专题报告-台北大学资工系.DOC

國立台北大學資訊工程學系專題報告 專題報告 新型病毒設計與實作 專題組員:李家豪 指導老師:張仁俊老師 專題編號:PRJ-xxxx-xx-xxx 執行期間:97年3月 至97年12月1.摘要 自從20世紀80年代中發現第一種病毒以來，電腦病毒的數量急遽增長。目前無數的病毒、蠕蟲及木馬等惡意程式存在於全球網路中，對企業及個人造成無數的威脅。其中有如CIH病毒，在1998年6月開始被注意後，曾感染全球約6000萬臺電腦，還造成高達10億美元的商業損失，更獲選2006年7月Varbusiness前10大電腦病毒排行榜之中，而其作者就是當年就讀於大同工學院的陳盈豪。 對於病毒，相信絕大多數的人都是聞之色變，我想，與其去逃避它、恐懼它，不如學著嘗試去了解它知道它是如何運作和發作，還有如何逃避防毒程式的檢查等。並嘗試看看有沒有辦法可以自己製作一個簡單的病毒在OS上運作，我相信對於病毒和作業系統還有硬體的方面都會有更進一步的了解。 2.簡介 一般來說，根據電腦病毒所影響的方式，約可區分為三大類，概述如下： 開機型病毒(Boot-type virus)開機型病毒，顧名思義就是透過開機而傳染的病毒，它會感染磁碟的啟動磁區(Boot Sector)或是硬碟分割表(Partition Table)。 當使用者用有毒的磁片或是硬碟開機，那麼整個作業系統將會處於病毒控制之下，一般來說，開機型病毒的種類不及檔案型病毒來得多，如果不幸中開機型病毒的話，也較容易殺掉，不過它所造成的災害卻比檔案型來得嚴重 ，一次很可能就毀掉整個硬碟。 檔案型病毒(File-type virus)從字義上來看，就是純粹感染檔案的病毒，所感染的檔案類型大部份是可執行檔，如.COM、.EXE、SYS、BAT、OVL等。當使用者中毒之後，只要再執行其他的程式，病毒就會把自己複製到程式之中，如此不斷的複製與感染，病毒便可以永久生存下去。別以為一個檔案只會中一種病毒，其實一個檔案有可能會中很多個病毒。檔案型的病毒較難加以清除，因為檔案型病毒的感染方式有千百種，而且很可能一次就有好幾百個檔案中毒 。開機與檔案複合型病毒(multip-partitevirus)就是綜合開機型以及檔案型特性的病毒，此種病毒透過這兩種方式來感染，更加速了病毒的傳染性以及存活率。不管是被那一種方式傳染到，只要中毒就會經由開機或是執行程式而感染其他的磁片或檔案，此種病毒也是最難殺掉的。 現在公認的電腦病毒定義是指可分解成下面三個功能的程式：複製部分、隱藏部分、破壞部分，具有這三種特點的程式就是病毒程式 3.1複製性 病毒的複製功能確保了病毒程式具有某種傳播能力。病毒複製方法可以分為兩類，分別是檔案傳染和啟動磁區（boot sector）複製 3.2隱藏性 為了在儲存介質上及記憶體中運行時隱藏自己，病毒的程序一般都很小，多數病毒用組合語言編寫。隱藏性使病毒程式可以暗中修改系統對檔案或啟動磁區的試用訊息，使它看起來與原始的沒有被傳染的訊息一樣，也可以透過修改DIR和MEM等程式的報告訊息實現。 病毒程式的編寫者也很重視加密的優點，加密後的病毒使得相應的檢測工作更加困難，但不是不可能，因為許多病毒程式都是使用簡單的加密法和相同的密鑰，如果能夠得到解密密鑰，就可以用密鑰檢測出所有可能出現的病毒程式。即使不破解出密鑰，密文序列也會成為防毒軟體用於檢測病毒程式的特徵碼。 3.3破壞性 電腦病毒的破壞性表現，在占用CPU和記憶體資源直到癱瘓，或是破壞硬碟數據等等。多數破壞性表現在執行一項惡意任務，如Windows應用程式可以通過直接對記憶體和中斷向量表進行尋址，這樣雖然可以避開作業系統，提高應用程式性能，但也為電腦病毒程式的破壞系統提供了溫床，雖然大多數病毒程式攻擊的是電腦軟體系統，但也有些病毒程式(CIH)也會損壞電腦物理設置。 3.專題進行方式 以Windows為平台，以組合語言編寫，使用MASM611進行組譯，文字編輯上使用UltraEdit32或簡單的windows記事本，並使用windows cmd內建的debug.exe進行除錯及反組譯之工作。另外，在觀察檔案變化時使用UltraEdit32來觀察檔案之機械碼變化。 首先了解病毒之基本運作的原理及基本的實作方法，並開始嘗試寫出一個簡單的病毒，接著再試著將病毒之病毒碼隱藏起來，最後測試能否逃過防毒程式之檢查。 我所做的病毒是一個在DOS下才可執行的檔案型病毒，在每次執行時會自己搜尋附近可感染的.EXE檔並感染之。 以下就病毒之三大特性討論之： 複製性 在每次執行受病毒感染的檔案時，病毒會搜尋所在資料下的.EXE檔，修改.EXE檔之檔頭，標下病毒標記，隨後將自身寫入到病毒之結尾。因此