计算机病毒 教学课件PPT 3-计算机病毒的基本机制.pptVIP

计算机病毒Computer Virus 汪洁 jwang@ 计算机病毒的结构 ECHO ON REM 文件名 VIRUS.BAT REM 本病毒感染自动执行批处理文件 IF DRIVE==A:\ GOTO END123 IF DRIVE==C:\ GOTO END123 IF %COMSPEC%==C:\WINDOWS\COMMAND.COM SET DRIVE=A:\ IF %COMSPEC%==A:\COMMAND.COM SET DRIVE=C:\ IF NOT EXIST %DRIVE%AUTOEXEC.BAT GOTO END123 COPY VIRUS.BAT %DRIVE%NUL ECHO CALL VIRUSTMP.DAT COPY %DRIVE%AUTOEXEC.BAT+TMP.DAT %DRIVE%AUTOEXEC.BAT NUL DEL TMP.DATNUL Echo BAT Virus Test! I will format your Disk! :END123 ECHO ON 计算机病毒的结构 触发机制： 这部分主要用来控制病毒的传播和发作。触发机制所设的条件不能太苛刻，也不可以太宽松。 传播机制： 这部分主要负责病毒的感染和传播。 表现机制： 这个模块也称为破坏模块。 第三章 计算机病毒的基本机制 计算机病毒状态 计算机病毒的三种机制 计算机病毒的传播机制 计算机病毒的触发机制 计算机病毒的破坏机制 计算机病毒状态 计算机病毒在传播中存在静态和动态两种状态。 静态病毒,指存在于辅助存储介质(如软盘、硬盘、磁带、CD-ROM)上的计算机病毒。 动态病毒，指进入了计算机内存的计算机病毒，它必定是随病毒宿主的运行，如使用寄生了病毒的软、硬盘启动机器，或执行染有病毒的程序文件时进入内存的。 计算机病毒状态 内存中的动态病毒又有两种状态：能激活态和激活态。 能激活态:当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于能激活态。 激活态:系统正在执行病毒代码时，动态病毒就处于激活态。 计算机病毒状态 一般认为病毒链接到中断向量或块设备驱动程序上，成功地驻留内存后，病毒就获得了系统控制权。实际上，处于“能激活态”的病毒并未获得系统控制权。 内存中的病毒还有一种较为特殊的状态——失活态。 如果用户把中断向量表恢复成正确的值，修改中断向量表的动态病毒就失活了； 如果用户把设备驱动程序头恢复成正确的值，修改设备驱动程序头的动态病毒就失活了。 计算机病毒的三种机制 病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。 病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成，相应为传染机制、触发机制和破坏机制三种。有的病毒不具备所有的模块，如：巴基斯坦智囊病毒没有破坏模块。 感染模块 感染模块是病毒进行感染动作的部分，负责实现感染机制。感染模块的主要功能： 寻找一个可执行文件。 检查该文件中是否有感染标记。 如果没有感染标记，进行感染，将病毒代码放入宿主程序。 感染模块 小球病毒的传染： 读入目标磁盘的自举扇区（BOOT区）。 判断是否满足传染条件。 若满足（目标盘BOOT区的01FC偏移位置为5713H标志），则将病毒代码前512个字节写入BOOT引导程序，将其后512个字节写入该簇，并将该簇标记为坏簇，保护起来。 跳转至原INT 13H 的入口执行正常的磁盘操作。 触发模块 触发模块根据预定条件满足与否，控制病毒的感染或破坏动作。依据触发条件的情况，可以控制病毒感染和破坏动作的频率，使病毒在隐蔽的状态下，进行感染和破坏动作。 触发模块 病毒的触发条件有多种形式，例如：日期、时间、发现特定程序、感染的次数、特定中断调用的次数等。 病毒触发模块主要功能： 检查预定触发条件是否满足。 如果满足，返回真值。 如果不满足，返回假值。 破坏模块 破坏模块负责实施病毒的破坏动作。其内部是实现病毒编写者预定破坏动作的代码。这些破坏动作可能是破坏文件、数据。破坏计算机的空间效率和时间效率或者使机器运行崩溃。有些病毒的该模块并没有明显的恶意破坏行为，仅在被传染的系统设备上表现出特定的现象，该模块有时又被称为表现模块。 攻击目标分类 攻击系统数据区；攻击文件；攻击内存；干扰系统运行；攻击CMOS和BIOS数据；干扰外部设备；破坏网络系统 主控模块 主控模块在总体上控制病毒程序的运行。其基本动作如下： 调用感染模块，进行感染。 调用触发模块，接受其返回值。 如果返回真值，执行破坏模块。 如果返回假值，执行后续程序。 病毒程序结构 Program Virus:= { Subrout