04-病毒.ppt

信息对抗技术 韩 宏 病毒攻防 什么是病毒 病毒是什么？病毒就是一个具有一定生物病毒特性，可以进行传播、感染的程序。 依赖的环境 1 计算机体系结构依赖 感染apple II的elk cloner就不能感染ibm的pc 采用pseuodformat的方式产生了intel体系上，跨越windows和linux的病毒mental driller。 2 Cpu依赖 不同的cpu的操作码不一样。对于intel nop指令是0x90; vax上是0x1.因此，大部分被翻译成2进制形式的病毒无法跨越cpu感染。 cpu不是100%的向后兼容。Finnploy病毒就不能在386上运行，因为该处理器错误地执行了call sp指令。 3 操作系统依赖 因为操作系统上，机制发上了变化。直接设备访问，无法发生在NT上，而可以发生在DOS中。Pe格式的文件在dos下就不支持。用结构化异常陷入内核的技巧就只能在win98下使用。用结构化异常将错误处理定向到栈的技术就不能在windows server 2003上使用。 4 文件系统依赖 对于不关心文件存储格式的大多数病毒而言，文件系统的差异没有关系。而有些病毒非常依赖实际的文件系统。 簇病毒，整个硬盘上只有一个病毒拷贝。 NTFS流病毒，为了支持APPLE的分层文件系统，文件可以包含多个流。 NTFS压缩病毒。利用其压缩特性对宿主和病毒程序进行压缩。 ISO镜像文件病毒。当AUTORUN.INF被执行时，运行被感染的可执行文件。Zombie在2002年开发的。 5 文件格式依赖 dos下的com病毒，这是一种没有特殊格式的二进制文件 dos下的exe病毒。 16位windows和os2上的NE格式的病毒 os2上的LX病毒。 WIN32上的PE病毒： 动态链接库病毒，如Happy99通过将钩子注入到wssock32.dll来挂接connet和send从而监控邮件的访问。Native 病毒, 访问native api的病毒 UNIX上的ELF病毒，问题是不同的UNIX间的二进制文件缺乏兼容性，难以交叉传染 设备驱动程序病毒，在WIN9X下感染VXD文件，而NT上感染PE文件。Infis就是感染nt的病毒，在内核下感染文件。另外一个是w32/kick病毒。一般他们主要通过挂接中断INT 2E来感染文件 目标文件和库文件病毒： 1、被感染可执行文件在主机上运行 2、定位并感染新的目标文件 3、被感染目标文件被用户链接形成新的被感染的目标文件。 1993年的SHIFTER是一个代表。但这种类型的病毒非常少，只有10来个 6 解释环境依赖 大的应用程序都会提供用户可编程的支持。比如，OFFICE。而为了灵活性，有许多解释型脚本语言，例如PYTHON。总之，解释环境渗透到许多方面。 依赖解释环境本身的平台跨越性，病毒也获得了二进制形式下难以获取的平台跨越能力。 微软产品中的宏病毒 IBM系统中的REXX病毒 DEC/VMS上的DCL病毒 UNIX上的SHELL脚本（csh, ksh, bash）一般是通过脚本来安装自己。 Windows下的vbscript病毒 批处理病毒 mIRC , PIRC脚本中的即时消息病毒 Superlogo病毒 Jscirpt病毒 Perl病毒 Python病毒 TCL病毒 PHP病毒 MapInfo病毒 Windows帮助文件病毒。 7 漏洞依赖 8 JIT依赖 有感染MSIL的病毒，还有替换入口点代码的病毒 9 档案文件格式依赖 10 网络协议依赖性， 例如father christmas攻击的是DECNET对Internet无用。 11源代码依赖 当被感染的源文件编译执行后，病毒将寻找其他的c源文件并感染他们。病毒源代码通常被定义为一个字符串。Subit使用一个拼接的字符串定义其源代码 源代码木马 只感染源代码的思想来自ken Thomson，自己能打印自己源代码的程序。并给了一个插入木马的例子。当开源代码流行后，这个问题会更加明显。 12调试器依赖性 有的病毒依赖安装好的调试器，通常是dos下的debug.exe. 13 编译器和链接器依赖 有的病毒为了提高其兼容性，采用了将自己的源代码复制到目标机，然后再编译的方法。例如slapper蠕虫就是在linux上复制并用gcc编译。 14 设备翻译层依赖 例如window ce下 cef格式 病毒感染技术 1 引导区病毒 感染引导区，从而得以执行的病毒。 在软盘的第一个扇区，硬盘的0号磁头，0号磁道，1号扇区内，有一个MBR(master boot record)主引导纪