4312 零长度感染.ppt

《计算机病毒分析与对抗》第四讲计算机病毒的基本机制 武汉大学计算机学院 彭国军 guojpeng@whu.edu.cn 引言 据瑞星全球反病毒监测网统计数据显示，新病毒的数量正在逐年递增，并且增长速度越来越快。 2004年上半年，瑞星截获新病毒11835个 2005年同期，新病毒数为26927个 而2006年上半年，新截获的病毒数量飙升到了119402个，相当于过去几年截获病毒数量的总和。 与此同时，计算机病毒的目的性和功利性也越来越强，某些病毒的直接目的就是敲诈勒索钱财。 病毒编写者不再单纯炫耀技术，获取经济利益几乎成为他们编写病毒的唯一目的，“偷”、“抢”、“骗”已经成为目前计算机病毒的主要特征。 课前我们应该思考的问题 计算机病毒如何存在于我们的计算机系统之中？ 病毒如何传播？ 病毒如何被触发？ 病毒给我们带来了什么？ 本讲的内容提纲 4.1 计算机病毒状态 4.2 计算机病毒的三种机制 4.3 计算机病毒的传播机制 4.4 计算机病毒的触发机制 4.5 计算机病毒的破坏机制 4.1 计算机病毒状态 计算机病毒在传播中存在静态和动态两种状态。 静态病毒,指存在于存储介质(如软盘、硬盘、磁带、CD-ROM、U盘、MP3、移动硬盘等)上的计算机病毒。 动态病毒，是指已经开始运行的计算机病毒。 因为获取当前登陆帐号权限的不同，病毒的状态再次分为： 受限状态（执行部分病毒功能） 非受限状态（执行所有病毒功能） 4.2 计算机病毒的三种机制 病毒程序是一种特殊程序，其最大特点是具有自我传播能力。 病毒程序一般由传播模块、触发模块、破坏模块、主控模块组成，相应为传染机制、触发机制和破坏机制三种。 有的病毒不具备某些模块。譬如有些演示性的概念病毒没有破坏模块。 传播模块 传播模块用来搜索目标进行病毒的自我传播。 网络传播 文件感染 通过移动介质复制传播 … 触发模块 触发模块根据预定条件满足与否，控制病毒的传播或破坏动作。依据触发条件的情况，可以控制病毒传播和破坏动作的频率，使病毒在隐蔽的状态下，进行感染和破坏动作。 病毒的触发条件有多种形式，例如：日期、时间、发现特定程序、感染的次数、特定中断调用的次数等。 破坏模块（表现模块） 破坏模块负责实施病毒的破坏动作，其实现病毒编写者预定破坏动作的代码。 这些破坏动作可能是破坏文件、数据，或者盗用用户的相关信息，监视用户的用机行为。或破坏计算机的空间效率和时间效率或者使机器运行崩溃…… 有些病毒的该模块并没有明显的恶意破坏行为，仅在被传染的系统设备上表现出特定的现象，该模块有时又被称为表现模块。 在目前的流行病毒中，病毒的目的性和功利性很强。它们极力地在在系统中隐藏自己，尽量不与系统发生各种冲突，以便于有效地达到自己的目标。 有时候，因受环境和病毒作者技术实力影响，有些破坏动作也许并非病毒作者有意实施的。 伪语言编写的病毒程序 program Virus：＝ { Subroutine infect_executable：＝ { loop：file＝Random_executable; if first_1ine of file＝1234567 then got0 loop; append virus to file; } Subroutine Do_Damage：＝{…} /*whatever damage is desired*/ Subroutine trigger pulled：＝ {Return true on desired condition;} main_program：＝ { infect_executable; if trigger pulled then Do_Damage; Goto next; Next： } } 4.3 计算机病毒的传播机制 4.3.1 病毒感染目标和过程 4.3.2 感染长度和感染次数 4.3.3 引导型病毒的感染 4.3.4 寄生感染 4.3.5 插入感染和逆插入感染 4.3.6 链式感染 4.3.7 破坏性感染 4.3.8 滋生感染 4.3.9 没有入口点的感染 4.3.10 OBJ、LIB和源码的感染 4.3.11 混合感染和交叉感染 4.3.12 零长度感染 4.3.1 病毒感染目标和过程 目标 引导扇区(MBS+DBR) 覆盖文件(OVL) 可执行文件（EXE、COM、SCR…) 数据文件（DOC、DOT、XML、PPT…） 网页文件 移动存储设备 远程主机系统 … 感染宿主程序的常用手段 修改中断的感染方式 4.3.2 感染长度和感染次数 病毒感染