计算机病毒教学课件PPT3-计算机病毒的基本机制.ppt

1、1计算机病毒Computer Virus汪洁中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗2计算机病毒的结构nECHO ONnREM 文件名 VIRUS.BATnREM 本病毒感染自动执行批处理文件nIFDRIVE=A: GOTO END123nIFDRIVE=C: GOTO END123nIF %COMSPEC%=C:WINDOWSCOMMAND.COM SET DRIVE=A:nIF %COMSPEC%=A:COMMAND.COM SET DRIVE=C:nIF NOT EXIST %DRIVE%AUTOEXEC.BAT GOTO END123nCOPYVIR

2、US.BAT %DRIVE%NULnECHOCALL VIRUSTMP.DATnCOPY%DRIVE%AUTOEXEC.BAT+TMP.DAT %DRIVE%AUTOEXEC.BAT NULnDELTMP.DATNULnEcho BAT Virus Test! I will format your Disk!n:END123nECHO ON中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗3计算机病毒的结构n触发机制：这部分主要用来控制病毒的传播和发作。触发机制所设的条件不能太苛刻，也不可以太宽松。n传播机制： 这部分主要负责病毒的感染和传播。n表现机制：这个模块也称

3、为破坏模块。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗4第三章 计算机病毒的基本机制 n计算机病毒状态n计算机病毒的三种机制计算机病毒的传播机制计算机病毒的触发机制计算机病毒的破坏机制中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗5计算机病毒状态n计算机病毒在传播中存在静态和动态两种状态。静态病毒,指存在于辅助存储介质(如软盘、硬盘、磁带、CD-ROM)上的计算机病毒。动态病毒，指进入了计算机内存的计算机病毒，它必定是随病毒宿主的运行，如使用寄生了病毒的软、硬盘启动机器，或执行染有病毒的程序文件时进入内存的。 中南大学信息科学与

4、工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗6计算机病毒状态n内存中的动态病毒又有两种状态：能激活态和激活态。能激活态:当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于能激活态。 激活态:系统正在执行病毒代码时，动态病毒就处于激活态。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗7计算机病毒状态n一般认为病毒链接到中断向量或块设备驱动程序上，成功地驻留内存后，病毒就获得了系统控制权。实际上，处于“能激活态”的病毒并未获得系统控制权。n内存中的病毒还有一种较为特殊的状态失活态。如果用户把中断向量表恢复成正确的值，修改中断向量表的动态

5、病毒就失活了；如果用户把设备驱动程序头恢复成正确的值，修改设备驱动程序头的动态病毒就失活了。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗8计算机病毒的三种机制 n病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。n病毒程序一般由感染模块、触发模块、破坏模块、主感染模块、触发模块、破坏模块、主控模块控模块组成，相应为传染机制、触发机制和破坏机制传染机制、触发机制和破坏机制三种。有的病毒不具备所有的模块，如：巴基斯坦智囊病毒没有破坏模块。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：

6、计算机病毒分析与对抗9感染模块感染模块 n感染模块是病毒进行感染动作的部分，负责实现感染机制。感染模块的主要功能：寻找一个可执行文件。检查该文件中是否有感染标记。如果没有感染标记，进行感染，将病毒代码放入宿主程序。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗10感染模块感染模块n小球病毒的传染：读入目标磁盘的自举扇区（BOOT区）。判断是否满足传染条件。若满足（目标盘BOOT区的01FC偏移位置为5713H标志），则将病毒代码前512个字节写入BOOT引导程序，将其后512个字节写入该簇，并将该簇标记为坏簇，保护起来。跳转至原INT 13H 的入口执行正常的磁

7、盘操作。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗11触发模块触发模块 n触发模块根据预定条件满足与否，控制病毒的感染或破坏动作。依据触发条件的情况，可以控制病毒感染和破坏动作的频率，使病毒在隐蔽的状态下，进行感染和破坏动作。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗12触发模块触发模块n病毒的触发条件有多种形式，例如：日期、时间、发现特定程序、感染的次数、特定中断调用的次数等。n病毒触发模块主要功能：检查预定触发条件是否满足。如果满足，返回真值。如果不满足，返回假值。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材

8、：计算机病毒分析与对抗13破坏模块破坏模块 n破坏模块负责实施病毒的破坏动作。其内部是实现病毒编写者预定破坏动作的代码。这些破坏动作可能是破坏文件、数据。破坏计算机的空间效率和时间效率或者使机器运行崩溃。有些病毒的该模块并没有明显的恶意破坏行为，仅在被传染的系统设备上表现出特定的现象，该模块有时又被称为表现模块。 n攻击目标分类攻击系统数据区；攻击文件；攻击内存；干扰系统运行；攻击CMOS和BIOS数据；干扰外部设备；破坏网络系统中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗14主控模块主控模块 n主控模块在总体上控制病毒程序的运行。其基本动作如下：调用感染模块，

9、进行感染。调用触发模块，接受其返回值。如果返回真值，执行破坏模块。如果返回假值，执行后续程序。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗15病毒程序结构病毒程序结构 Program Virus:= Subroutine infect_executable := loop: file=Random_executable; if first_line of file = 1234567 then go loop; append virus to file; Subroutine Do_damage := /*whatever damage is desired*/

10、 Subroutine trigger_pulled := Return true on desired condition main_program := infect_executable; if trigger_pulled then Do_Damage; Goto next; next: 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗16计算机病毒的传播机制 n病毒感染目标和过程n感染长度和感染次数n引导型病毒的感染n寄生感染n插入感染和逆插入感染n链式感染n破坏性感染n滋生感染n没有入口点的感染nOBJ、LIB和源码的感染n混合感染和交叉感染n零长度感染

11、中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗17病毒感染目标和过程病毒感染目标和过程n硬盘系统分配表扇区(主引导扇区)n硬盘BOOT扇区n软盘BOOT扇区n覆盖文件(OVL)nEXE文件nCOM文件nCOMMAND文件nIBMBIOS文件/IBMD0S文件 n另外，eml,doc,dot,bvs,bat, pl,html,flash,dll,sys, asp 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗18病毒感染目标和过程病毒感染目标和过程n病毒入侵宿主程序的基本方式有两种：替代方式和链接方式。染毒程序运行时，必须能使病毒代码得

12、到系统的控制权。染毒程序运行时，首先运行病毒代码。而病毒的宿主程序可分为两类：操作系统和应用程序。n病毒代码替换磁盘的Boot扇区、主引导扇区。nCOMMAND程序做宿主程序 n应用程序做宿主程序中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗19病毒感染目标和过程病毒感染目标和过程 (a) 病毒感染文件头部 (b)病毒感染文件尾部 （c）病毒感染文件中部 图3.1 病毒与宿主程序的链接方式 病毒代码 宿主程序 宿主程序 病毒代码 宿主程序病毒代码宿主程序 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗20病毒感染目标和过程病毒感染目标

13、和过程中 断 矢 量 表 中 断 矢 量 表 （ a） 正 常 中 断 (b) 病 毒 修 改 中 断 入 口 地 址 中断处理程序 入 口 地 址 原 中断处理程序 病毒 中断程序 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗21感染长度和感染次数感染长度和感染次数n保持原长度。n增长长度为恒定值。n增长长度的单位为一基数，在1节(16字节)内浮动。n每次感染，宿主程序增长长度都在变化。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗22单次感染单次感染 单次感染单次感染病毒在每次感染宿主程序时，将病毒代码放入宿主程序的同时，还放置

14、了感染标记。当病毒再次遇到已染毒程序时，当发现染毒程序中的感染标记时，便不会再进行感染。 重 复 感 染 单 次 感 染 病 毒 程 序 目 标 程 序 带 毒 的 目 标 程 序 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗23重复感染重复感染n重复感染重复感染是指病毒遇到宿主文件时，不论宿主文件是否已感染过，都再次进行感染。重复感染的结果是病毒文件长度不断膨胀。病毒的重复感染可分如下几种。n简单的重复感染。n有限次数重复感染。n每次重复感染时，长度变化。n每次重复感染时，病毒代码的位置变化（变位重复感染）。中南大学信息科学与工程学院 课程名称：计算机病毒 教

15、材：计算机病毒分析与对抗24变位重复感染变位重复感染 (a) 初次感染 (b) 重复感染 图 3.4 Anto 病毒变位重复感染 Anto(1) 宿主程序 Anto(1) 宿主程序 Anto(2) Anto(n) 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗25引导型病毒的感染引导型病毒的感染 uninfected disk 0 1 2 (sector No) Boot sector or Master Boot Record Infected disk (replaced boot/MBR) 0 1 2 (sector No) XXXXX XXXXX 病 毒

16、的 首 部 BS or MBR 病 毒 的 尾 部 Infected disk (modified address of active boot sector) 0 1 2 (sector No) X XXXXX XXXX 病 毒 地 址 病 毒 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗26引导型病毒的感染引导型病毒的感染n隐藏方法n把FAT表中的簇标记为badn改变BPB中的逻辑驱动器的容量n非常规格式化磁盘中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗27寄生感染寄生感染 n病毒将其代码放入宿主程序中，不论放入宿主程序的头部

17、、尾部还是中间部位，都称之为寄生感染。病毒放入宿主程序中部的感染方式称为插入感染，另外有插入感染和逆插入感染。n有两种方法把病毒放入文件的头部。第一种方法把目标文件的头部移到文件的尾部，然后拷贝病毒体到目标文件的头部的空间。第二种方法是病毒在RAM中创建其拷贝，然后追加目标文件，最后把连接结果存到磁盘。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗28寄生感染寄生感染中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗29寄生感染寄生感染 DOS-COM DOS-EXE New EXE 病毒入口 病毒入口 图 3.7 病毒感染文件的尾部 J

18、MP Program code/data Virus Header Program code/data Virus DOS stub Program code/data Virus NE-Header 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗30寄生感染寄生感染中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗31插入感染和逆插入感染插入感染和逆插入感染 n一般病毒感染宿主程序时，病毒代码放在宿主程序头部或尾部。而插入感染病毒能够自动地将宿主程序拦腰截断，在宿主程序的中部插入病毒代码。必须保证：病毒首先获得运行权。病毒不能卡死。宿主

19、不能因病毒代码的插入而卡死。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗32插入感染和逆插入感染插入感染和逆插入感染 插入 感染 图 3.9 插入感染 Proud病毒 宿主程序 宿主程序 Proud病毒 宿主程序 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗33插入感染和逆插入感染插入感染和逆插入感染 (a) Stinkfoot 病毒 （b）RAM 病毒 图 3.10 逆插入感染 Stinkfoot 病毒 (259 字节) 宿主程序 RAM 病毒 宿主程序 RAM 病毒 Stinkfoot 病毒 (995 字节) 中南大学信息科学

20、与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗34链式感染链式感染 切 断 (a) 病毒写软盘 (b) 修改文件目录 (c) 原起始簇加密后加入目录区 图3.11 链式感染 DIR-病毒 文件目录 软盘 最后一簇 起始簇 宿主程序 软盘最后一簇 文件目录 起始簇 加密后的 原起始簇 DIR-病毒 宿主程序 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗35破坏性感染破坏性感染 感染 宿主程序 12032 字节 （b） 病毒的长度不小于宿主的长度 (a) 病毒的长度小于宿主的长度 图 3.12 破坏感染 Number One 病毒 病毒代码 宿主程序

21、病毒 代码 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗36滋生感染滋生感染 NORMAL.EXE NORMAL.COM（病毒程序） NORMAL.EXE（原来的程序） NORMAL.EXE（病毒程序） NORMAL.OLD（原来的程序） NORMAL.EXE（病毒程序） ，放在当前目录 NORMAL.EXE（病毒程序） ，放在系统目录 NORMAL.EXE（病毒程序） ，放在 PATH 搜索目录中 NORMAL.EXE（原来的程序） 伴随方式 3 伴随方式 2 伴随方式 1 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗37中断向

22、量表没有入口点的感染没有入口点的感染 n这些病毒在宿主文件中没有执行入口，病毒没有记录COM文件的JMP指令，也不修改EXE文件头中的入口地址。该病毒在宿主文件的中部记录跳转到病毒本身的指令，当运行宿主文件后，病毒没有立即得到控制权，而是当宿主例程调用包含病毒跳转指令时才获得系统的控制权。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗38没有入口点的感染没有入口点的感染 EXE文件头 运行时刻库的初始化程序 原来的程序代码 病毒的感染部分找到这部分代码，使用跳转到病毒代码的指令替换 感染之后 EXE文件头 运行时刻库的初始化程序 原来的程序代码 跳转到病毒代码的指

23、令 病毒代码 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗39没有入口点的感染没有入口点的感染 感染之前的程序 病毒使用反汇编程序对代码进行反汇编 ADD AX,100H JMP cd00 INC MOV AX, 0 发现合适的插入点，将病毒代码插入 感染前的程序 插入点： JMP 病毒代码 感染前的程序 病毒代码 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗40OBJOBJ、LIBLIB和源码的感染和源码的感染 n病毒感染编译库文件、目标文件和源码，这种方式少且没有广泛流传。这些该感染的OBJ、LIB合并代码到一个对象模块或对象

24、库。因此，感染文件不是可执行文件，不会马上传播。其COM和EXE文件通过对已感染的OBJ/LIB连接而成，则该文件已感染。因此，该病毒传播有两个阶段：OBJ/LIB先感染；然后合成不同的病毒体。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗41混合感染和交叉感染混合感染和交叉感染 n混合感染混合感染既感染文件又感染主引导区或Boot扇区的混合感染病毒。如Flip。n交叉感染交叉感染在一个宿主程序上感染多种病毒。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗42交叉感染实例交叉感染实例 Taiwan 3 Sunday Jerusalem

25、 宿主程序 J-S-T.com 宿主程序 1591 FLIP l591 OROPAx V1591-FL.com 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗43零长度感染零长度感染 n病毒感染宿主文件时，将其病毒代码放入宿主程序，一般会使宿主程序长度增加，因而很容易被用户发现。而有些病毒在感染时，将病毒代码放入宿主程序，同时保持宿主程序长度不变，称为零长度感染。n此类病毒在感染时，采取了特殊技巧。首先在宿主程序中寻找“空洞”，将病毒代码放入“空洞”之中，而后改变宿主程序开始处代码，使藏在“空洞”中的病毒代码首先运行，在病毒运行结束时，恢复宿主程序开始处代码，而后

26、运行宿主程序。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗44零长度感染零长度感染n什么是“空洞”（cavity）呢?就是具有足够长度的全部为零的程序数据区或堆栈区。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗45零长度感染零长度感染采用压缩技术采用压缩技术cvP1p2cvP1P2cvp1p22314t t0 0t t1 1中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗46零长度感染零长度感染宿主程序 插入 54A2H 执行 62BCH (a) 病毒代码插入空洞和改写跳转指令 (b) COMMAN

27、D.COM 的空洞 图 3.18 零长度感染 病毒代码 全部为 00H 的 数据区 （空洞） JMP 空洞地址 病毒代码 MS-DOS3.30 COMMAND.COM 全部为 00H 的 0D19H 字节 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗47计算机病毒的又一分类计算机病毒的又一分类 n绝迹病毒n濒危病毒n罕见病毒n常见病毒中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗48计算机病毒的触发机制计算机病毒的触发机制 n日期和时间触发:特定日期触发、月份触发、前半年/后半年触发。n键盘触发：击键次数触发、组合键触发和热启动触发

28、。n感染触发：感染文件个数触发、感染序数触发、感染磁盘个数触发和感染失败触发。n启动触发：对计算机启动次数进行计数，并将此值作为触发条件。n磁盘访问次数触发和中断访问次数触发。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗49计算机病毒的触发机制计算机病毒的触发机制n其它触发:OS型号、IP地址、语言、地区、特定漏洞。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗50计算机病毒的破坏机制计算机病毒的破坏机制 n攻击系统数据区：硬盘主引导扇区、Boot扇区、FAT表和文件目录。n攻击文件和硬盘：删除、改名、替换内容、丢失部分程序代码、内

29、容颠倒、写入时间变空白、变碎片、假冒文件、丢失文件簇、攻击数据文件。 n攻击内存：占用大量内存、改变内存总量、禁止分配内存、蚕食内存。中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗51计算机病毒的破坏机制计算机病毒的破坏机制n干扰系统的运行：不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。n扰乱输出设备：字符跌落、环绕、倒置、显示前一屏幕、光标下跌、滚屏幕、抖动、乱写、吃字符，演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声和嘀嗒声，假报警、间断性打印和更换字符。n扰乱键盘：响铃、

30、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗52与病毒现象类似的硬件故障与病毒现象类似的硬件故障 n系统的硬件配置：软件不能正常运行。 n电源电压不稳定：磁盘文件丢失或破坏。n插件接触不良：设备时好时坏。n软驱故障：读坏磁盘。n关于CMOS的问题：CMOS的高级设置中有一些影子内存开关，这也会影响系统的运行速度。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗53与病毒现象类似的软件故障与病毒现象类似的软件故障n出现“Invalid drive specification”(非法驱动

31、器号)：说明用户的驱动器丢失。n软件程序已被破坏(非病毒)：由于磁盘质量等问题， 文件的数据部分丢失，而程序能运行且出现不正常现象。nDOS系统配置不当：DOS操作系统在启动时会去查找其系统配置文件CONFIG.SYS，并按其要求配置运行环境。如果系统环境设置不当会造成某些软件不能正常运行，如C/C+语言系统、AUTOCAD等等。n软件与DOS版本的兼容性：DOS操作系统自身的特点是具有向下的兼容性。许多软件都要过多地受其环境的限制。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗54与病毒现象类似的软件故障与病毒现象类似的软件故障n引导过程故障：系统引导时屏幕显

32、示“Missing operating system”（操作系统丢失）， 故障原因是硬盘的主引导程序可完成引导，但无法找到DOS系统的引导记录。造成这种现象的原因是C盘无引导记录及DOS系统文件，或CMOS中硬盘的类型与硬盘本身的格式化时的类型不同。 n用不同的编辑软件程序：用户用一些编辑软件编辑源程序，编辑系统会在文件的特殊地方做上一些标记。这样当源程序编译或解释执行时就会出错。例如，用WPS的N命令编辑的文本文件，在其头部也有版面参数，有的程序编译或解释系统却不能将之与源程序分辨开，这样就出现了错误。 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗55与病毒现象类似的软件故障与病毒现象类似的软件故障n某些软件无法正常运行：如word由于内存不足无法存盘。n网络联接数过多导致新的应用无法上网：句柄数有限。n防火墙配置不当导致无法上网。