计算机病毒的典型机制.pptVIP

计算机病毒的典型机制 2011年2月 计算机病毒的典型作用机制 1、计算机病毒的作用机制 工作机制 感染过程 引导机制 感染机制 破坏机制 触发机制 （1）工作机制 （2）感染过程 例：黑色星期五病毒进入内存后，开始监视系统的允许，发现目标，进行如下操作： （1）判断是否已经被感染； （2）满足条件，利用INT 13H——读写磁盘的中断，将病毒嵌入目标中； （3）继续监视系统。 Begin If（infectable_object_found） And (object_not_already_infected) Then (infect_object) end （3）引导机制 驻留内存 窃取系统控制权 恢复系统功能 病毒的引导机制 寄生对象有两种 磁盘引导扇区 可执行文件 寄生方式有两种 替代法：替代部分内容 链接法：在正常程序的首部、中间、尾部 引导区病毒引导过程 搬迁系统引导程序-〉替代为病毒引导程序 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向系统引导程序-〉引导系统 系统检测程序检测系统的基本设备 检测正常后，从系统盘0面0道1扇区读入Boot引导程序到内存中0000:7C00处； 转入Boot执行 Boot判断是否为系统盘，读取系统文件 执行系统文件，将COMMAND.COM装入内存 系统正常运行 例：感染病毒DOS启动过程－病毒获得控制权 将Boot中病毒代码读入内存0000:7C00 病毒将自身全部代码读入内存中某一安全区域，常驻内存 修改INT 13H中断服务处理程序的入口地址，指向病毒模块、执行； 在将正常的Boot内容读入0000:7C00，进行正常启动。 例：用被感染的软盘启动 引导型病毒从软盘加载到内存 病毒寻找DOS引导区的位置 病毒程序将DOS引导区移动到别的位置 病毒将字节写入原来DOS引导区的位置 文件型病毒引导过程 修改入口指令-〉替代为跳转到病毒模块的指令 执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向程序的正常执行指令-〉执行程序 （4）感染机制 被动感染 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。 主动感染 以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。 感染染过程 系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染 感染染方式 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。 文件型病毒感染机理 首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒； 当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中； 完成传染后，继续监视系统的运行，试图寻找新的攻击目标。 文件型病毒感染途径 加载执行文件 浏览目录过程 创建文件过程  例：系统文件传染 利用开机引导时，窃取INT 13H中断服务权，系统运行过程中监控磁盘操作，在读写时，对磁盘的引导文件进行检查，传染。 例：文件型病毒传染 判断是否感染 利用INT 13H完成嵌入工作 继续监视系统，伺机传染 （5）破坏机制 一般通过修改某一中断，使其指向病毒程序的破坏模块 实现的方式多样和系统等相关 关键是操作权利 对象丰富 Begin If (trigger_status_is yes) Then (execute_payload) end 破坏模块 破坏对象 系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。 破坏的程度 （6）触发机制 触发条件 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡 大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。 而不破坏、不感染又会使病毒失去其特性。 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。 病毒常用的触发条件 日期触发 时间触发 键盘触发 感染