13、系统恶意程序1教程解析.pptVIP

第13章 计算机恶意程序与病毒 二、系统驻留型病毒（一） 正常 引导扇区 正常 引导扇区 病毒 程序入口被篡改为一条转移指令如：JMP xxxx 对MBS和DBS类似 病毒体程序嵌入正常引导扇区后部 第13章 计算机恶意程序与病毒 二、系统驻留型病毒（二） 正常 引导扇区 正常引导扇区 引导扇区被篡改为病毒程序，病毒程序执行完后调用正常引导扇区。 对MBS和DBS类似 病毒程序 第13章 计算机恶意程序与病毒 二、系统驻留型病毒（三） 正常 引导扇区 正常 引导扇区 病毒引导程序 程序入口被篡改为一条转移指令如：JMP xxxx 对MBS和DBS类似 病毒体引导程序嵌入正常引导扇区后部，再读入另一段病毒程序。 磁盘上另一段病毒体 读入内存 第13章 计算机恶意程序与病毒 三、混合驻留型病毒 正常 引导扇区 正常 引导扇区 病毒引导程序 程序入口被篡改为一条转移指令如：JMP xxxx 对MBS和DBS类似 病毒体引导程序嵌入正常引导扇区后部，再读入病毒程序文件。 病毒程序文件 读入内存 第13章 计算机恶意程序与病毒 二、计算机病毒的入侵机制 1.直接注入 别有用心者施放，软盘、软件传播。 2.预置注入 通过固件方式和微电子方式, 利用智能型可控硬件产品、部件带入或安装在系统中, 形成所谓特洛依木马式的特殊程序。当这些部件组成的产品进入对方系统, 将形成长期的潜在威胁, 特殊工作只需依靠某种方式激发预置的程序而已。 第13章 计算机恶意程序与病毒 3.无线注入 通过无线通信方式，利用战时无线通信系统，远距离地将计算机病毒代码 发送并进入敌方接收系统，继而进入中央指挥系统或者其他子系统，完成潜伏或直接作用。这种方式的关键是收发双方的 同步，利用正常通信方式进入对方系统。 第13章 计算机恶意程序与病毒 4.有线注入 主要是经网络的病毒注入。由于网络空间是一个人人都可进入的自由流动区，具有特殊发明创造力的计算机黑客(Hacker)总会找到进入网络系统的入口。而公共信息网络与国家专用信息网络的互连, 打开了从不敏感部门进入敏感部门的大门。因此，军事系统受到入侵和进攻的可能性大大存在。 第13章 计算机恶意程序与病毒 三、计算机病毒的潜伏机制 可能的藏身之处 磁盘文件、磁盘结构(主引导、次引导、FAT、ROOT、UMB和HMA)、保留扇区、超越扇区、磁盘间隙、CMOS等。 网络文件、电子邮件、邮件附件等。 1MB 00000 0A000 常规内存 基本内存 上位 存储区 1088K 高端存储区 ETM/EPM 64K 384K 640K 实模式 显示存储器 ROMBIOS 第13章 计算机恶意程序与病毒 0A000 Top Base 640KB 00000 Top和Base是两个指针，规定了应用程序装入的存储区范围，其值存放在00413地址（0280）。如果病毒侵入，可将top指针下移至top1，该区域被病毒程序占据，并不会被新调入的程序覆盖。应用程序区域缩小。 Top1 病毒程序 操作系统 应用程序 第13章 计算机恶意程序与病毒 转移到病毒程序执行： MOV SI, 0413 ; 指向0:0413字节 XOR DI, DI ; DS:SI=0:0413 MOV DS, DI ; 0:0413中内容为0280 DEC WORD PTR [SI]；减去1K字节 LODSW ; 将027F取到 AX中 MOV CL, 06 ; CL=06 SHL AX, CL ; 左移6位=9FC0 PUSH AX ; 压入返回段地址9FC0 PUSH DI ; 压入返回位移量0000 RETF ; 转移到9FC0:0000地址 第13章 计算机恶意程序与病毒 0面0道1扇区 MBS 1面0道1扇区 DBS MBS：Main Boot Sector 主引导扇区 DBS：DOS Boot Secotor 次引导扇区 FAT FAT Root （系统保留扇区 62个） 病毒藏身之地 Data 第13章 计算机恶意程序与病毒 四、计算机病毒的感染机制 1.重复感染 计算机病毒的重复感染是指同一种病毒连续感染，在病毒载体上形成连续