第三章 计算机病毒结构分析(1).pptVIP

第三章 计算机病毒结构分析 本章学习目标 掌握计算机病毒的结构 掌握计算机病毒的工作机制 了解引导型病毒原理 了解COM、EXE、NE、PE可执行文件格式 掌握COM文件病毒原理及实验 掌握PE文件型病毒及实验 总体概念 DOS是VXer的乐园(Aver) 9x病毒 ring3, ring0 2K病毒 主要是ring3 Windows文件格式变迁： COM EXE:MZ-NE-PE Vxd: LE(16Bit, 32Bit) 一、计算机病毒的结构和工作机制 四大模块： 感染模块 触发模块 破坏模块（表现模块） 引导模块（主控模块） 两个状态： 静态 动态 工作机制 引导模块 引导前——寄生 寄生位置： 引导区 可执行文件 寄生手段： 替代法（寄生在引导区中的病毒常用该法） 链接法（寄生在文件中的病毒常用该法） 引导过程 驻留内存 窃取系统控制权 恢复系统功能 引导区病毒引导过程 搬迁系统引导程序-〉替代为病毒引导程序 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向系统引导程序-〉引导系统 文件型病毒引导过程 修改入口指令-〉替代为跳转到病毒模块的指令 执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向程序的正常执行指令-〉执行程序 感染模块 病毒传染的条件 被动传染（静态时） 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。 主动传染（动态时） 以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。 传染过程 系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染 传染方式 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。 文件型病毒传染机理 首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒； 当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中； 完成传染后，继续监视系统的运行，试图寻找新的攻击目标。 文件型病毒传染途径 加载执行文件 浏览目录过程 创建文件过程  破坏模块 破坏是Vxer的追求，病毒魅力的体现 破坏模块的功能 破坏、破坏、还是破坏…… 破坏对象 系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。 破坏的程度 触发模块 触发条件 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡 大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。 而不破坏、不感染又会使病毒失去其特性。 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。 病毒常用的触发条件 日期触发 时间触发 键盘触发 感染触发 例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 启动触发 访问磁盘次数触发 CPU型号/主板型号触发 二、16位操作系统病毒编制技术 1 引导型病毒编制原理 2 COM、EXE、NE文件结构及运行原理 3 COM文件病毒原理 1 引导型病毒编制原理 PC引导流程 2COM\EXE\NE文件结构及运行原理 COM格式 最简单的可执行文件就是DOS下的以COM(Copy Of Memory)文件。 COM格式文件最大64KB，内含16位程序的二进制代码映像，没有重定位信息。 COM文件包含程序二进制代码的一个绝对映像，也就是说，为了运行程序准确的处理器指令和内存中的数据，DOS通过直接把该映像从文件拷贝到内存来加载COM程序，系统不需要作重定位工作。 加载COM程序 DOS尝试分配内存。因为COM程序必须位于一个64K的段中，所以COM文件的大小不能超过65,024（64K减去用于PSP的256字节和用于一个起始堆栈的至少256字节）。 如果DOS不能为程序、一个PSP、一个起始堆栈分配足够内存，则分配尝试失败。 否则，DOS分配尽可能多的内存（直至所有保留内存），即使COM程序本身不能大于64K。 在试图运行另一个程序或分配另外的内存之前，大部