计算机病毒机理分析详细分析.pptVIP

通过修改系统配置文件自启动 Win.ini [windows] load file.exe run file.exe这两个变量用于自动启动程序 * System.ini [boot] Shell Explorer.exe file.exe Shell变量指出了要在系统启动时执行的程序列表 上述的变量在默认情况下是不存在于这两个文件中的 通过系统启动文件夹自启动 系统启动文件夹的位置可以通过如下注册表键获得： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup 可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置要执行的程序的路径 * 病毒隐藏机制 隐藏技术 文件隐藏 进程隐藏 * 文件隐藏 修改文件的系统隐藏的属性 通过Hook “挂钩”或“钩子” 系统一些关键的API来实现文件的隐藏 在对特定的系统事件进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序 如:木马 就会收到系统的通知，这时程序就能在第一时间对该事件做出响应 木马程序便抢在函数返回前对结果进行了修改 * hook是什么？ 在windows2000以后的系统中，普通用户程序的进程空间都是独立的，程序的运行彼此间都不受干扰。这就使我们希望通过一个程序改变其他程序的某些行为的想法不能直接实现，但是hook的出现给我们开拓了解决此类问题的道路。 通过api hook，改变一个系统api的原有功能。基本的方法就是通过hook“接触”到需要修改的api函数入口点，改变它的地址指向新的自定义的函数。 * 进程隐藏 进程插入 系统的挂钩机制 * 病毒破坏机制 破坏机制 单机式硬件式的破坏 * 网络式信息式的破坏 攻击系统数据区 破坏文件 攻击内存 干扰系统运行 速度下降 攻击磁盘 扰乱屏幕显示 键盘 喇叭 攻击CMOS 干扰打印机 破坏行为: 破坏系统文件 窃取用户信息 导致用户的网络异常 谢谢！ * * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware 为加载exe程序，MS-DOS首先读文件头以确定exe标志并计算程序映像的大小，然后它试图申请内存。首先，它计算程序映像文件的大小加上PSP的大小，再加上EXEHEADER结构中的exMinAlloc域说明的内存大小这3者之和。如果总和超过最大可用内存块的大小，则MS-DOS停止加载程序并返回一个出错值。否则，它计算程序映像的大小加上PSP的大小再加上EXEHEADER结构中exMaxAlloc域说明的内存大小之和，如果第二个总和小于最大可用内存块的大小，则MS-DOS分配计算得到的内存量。否则，它分配最大可用内存块。+ 分配完内存后，MS-DOS确定段地址，也称为起始段地址，MS-DOS从此处加载程序映像。如果exMinAlloc域和exMaxAlloc域中的值都为零，则MS-DOS把映像尽可能地加载到内存最高端。否则，它把映像加载到紧挨着PSP域之上。 接下来，MS-DOS读取重定位表中的项目调整所有由重定位指针说明的段地址。对于重定位表的每个指针，MS-DOS寻找指针映像中相应的可重定位段地址，并把起始段地址加到它之上。一旦调整完毕，段地址便指向了内存中被加载程序的代码和数据段。MS-DOS在所分配内存的最低部分建造256B的PSP，把AL和AH设置为加载com程序时所设置的值。MS-DOS使用文件头中的值设置SP与SS，调整SS初始值，把起始地址加载到它之上。MS-DOS还把EX和DS设置为PSP的段地址。最后，MS-DOS从程序文件头读取CS和IP的初始值，把起始段地址加到CS之上，把控制转移到位于调整后的地址处的程序。 * * * 本过程主要由ntldr 文件完成 * * Windows启动完成 * * * * * * * * Step4:检测和配置硬件过程-- N N 会收集如下类型的硬件信息： 1.系统固件信息，例如时间和日期等 2.总线适配器的类型 3.显卡适配器的类型 4.键盘 5.通信端口 6.磁盘 7.软盘 8.输入设备，例如鼠标 9.并口 10.安装在ISA槽中的ISA设备 * ISA ISA插槽是基于ISA总线（Industrial Standard Architecture，工业标准结构总线）的扩展插槽，其颜色一般为黑色，比PCI接口插槽要长些，位于主板的最下端。其工作频率为8MHz左右，为16位插槽，最大传输率16