病毒技术与杀毒软件原理.docVIP

病毒技术与杀毒软件原理 1. 常识： 1.1 计算机之所以能完成一系列的操作，其实是在执行程序员为其编写的一系列指令，通过执行这些指令来完成操作。而病毒也是一组由病毒编写者为计算机精心编写的指令。只不过这段指令会造成计算机或用户的损失，所以称之为病毒（跟“感冒”一样，呜呜）。 1.2 EXE（可执行应用程序）、SYS（驱动文件）、DLL（动态链接库）：这三类文件在编程界中程为PE （“portable executable”，可移植的可执行文件），这些文件中有自己的格式，由不同的数据类型组成。这些数据类型中包含着文件加载时需要的信息。如效验标志：MZ、PE。 1.3 OEP：一个程序启动时执行第一条指令的地址。 1.4 病毒和木马的区别：大部分病毒与木马都是用来破坏系统与盗取用户信息的，反正都不是什么好货，你懂的。。。。 1.5 DLL劫持技术：Windows加载器将可执行模块映射到进程的地址空间时，会设法找出该程序依赖的所有动态库并把它们加载到进程的控制，如果我们伪造一个类型的动态库的话，那可执行文件就会加载我们自己的DLL，就达到了劫持的目的。 1.6 病毒库：病毒库是针对特征码扫描技术编写的一个庞大的数据库，里面存放了大量病毒文件的特征码。 1.7 加壳：加壳分为几种，有压缩壳、加密壳、保护壳、捆绑壳。 1.7.1压缩壳：大家都用过压缩软件吧。一些很大的程序因为网络传输速率原因，通常会将压缩后在发布到网上供大家下载。压缩壳也是一样，可以把一些较大的程序通过壳的作者自己的一套算法将文件变小。 1.7.2加密壳：一些商业软件中经常会有些不希望别人看到的东西，逆向工程师会通过逆向分析来得到这些数据，加密壳就是用来保护这些商业、私人秘密不被泄露的。它在软件内部通过加花（加花的原理就是：原本你从碧机关走到车家壁要10分钟，但加花后出现了很多路，虽然终点不变，但拖慢了你到达的时间）或修改关键地点指令将代码保护起来，达到加密的目的。 1.7.3保护壳：与加密壳类似 捆绑壳：将一个PE文件捆绑到另外一个文件中，其目的是在这个文件运行时，PE文件也跟着运行（这种技术一般在病毒中运用广泛） 1.7.4不管加什么壳，最终都要保证程序能正常运行。否则都是浮云 1.8 脱壳： 脱壳说通俗点就是把别人穿好的衣服在扒下来（这是通俗还是粗俗。。额。。。我考虑下。。） 1.9 免杀： 免杀，顾名思义就是让杀毒软件不对你的软件进行报毒。 2. 病毒发展 从病毒发展至今经过多个时代的演变与发展，从DOS、Linux到现今最常用的Windows。本文仅讲解Windows平台下的病毒。 2.1 病毒种类 2.1.1病毒种类分为：感染型、破坏型、窃似型、混合型等。其中感染型最难清除，破坏型以及窃似型对计算机用户的危害更大。 2.1.1.1感染性的病毒有：U盘病毒、LPK病毒、PE文件感染病毒、压缩包感染病毒等。这类病毒将自身或自身的一部分带破坏性质的功能增加到新文件或宿主文件中，以至于某些杀毒软件清除后依然残留一些病毒样本在计算机中。如若不慎，病毒将死灰复燃，继续感染计算机。如LPK病毒，这种病毒是个DLL动态链接库，该动态库就运用了“常识”中的DLL劫持技术，它会感染rar压缩包，如果压缩包中某个地方存在EXE可执行文件的话则在这个地方增加一个相同的LPK.DLL文件。有些杀毒软件不会扫描压缩包，那么当你解压后运行EXE文件，这个病毒LPK就将执行。 可幸的是这些病毒一般来说不会造成过大的经济损失。 2.1.1.2破坏性、窃似型病毒有：MBR病毒、远程控制、盗号木马、键盘记录等。 这类病毒一般自我保护较强，通常会运行新颖技术阻止杀毒软件的运行。下面将一一介绍。 2.1.1.3 MBR病毒：它通过驻留硬盘0柱面0磁道1扇区这个位置，因为其比操作系统更先运行，所以可以进行随意操控系统，到达控制系统的目的，在这种情况下，杀毒软件也无济于事。 2.1.2远程控制：这类程序通常称为木马程序，其原理通过Socket 进行远程控制。主要作用为：下载文件、上传文件，远程修改注册表，远程执行cmd指令，远程屏幕监控，音频监控，远程摄像头监控，远程键盘记录等等。其危害较大，大家可以想象一下，如若您在家躺在床上登陆QQ时，别人正在千里之外通过音频监控听着您放着的歌、通过屏幕监控看着您屏幕上的每一步操作，通过键盘记录查看到您按下的每一个密码，通过摄像头监控看到您刚睡醒时的样子，通过文件管理系统找到你电脑里所有的电影格式的文件（嘿嘿，你懂的！！）那将会是什么样。如果你觉得QQ不值钱，那么网银呢？。。。。。所以说这类软件的危害较大，但如果您没有联网的话这类病毒