计算机病毒及其防范技术（第2版）第3章 计算机病毒结构及技术分析.pptVIP

第三章 计算机病毒结构分析 上海交通大学信息安全工程学院 刘功申 本章学习目标 掌握计算机病毒的结构 掌握计算机病毒的工作机制 了解各种计算机病毒技术 一、计算机病毒的结构和工作机制 四大模块： 感染模块 触发模块 破坏模块（表现模块） 引导模块（主控模块） 两个状态： 静态 动态 工作机制 引导模块 引导前——寄生 寄生位置： 引导区 可执行文件 寄生手段： 替代法（寄生在引导区中的病毒常用该法） 链接法（寄生在文件中的病毒常用该法） 引导过程 驻留内存 窃取系统控制权 恢复系统功能 引导区病毒引导过程 搬迁系统引导程序-〉替代为病毒引导程序 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向系统引导程序-〉引导系统 文件型病毒引导过程 修改入口指令-〉替代为跳转到病毒模块的指令 执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向程序的正常执行指令-〉执行程序 感染模块 病毒传染的条件 被动传染（静态时） 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。 主动传染（动态时） 以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。 传染过程 系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染 传染方式 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。 文件型病毒传染机理 首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒； 当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中； 完成传染后，继续监视系统的运行，试图寻找新的攻击目标。 文件型病毒传染途径 加载执行文件 浏览目录过程 创建文件过程  破坏模块 破坏是Vxer的追求，病毒魅力的体现 破坏模块的功能 破坏、破坏、还是破坏…… 破坏对象 系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。 破坏的程度 触发模块 触发条件 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡 大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。 而不破坏、不感染又会使病毒失去其特性。 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。 病毒常用的触发条件 日期触发 时间触发 键盘触发 感染触发 例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 启动触发 访问磁盘次数触发 CPU型号/主板型号触发 二、常见计算机病毒的技术特征 驻留内存 病毒变种 EPO（Entry Point Obscuring）技术 抗分析技术（加密、反跟踪） 隐蔽性病毒技术 多态性病毒技术 插入型病毒技术 超级病毒技术 破坏性感染技术 网络病毒技术 1 驻留内存:DOS TSR 1 驻留内存：引导区病毒的内存驻留 大小在1K或者几K 为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。 不用考虑重载。 1 驻留内存：Windows环境下病毒的内存驻留 三种驻留内存的方法 由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数； 另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中； 第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NT／Win2000下的设备驱动程序WDM加载到内存中运行。 防止重载的方法 传统的防止重入方法 禁止启动两个实例 对于VXD病毒 静态加载时，病毒会在“SYSTEM.INI”文件中包含加载设备驱动程序的一行信息； 动态加载时，可能使用某些英特尔CPU的一些特殊状态位来表示病毒是否存在于内存中（CIH病毒就采用了这种方法）。 1 驻留内存：宏病毒