在過(guò)于擁擠和稀疏時(shí)都會(huì)因缺少生存

3、條件而死亡，只有處于合適環(huán)境中的元素才能自我件而死亡，只有處于合適環(huán)境中的元素才能自我復(fù)制并進(jìn)行傳播。復(fù)制并進(jìn)行傳播。4.4.政治、經(jīng)濟(jì)和軍事：一些組織和個(gè)人也會(huì)編制政治、經(jīng)濟(jì)和軍事：一些組織和個(gè)人也會(huì)編制一些程序勝于進(jìn)攻對(duì)方電腦，給對(duì)方造成災(zāi)難或一些程序勝于進(jìn)攻對(duì)方電腦，給對(duì)方造成災(zāi)難或直接經(jīng)濟(jì)損失。直接經(jīng)濟(jì)損失。病毒與計(jì)算機(jī)犯罪病毒與計(jì)算機(jī)犯罪F莫里斯事件：莫里斯事件：19881988年年1111月月2 2日，康奈爾大學(xué)計(jì)算機(jī)科學(xué)日，康奈爾大學(xué)計(jì)算機(jī)科學(xué)系研究生羅但特系研究生羅但特. .莫里斯制造的蠕蟲(chóng)案件。莫里斯制造的蠕蟲(chóng)案件。 F震蕩波事件：震蕩波事件：20042004年德國(guó)年德國(guó)18

4、18歲的技校生為顯示自己的歲的技校生為顯示自己的才能才能, ,用自己組裝的電腦編寫(xiě)了一個(gè)名為用自己組裝的電腦編寫(xiě)了一個(gè)名為“震蕩波震蕩波”的程的程序。該病毒不是通常意義上的病毒，而是一種以某種程序。該病毒不是通常意義上的病毒，而是一種以某種程序語(yǔ)言編寫(xiě)的程序文本。造成了全球巨大經(jīng)濟(jì)損失。美序語(yǔ)言編寫(xiě)的程序文本。造成了全球巨大經(jīng)濟(jì)損失。美國(guó)德?tīng)査娇展救∠苣┤亢桨?、歐萌委員會(huì)國(guó)德?tīng)査娇展救∠苣┤亢桨?、歐萌委員會(huì)12001200臺(tái)計(jì)算機(jī)失靈、芬蘭一家銀行關(guān)閉全部營(yíng)業(yè)處。臺(tái)計(jì)算機(jī)失靈、芬蘭一家銀行關(guān)閉全部營(yíng)業(yè)處。 F混客絕情炸彈：混客絕情炸彈：20012001年由黑龍江年由黑龍江171

5、7歲的高中學(xué)生池某歲的高中學(xué)生池某制造。制造。 什么是計(jì)算機(jī)病毒感染標(biāo)記：即病毒簽名。常以感染標(biāo)記：即病毒簽名。常以ASCASC方式放在程序里。方式放在程序里。破壞模塊：實(shí)現(xiàn)病毒編寫(xiě)者預(yù)定的破壞模塊：實(shí)現(xiàn)病毒編寫(xiě)者預(yù)定的破壞動(dòng)作代碼。破壞動(dòng)作代碼。觸發(fā)模塊：根據(jù)預(yù)定條件是否滿足，觸發(fā)模塊：根據(jù)預(yù)定條件是否滿足，控制病毒的感染或破壞?？刂撇《镜母腥净蚱茐?。主控模塊：包括調(diào)用感染模塊主控模塊：包括調(diào)用感染模塊, ,進(jìn)行進(jìn)行感染；調(diào)用觸發(fā)模塊，接受其返回感染；調(diào)用觸發(fā)模塊，接受其返回值；根據(jù)返回值決定是否執(zhí)行破壞。值；根據(jù)返回值決定是否執(zhí)行破壞。分類方法有很多。分類方法有很多。根據(jù)攻擊系統(tǒng)分類：攻擊

6、根據(jù)攻擊系統(tǒng)分類：攻擊DOS型、型、攻擊攻擊WINDOWS型、攻擊型、攻擊UNIX型、型、攻擊攻擊OS/2型。型。根據(jù)攻擊機(jī)型分：微型計(jì)算機(jī)病毒、根據(jù)攻擊機(jī)型分：微型計(jì)算機(jī)病毒、小型計(jì)算機(jī)病毒、工作站病毒。小型計(jì)算機(jī)病毒、工作站病毒。根據(jù)病毒鏈接方式分：源碼型、嵌根據(jù)病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統(tǒng)型。入型、外殼性、操作系統(tǒng)型。按破壞情況分按破壞情況分:良性病毒、惡性病毒良性病毒、惡性病毒按傳播媒介分按傳播媒介分:單機(jī)病毒、網(wǎng)絡(luò)病毒單機(jī)病毒、網(wǎng)絡(luò)病毒計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒的特點(diǎn)可執(zhí)行性可執(zhí)行性傳染性傳染性潛伏性潛伏性可觸發(fā)性可觸發(fā)性破壞性破壞性攻擊主動(dòng)性攻擊主動(dòng)性針對(duì)性針對(duì)

7、性非授權(quán)性非授權(quán)性隱蔽性隱蔽性衍生性衍生性寄生性寄生性不可預(yù)見(jiàn)性不可預(yù)見(jiàn)性欺騙性欺騙性持久性持久性計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒技術(shù)基礎(chǔ)計(jì)算機(jī)病毒技術(shù)基礎(chǔ) 計(jì)算機(jī)病毒的制造、傳染和發(fā)計(jì)算機(jī)病毒的制造、傳染和發(fā)作，依賴于具體的計(jì)算機(jī)硬件與軟作，依賴于具體的計(jì)算機(jī)硬件與軟件，必須符合這些硬件和軟件系統(tǒng)件，必須符合這些硬件和軟件系統(tǒng)的規(guī)范要求，而這些規(guī)范要求實(shí)際的規(guī)范要求，而這些規(guī)范要求實(shí)際就是計(jì)算機(jī)病毒的技術(shù)基礎(chǔ)。不同就是計(jì)算機(jī)病毒的技術(shù)基礎(chǔ)。不同的計(jì)算機(jī)硬件環(huán)境、不同的軟件環(huán)的計(jì)算機(jī)硬件環(huán)境、不同的軟件環(huán)境，都會(huì)制造出不同的病毒。境，都會(huì)制造出不同的病

8、毒。 了解和掌握計(jì)算機(jī)硬件與軟件的了解和掌握計(jì)算機(jī)硬件與軟件的基礎(chǔ)知識(shí)，對(duì)我們分析了解計(jì)算機(jī)基礎(chǔ)知識(shí)，對(duì)我們分析了解計(jì)算機(jī)病毒技術(shù)的特點(diǎn)、工作原理是十分病毒技術(shù)的特點(diǎn)、工作原理是十分必要的。必要的。馮馮. .諾依曼機(jī)體系結(jié)構(gòu)諾依曼機(jī)體系結(jié)構(gòu) 馮馮. .諾依曼是是諾依曼是是2020世紀(jì)最杰出的數(shù)學(xué)家之一，于世紀(jì)最杰出的數(shù)學(xué)家之一，于19451945年提出年提出了了“程序內(nèi)存式程序內(nèi)存式”計(jì)算機(jī)的設(shè)計(jì)思想。這一卓越的思想為電子計(jì)計(jì)算機(jī)的設(shè)計(jì)思想。這一卓越的思想為電子計(jì)算機(jī)的邏輯結(jié)構(gòu)設(shè)計(jì)奠定了基礎(chǔ)，已成為計(jì)算機(jī)設(shè)計(jì)的基本原則。算機(jī)的邏輯結(jié)構(gòu)設(shè)計(jì)奠定了基礎(chǔ)，已成為計(jì)算機(jī)設(shè)計(jì)的基本原則。 馮馮. .諾依

9、曼式計(jì)算機(jī)的硬件由五大部件構(gòu)成：諾依曼式計(jì)算機(jī)的硬件由五大部件構(gòu)成：輸入設(shè)備輸入設(shè)備外存儲(chǔ)器外存儲(chǔ)器輸出設(shè)備輸出設(shè)備程序程序存儲(chǔ)器存儲(chǔ)器計(jì)算結(jié)果計(jì)算結(jié)果控制器控制器外部設(shè)備接口外部設(shè)備接口運(yùn)算器運(yùn)算器原始數(shù)據(jù)原始數(shù)據(jù)指令指令控制信號(hào)控制信號(hào)存數(shù)存數(shù)取數(shù)取數(shù)磁盤(pán)結(jié)構(gòu)磁盤(pán)結(jié)構(gòu) 了解磁盤(pán)的結(jié)構(gòu)及其數(shù)據(jù)組織的特點(diǎn)，對(duì)于檢測(cè)和預(yù)防計(jì)了解磁盤(pán)的結(jié)構(gòu)及其數(shù)據(jù)組織的特點(diǎn)，對(duì)于檢測(cè)和預(yù)防計(jì)算機(jī)病毒具有十分重要的意義。算機(jī)病毒具有十分重要的意義。 硬盤(pán)盤(pán)面以轉(zhuǎn)軸中心為圓心，被均勻地劃分成若干個(gè)半徑不硬盤(pán)盤(pán)面以轉(zhuǎn)軸中心為圓心，被均勻地劃分成若干個(gè)半徑不等的稱為磁道的同心圓，不同盤(pán)面上的相同直徑的磁道，在垂直等的稱為

10、磁道的同心圓，不同盤(pán)面上的相同直徑的磁道，在垂直方向構(gòu)成一個(gè)叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。方向構(gòu)成一個(gè)叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。 磁道由首部、磁道由首部、1818個(gè)扇區(qū)和尾部構(gòu)成。扇區(qū)由標(biāo)識(shí)區(qū)個(gè)扇區(qū)和尾部構(gòu)成。扇區(qū)由標(biāo)識(shí)區(qū)(ID(ID區(qū)區(qū)) )、間隙、數(shù)據(jù)區(qū)和間隙組成。每個(gè)扇區(qū)為間隙、數(shù)據(jù)區(qū)和間隙組成。每個(gè)扇區(qū)為512B512B。首部首部尾部尾部扇區(qū)扇區(qū)1扇區(qū)扇區(qū)NIDID區(qū)區(qū)間隙間隙間隙間隙間隙間隙IDID區(qū)區(qū)數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)扇區(qū)扇區(qū)2索引信號(hào)索引信號(hào)容量容量= =碰頭數(shù)碰頭數(shù)磁道數(shù)磁道數(shù)/ /面面扇區(qū)數(shù)扇區(qū)數(shù)/ /磁道磁道512B/512B/扇區(qū)扇區(qū)標(biāo)識(shí)扇區(qū)的標(biāo)識(shí)扇區(qū)的開(kāi)始

11、與記錄開(kāi)始與記錄目標(biāo)地址的目標(biāo)地址的信息信息硬盤(pán)的數(shù)據(jù)組織硬盤(pán)的數(shù)據(jù)組織 磁盤(pán)的扇區(qū)定位有兩種方法：物理扇區(qū)與邏輯扇區(qū)。硬盤(pán)的磁盤(pán)的扇區(qū)定位有兩種方法：物理扇區(qū)與邏輯扇區(qū)。硬盤(pán)的物理扇區(qū)由驅(qū)動(dòng)器號(hào)、磁頭號(hào)物理扇區(qū)由驅(qū)動(dòng)器號(hào)、磁頭號(hào)(面號(hào)面號(hào))、柱面號(hào)與扇區(qū)號(hào)四個(gè)參數(shù)、柱面號(hào)與扇區(qū)號(hào)四個(gè)參數(shù)組成。組成。 每一種操作系統(tǒng)要想在硬盤(pán)上建立自己的分區(qū)，必須由一個(gè)每一種操作系統(tǒng)要想在硬盤(pán)上建立自己的分區(qū)，必須由一個(gè)自己特有的實(shí)用程序來(lái)進(jìn)行操作。硬盤(pán)初始化時(shí)，經(jīng)過(guò)分區(qū)后建自己特有的實(shí)用程序來(lái)進(jìn)行操作。硬盤(pán)初始化時(shí)，經(jīng)過(guò)分區(qū)后建立一個(gè)主引導(dǎo)分區(qū)和其他幾個(gè)分區(qū)。見(jiàn)下圖：立一個(gè)主引導(dǎo)分區(qū)和其他幾個(gè)分區(qū)。見(jiàn)下圖：

12、主引導(dǎo)扇區(qū)主引導(dǎo)扇區(qū) 保留保留FATFAT區(qū)區(qū)DOSDOS引導(dǎo)扇區(qū)引導(dǎo)扇區(qū)目錄區(qū)目錄區(qū)數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)系統(tǒng)隱藏分區(qū)系統(tǒng)隱藏分區(qū)DOS分區(qū)分區(qū)1DOS分區(qū)分區(qū)2位于硬盤(pán)的位于硬盤(pán)的0 0磁頭磁頭0 0柱面柱面1 1扇區(qū)，是硬盤(pán)的第扇區(qū)，是硬盤(pán)的第1 1物理扇區(qū)，包括硬盤(pán)主引導(dǎo)程序代碼、四物理扇區(qū)，包括硬盤(pán)主引導(dǎo)程序代碼、四個(gè)分區(qū)表信息和主引導(dǎo)記錄有效標(biāo)志等內(nèi)個(gè)分區(qū)表信息和主引導(dǎo)記錄有效標(biāo)志等內(nèi)容。該區(qū)受損時(shí)可用容。該區(qū)受損時(shí)可用 FDISK/MBRFDISK/MBR的的DOSDOS命令命令來(lái)重建主引導(dǎo)程序和主引導(dǎo)記錄有效標(biāo)志，來(lái)重建主引導(dǎo)程序和主引導(dǎo)記錄有效標(biāo)志，分區(qū)信息不會(huì)被修改。分區(qū)信息不會(huì)被修

13、改。主引導(dǎo)扇區(qū)結(jié)構(gòu)與文件系統(tǒng)主引導(dǎo)扇區(qū)結(jié)構(gòu)與文件系統(tǒng)用戶可用用戶可用DEBUGDEBUG來(lái)查看主引導(dǎo)記錄。來(lái)查看主引導(dǎo)記錄。 文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲(chǔ)和命名文件的結(jié)構(gòu)。文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲(chǔ)和命名文件的結(jié)構(gòu)。磁盤(pán)或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應(yīng)磁盤(pán)或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應(yīng)用程序都基于文件系統(tǒng)進(jìn)行操作，在不同種文件系統(tǒng)上是不能工用程序都基于文件系統(tǒng)進(jìn)行操作，在不同種文件系統(tǒng)上是不能工作的。作的。磁盤(pán)文件系統(tǒng)磁盤(pán)文件系統(tǒng) DOS/WINDOWS DOS/WINDOWS系統(tǒng)操作系統(tǒng)中共使用了系統(tǒng)操作系統(tǒng)中共使用了6 6種不同的文件

14、系統(tǒng)：種不同的文件系統(tǒng)：FAT12FAT12、FAT16FAT16、FAT32FAT32、NTFSNTFS、NTFS5.0NTFS5.0、WinFSWinFS。LINUXLINUX系統(tǒng)使用的系統(tǒng)使用的主要是主要是Ext2Ext2、Ext3Ext3，也能識(shí)別，也能識(shí)別FAT16FAT16分區(qū)。分區(qū)。FAT12FAT12：文件名只能是：文件名只能是8.38.3格式；磁盤(pán)容量最大格式；磁盤(pán)容量最大8M8M；文件磁片嚴(yán)重；文件磁片嚴(yán)重HAT16:HAT16:大容量磁盤(pán)利用率低；分區(qū)創(chuàng)建的越大，造成的浪費(fèi)越大。大容量磁盤(pán)利用率低；分區(qū)創(chuàng)建的越大，造成的浪費(fèi)越大。FAT32FAT32：文件分配表擴(kuò)大后，速

15、度減慢；不能向下兼容；當(dāng)分區(qū)：文件分配表擴(kuò)大后，速度減慢；不能向下兼容；當(dāng)分區(qū)小于小于512M512M時(shí)，該格式不起作用，單個(gè)文件不能超過(guò)時(shí)，該格式不起作用，單個(gè)文件不能超過(guò)4G4G。NTFSNTFS：有出色的安全性和穩(wěn)定性，且不易產(chǎn)生故善人碎片，對(duì)用：有出色的安全性和穩(wěn)定性，且不易產(chǎn)生故善人碎片，對(duì)用戶權(quán)限有非常嚴(yán)格的限制。但兼容性不好戶權(quán)限有非常嚴(yán)格的限制。但兼容性不好NTFS5.0NTFS5.0：可支持：可支持2T2T的分區(qū)，是可恢復(fù)的文件系統(tǒng)；支持對(duì)分區(qū)、的分區(qū)，是可恢復(fù)的文件系統(tǒng)；支持對(duì)分區(qū)、文件夾和文件的壓縮以及動(dòng)態(tài)分區(qū)。文件夾和文件的壓縮以及動(dòng)態(tài)分區(qū)。WinFS:WinFS:建立

16、在建立在NTFSNTFS文件系統(tǒng)之上。請(qǐng)上微軟官方網(wǎng)站查看。文件系統(tǒng)之上。請(qǐng)上微軟官方網(wǎng)站查看。Ext2Ext2：是：是LINUX/GUNLINUX/GUN系統(tǒng)中的標(biāo)準(zhǔn)文件系統(tǒng)。存取文件性能好。系統(tǒng)中的標(biāo)準(zhǔn)文件系統(tǒng)。存取文件性能好。Ext3Ext3：是上述系統(tǒng)的下一代，目前離實(shí)用階段還的一段距離。是：是上述系統(tǒng)的下一代，目前離實(shí)用階段還的一段距離。是一個(gè)日志式文件系統(tǒng)。一個(gè)日志式文件系統(tǒng)。 在在Windows9xWindows9x、NTNT、20002000下，所有的下，所有的Win32Win32可執(zhí)行文件可執(zhí)行文件( (除除VxDVxD與與DLL)DLL)都是基于都是基于MicrosoftM

17、icrosoft設(shè)計(jì)的一種新的文件格式：可移植的設(shè)計(jì)的一種新的文件格式：可移植的執(zhí)行體執(zhí)行體, ,即即PEPE格式。該格式的一些特性源自格式。該格式的一些特性源自UNIXUNIX的的COFF(COFF(命令目命令目標(biāo)文件標(biāo)文件) )文件格式。文件格式。WindowsWindows下感染可執(zhí)行文件的病毒，就必須下感染可執(zhí)行文件的病毒，就必須對(duì)對(duì)PEPE格式的可執(zhí)行文件進(jìn)行修改。格式的可執(zhí)行文件進(jìn)行修改。PEPE文件結(jié)構(gòu)格式如下：文件結(jié)構(gòu)格式如下：PEPE文件格式文件格式1.調(diào)用調(diào)用API函數(shù)進(jìn)行函數(shù)進(jìn)行 文件搜索文件搜索2.采用遞歸與非遞歸采用遞歸與非遞歸 算法進(jìn)行搜索算法進(jìn)行搜索3.內(nèi)存映射文

18、件內(nèi)存映射文件 1.1.利用程序的返回利用程序的返回 地址地址, ,在其附近搜在其附近搜 索索Kernel32Kernel32模塊模塊 基地址基地址2.2.對(duì)相應(yīng)操作系統(tǒng)對(duì)相應(yīng)操作系統(tǒng) 分別給出固定的分別給出固定的 Kernel32模塊基模塊基 地址地址我們?cè)诰幊逃贸Ａ亢妥兞课覀冊(cè)诰幊逃贸Ａ亢妥兞繒r(shí)，一般直接用名字訪問(wèn)時(shí)，一般直接用名字訪問(wèn), ,編譯后通過(guò)偏移地址訪問(wèn)編譯后通過(guò)偏移地址訪問(wèn), ,而計(jì)算機(jī)病毒在感染宿主而計(jì)算機(jī)病毒在感染宿主程序時(shí)程序時(shí), ,要插入到宿主程序要插入到宿主程序的代碼空間的代碼空間, ,肯定要用到變肯定要用到變量和常量量和常量. .當(dāng)病毒感染當(dāng)病毒感染hosthost

19、程序后程序后, ,由于依附到由于依附到hosthost程程序中的位置不同序中的位置不同, ,病毒隨病毒隨hosthost載入內(nèi)存后載入內(nèi)存后, ,病毒的各病毒的各變量常量在內(nèi)存中的位置變量常量在內(nèi)存中的位置自然也隨之變化自然也隨之變化. .病毒必須病毒必須采用重定位技術(shù)才能使自己采用重定位技術(shù)才能使自己正常運(yùn)行正常運(yùn)行WIN32WIN32病毒分析病毒分析概概 念念組組 成成分分 類類特特 征征植入方法植入方法 特特 洛洛 伊伊 木馬木馬一種能夠在受害者毫無(wú)察覺(jué)的情況下滲透到系統(tǒng)的代碼一種能夠在受害者毫無(wú)察覺(jué)的情況下滲透到系統(tǒng)的代碼硬件部分硬件部分軟件部分軟件部分具體連接部分具體連接部分遠(yuǎn)程控制

20、型遠(yuǎn)程控制型密碼發(fā)送型密碼發(fā)送型鍵盤(pán)記錄型鍵盤(pán)記錄型毀壞型毀壞型FTP型型多媒體型多媒體型隱蔽性隱蔽性自動(dòng)運(yùn)行性自動(dòng)運(yùn)行性 欺騙性欺騙性 自動(dòng)恢復(fù)性自動(dòng)恢復(fù)性 功能特殊性功能特殊性軟件復(fù)制軟件復(fù)制電子郵件電子郵件 發(fā)送超鏈接發(fā)送超鏈接 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 WINDOWS WINDOWS程序設(shè)計(jì)是一種事件驅(qū)動(dòng)方式的程序設(shè)程序設(shè)計(jì)是一種事件驅(qū)動(dòng)方式的程序設(shè) 計(jì)模式。其應(yīng)用程序最大的特點(diǎn)就是程序無(wú)固定計(jì)模式。其應(yīng)用程序最大的特點(diǎn)就是程序無(wú)固定 的流程，只是針對(duì)某個(gè)事件的處理有特定的子流的流程，只是針對(duì)某個(gè)事件的處理有特定的子流 程，程，WINDOWSWINDOWS應(yīng)用程序就是由許多這樣的子

21、流程應(yīng)用程序就是由許多這樣的子流程 構(gòu)成的。構(gòu)成的。 WINDOWSWINDOWS應(yīng)用程序本質(zhì)上是面向?qū)ο蟮?。程序提供?yīng)用程序本質(zhì)上是面向?qū)ο蟮摹３绦蛱峁?給用戶界面的可視圖像在程序內(nèi)部一般也是一個(gè)給用戶界面的可視圖像在程序內(nèi)部一般也是一個(gè) 對(duì)象，用戶對(duì)可視對(duì)象的操作通過(guò)事件驅(qū)動(dòng)模式對(duì)象，用戶對(duì)可視對(duì)象的操作通過(guò)事件驅(qū)動(dòng)模式 觸發(fā)相應(yīng)對(duì)象的可用方法。程序的運(yùn)行就是用戶觸發(fā)相應(yīng)對(duì)象的可用方法。程序的運(yùn)行就是用戶 外部操作不斷產(chǎn)生事件，這些事件又被相應(yīng)的對(duì)外部操作不斷產(chǎn)生事件，這些事件又被相應(yīng)的對(duì) 象處理的過(guò)程。象處理的過(guò)程。 CIHCIH病毒剖析病毒剖析 CIH CIH病毒是一種文件型病毒病毒是

22、一種文件型病毒, ,是第一例感染是第一例感染W(wǎng)INDOWSWINDOWS環(huán)境下的環(huán)境下的PEPE格式文件的病毒。目前格式文件的病毒。目前CIHCIH病毒有多個(gè)版本，最流行的是病毒有多個(gè)版本，最流行的是CIH1.2CIH1.2版本。版本。受感染的受感染的EXE文件的文件長(zhǎng)度未改變。文件的文件長(zhǎng)度未改變。DOS及及Win3.1格式的或執(zhí)行文件不受感染，且在格式的或執(zhí)行文件不受感染，且在WinNT中無(wú)效中無(wú)效查找包含查找包含EXE特征特征 “CIHv”過(guò)程中顯示一大堆符合查找特征的可執(zhí)行文件過(guò)程中顯示一大堆符合查找特征的可執(zhí)行文件4月月26日開(kāi)機(jī)會(huì)黑屏、硬盤(pán)指示燈閃爍、重新開(kāi)機(jī)時(shí)無(wú)法啟動(dòng)日開(kāi)機(jī)會(huì)黑屏

23、、硬盤(pán)指示燈閃爍、重新開(kāi)機(jī)時(shí)無(wú)法啟動(dòng)CIHCIH病毒的表現(xiàn)形式、危害及傳播途徑病毒的表現(xiàn)形式、危害及傳播途徑CIHCIH病毒的運(yùn)行機(jī)制病毒的運(yùn)行機(jī)制碎洞攻擊，將病毒化整為零插入到宿主文件中，利用碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫(xiě)特點(diǎn)，芯片可重寫(xiě)特點(diǎn)，發(fā)作時(shí)向主板發(fā)作時(shí)向主板BIOS中寫(xiě)入亂碼，開(kāi)創(chuàng)了病毒直接進(jìn)攻硬件的行先例。中寫(xiě)入亂碼，開(kāi)創(chuàng)了病毒直接進(jìn)攻硬件的行先例。CIHCIH病毒程序的組成病毒程序的組成引導(dǎo)模塊：感染了該病毒的引導(dǎo)模塊：感染了該病毒的EXE文件運(yùn)行時(shí)修改文件程序的入口地址文件運(yùn)行時(shí)修改文件程序的入口地址傳染模塊：病毒駐留內(nèi)存過(guò)程中調(diào)用傳染模塊：

24、病毒駐留內(nèi)存過(guò)程中調(diào)用WINDOWS內(nèi)核底層內(nèi)核底層表現(xiàn)模塊表現(xiàn)模塊腳本病毒腳本病毒 腳本宿主簡(jiǎn)稱腳本宿主簡(jiǎn)稱WSHWSH，是一種與語(yǔ)言無(wú)關(guān)的腳本宿主，可用于，是一種與語(yǔ)言無(wú)關(guān)的腳本宿主，可用于與與WINDOWSWINDOWS腳本兼容的腳本引擎。腳本兼容的腳本引擎。WSHWSH是一種是一種WINDOWSWINDOWS管理工具。管理工具。當(dāng)腳本到達(dá)計(jì)算機(jī)時(shí)，當(dāng)腳本到達(dá)計(jì)算機(jī)時(shí)，WSHWSH先充當(dāng)主機(jī)的一部分，它使對(duì)象和服務(wù)先充當(dāng)主機(jī)的一部分，它使對(duì)象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南?？捎糜谀_本，并提供一系列腳本執(zhí)行指南。 腳本語(yǔ)言的前身實(shí)際上就是腳本語(yǔ)言的前身實(shí)際上就是DOSDOS系統(tǒng)

25、下的批處理文件。腳本的系統(tǒng)下的批處理文件。腳本的應(yīng)用是對(duì)應(yīng)用系統(tǒng)的一個(gè)強(qiáng)大的支撐，需要一個(gè)運(yùn)行環(huán)境?，F(xiàn)在應(yīng)用是對(duì)應(yīng)用系統(tǒng)的一個(gè)強(qiáng)大的支撐，需要一個(gè)運(yùn)行環(huán)境。現(xiàn)在比較流行的腳本語(yǔ)言的比較流行的腳本語(yǔ)言的Unix/Linux shellUnix/Linux shell、VBScriptVBScript、PHPPHP、 JavaScriptJavaScript、JSPJSP等?，F(xiàn)在流行的腳本病毒大都是利等。現(xiàn)在流行的腳本病毒大都是利JavaScriptJavaScript和和VBScriptVBScript編寫(xiě)。編寫(xiě)。 JavaScriptJavaScript是一種解釋型的、基于對(duì)象的腳本語(yǔ)言，是一

26、種寬是一種解釋型的、基于對(duì)象的腳本語(yǔ)言，是一種寬松類型的語(yǔ)言，不必顯式地定義變量的數(shù)據(jù)類型。大多數(shù)情況下，松類型的語(yǔ)言，不必顯式地定義變量的數(shù)據(jù)類型。大多數(shù)情況下，該語(yǔ)言會(huì)根據(jù)需要自動(dòng)進(jìn)行轉(zhuǎn)換。該語(yǔ)言會(huì)根據(jù)需要自動(dòng)進(jìn)行轉(zhuǎn)換。 VBScriptVBScript使用使用ActiverX ScriptActiverX Script與宿主應(yīng)用程序?qū)υ?。與宿主應(yīng)用程序?qū)υ?。VBSVBS腳本病毒腳本病毒 該病毒是用該病毒是用VBScript編寫(xiě)的，其腳本語(yǔ)言功能非常強(qiáng)大，編寫(xiě)的，其腳本語(yǔ)言功能非常強(qiáng)大，利用利用WINDOWS系統(tǒng)的開(kāi)放性特點(diǎn)，通過(guò)調(diào)用一些現(xiàn)成的系統(tǒng)的開(kāi)放性特點(diǎn)，通過(guò)調(diào)用一些現(xiàn)成的WINDO

27、WS對(duì)象、組件，可直接對(duì)文件系統(tǒng)、注冊(cè)表等進(jìn)行控對(duì)象、組件，可直接對(duì)文件系統(tǒng)、注冊(cè)表等進(jìn)行控制，功能非常強(qiáng)大。制，功能非常強(qiáng)大。VBS腳本病毒具有如下特點(diǎn)：腳本病毒具有如下特點(diǎn)：v 編寫(xiě)簡(jiǎn)單編寫(xiě)簡(jiǎn)單v破壞力大破壞力大v感染力強(qiáng)感染力強(qiáng)v傳播范圍廣傳播范圍廣v病毒碼容易被獲取、變種多病毒碼容易被獲取、變種多v欺騙性強(qiáng)欺騙性強(qiáng)v病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易VBSVBS病毒機(jī)理病毒機(jī)理 感染方法：感染方法：一般直接通過(guò)自我復(fù)制進(jìn)行感染，病毒中的絕大部分代一般直接通過(guò)自我復(fù)制進(jìn)行感染，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。如新歡樂(lè)時(shí)光病毒可將碼都可以直接附加在

28、其他同類程序的中間。如新歡樂(lè)時(shí)光病毒可將自己的代碼附加在自己的代碼附加在htm文件的尾部，并在頂部加入一條調(diào)用病毒代文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句；而愛(ài)蟲(chóng)病毒則是直接生成一個(gè)文件的副本，將病毒代碼碼的語(yǔ)句；而愛(ài)蟲(chóng)病毒則是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，拷入其中，并以原文件名作為病毒文件名的前綴，VBS作為后綴。作為后綴。 傳播方式：傳播方式：通過(guò)通過(guò)E-mail附件傳播、通過(guò)局域網(wǎng)共享傳播、通過(guò)感染附件傳播、通過(guò)局域網(wǎng)共享傳播、通過(guò)感染htm、asp、jsp、php等網(wǎng)頁(yè)文件傳播、通過(guò)等網(wǎng)頁(yè)文件傳播、通過(guò)IRC聊天通道傳播。聊天通道

29、傳播。 病毒加載：病毒加載：修改注冊(cè)表項(xiàng)、通過(guò)映射文件執(zhí)行方式、欺騙用戶，讓修改注冊(cè)表項(xiàng)、通過(guò)映射文件執(zhí)行方式、欺騙用戶，讓用戶自己執(zhí)行、用戶自己執(zhí)行、Desktop.ini和和Folder.htt互相配合?；ハ嗯浜?。 對(duì)抗反病毒的方法：對(duì)抗反病毒的方法：自加密、運(yùn)用自加密、運(yùn)用Execute函數(shù)、改變對(duì)象的聲明函數(shù)、改變對(duì)象的聲明方法、直接關(guān)閉反病毒軟件。方法、直接關(guān)閉反病毒軟件。VBSVBS腳本病毒的防范腳本病毒的防范VBSVBS病毒具有一些弱點(diǎn)：病毒具有一些弱點(diǎn)：n運(yùn)行是時(shí)需要用到一個(gè)對(duì)象：運(yùn)行是時(shí)需要用到一個(gè)對(duì)象：FileSystemObjectFileSystemObjectn代碼通

30、過(guò)代碼通過(guò)Windows Script HostWindows Script Host來(lái)解釋執(zhí)行來(lái)解釋執(zhí)行n運(yùn)行時(shí)需要其關(guān)聯(lián)程序運(yùn)行時(shí)需要其關(guān)聯(lián)程序Wscript.exeWscript.exe的支持的支持n通過(guò)網(wǎng)頁(yè)傳播的病毒需要通過(guò)網(wǎng)頁(yè)傳播的病毒需要ActiveXActiveX的支持的支持n通過(guò)通過(guò)E-mailE-mail傳播的病毒需要傳播的病毒需要OEOE的自動(dòng)發(fā)送郵件功能支持，但絕的自動(dòng)發(fā)送郵件功能支持，但絕大多數(shù)病毒都是以大多數(shù)病毒都是以E-mailE-mail為主要傳播方式的為主要傳播方式的預(yù)防措施：預(yù)防措施：禁用文件系統(tǒng)對(duì)象禁用文件系統(tǒng)對(duì)象FileSystemObjectFileSy

31、stemObject卸載卸載Windows Script HostWindows Script Host刪除刪除VBSVBS、VBEVBE、JSJS、JSEJSE文件后綴名與應(yīng)用程序的映射文件后綴名與應(yīng)用程序的映射在在WindowsWindows目錄中找到目錄中找到Wscript.exeWscript.exe，更名或刪除，更名或刪除在瀏覽器安全選項(xiàng)中將在瀏覽器安全選項(xiàng)中將“ActiveX”ActiveX”控件及插件設(shè)為禁用控件及插件設(shè)為禁用禁止禁止OEOE的自動(dòng)收發(fā)郵件功能的自動(dòng)收發(fā)郵件功能不要隱藏系統(tǒng)中書(shū)籍文件類型的擴(kuò)展名不要隱藏系統(tǒng)中書(shū)籍文件類型的擴(kuò)展名安裝防病毒軟件安裝防病毒軟件宏病毒宏病毒 Microsoft Word Microsoft Word對(duì)宏的定義是：能組織到一起作為一個(gè)獨(dú)立的對(duì)宏的定義是：能組織到一起作為一個(gè)獨(dú)立的命令使用的一系列命令使用的一系列WordWord命令，它能使日常工作變得