計算機病毒機理分析

1、2本章內(nèi)容主要是計算機病毒的基礎知識，包括：本章內(nèi)容主要是計算機病毒的基礎知識，包括：q 計算機病毒結(jié)構(gòu)分析計算機病毒結(jié)構(gòu)分析q 計算機病毒傳播技術(shù)計算機病毒傳播技術(shù)q 計算機病毒觸發(fā)機制計算機病毒觸發(fā)機制q 計算機病毒隱藏機制計算機病毒隱藏機制q 計算機病毒破壞機制計算機病毒破壞機制3通過本章學習，學員應該了解各種病毒的結(jié)構(gòu)、通過本章學習，學員應該了解各種病毒的結(jié)構(gòu)、傳播技術(shù)、病毒的觸發(fā)、隱藏、破壞機制等，為深入傳播技術(shù)、病毒的觸發(fā)、隱藏、破壞機制等，為深入了解計算機病毒做好準備。了解計算機病毒做好準備。 磁盤引導區(qū)結(jié)構(gòu)； COM文件結(jié)構(gòu)； EXE文件結(jié)構(gòu)； PE文件結(jié)構(gòu)；5 磁盤：一種磁介

2、質(zhì)的外部存儲設備，在其盤片的每一面上，以轉(zhuǎn)動軸為軸心、以一定的磁密度為間隔的若干同心圓就被劃分成磁道(Track)，每個磁道又被劃分為若干個扇區(qū)(Sector)，數(shù)據(jù)就按扇區(qū)存放在硬盤上。6 磁盤引導區(qū)：記錄著磁盤的一些最基本的信息，磁盤的第一個扇區(qū)被保留為主引導扇區(qū)，它位于整個硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導記錄MBR(Main Boot Record)和分區(qū)表DPT(Disk Partition Table)以及磁盤的有效標志。 主引導記錄的作用就是檢查分區(qū)表是否正確以及確定哪個分區(qū)為引導分區(qū)，并在程序結(jié)束時把該分區(qū)的啟動程序(也就是操作系統(tǒng)引導扇區(qū))調(diào)入內(nèi)存加以執(zhí)行。 在總共51

3、2字節(jié)的主引導扇區(qū)里MBR占446個字節(jié)（偏移0-偏移1BDH），DPT占64個字節(jié)（偏移1BEH-偏移1FDH），最后兩個字節(jié)“55AA”（偏移1FEH-偏移1FFH）是硬盤有效標志7地址地址長度（字節(jié)）長度（字節(jié)）描述描述HEXDEC00000396-446代碼區(qū)39436四個 9 byte 的主分區(qū)表入口（選用 IBM 的延伸 MBR 分區(qū)表規(guī)劃）01B84404選用磁盤標志01BC4442一般為空值:0 x000001BE44664四個 16 byte 的主分區(qū)表入口（標準 MBR 分區(qū)表規(guī)劃）01FE5102MBR 有效標志 (0 x55 0 xAA)8偏移地址偏移地址字節(jié)數(shù)字節(jié)數(shù)含

4、義分析含義分析01BE1分區(qū)類型：00表示非活動分區(qū)：80表示活動分區(qū)；其他為無效分區(qū)01BF13分區(qū)的起始地址（面/扇區(qū)/磁道）21分區(qū)的操作系統(tǒng)的類型353該分區(qū)的結(jié)束地址（面/扇/道）69 4該分區(qū)起始邏輯扇區(qū)01CA01CD4該分區(qū)占用的總扇區(qū)數(shù)9 “Non-System disk or disk error，replace disk and press a key to reboot”(非系統(tǒng)盤或盤出錯) “Error Loading Operating System”(裝入DOS引導記錄錯誤) “No ROM Basic，System Halted”(不能進入ROM Basic，

5、系統(tǒng)停止響應) 比較嚴重的情況下，無任何信息10引導扇區(qū)11引導記錄病毒代碼內(nèi)存引導扇區(qū)引導扇區(qū)系統(tǒng)啟動讀寫軟盤讀寫硬盤病毒代碼病毒提供的引導扇區(qū)主引導記錄病毒硬盤12Sector1Sector2Sector3Sector1Sector2Sector3病毒病毒代碼被病毒感染后的硬盤被病毒感染后的硬盤主引導扇區(qū)病毒代碼主引導扇區(qū)MBRMBR“石頭”病毒：把自己放在主引導記錄和第一個引導扇區(qū)之間，這中間很多扇區(qū)是沒有被使用的13“大腦”和“乒乓”病毒：可以分析文件分配表的結(jié)構(gòu)，發(fā)現(xiàn)沒有被使用的扇區(qū)之后，將扇區(qū)的標志設置為“壞”，然后將病毒代碼放在這些所謂的壞扇區(qū)中其它病毒：將自己放在硬盤的最后一個

6、扇區(qū)上（由于現(xiàn)代的硬盤是非常大，最后一個扇區(qū)被使用的可能性是非常小的，但是如果在硬盤上同時安裝了OS/2操作系統(tǒng)，這些病毒會損壞OS/2操作系統(tǒng)的文件，因為OS/2操作系統(tǒng)會使用這個扇區(qū)存放一些系統(tǒng)數(shù)據(jù)）?，F(xiàn)在這種病毒已經(jīng)比較少。 COM文件結(jié)構(gòu) 就是源代碼的機器碼的集合 COM文件包含程序的一個絕對映象 為了運行程序準確的處理器指令和內(nèi)存中的數(shù)據(jù)，MS-DOS通過直接把該映象從文件拷貝到內(nèi)存而加載.COM程序，它不作任何改變。 為加載一個.COM程序，MS-DOS首先試圖分配內(nèi)存,因為.COM程序必須位于一個64K的段中，所以.COM文件的大小不能超過65,024(64K減去用于PSP的25

7、6字節(jié)和用于一個起始堆棧的至少256字節(jié))14 EXE文件結(jié)構(gòu)： 屬于一種多段的結(jié)構(gòu)，是DOS最成功和復雜的設計之一。 一個文件頭 一個可重定位程序的映像15.exe文件文件頭文件頭程序映像程序映像文件頭結(jié)構(gòu)：包含MS-DOS用于加載程序的信息，例如程序的大小和寄存器的初始值。文件頭還指向一個重定位表，該表包含指向程序映像中可重定位段地址的指針鏈表。16偏移量偏移量含義含義00h01h MZ，exe文件標記02h03h 文件長度除以512的余數(shù)04h05h 文件長度除以512的商06h07h 重定位項的個數(shù)08h09h 文件頭除以16的商0ah0bh 程序運行所需最小段數(shù)0ch0dh 程序運行

8、所需最大段數(shù)0eh0fh 堆棧段的段值（SS）10h11h 堆棧段的段值（SP）12h13h 文件校驗和14h15h 裝入模塊入口時的IP值16h17h 裝入模塊代碼相對段值（CS）18h19h 重定位表，開始位置，以位移地址表示1ah1bh 覆蓋號（程序駐留為零）1ch 重定位表，起點由偏移18h19h給出，項數(shù)由06h 07h標明 程序映像 包含處理代碼和程序的初始數(shù)據(jù)，緊接在文件頭之后。 大小以字節(jié)為單位，等于exe文件的大小減去文件頭的大小 也等于exHeaderSize的域的值乘以16 MS-DOS通過把該映像直接從文件復制到內(nèi)存加載exe程序，然后調(diào)整定位表中說明的可重定位段地址1

9、7文件頭文件頭程序映像程序映像=exHeaderSize域值*16（字節(jié)）=exHeaderSize域值（字節(jié)） 定位表 是一個重定位指針數(shù)組，每個指向程序映像中的可重定位段地址 重定位指針由兩個16位值組成： 偏移量和段值18AL19文件頭文件頭.exe文件程序映像程序映像MS-DOS確定exe標志計算程序映像大小PSP大小exMinAlloc域說明的內(nèi)存大小+內(nèi)存大小MS-DOS分析申請內(nèi)存段地址確定MS-DOS加載重定位表、調(diào)整段地址讀取并調(diào)整可重定向位段地址起始段地址MS-DOS調(diào)整被加載程序的代碼和數(shù)據(jù)段256BPSPAHMS-DOS加載com程序時所設置的值SSSPSS起始地址cs

10、IPCS映像 PE 文件 Portable Executable 是一種針對微軟Windows NT、Windows 95和Win32s系統(tǒng)，由微軟公司設計的可執(zhí)行的二進制文件（DLLs 和 執(zhí)行程序）格式，目標文件和庫文件通常也是這種格式20查找某個結(jié)構(gòu)信息的方法： 通過鏈表 數(shù)據(jù)在文件中存放的位置比較自由 采用緊湊或固定的位置存放要求數(shù)據(jù)結(jié)構(gòu)大小固定，他在文件中的存放位置也相對固定。21221 判斷目標文件開始的兩個字節(jié)是否為“MZ”2 判斷PE文件標記“PE”3 判斷感染標記，如果已被感染過則跳出繼續(xù)執(zhí)行被感染程序，否則繼續(xù)4 獲得Directory（數(shù)據(jù)目錄）的個數(shù)，每個數(shù)據(jù)目錄信息占

11、8個字節(jié)5 獲得節(jié)表起始位置6 得到目前最后節(jié)表的末尾偏移（緊接其后用于寫入一個新的病毒節(jié)）節(jié)表起始位置節(jié)的個數(shù)（每個節(jié)表占用的字節(jié)數(shù)28H）目前最后節(jié)表的末尾偏移7 根據(jù)本身的修改修改節(jié)表的信息23電源開啟自檢過程 初始化啟動過程 引導程序載入過程 檢測和配置硬件過程 內(nèi)核加載過程用戶登錄過程 即插即用設備的檢測過程25進行硬件的初始化檢查例如：檢查內(nèi)存的容量等 驗證用于啟動操作系統(tǒng)的設備是否正常例如：檢查硬盤是否存在等 從CMOS中讀取系統(tǒng)配置信息26在完成了電源啟動的自檢之后，每個帶有固件的硬件設備，如顯卡和磁盤控制器，都會根據(jù)需要完成內(nèi)部的自檢操作。 在計算機領域，CMOS常指保存計算

12、機基本啟動信息（如日期、時間、啟動設置等）的芯片。有時人們會把CMOS和BIOS混稱，其實CMOS是主板上的一塊可讀寫的RAM芯片，是用來保存BIOS的硬件配置和用戶對某些參數(shù)的設定。CMOS可由主板的電池供電，即使系統(tǒng)掉電，信息也不會丟失。27系統(tǒng)首先檢測打開電源的硬盤若該硬盤是啟動盤，BIOS就將主引導記錄（Main Boot RecordMBR）中的引導代碼載入內(nèi)存接著，BIOS會將啟動過程的運行交給MBR來進行計算機搜索MBR中的分區(qū)表，找出活動分區(qū)（Active Partition）計算機將活動分區(qū)的第一個扇區(qū)中的引導代碼載入到內(nèi)存引導代碼檢測當前使用的文件系統(tǒng)是否可用引導代碼查找n

13、tldr文件，找到之后啟動它BIOS將控制權(quán)轉(zhuǎn)交給ntldr，由ntldr完成操作系統(tǒng)的啟動28在基于X86CPU的系統(tǒng)下，設置CPU的運行使用32位的Flat內(nèi)存模式啟動文件系統(tǒng)讀取boot.ini 文件根據(jù)需要提供啟動菜單檢測硬件和硬件配置29本過程主要由ntldr 文件完成NTLDR全稱是是一個隱藏的，只讀的系統(tǒng)文件，位置在系統(tǒng)盤的根目錄，用來裝載操作系統(tǒng)。是winNT/win2000/WinXP的引導文件，當此文件丟失時啟動系統(tǒng)會提示“NTLDR is missing.”并要求按任意鍵重新啟動，不能正確進入系統(tǒng)，應該在系統(tǒng)正常的時候給予備份。ntldr會啟動程序會通過調(diào)用系統(tǒng)固件程序收

14、集安裝的硬件信息將這些信息傳遞送回ntldrntldr將這些信息組織成為內(nèi)部的斷氣結(jié)構(gòu)形式由ntldr 啟動并發(fā)送信息給ntoskrnl.exe30 完成信息的檢測之后，Windows XP會在屏幕上顯示那個著名的Windows XP商標，并顯示一個滾動的，告訴用戶Windows 的啟動進程N 會收集如下類型的硬件信息： 1.系統(tǒng)固件信息，例如時間和日期等 2.總線適配器的類型 3.顯卡適配器的類型 4.鍵盤 5.通信端口 6.磁盤 7.軟盤 8.輸入設備，例如鼠標 9.并口 10.安裝在ISA槽中的ISA設備31 ISA插槽是基于ISA總線（Industrial Standard Archi

15、tecture，工業(yè)標準結(jié)構(gòu)總線）的擴展插槽，其顏色一般為黑色，比PCI接口插槽要長些，位于主板的最下端。其工作頻率為8MHz左右，為16位插槽，最大傳輸率16MB/sec，可插接顯卡，聲卡，網(wǎng)卡以及所謂的多功能接口卡等擴展插卡。其缺點是CPU資源占用太高，數(shù)據(jù)傳輸帶寬太小，是已經(jīng)被淘汰的插槽接口。 在1988年，康柏、惠普等9個廠商協(xié)同把ISA 擴展到32-bit，這就是著名的EISA（Extended ISA，擴展ISA）總線?？上У氖牵珽ISA 仍舊由于速度有限，并且成本過高，在還沒成為標準總線之前，在20世紀90年代初的時候，就給PCI 總線給取代了。32將內(nèi)核（ntoskrnl.ex

16、e）和硬件抽象層（hal.dll）載入到內(nèi)存 加載控制集信息 ntldr從注冊表中的HKEY_LOCAL-_MACHINESYSTEM位置加載相應的控制集（Control Set）信息，并確定在啟動過程中要加載的設備驅(qū)動 加載設備驅(qū)動程序和服務 系統(tǒng)會在BIOS的幫助下開始加載設備驅(qū)動程序、服務 啟動會話管理器內(nèi)核會啟動會話管理器（Session Manager）,即smss.exe（1）創(chuàng)建系統(tǒng)環(huán)境變量 （2）創(chuàng)建虛擬內(nèi)存頁面文件33 Windows 子系統(tǒng)會啟動winlogon.exe（服務）用于提供對Windows 用戶的登錄和注銷的支持 一個圖形化的識別和認證組件收集用戶的帳號和密碼，

17、然后傳送給LSA以進行認證處理 通過認證，允許用戶對系統(tǒng)進行訪問34對新設備進行檢測和枚舉為新設備分配系統(tǒng)資源為新設備安裝一個合適版本的驅(qū)動程序35 計算機病毒計算機病毒只有當它在計算機內(nèi)得以運行時，才具有傳染性和破壞性等活性 反病毒技術(shù)反病毒技術(shù)就是要提前取得計算機系統(tǒng)的控制權(quán)，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)37 病毒的基本特征 通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓 病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序38 第一表現(xiàn)： 病毒程序需用專用檢

18、測程序才能檢查出來 可以躲在磁盤呆上幾天，甚至幾年 時機成熟，四處繁殖、擴散 第二表現(xiàn) 病毒內(nèi)部有一觸發(fā)機制 不滿足觸發(fā)條件時，計算機病毒除了傳染外不做什么破壞 滿足觸發(fā)條件,有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系統(tǒng)的操作如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等 觸發(fā)條件時間、日期、文件類型或某些特定數(shù)據(jù)等39 病毒未經(jīng)授權(quán)而執(zhí)行 隱藏在正常程序中 竊取系統(tǒng)控制權(quán)，先于正常程序執(zhí)行 病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的40 降低計算機系統(tǒng)的工作效率 占用系統(tǒng)資源 毀掉系統(tǒng)的部分數(shù)據(jù) 破壞全部數(shù)據(jù)并使之無法恢復 病毒交叉感染導致系統(tǒng)崩潰。

19、41 電子郵件 例如梅麗莎病毒，第一個通過電子郵件傳播的病毒網(wǎng)絡共享 P2P共享軟件 例如WORM_LIRVA.C病毒可以通過Kazaa點對點文件共享軟件傳即 即時通信軟件 例如MSN、QQ病毒 系統(tǒng)中程序的漏洞缺陷 例如震蕩波病毒43 html格式的信件正文可以嵌入病毒腳本 郵件附件更是可以附帶各種不同類型的病毒文件特點： 利用社會工程學 發(fā)信人的地址也許是熟識的 郵件的內(nèi)容帶有欺騙性、誘惑性 利用IE漏洞，在沒有打開附件的情況下感染病毒 此類病毒的代表有WORM_NETSKY、WORM_BAGLE、WORM_MYDOOM系列等44 發(fā)送的郵件所使用的地址為從被感染的系統(tǒng)中收集 默認的Win

20、dows地址簿（WAB） WAB，ADB，TBB，DBX，ASP，PHP，SHT，HTM，TXT等類型的文件 使用自身的SMTP引擎發(fā)送郵件 SMTP服務器名稱系從收集到電子郵件地址中提取例如收集到的郵件地址為 WORM_MYDOOM.A從郵件地址中提取出域名的部分，然后加上一些前綴（如mx. ，mail.，smtp.，mx1.，mxs.，mail1.，relay.，ns.，gate.等）嘗試作為郵件的發(fā)送服務器地址 SMTP服務器還可以獲得的電子郵件地址進行DNS查詢的方式45 使用網(wǎng)絡郵件防毒網(wǎng)關 如趨勢科技的IMSS對郵件附件進行過濾 在現(xiàn)有的Exchange或是Domino服務器上安裝

21、郵件防毒產(chǎn)品 如趨勢科技的Scanmail 在客戶端（主要是Outlook） 限制訪問附件中的特定擴展名的文件46 通過搜索局域網(wǎng)中所有具有寫權(quán)限的網(wǎng)絡共享 將自身進行復制進行傳播 可自帶口令猜測的字典來破解薄弱用戶口令47 域安全策略上增加口令強度策略 定期對網(wǎng)絡中的登錄口令進行破解嘗試 使用共享掃描工具定期掃描開放共享48 是操作系統(tǒng)的一些缺陷 利用漏洞執(zhí)行任意的代碼 病毒通過對某個存在漏洞的操作系統(tǒng)進行漏洞的利用，達到傳播的目的49 Windows Update自動升級 定期通過漏洞掃描產(chǎn)品查找存在漏洞的主機 及時向內(nèi)部人員發(fā)布安全通知、處置方法50 生成自身拷貝時使用一些吸引人或是容易

22、被人搜索到的名稱，以獲得被他人下載的機會 例如WORM_MYDOOM.A生成如下的文件名稱就很具有欺騙性：nuke2004，office_crack，rootkitXP，strip-girl-2.0bdcom_patchers，activation_crack，icq2004-final，winamp5。51 建議企業(yè)使用技術(shù)手段，在防火墻上設置禁止P2P軟件的使用52 將自身快速地在即時通信軟件之間快速傳送 病毒也會同時發(fā)送一些欺騙性的文字，使得接收方確信是發(fā)送方發(fā)送的文件，從而接收并打開53 建議企業(yè)使用技術(shù)手段，在防火墻的設置中，對企業(yè)內(nèi)部所使用的即時通信軟件的一些端口進行阻擋，以禁止此

23、類即時通信軟件的文件傳送功能54 日期觸發(fā) 時間觸發(fā) 鍵盤觸發(fā) 感染觸發(fā) 啟動觸發(fā) 訪問磁盤次數(shù)觸發(fā) 調(diào)用中斷功能觸發(fā) CPU型號/主板型號觸發(fā)56 修改系統(tǒng)注冊表； 修改系統(tǒng)配置文件； 添加自身為系統(tǒng)服務； 系統(tǒng)啟動文件夾； 其他方式57 HKEY_CLASSES_ROOT 管理文件系統(tǒng) HKEY_CURRENT_USER 管理系統(tǒng)當前的用戶信息 HKEY_LOCAL_MACHINE 管理當前系統(tǒng)硬件配置 HKEY_USERS 管理系統(tǒng)的用戶信息 HKEY_CURRENT_CONFIG 管理當前用戶的系統(tǒng)配置58 保證自身在系統(tǒng)啟動時執(zhí)行起來HKEY_LOCAL_MACHINESoftwar

24、eMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices59該病毒會生成以下的注冊表項目以保證自己的執(zhí)行：60HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurren

25、tVersionRun TaskMon = %System%taskmon.exeHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunTaskMon = %System%taskmon.exe生成以下注冊表鍵值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunConfig Loader = sysldr32.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesConfig L

26、oader = sysldr32.exe注冊表中還記錄了特定類型文件打開時的默認關聯(lián)方式，某些病毒會通過修改這一關聯(lián)方式，使得用戶在打開某種類型的文件時，病毒程序反而被執(zhí)行起來HKEY_CLASSES_ROOTexefileshellopencommand =%1 %*HKEY_CLASSES_ROOTcomfileshellopencommand =%1 %*HKEY_CLASSES_ROOTbatfileshellopencommand =%1 %*HKEY_CLASSES_ROOThtafileShellOpenCommand =%1 %*HKEY_CLASSES_ROOTpiffile

27、shellopencommand =%1 %*HKEY_LOCAL_MACHINESoftwareCLASSESbatfileshellopencommand =%1 %*HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand=%1 %*HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand =%1 %*HKEY_LOCAL_MACHINESoftwareCLASSEShtafileShellOpenCommand=%1 %*HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand =“%1” %*這些這些%1 %*需要被賦值需要被賦值, 如果將其改為如果將其改為 server.exe %1 %*，server.exe將在執(zhí)將在執(zhí)行相關類型的文件時被執(zhí)行，理