病毒复习重点.docVIP

病毒复习重点第一章： （5）相对虚拟地址（Relative Virtual Address，RVA）：指内存中相对于PE文件装入地址（基地址）的偏移量（RVA=VA – imagebase）。 （3）判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续； （4）获得Directory(数据目录)的个数，每个数据目录信息占8个字节； （5）得到节表起始位置：Directory的偏移地址+数据目录占用的字节数=节表起始位置； （6）得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)： 节表起始位置+节的个数×(每个节表占用的字节数28H)=目前最后节表的末尾偏移； （7）开始写入节表 ①写入节名(8字节)； ②写入节的实际字节数(4字节)； ③写入新节在内存中的开始偏移地址(4字节)，同时可以计算出病毒入口位置： 上节在内存中的开始偏移地址+(上节大小/节对齐+1)×节对齐=本节在内存中的开始偏移地址； ④写入本节(即病毒节)在文件中对齐后的大小； ⑤写入本节在文件中的开始位置： 上节在文件中的开始位置+上节对齐后的大小=本节(即病毒)在文件中的开始位置； （8）修改映像文件头中的节表数目； （9）修改AddressOfEntryPoint(即程序入口点指向病毒入口位置)，同时保存旧的AddressOfEntryPoint，以便返回HOST继续执行； （10）更新SizeOfImage(内存中整个PE映像尺寸=原SizeOfImage+病毒节经过内存节对齐后的大小)； （11）写入感染标记(后面例子中是放在PE头中)； （12）写入病毒代码到新添加的节中： ECX=病毒长度 ESI=病毒代码位置(并不一定等于病毒执行代码开始位置) EDI=病毒节写入位置(后面例子是在内存映射文件中的相应位置) （13）将当前文件位置设为文件末尾。 第三章：特洛伊木马 一、特洛伊木马的概念、特洛伊木马的特点 （1）定义：特洛伊木马(Trojan Horse)，简称木马： 是一种恶意程序； 是一种基于远程控制的黑客工具； 为攻击者提供远程访问和控制系统的权限，进而使攻击者在用户的计算机中修改文件、注册表、控制鼠标、监视/控制键盘，或窃取用户信息等。 采用伪装、欺骗等手段进入被攻击的计算机系统中，窃取信息，实施远程监控； 主要意图：窃取信息与数据。 为广义病毒。 木马：一般不具有自我复制、主动感染传播特点。 （2）特点：没有复制能力；伪装、欺骗能力；里应外合完整的木马程序由两个部分组成：服务端（被控制端）、客户端（控制端）。 二、特洛伊木马的结构 木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 三、运用木马实施网络入侵的过程 （1）配置木马；（2）传播木马；（3）运行木马；（4）信息反馈；（5）建立连接；（6）远程控制。 四、木马控制端与服务端连接的建立 （1）端口反弹型木马连接 1.半反弹型连接 入侵者连接“肉鸡”，向其发送指令。 目标机器连接“肉鸡”后，将会收到这个指令。 目标机器解析命令后，将会连接入侵者的机器。这样，一个端口反弹型通信就建立起来。 2.全反弹型连接 入侵者连接“肉鸡”，向其发送指令。 目标机器连接“肉鸡”后，将会收到这个指令。 指令被解析后在目标机器上执行，然后将执行结果传回“肉鸡”。 五、获得服务端的IP地址的方法 通过信息反馈或端口扫描获取服务器IP地址。 六、木马常用的传播方式 （1）邮件附件 控制端将木马伪装之后添加到附件中，发送给收件人。 （2）OICQ、QQ等聊天工具软件传播 在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方。 （3）通过提供软件下载的网站(Web/FTP/BBS)传播： 木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马。 （4）通过一般的病毒和蠕虫传播 （5）通过带木马的磁盘和光盘进行传播等。 七、木马的隐藏方式 在任务栏里隐藏 在任务管理器里隐藏 定制端口：控制端攻击者可以在1024~65535间任选一个端口作为木马端口。 隐藏通讯 新型隐身技术 八、木马的启动方式 （1）集成(捆绑)到合法的应用程序中：应用程序启动，则木马也被启动；即使木马被删除，运行捆绑了木马的应用程序，木马又被安装。 （2）隐藏在开机自动加载的系统配置文件中： 如：Autoexec.bat、Winstart.bat和Config.sys中 （3）隐藏在能够设置开机启动项的文件中： 如：Win.ini（[Windows]字段中的load，run命令） System.ini（[boot]字段等） （4）隐藏在应用程序的启动配置