chp3计算机病毒的基本机制.pptVIP

计算机病毒的基本机制 计算机病毒原理－第三章 3.1 计算机病毒的状态 传播过程中存在两种状态 静态病毒 存在于辅助存储介质（如硬盘、软盘、优盘、光盘）中的计算机病毒，一般不能执行病毒的破坏或表现功能 动态病毒 病毒完成初始引导，进入内存后，便处于动态 3.1 计算机病毒的状态 静态病毒 传播只能通过文件下载（拷贝）实现 由于尚未被加载、尚未进入内存，不可能获取系统的执行权限 处于静态的两种可能： 没有用户启动该病毒或运行感染了该病毒的文件 该病毒存在于不可执行它的系统中 （早期DOS病毒不能在Windows中被加载） 3.1 计算机病毒的状态 动态病毒 本身处于运行状态 通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权 病毒的主动传染和破坏作用都是动态病毒的“杰作” 3.1 计算机病毒的状态 病毒的启动 病毒由静态转变为动态的过程 启动过程即为病毒的首次激活过程 内存中的动态病毒分为两种状态 可激活态：内存中的病毒代码能够被系统的正常运 行机制所执行 激活态：系统正在执行病毒代码 动态病毒一般是可激活的 病毒处于激活态时不一定进行传染和破坏 进行传染和破坏时，必然处于激活态 计算机病毒的基本流程与状态转换 3.1 计算机病毒的状态 可激活态的病毒并未获得系统控制权 INT 13H被病毒控制，但如果正常程序不调用INT 13H则病毒无计可施 只能说获得了部分系统控制权，而不是获得了全部系统控制权 病毒处于激活态时真正获得了全部系统控制权 系统当前正在执行的就是病毒代码 病毒几乎能做软件所能做的一切 3.1 计算机病毒的状态 失活态 内存中病毒的一种较为特殊的状态 一般情况下不会出现 由于用户对病毒的干预（杀毒软件或手工方法） 内存中的病毒代码不能被系统的正常运行机制执行 处于失活态的病毒不可能进行传染或破坏 与静态病毒的不同仅在于病毒代码在内存中但得不到执行 如恢复正确中断向量表，则相应动态病毒失活 破坏病毒的可触发性，必定存在外在干预 3.1 计算机病毒的状态 处于不同状态的病毒，应采用不同的分析、清除手段 处于静态的病毒 采用静态代码分析 删除病毒文件或从被感染文件中“摘除”病毒即可 处于动态的病毒 首先对病毒进行“灭活”处理 保证内存干净 着手清除 计算机病毒的基本环节 分发拷贝阶段 病毒处于静态（休眠状态） 主要通过文件下载（拷贝）这种被动方式进行传播 潜伏繁殖阶段 病毒将自身复制到其他程序或磁盘区域上，使之成为新的传染源 破坏表现阶段 触发条件成熟时在系统中爆发 系统因病毒的破坏而表现出各种异常 3.2.1 计算机病毒的基本结构 3.2.2 计算机病毒的逻辑结构 3.2.2 计算机病毒的逻辑结构 既有分工又有合作，互相依靠彼此协调 引导模块是传染模块、破坏模块的基础 破坏模块依赖传染模块扩大攻击范围 传染模块是计算机病毒的核心 有些病毒并没有引导模块 Vienna病毒利用操作系统的加载机制瞬间动态执行感染和破坏表现模块 没有表现性的病毒更增强了隐蔽性 3.2.2 计算机病毒的逻辑结构 感染标志 又称病毒签名 不是所有病毒都有感染标志 病毒程序感染宿主时，把感染标志写入宿主程序，作为该程序已被感染的标记 一些数字或字符串以ASCII码方式存放在程序里 感染程序前进行搜索，看其是否有感染标志 如果有，则说明已被感染，就不再进行感染 如果没有，执行感染 有的病毒反复感染同一程序 3.2.2 计算机病毒的逻辑结构 感染标志不仅能被病毒用来决定是否实施感染，还被病毒用来实施欺骗 4096病毒 常驻内存后，用DIR命令查看目录，则全部染毒文件长度和时间都是感染以前的正常值 内存中没有该病毒时，发现被感染文件长度增长4096B 每感染一个文件，便在其文件目录里做记号 执行DIR命令时，病毒先于系统去查看目录，对感染文件先做处理，而后显示正常值来欺骗用户 3.2.2 计算机病毒的逻辑结构 不同病毒的感染标志的位置、内容都不同 巴基斯坦病毒：引导扇区04H处，内容为1234H 大麻病毒：主引导扇区或引导扇区的0H处，内容为EA 05 00 C0 07 耶路撒冷：染毒文件尾部，内容“MSDOS” 杀毒软件可以将感染标志作为病毒特征码之一 利用病毒根据感染标志是否进行感染这一特征进行免疫（人为、主动添加感染标志） 3.2.2 计算机病毒的逻辑结构 引导模块：染毒后首先运行的模块 检查运行的环境 确定OS类型、内存容量、现行区段、磁盘设置、显示器类型等参数 将病毒引入内存，使病毒处于动态，并保护内存中的病毒代码不被覆盖 设置病毒的激活条件和触发条件，使病毒处于可激活态，以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块 3.2.2 计算机病毒的逻辑结构 感染模块：病毒实施感染动作 寻找感染目标 检查目标中是否存在感染标