第8章 病毒及恶意软件防护1.ppt

第8章 病毒及恶意软件的防护 传播病毒的文件可以分为三类： 1）可执行文件，即扩展名为.EXE，.PE，.SYS等的文件。 2）文档文件或数据文件，例如Word文档，Exel文档，Accss数据库文件。宏病毒（Macro）就感染这些文件。 3）Web文档，如.html文档和.htm文档。已经发现的Web病毒有HTML/Prepend和HTML/Redirect等。 文件传染可能采用如下一种方式： 1）驻留（Resident）复制：复制病毒装入内存后，发现另一个系统运行的程序文件后进行传染。 2）非驻留（Non-resident）复制：病毒选择磁盘上一个或多个文件，不等它们装入内存，就直接进行感染。 第8章 病毒及恶意软件的防护 （2）引导扇区传染 系统型病毒利用在开机引导时窃取int 13H控制权，趁读写磁盘的时机读出磁盘引导区，把病毒写入磁盘第一个扇区，染毒的磁盘在软件交流中又会传播其他计算机。所以，不需要用户执行磁盘上任何被感染的程序，只要有访问磁盘的操作，就可以进行复制。 引导型病毒是驻留在硬盘的主引导分区或硬/软盘的DOS引导分区的病毒。它的感染过程分两大步：装入内存和攻击。 第8章 病毒及恶意软件的防护 （1）装入内存过程： 1） 系统开机后，进入系统检测，检测正常后，从0面0道1扇区，即逻辑0扇区读取信息到内存的0000~7C00处： 正常时，磁盘0面0道1扇区，即逻辑0扇区存放的是boot引导程序； 操作系统感染了引导扇区病毒时，磁盘0面0道1扇区，即逻辑0扇区存放的是病毒引导部分，boot引导程序被放到其他地方。例如，大麻病毒在软盘中将原DOS引导扇区搬移到0道1面3扇区，在硬盘中将原DOS引导扇区搬移到0道0面7扇区；香港病毒则将原DOS引导扇区搬移到39磁道第8扇区；Michelangelo病毒在高密度软盘上，是第27扇区，在硬盘上是0道0面7扇区。 第8章 病毒及恶意软件的防护 2）系统开始运行病毒引导部分，将病毒的其他部分读入到内存的某一安全区，常驻内存，监视系统的运行。 3） 病毒修改INT 13H中断服务处理程序的入口地址，使之指向病毒控制模块并执行，以便必要时接管磁盘操作的控制权。 4） 病毒程序全部读入后，接着读入正常boot内容到内存0000:7C00H处，进行正常的启动过程（这时病毒程序已经全部读入内存，不再需要病毒的引导部分）。 5） 病毒程序伺机等待随时感染新的系统盘或非系统盘。 第8章 病毒及恶意软件的防护 （2）攻击过程。 病毒程序发现有可攻击的对象后，要进行下列工作： 1）将目标盘的引导扇区读入内存，判断它是否感染了病毒。 2）满足感染条件时，将病毒的全部或一部分写入boot区，把正常的磁盘引导区程序写入磁盘特定位置。 3）返回正常的INT 13H中断服务处理程序，完成对目标盘的传染过程。 第8章 病毒及恶意软件的防护 （3）网络及电子邮件传播 与文件传播和引导扇区传播不同，由于数据共享和相互协作,网络传播是将病毒直接通过网络传染到目标机系统。 例如：脚本病毒直接通过自我复制感染文件，病毒中的绝大部分代码可以直接附加在同类程序中间。例如，新欢乐时光病毒是将自己的代码附加在.htm的尾部，并在顶部加入一条调用病毒代码的语句；而爱虫病毒则直接生成一个文件的副本，将病毒代码嵌入其中，同时将原文件名作为病毒文件的文件名前缀，以vbs作为后缀。 第8章 病毒及恶意软件的防护 （2） 键盘触发:当敲入某些字符时触发。 AIDS病毒，在敲如A、I、D、S时发作（敲入某些字符时触发 ）。 Devil’s Dance病毒在用户第2000次击键时被触发（以击键次数为激发条件）。 Invader病毒在按下Ctrl+Alt+Del键时发作（组合键为激发条件）。 第8章 病毒及恶意软件的防护 （3） 感染触发：以感染文件个数、感染序列、感染磁盘数、感染失败数作为触发条件。 Black Monday病毒在运行第240个染毒程序时被激活； VHP2病毒每感染8个文件就会触发系统热启动操作等。 （4） 启动触发：以系统的启动次数作为触发条件。 Anti-Tei和Telecom病毒当系统第400次启动时被激活。 2708病毒当系统启动次数达到32次时被激活，发起对串、并口地址的攻击。 第8章 病毒及恶意软件的防护 （5） 访问磁盘次数触发：以对磁盘I/O访问的次数作为触发条件。 （6） 调用中断功能触发：以中断调用的次数作为触发条件。 （7） CPU 型号/主板型号触发 ：以CPU和主板的型号作为触发条件。 第8章 病毒及恶意软件的防护 8.3.2 计算机病毒技巧 俗