第十讲 计算机病毒机理分析.ppt

病毒隐藏机制 隐藏技术 文件隐藏 进程隐藏 * 文件隐藏 修改文件的系统隐藏的属性 通过Hook(“挂钩”或“钩子”)系统一些关键的API来实现文件的隐藏 在对特定的系统事件进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改) * 进程隐藏 进程插入 系统的挂钩机制 * 病毒破坏机制 破坏机制 单机式硬件式的破坏 * 网络式信息式的破坏 攻击系统数据区 破坏文件 攻击内存 干扰系统运行 速度下降 攻击磁盘 扰乱屏幕显示 键盘 喇叭 攻击CMOS 干扰打印机 破坏行为: 破坏系统文件 窃取用户信息 导致用户的网络异常 谢谢！ * * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware 为加载exe程序，MS-DOS首先读文件头以确定exe标志并计算程序映像的大小，然后它试图申请内存。首先，它计算程序映像文件的大小加上PSP的大小，再加上EXEHEADER结构中的exMinAlloc域说明的内存大小这3者之和。如果总和超过最大可用内存块的大小，则MS-DOS停止加载程序并返回一个出错值。否则，它计算程序映像的大小加上PSP的大小再加上EXEHEADER结构中exMaxAlloc域说明的内存大小之和，如果第二个总和小于最大可用内存块的大小，则MS-DOS分配计算得到的内存量。否则，它分配最大可用内存块。+ 分配完内存后，MS-DOS确定段地址，也称为起始段地址，MS-DOS从此处加载程序映像。如果exMinAlloc域和exMaxAlloc域中的值都为零，则MS-DOS把映像尽可能地加载到内存最高端。否则，它把映像加载到紧挨着PSP域之上。 接下来，MS-DOS读取重定位表中的项目调整所有由重定位指针说明的段地址。对于重定位表的每个指针，MS-DOS寻找指针映像中相应的可重定位段地址，并把起始段地址加到它之上。一旦调整完毕，段地址便指向了内存中被加载程序的代码和数据段。MS-DOS在所分配内存的最低部分建造256B的PSP，把AL和AH设置为加载com程序时所设置的值。MS-DOS使用文件头中的值设置SP与SS，调整SS初始值，把起始地址加载到它之上。MS-DOS还把EX和DS设置为PSP的段地址。最后，MS-DOS从程序文件头读取CS和IP的初始值，把起始段地址加到CS之上，把控制转移到位于调整后的地址处的程序。 * * * 本过程主要由ntldr 文件完成 * * Windows启动完成 * * * * * * * * Step5：内核加载过程 将内核（ntoskrnl.exe）和硬件抽象层（hal.dll）载入到内存 加载控制集信息 ntldr从注册表中的HKEY_LOCAL-_MACHINE\SYSTEM位置加载相应的控制集（Control Set）信息，并确定在启动过程中要加载的设备驱动 加载设备驱动程序和服务 系统会在BIOS的帮助下开始加载设备驱动程序、服务 启动会话管理器 内核会启动会话管理器（Session Manager）,即smss.exe （1）创建系统环境变量 （2）创建虚拟内存页面文件 * Step6:用户登录过程 Windows 子系统会启动winlogon.exe（服务）用于提供对Windows 用户的登录和注销的支持 一个图形化的识别和认证组件收集用户的帐号和密码，然后传送给LSA以进行认证处理 通过认证，允许用户对系统进行访问 * Step7:即插即用设备的检测过程 对新设备进行检测和枚举 为新设备分配系统资源 为新设备安装一个合适版本的驱动程序 * 计算机病毒特性 计算机病毒与反病毒技术 计算机病毒只有当它在计算机内得以运行时，才具有传染性和破坏性等活性 反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权 * 病毒特征－传染性 病毒的基本特征 通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序 * 病毒特性－潜伏性 第一表现： 病毒程序需用专用检测程序才能检查出来 可以躲在磁盘呆上几天，甚至几年 时机成熟，四处繁殖、扩散 第二表现 病毒内部有一触发机制 不满足触发条件时，计算机病毒除了传染外不做什么破坏 满足触发条件,有的在屏幕上显示信息、