计算机安全22病毒分析.pptVIP

计算机安全技术 计算机病毒分析 1 计算机病毒的状态 计算机病毒在传播过程中存在两种状态，即静态和动态 静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载(拷贝)实现 因为静态病毒尚未被加载、尚未进入内存，不可能获取系统的执行权限 病毒之所以处于静态，有两种可能 没有用户启动该病毒或运行感染了该病毒的文件 该病毒存在于不可执行它的系统中 当病毒完成初始引导，进入内存后，便处于动态。动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用，都是动态病毒的“杰作” 1 计算机病毒的状态 计算机病毒的基本流程与状态转换 病毒由静态转变为动态的过程，称为病毒的启动。实际上，病毒的启动过程就是病毒的首次激活过程 内存中的动态病毒又有两种状态：可激活态和激活态。 当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于可激活态 一般而言，动态病毒都是可激活的 系统正在执行病毒代码时，动态病毒就处于激活态 病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态 对于处于不同状态的病毒，应采用不同的分析、清除手段 1 计算机病毒的状态 2 计算机病毒的基本环节 计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节： 分发拷贝阶段 潜伏繁殖阶段 破坏表现阶段 在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒 我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延 病毒的目的 快速传染 隐藏自己 变形 病毒感染的一般过程 　　计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机，并借助操作系统和宿主程序的运行，复制自身，大量繁殖。计算机病毒感染的一般过程为： ① 当计算机运行染毒的宿主程序时，病毒夺取控制权。 ② 寻找感染的突破口。 ③ 将病毒程序嵌入感染目标中。 文件型病毒传染原理和特征 核心态与用户态 操作系统代码、设备驱动程序代码使用特权级0(Ring 0)，工作于系统核心态 普通的用户程序使用特权极3(Ring 3) ，工作在用户态 获取API函数地址 Win32程序一般运行在Ring 3级，处于保护模式 Win32下的系统功能调用，不是通过中断实现，而是通过调用动态连接库中的API函数实现 Win32 PE病毒和普通Win32 PE程序一样需要调用API函数实现某些功能，但是对于Win32 PE病毒来说，它只有代码节，并不存在引入函数节 病毒就无法象普通PE程序那样直接调用相关API函数，而应该先找出这些API函数在相应DLL中的地址 搜索感染目标文件 搜索文件是病毒寻找目标文件的非常重要的功能 在Win32汇编中，通常采用如下几个API函数进行文件搜索 FindFirstFile 根据文件名查找文件 FindNextFile 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件 FindClose 用来关闭由FindFirstFile函数创建的一个搜索句柄 病毒感染技术 感染是一个病毒赖以长期存活的根本，所以要大规模的搜索，感染感染再感染！ FindFirstFile，FindNextFile，FindClose，除非你hook了某些系统API（参考Win32.Kriz)，否则这三个API是Win32病毒必备的、搜索再搜索，感染再感染。 目前Win32病毒分为两个主流，一类最常见，覆盖host程序最后一个section的relocation，或者干脆直接缀在最后一个section后面，把它扩大一些。这种技术很简单，例子可参见Funlove，有着复杂的polymorphism引擎，体积比较大的病毒一般也都用这种技术。 第二类就是像Elkern那样把自己尽可能地插进host体内，尽可能地插，对于VC编译出来的PE文件，它的file alignment是4K，所以section之间的空隙加起来很可能有4，5K，足可以容下一个Win32病毒。这种技术比较麻烦一些，调试也复杂，主要流行的有Elkern。 蠕虫传染原理 蠕虫与漏洞 网络蠕虫最大特点是利用各种漏洞进行自动传播 根据网络蠕虫所利用漏洞的不同，又可以将其细分 邮件蠕虫 主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议)漏洞 蠕虫与漏洞 网页蠕虫（木马） 主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种 用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作