计算机病毒的发展过程解答.ppt

“中国黑客”介绍 2002年6月6日，“中国黑客”病毒出现，它发明了全球首创的“三线程”技术。 主线程：往硬盘写入病毒文件或感染其他执行文件。 分线程1：监视主线程并保证主线程的运行，一旦主线程被清除，这个监视器就将主病毒体再次调入。 分线程2：不断监视注册表的某个值（run项），一旦被人工或反病毒软件修改，他立即重新写入这个值，保证自己下次启动时拿到控制权。 “中国黑客”病毒的特点 很多反病毒软件一般都是直接修改会引起病毒自动加载的注册表选项，但是它没有注意到这个病毒马上又将这个值改回去了。 在传播方式上，“中国黑客”寻找用户邮件地址薄来向外发病毒邮件传播，或通过局域网传播，这一点与求职信病毒非常相似。 另外，在Windows 95/98/Me系统下，“中国黑客”病毒学习了CIH病毒，它取得了系统的最高权限。 此外，“中国黑客”病毒还预留了接口，只要作者愿意的话很多破坏功能与传播方式很快就可以加上。 还有，病毒体内的感染开关没有打开，所以目前此病毒还不能感染文件，但实际上病毒体内的感染代码已经比较完整，加上几行代码就可以实现感染Windows下的.EXE、.DLL、.SCR等文件。 病毒的发展趋势 从以上病毒的发展过程我们可以看出病毒有如下的发展趋势： 病毒向有智能和有目的的方向发展 未来凡能造成重大危害的，一定是“蠕虫”。“蠕虫”的特征是快速地不断复制自身，以求在最短的时间内传播到最大范围。 病毒开始与黑客技术结合，他们的结合将会为世界带来无可估量的损失 病毒的发展趋势 从Sircam、“尼姆达”、“求职信”、“中文求职信”到“中国黑客”，这类病毒越来越向轻感染文件、重复制自身的方向发展。 病毒的大面积传播与网络的发展密不可分 基于分布式通信的病毒很可能在不久即将出现 未来病毒与反病毒之间比的就是速度，而增强对新病毒的反应和处理速度，将成为反病毒厂商的核心竞争力之一。 计算机病毒的种类和数量 Dos病毒 40000多种 Win9x病毒 600多种 winnt/win2000病毒 200多种 Word宏病毒 7500多种 excel宏病毒 1500多种 （ 2000年12月统计数据） powerpoint 病毒 100多种 Script脚本病毒 500多种 macintos苹果机病毒 50种 linux 病毒 5种 手机病毒 2种 合计 550000多种 病毒所采用的技术 花指令 防止静态反汇编 简单自加密 对抗特征值查毒法 多态 poly一般就是用random key加密相同的vir主体代码,解码部分是变化的,存储在磁盘上的代码因此是各不相同，AVER因而就无法简单地根据特征值扫描. 变形（变态） 每传染一次加密算法变化，原病毒体也发生变化 meta就更深入一步,使每次infect后的代码主体都不相同,这样显然使查杀的难度增加.效果比poly好. 一个通俗的比喻poly就是象给相同的芯加了不同的外壳,从外表看来是不一样,但是芯的内容并没有变化,只要击破外壳里面都是一样的,但meta是使整体发生变化,没有完全相同的芯或外壳. 当今的几种典型反病毒技术 特征值技术 虚拟机技术 启发式扫描技术 计算机病毒疫苗 编写Win32病毒的几个关键 Api函数的获取 不能直接引用动态链接库 需要自己寻找api函数的地址，然后直接调用该地址 一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等. 病毒没有.data段，变量和数据全部放在.code段 编写Win32病毒的几个关键 偏移地址的重定位 Call delta delta: pop ebp sub ebp,offset delta 那么变量var1的真正偏移地址为：var1+ebp 对PE文件格式的了解 PE文件格式一览 DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section ... Section n PE header Pe header 由三部分组成 字串 “PE\0\0”（Signature） 映像文件头（FileHeader） 可选映像头（OptionalHeader） 字串 “PE\0\0” Sign