[所有分类]典型病毒分析1.ppt

病毒的主/子行为类型及其对应关系 Worm Trojan 的子行为类型 Spy PSW DL IMMSG MSNMSG QQMSG ICQMSG UCMSG Proxy Clicker Dialer Hack 宿主文件类型 主名称 病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。 版本信息 版本信息只允许为数字，对于版本信息不明确的不加版本信息。 主名称变种号 确为是同一家族病毒的条件: 病毒的主行为类型、行为类型、宿主文件类型、主名称均相同 . 举例说明 Trojan.DL.VBS.Agent.cgk Trojan.PSW.ZhengTu.afl Worm.Mail.Bagle.ld Worm.MSN.Kelvir.i Backdoor.Agobot.ius Hack.DDoSer.Boxed.bc * * 典型病毒分析 ——计算机病毒基础知识 初步了解信息安全 信息安全涉及的三个方面 信息安全的核心： 操作系统、网络系统与数据库管理系统是信息系统的核心技术，没有系统的安全就没有信息的安全。 “数据恢复”都能做些什么？ 被删除或被病毒破坏的数据文件 由于磁盘损坏造成的数据丢失 格式化硬盘或重装系统时忘记了备份重要数据 加密了的文件忘记了密码 分区结构损坏造成的数据丢失 可以恢复的数据类型： 各种数据、正文、图形、图像、声音等形式的多媒体数据文件、软件或各种文档资料，也包括存放或管理这些信息的硬件信息 现阶段病毒疫情发展趋势 数量的暴增： 利用加壳等手段“产业化、自动化生产 病毒”。2007年瑞星截获病毒样本数高达917839个，比去年增加70%。其中木马和后门病毒占总体病毒的84.5%，总数约为77万。 2007年全国约有7300多万台电脑（包含企业用户）曾经被病毒感染。 以盗取网络游戏帐号为目的编写的“网游盗号木马”病毒成为新的毒王，“QQ通行证”病毒和“灰鸽子”分列第二、第三位。 何为计算机病毒？ 人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可以自我复制的计算机程序或者指令集合都是计算机病毒。 计算机病毒的特征 计算机病毒的表现性体现：“中国黑客”病毒 计算机病毒的表现性体现：“女鬼”病毒 计算机病毒的表现性体现：“白雪公主”病毒 计算机病毒的结构 计算机病毒的程序结构 计算机病毒的存储结构 计算机病毒程序的组成部分： 引导部分－将病毒主题加载到内存，为传染部分做准备。 传染部分－将病毒代码复制到传染目标。 表现部分 破坏部分 计算机病毒的存储结构 磁盘结构简介： MBR－主引导记录（Main Boot Record） DBR－系统引导记录（Dos Boot Record） FAT－文件分配表（File Allocation Table） FDT－文件目录表（File Directory Table） DATA 磁盘逻辑结构——逻辑寻址 数据区 分区表 DBR(逻辑分区的第一个扇区) 文件分配表 FAT 文件目录表 FDT 文件块存放的位置 文件属性（名称，生成日期等） MBR MBR称为硬盘主引导记录，它是由FDISK建立在柱面0、磁头0，扇区1的磁盘引导记录数据区 DBR DBR是经由FORMAT高级格式化写到磁盘逻辑0扇区上的，主要功能是完成DOS系统的自举。 FDT表和FAT表 FDT表和FAT表是FAT文件系统组织结构的两个组成部分，FDT中记录了文件的名字、起始地址等信息，FAT记录了文件在磁盘上的具体位置。 硬盘分区总体结构示意图 系统型病毒的磁盘存储结构 指传染硬盘主引导区或DOS引导扇区的病毒 病毒程序被划分为两个部分，第一部分存放在磁盘引导区，第二部分存放在磁盘的其它扇区中并标记为坏簇（簇号存放在磁盘的偏移地址01F9处）。 文件型病毒的磁盘存储结构 依附于宿主文件的首部、尾部、中部或“空闲”部位，病毒程序没有独立占用磁盘上的空白簇。 空闲扇区 尾 正常文件 头 病毒程序 计算机病毒的种类 计算机病毒的命名 组成病毒名称的六个字段： 主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号 * *