1、SARS图,计算机用户感染病毒的次数,我国计算机用户病毒感染情况,不同时期的病毒感染情况,病毒造成破坏的情况,病毒传播的主要途径,清除病毒的时间,木马数量快速增长,2004年十大计算机病毒,病毒种类,到2001年,已经发展6万多种, 以大约10种/周的速度递增。,一、病毒概念,1、病毒的威胁 2、病毒的定义 3、病毒的特征 4、病毒的历史 5、病毒的防治,1、病毒的威胁,直接破坏计算机上的重要信息 抢占系统资源,降低系统性能 窃取主机上的重要信息 破坏计算机硬件 导致网络阻塞,甚至瘫痪 使邮件服务器、Web服务器不能提供正常服务,2、病毒的定义,一个程序、一段可执行码 、具有自我复制能力 计算
2、机病毒是一个能感染其他程序的的程序,它靠修改其他程序,并把自身的拷贝嵌入其他程序而实现病毒的感染 1994年颁布的中华人民共和国计算机信息系统安全保护条例第二十八条中指出: 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。,3、病毒的特征,可执行性: 传染性: 破坏性: 寄生性: 欺骗性: 隐蔽性: 衍生性:,4、 计算机病毒的发展简史,1949年,计算机之父冯诺依曼在复杂自动机组织论中提出“一部事实上足够复杂的机器能够复制自身”。 20世纪60年代初,美国贝尔实验室里“磁芯大战”的游戏。 1981年,世界上诞
3、生了真正意义上的计算机病毒Elk Cloner,这个病毒将自己附着在磁盘的引导扇区上,通过磁盘进行感染。 1983年11月3日,美国计算机安全学术讨论会上,Frederick Cohen博士首次提出计算机病毒的概念。同一天,专家们在VAX11/750计算机系统上验证了计算机病毒的存在。在其后的一周内,在5次病毒试验中,平均30分钟病毒就可使计算机系统瘫痪。 1986年底,病毒Brain开始流行。Brain病毒首次使用了伪装的手段来迷惑计算机用户。1987年10月,美国新闻机构报道了这一事件。 在这一年,中国的公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修、学习
4、计算机安全技术,标志着计算机病毒引起了中国政府的警惕。,计算机病毒的发展简史,1987年,DOS环境下的文件型病毒得到了很大的发展。出现了能自我加解密的病毒Cascade,Stoned病毒和PingPong病毒等等。同年12月份,第一个网络病毒Christmas Tree开始流行。 1988年11月2日,美国康奈尔大学的学生Morris将自己编制的蠕虫程序在几小时内造成Internet网络的堵塞,6000多台计算机被感染,造成巨大的损失。在美国,仅1988年中,就约有9万台计算机遭计算机病毒入侵。人民日报就Morris 事件报道了关于病毒的事件。 同时,反病毒技术也已经开始成熟了,所罗门公司的
5、反病毒工具Doctors Solomons Anti-Virus Toolkit成为当时最强大的反病毒软件。 1989年,病毒家族开始出现了,比如Yankee病毒,Eddie病毒,Frodo病毒(第一个全秘密寄生的文件病毒)。同年出现了名为AIDS的特洛伊木马型病毒。,计算机病毒的发展简史,1989年4月西南铝厂首先发现小球病毒,计算机病毒开始侵入我国。 1989年7月,中国公安部推出了中国最早的杀毒软件Kill 6.0。 1990年,出现了第一个多态病毒Chameleon、使用多级加密解密和反跟踪技术的病毒Whale等,可以用于开发病毒的工具软件Virus Production Factor
6、y,专门为病毒制造者开设的进行病毒信息交流和病毒交换的BBS。 1990年,中国出现了基于硬件的反病毒系统华星防病毒卡。 1991年,发现了复合多态病毒Tequila;不存在于某个文件或引导扇区中的DIRII病毒;攻击网络的GPI病毒等。这一年,反病毒公司也得到了发展壮大,Symantec和Central Point两个重要的工具软件开发商开始介入杀毒市场。中国的瑞星公司成立,推出了瑞星防病毒卡。 1992年,多态病毒生成器“MtE”开发出来,病毒构造工具集Virus Create Library开发成功。在芬兰发现了首例Windows病毒。,计算机病毒的发展简史,1993年、1994年,采用
7、密码技术、编写技巧高超的隐蔽型病毒和多态性病毒相继出现,也出现了感染源代码文件的SrcVir病毒和感染OBJ文件的Shifter病毒。 1995年8月9日,在美国首次发现专门攻击Word文件的宏病毒Concept。 1997年2月,第一个Linux环境下的病毒Bliss出现。1997年4月,第一个使用FTP进行传播的Homer病毒出现。 1998年6月,CIH病毒被发现。这一年也出现了远程控制工具“Back Orifice”、“Netbus”等,第一个感染Java可执行文件的Strange Brew病毒,用实用VB脚本语言编写的Robbit病毒。 1999年,通过邮件进行病毒传播开始成为病毒传
8、播的主要途径,而宏病毒仍然是最流行的病毒。这一年,比较有名的病毒有:Melissa,Happy99;FunLove等等。 2000年被称作VBScript病毒/蠕虫之年。大量使用脚本技术的病毒出现,脚本技术和蠕虫、传统的病毒、木马程序以及操作系统的安全漏洞相结合,给病毒技术带来了一个新的发展高峰。最著名的如VBS/KAK蠕虫,Loveletter病毒。 2000年,中国的金山公司发布金山毒霸,金山公司开始进入杀毒软件市场。,计算机病毒的发展简史,2001年7月出现了Code Red和 Code Red II,9月出现的Nimda病毒突破了以往病毒的各种传播途径,它们会利用微软服务器漏洞植入后门
9、程序的特洛伊木马,或是通E-mail大肆传播、衍生无数变种的计算机蠕虫,也有可能是通过浏览网页下载病毒,甚至三者兼具,造成了大范围的因特网上的服务器被阻断或访问速度下降,在世界范围内造成了巨大的损失。仅Code Red病毒所造成的经济损失,就远远超过过去6年来任何一年的年度损失。,5、病毒的防治,把各种查杀病毒的新技术应用于反病毒软件 特征码扫描 启发式检测 虚拟机技术 实时监控技术 人工智能 陷阱 网络杀毒/个人防火墙/邮件杀毒 数据备份拯救系统,-危害归纳(1),1.攻击系统数据区,攻击部位包括: 盘主引寻扇区、Boot扇区、FAT表、文件目录 一般来说,攻击系统数据区的病毒是恶性病毒,受
10、损的数据不易恢复。 2.攻击文件 病毒对文件的攻击方式很多,可列举如下: 删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。,二、病毒的危害,危害归纳(2),3.攻击内存 内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。 4.干扰系统运行 病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据
11、区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。,危害归纳(3),5.速度下降 病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。 6.攻击磁盘 攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。 7.扰乱屏幕显示 病毒扰乱屏幕显示的方式很多,可列举如下: 字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。,危害归纳(4),8.键盘 病毒干扰键盘操作,已发现有下述方式: 响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。 9.喇叭 许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优
12、美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声,危害归纳(5),10.攻击CMOS 在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。 11.干扰打印机 假报警、间断性打印、更换字符。,三、病毒分类,1、病毒的载体 2、病毒传染的方法 3、病毒破坏的能力 4、病毒特有的算法,1、病毒的载体(1),根据病毒的载体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机
13、网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法,1、病毒的载体(2),文件类型病毒:文件型病毒当且仅当运行时可以感染其它文件。当我们执行一个带文件型病毒的程序时,病毒将获得执行控制。然后,它将搜索目标文件,试图感染它们,最后恢复宿主文件并把控制返回给它。以上步骤完成后,宿主文件将象以前一样正常执行。,1、病毒的载体(3
14、),内存型病毒:内存型病毒驻留在内存中。一旦用户执行了一个感染内存型病毒的文件,病毒将驻留系统,等待机会感染其它文件或攻击系统。通常内存型病毒比文件型病毒更难对付,因为它可以在内存中,并感染所有执行的文件。当一个病毒驻留在内存后,很可能连反病毒工具都不能检测到它,因为它可以过滤普通文件的接入并提供虚假数据。,1、病毒的载体(4),引导型病毒:一个引导型病毒感染一个磁盘的引导区并且当此磁盘用于引导系统时激活自身。在引导过程中,引导型病毒将首先获得控制权。当病毒的非法操作完成后,病毒恢复引导区的原始数据,并把执行的控制权传给引导进程的入口点。在大部分情况下,这种病毒也是内存型病毒。它们将试图在引导
15、过程中驻留内存并等待感染后来的其它目标文件。检测此类病毒意味着分析磁盘的引导区。,1、病毒的载体(5),多形病毒:最简单的想法是使用简单的加密算法去加密病毒体,这样一来,当病毒进行感染时,病毒的代码每一次看起来都不一样。这就使模式匹配驱动的扫描工具失去作用,因为现在一个病毒可能呈现几千种不同的形态。而且,用于不同宿主文件的加密例程会变化。高级的多形病毒甚至能改变相互独立的指令的序列,并在代码传播前插入一些无意义的指令,例如NOP。其中一个最著名的程序是MtE“Mutation Engine”,由保加利亚的病毒作者编写,代码名为“Dark Avenger”。他在他的程序中发布了目标码,可以被其它
16、病毒作者使用。仅需要包含他的工程,病毒作者就能把他们的简单病毒变为多形病毒。现在,很多变异引擎都在广泛传播。,2、病毒传染的方法,根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒.,3、病毒破坏的能力(1),无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像
17、、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。,3、病毒破坏的能力(2),这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失
18、。,4、病毒特有的算法(1),伴随型病毒 这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。,4、病毒特有的算法(2),“蠕虫”型病毒 通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。,4、病毒特有的算法(3),寄生型病毒:除了伴随和“蠕虫”型
19、,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为: 练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。 诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。,四、病毒技术发展,1、DOS引导阶段 2、DOS可执行阶段 3、伴随,批次型阶段 4、幽灵,
20、多形阶段 5、生成器,变体机阶段 6、网络,蠕虫阶段 7、视窗阶段 8、宏病毒阶段 9、互连网阶段 10、网络病毒的新趋势,1、DOS引导阶段,1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。 当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播.1989年,引导型病毒发展为可以感染硬盘,典型的代表有”石头2”.,2、DOS可执行阶段,1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件
21、的机制工作,代表为”耶路撒冷”,”星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加.1990年,发展为复合型病毒,可感染COM和EXE文件.,3、伴随,批次型阶段,1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作.具有代表性的是”金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM.这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属
22、性,解除病毒时只要将其伴随体删除即可.在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是”海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除.批次型病毒是工作在DOS下的和”海盗旗”病毒类似的一类病毒.,4、幽灵,多形阶段,1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果.幽灵病毒就是利用这个特点,每感染一次就产生不同的代码.例如”一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了
23、查毒的难度.多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除.,5、生成器,变体机阶段,1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成.当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了.具有典型代表的是”病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒.变体机就是增加解码复杂程度的指令生成机制.,6、网络,蠕虫
24、阶段,1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,”蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在.,7、视窗阶段,1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂.,8、宏病毒阶段,1996年,随着Windows Word功能的增强,使用W
25、ord宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件.在Excel和AmiPro出现的相同工作机制的病毒也归为此类.由于Word文档格式没有公开,这类病毒查解比较困难.,9、互连网阶段,1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒. 1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。,10、
26、网络病毒的新趋势,如果INTERNET上的网页只是单纯用HTML写出来的话,那么要传播病毒的机会可以说是非常小了。但是WEB设计者为了让网页更加生动。美观,众多语言也纷纷出台,其中较有名气的也就算是JAVA和ActiveX了,不幸的是,这两个语言都相继被有心人士“注意”了,成为了第二代病毒的温床。JAVA和ActiveX的执行方式是把程序写在网页上,当你连上这个网站时,测览器就把这些程序代码抓下来,然后用使用者自己系统里的资源去执行这一代码。如此一来,使用者就会在神不知鬼不觉的状态下执行一些来路不明的程序。,五、传统病毒原理,1、引导区感染机制 2、可执行文件感染机制,1、引导区感染机制(1)
27、,电脑的启动过程: 中央处理器(CPU)接收到一个复位指令 跳转到一个特定的地址开始执行,在IBM PC兼容机上这个地址是FFFF0,这个地址落到BIOS的地址范围内 BIOS在完成一些基本的硬件检测之后,根据用户的设置,确定将哪一个扇区加载到内存中开始进行下一步的引导工作 如果是从A盘或者光盘引导,则将A盘(软磁盘)或者可引导光盘的引导扇区(第一个扇区)加载到内存中开始执行,如果是从C:(硬盘)引导,则将硬盘的主引导记录加载到内存中开始执行。,1、引导区感染机制(2),引导扇区和主引导记录: 引导扇区对于软磁盘或者光盘是第一个扇区,对于硬盘是每一个分区的第一个扇区,如果一个分区在分区表中被标
28、记为可引导的,则这个分区的第一个扇区就是该分区的引导扇区。引导扇区包含有引导记录程序,用于加载操作系统。 MBR(主引导记录)位于整个硬盘的0磁道0柱面1扇区。MBR中包含了硬盘的一系列参数和一段主引导程序。主引导程序用来找出系统当前的活动分区,负责把对应的一个操作系统的引导记录即当前活动分区的引导记录,装入内存,然后把控制权转给该分区的引导记录。引导扇区和主引导记录是引导型病毒的天然栖息地。,1、引导区感染机制(3),主引导记录或者引导扇区都有可能被病毒感染。当系统被感染后,正常的主引导记录或者引导扇区的代码被病毒代码替换,电脑启动的时候首先运行的是病毒代码,正常情况下,病毒代码会一直驻留在
29、内存中等待感染的时机。一般情况下,当读写软盘的时候,如果在内存中有病毒代码,这张软盘有很大的机会被感染(内存中的病毒代码用病毒提供的引导扇区覆盖软盘上原来的引导扇区)。当感染硬盘的时候,病毒可以覆盖原来的主引导记录,也可以覆盖活动分区的引导扇区(通常是C分区的引导扇区),病毒还可以修改分区表中活动扇区的地址,使其指向病毒代码所在的扇区。,1、引导区感染机制(4),引导病毒在感染硬盘之后,一般会把原来的主引导记录保存在硬盘上的其他扇区中(通常是第一个可用的扇区),如果病毒代码超过一个扇区大小,病毒可能会分布在几个扇区中。如果一个引导型病毒设计的比较完善的话,它会将自己放置在比较安全的地方,比如说
30、逻辑驱动器的空闲扇区、未使用的系统扇区等。“石头”病毒家族使用的就是这种方法,它把自己放在主引导记录和第一个引导扇区之间,这中间很多扇区是没有被使用的。另外一些病毒可以分析文件分配表的结构,发现没有被使用的扇区之后,将扇区的标志设置为“坏”,然后将病毒代码放在这些所谓的坏扇区中。“大脑”和“乒乓”病毒就是用了这种方法来存放病毒代码。,1、引导区感染机制(5),还有一些病毒使用了很少见的方法来存放病毒代码,其中一种是修改硬盘的参数,使用户看到的硬盘容量要小于实际的硬盘容量,比如说,原来硬盘是976个磁道的(从0到975磁道),病毒将这个参数修改为975个磁道(从0到974磁道),这样病毒就可以将
31、自己的代码存放在第975磁道而不会被发现了。另外一种主要是针对软磁盘的,很多软磁盘都可以支持比标准格式容量稍大一些的格式,例如1.44M的软盘一般都可以格式化成1.72M,这样,病毒就可以将自己放在标称的容量以外的地区,这些地方对于用户是不可见的,但是对于硬件是可读写的,而且病毒可以将这些代码加载到内存中执行,“野兔”病毒就使用了这种方法放置病毒代码。,2、可执行文件感染机制(1),在DOS时代,文件型病毒主要感染可执行文件,一般包括COM文件和EXE文件。病毒往往用附加或插入的方式隐藏在可执行程序文件中,或者采取分散及多处隐藏的方式。当病毒程序潜伏的文件被合法调用时,病毒程序也合法投入运行,
32、并可将分散的程序在其非法占用的存储空间进行装配,构成完整的病毒体后投入运行状态。进入运行状态的病毒再去扩散感染其它文件,以致磁盘所有可执行文件均被感染甚至文件被毁坏。,2、可执行文件感染机制(2),COM文件不超过64K,全部代码和数据都放在一个段内。这样的程序内的转移、调用与数据存取引用的都是近地址,所以这种程序在装载时不需要重定位。DOS在加载COM文件时,在内存当前空间的最低端建立一个相应的程序段前缀PSP,然后紧靠PSP的上方将磁盘上COM文件的所有内容装入,并把控制转向PSP的100H偏移处,运行该文件。,2、可执行文件感染机制(3),文件型病毒感染COM文件有两种方式: 全部病毒体
33、插在程序最前面,而原来COM文件内容放在病毒体后面。这样当程序开始运行时首先将运行病毒程序,当病毒驻留后将把原来的程序移到从100H开始处,恢复原程序的运行环境,并跳转到100H处开始运行原来的程序属于这种感染方式的有Jerusalem病毒和Invader病毒。 病毒体接在原文件的后面,而将原文件头的若干字节放在病毒体内的数据区保存起来,将文件头部的若干字节修改成一条或数条指令,其作用就是直接跳转到后面的病毒体去。这样当程序运行时首先运行的是病毒程序,病毒程序运行完成后,再将病毒体内保存的原COM文件头的内容送回到偏移为100H处,恢复原来程序的初始运行环境,然后跳转到100H处。,2、可执行
34、文件感染机制(4),EXE文件比较复杂,它允许代码、数据、堆栈段分别处于不同的段,每一个段都可以是64K。当生成一个EXE文件时,存放在磁盘上的执行代码,凡是涉及到段地址的操作数都尚未确定,在DOS加载该程序时,需要根据当前内存空间的起始段值,对每一个段进行重定位,使这些段操作数具有确定的段地址。因此,存放在磁盘上的EXE文件一般都由两部分内容组成,一部分是文件头,另一部分是装入模块。文件头位于EXE文件的首部,它包括加载EXE文件时所必需的控制信息和进行段重定位的重定位信息表。比较重要的控制信息有程序长度、IP入口值、CS偏移量、SP入口值、SS偏移量、重定位项个数及重定位表在程序头中的偏移
35、。装入模块是程序中所有的代码、数据与堆栈组成的程序实体,是程序运行时真正加载的内容。EXE程序在装载时,先根据程序大小分配内存,在起始处填入PSP,再把装入模块放在其后,然后根据重定位信息表对装入模块中的重定位字进行重定位操作,最后设定寄存器初始值。,2、可执行文件感染机制(5),由于EXE程序涉及到重定位,文件型病毒感染EXE文件一般不改变程序实体在程序中的位置,病毒接在程序实体后面,通过修改程序头中CS段偏移量与IP入口值两个参数,使得程序运行时首先进入病毒程序,当病毒完成驻留后再恢复EXE文件的运行环境。文件型病毒需要修改EXE文件头的6个参数:程序长度尾数、程序页数、IP入口值、CS偏
36、移量、SP入口值和SS偏移量。最后两个参数不是必须修改的,但多数文件型病毒会这样做。,六、宏病毒原理,1、Word宏 2、宏病毒概念 3、宏病毒机制 4、宏病毒举例,1、Word宏,要分析宏病毒,首先要了解什么是“宏”?在微软的手册中说明:如果需要在Office软件中反复进行某项工作,那就可以利用宏来自动完成这项工作。宏是一系列组合在一起的命令和指令,它们形成一个命令,以实现任务执行的自动化。用户可以创建并执行宏(宏实际上就是一条自定义的命令),以替代人工进行的一系列费时而单调的重复性操作,自动完成所需任务。,2、宏病毒概念(1),什么又是“宏病毒”呢?宏病毒是一种存储于文档、模板或加载宏程序
37、的计算机病毒。当打开已受感染的文件(如Word文档)或执行触发宏病毒的操作时,病毒就会被激活,并存储到Normal.dot模板或“Personal.xls”文件中。从此以后,保存的每个文档都会自动被病毒“感染”,如果其他人打开受病毒感染的文件,那么宏病毒就会传播到他们的计算机中。,2、宏病毒概念(2),显然,宏病毒与以往的传统计算机病毒不同,它是只感染微软的文档(.doc或.xls)等的一种专向病毒。宏病毒与攻击DOS/Windows可执行程序的病毒的机理完全不一样,它是用VB高级语言编写的病毒代码,直接混杂在文件中并加以传播。宏病毒程序编写简单,对于现有的各种宏病毒,利用Word的Visua
38、l Basic编辑器略作修改就会产生新的变种病毒。,3、宏病毒机制(1),Word打开文件时,它首先要检查文件中包含的宏是否有自动执行的宏(如“AutoOpen”)存在,如果有这样的宏,Word就启动它。同样,假如有“AutoClose”宏存在,则Word在关闭一个文件时会自动执行它。 通常,宏病毒至少会包含一个以上的“自动宏”,当Word运行这类自动宏时,实际上就是在运行宏病毒代码。宏病毒的内部都具有把带病毒的宏复制到通用宏的代码,也就是说当病毒代码被执行过后,它就会将自身复制到通用宏集合内。当Word系统退出时,它会自动把所有通用宏包括传染进来的病毒宏保存到模板文件中,3、宏病毒机制(2)
39、,一旦Word遭受感染,则以后每当Word进行初始化时,系统都会随着Normal.dot的装入而成为带毒的Word系统,继而在打开和创建任何文档时感染该文档。感染Normal.dot模板是宏病毒最常用的传染方式。此外,与计算机系统启动相似,Word在启动过程中会执行OfficeStartUp目录中的模板文件(扩展名为.dot)所包含的宏,有些病毒就是通过这两种方式来感染Word系统,使每次启动后的Word都成为带毒运行环境。 凡是具有宏的其它软件,包括Excel、PowerPoint、Access、WordPad都可能会受到这种病毒的感染。,4、宏病毒举例,七、网络病毒原理,1、网络病毒特点
40、2、蠕虫病毒 3、木马病毒 4、脚本病毒 5、Nimda分析,1、网络病毒特点,主动通过网络和邮件系统传播 播速度极快 危害性极 大变种多 难于控制 难于根治、反复发作 具有病毒、蠕虫和后门(黑客)程序的功能,2、蠕虫病毒(1),蠕虫(Worm)是通过分布式网络来扩散传播特定信息或错误,破坏网络中的信息或造成网络服务中断的病毒。 蠕虫泛滥发生在近几年,但早在1982年,Shock和Hupp就提出了一种“蠕虫”(Worm)程序的思想,这种“蠕虫”程序常驻于一台或多台机器中,并有自动重新定位的能力。如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。早期的“蠕虫
41、”程序不一定是有害的,它可用作Ethernet网络设备的诊断工具。,2、蠕虫病毒(2),“蠕虫”一般由两部分组成:一个主程序和一个引导程序。主程序一旦在机器上执行,就会通过读取公共配置文件并收集当前网络状态信息,获得与当前机器联网的其它机器的信息和软件缺陷,主动尝试利用所获得的信息以及其他机器的缺陷在这些远程机器上建立其引导程序。从以上描述可以看出,蠕虫病毒最主要的特点是利用网络中软件系统的缺陷,进行自我复制和主动传播。 2003年1月25日首次发作Win32.SQLExp.Worm病毒就是一个非常典型的蠕虫病毒,它具备了蠕虫病毒所有的典型特征。,3、木马病毒(1),木马又称特洛伊木马(Tro
42、janhorse),它原本属于一类基于远程控制的工具。木马的运行模式属于客户/服务模式,它包括两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。木马通常的攻击步骤是: 设定好服务器程序; 骗取对方执行服务器程序; 寻找对方的地址IP; 用客户端程序来控制对方的计算机。,3、木马病毒(2),木马之所以能够运行的原因是由于用户的程序通常继承了与用户相同的、唯一的优先权和存取权。它能够在不
43、触犯系统任何安全规则的情况下进行非法活动,系统本身不能区分木马和合法程序。通常所说的木马病毒其实就是这个服务端程序,它通过电子邮件或网页传播到用户的计算机中,一旦计算机执行这段程序,它就变成一个受客户端控制的服务器。木马常常被黑客用来作为窃取信息以及非法使用资源的工具。,4、脚本病毒(1),传播方式:电子邮件/网页/文件 脚本语言种类: 活动服务器页面(Active Server Pages),在因特网服务器端执行的脚本,构造变化多端的页面供浏览。 微软可视化BASIC脚本语言(Microsoft Visual Basic Scripting Edition),使用微软视窗操作系统内置的脚本引
44、擎。 爪哇脚本语言(Java Script)使用浏览器内置的脚本引擎执行 其他的脚本语言。还存在PHP、REXX、PERL等,4、脚本病毒(2),由于能自我复制、扩散的程序就可以成为病毒了,脚本语言的功能越来越强大,现代的脚本语言基本上可以完成所有的文件系统操作 脚本语言存在的一个最重要的基础和前提是,如何满足病毒的基本前提,复制自身?使用VBScript可以很容易的完成这个任务。下面是一个普通的VBscript脚本程序(使用伪代码): 设置 对象1 = 创建对象(“Scripting.FileSystemObject“)/创建一个文件操作对象 对象1.创建文本文件( “virus.txt“,
45、 1) /通过这个文件对象的方法创建一个TXT文件,4、脚本病毒(3),如果我们把这两句话保存成为后缀名为.vbs的VBS脚本文件,点击就会在当前目录创建一个文本文件。如果把第二句改为:对象1.获取文件(WScript.ScriptFullName).拷贝(“virus.vbs“) 就可以将自身复制到当前目录的virus.vbs文件中。它的意思是把程序本身的内容拷贝到目的位置。这么简单的两行代码就实现了自我复制的功能,已经具备病毒的基本特征。,4、脚本病毒(4),下图的一些伪代码可以实现对微软邮件系统的感染,具有一个脚本病毒的基本功能,这些代码就可以通过Outllook的邮件系统把自己以附件的
46、方式扩散出去。,4、脚本病毒(5),4、脚本病毒(6),脚本病毒包括下面的几种基本类型: 基于JAVAScript的脚本病毒。使用JAVAScript语言编写的病毒,主要运行在IE浏览器环境中,可以对浏览器的设置进行修改,主要破坏是对注册表的修改,危害不是很大。 基于VBScript的脚本病毒。使用VBScript语言的病毒,可以在浏览器环境中运行,更重要的是,这种病毒和普通的宏病毒并没有非常清晰的界限,可以在Office,主要是Outlook中运行,可以执行的操作非常多,前面描述的例子就是使用VBScript语言编写的,甚至可以修改硬盘上的东西,删除文件,执行程序等,危害非常大。,4、脚本病
47、毒(7),基于PHP的脚本病毒。这是新的病毒类型,感染PHP脚本文件,主要对服务器造成影响,对个人电脑影响不大,目前仅有一个“新世界”(NewWorld)病毒,并没有造成很大的破坏,但是前景非常难以估计,如果PHP得到更加广泛的使用,这种病毒将成为真正的威胁。 脚本语言和木马程序结合的病毒。这种病毒除了使用脚本语言进行扩散以外,还会在受到侵入的计算机上安装一个名为特洛伊木马程序,容许他人未经授权访问受到感染的计算机。一种典型的方法是,通过直接在病毒代码中包括二进制的木马程序编码,或者另外一个叫做VIRUS.BIN的文件,通过脚本语言直接执行DEBUG程序,使用DEBUG程序将VIRUS.BIN
48、存储成为VIRUS.EXE,然后通过脚本语言就可以偷偷的执行这个木马程序了。这种木马和脚本相结合的病毒已经成为最近病毒发展的新趋势,也给反病毒软件厂商带来了很大的挑战。,5、Nimda分析,基本情况 传播行为 系统修改行为 破坏行为,1、基本情况,我们介绍一个这类病毒的典型“尼姆达”病毒。由于这个病毒使用了多种传播手段,病毒的作者把它称为“概念病毒”,而因其具有的超级攻击能力,又被大家称为病毒中的“瑞士军刀”。 2001年9月18日,距离美国“911”恐怖分子袭击事件整整一周的时间,一个新的、传染力非常巨大的病毒首先在美国出现,这就是有“瑞士军刀”之称的“尼姆达”病毒,学名记为w32.Nimd
49、a.Amm,也叫“中国一号”,另外还有一个变种是w32.Nimda.Emm。,2、传播行为(1),通过电子邮件传播。Nimda病毒利用了MIME漏洞,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经在不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行临时目录中的副本。病毒还会在Windows的system目录中生成load.exe文件。另外,在system目录下,病毒还会生成一个副本riched20.dll。而riched20.dll目录在Windows系统中就存在,而它就把原有的文件覆盖掉了。病毒执行之后,每隔十天
50、会在因特网临时文件夹中读取所有“htm“、“html“文件并从中提取电子邮件地址,从信箱读取电子邮件地址并从中提取SMTP服务器,然后使用群发邮件的方式发送readme.eml。,2、传播行为(2),通过Web服务器方式传播。Nimda病毒利用Microsoft IIS Web服务器的漏洞,对所有文件名包含default、index、main、readme而且扩展名为htm、html、asp的文件的文件末加上下面的脚本代码:window.open(“readme.eml“,null,“resizable=no,top=6000,left=6000“)并且在其所在目录中创建readme.eml。当其它计算机访问染毒服务器浏览网页时,将下载有毒邮件。,
