第9讲 病毒和反病毒技术.pptVIP

HW 1. 调研360杀毒有哪些引擎，每种引擎的原理是什么？ 2. 沙盒技术的原理是什么？ 3. 根据杀毒软件运行的原理，分析为什么多款杀毒软件共存在一台计算机上会产生什么情况。  计算机病毒原理傀儡进程运行过程 傀儡进程启动后首先调用两个函数提升自身权限。 计算机病毒原理傀儡进程运行过程 之后获取计算机名并动态获取CreateToolhelp32Snapshot地址 挂钩CreateToolhelp32Snapshot 计算机病毒原理傀儡进程运行过程 被Hook后的CreateToolhelp32Snapshot会跳转作用为检测自身是否被修改以及破坏电脑将在最后提到破坏功能） 计算机病毒原理傀儡进程运行过程 释放资源，ID分别为1006?1007?1008，资源内容如下图 计算机病毒原理傀儡进程运行过程 传入RSADec函数的四个参数为（1007资源数据,1007资源大小,1006资源数据，1006资源大小） 调用RSA后解密的数据为.in(后门地址) 通过遍历进程查找Chrome、Firefox以及IE浏览器 计算机病毒原理傀儡进程运行过程 查找到以上进程存在后会在远程进程中申请一段内存，并根据.reloc中的重定位表修复重定位信息 计算机病毒原理傀儡进程运行过程 再次将自身代码注入到浏览器进程并调用CreateRemoteThread运行远程线程。CreateRemoteThread的lpStartAddress参数会根据不同的浏览器传不通的偏移作为线程起始地址： 计算机病毒原理傀儡进程运行过程 不同浏览器Hook的网络发包函数也不同 Google?Chrome浏览器(chrome.exe)：WSASend Firefox浏览器(firefox.exe)：nss3.dll或者nspr4.dll中的PR_Write 计算机病毒原理傀儡进程运行过程 不同浏览器Hook的网络发包函数也不同 IE浏览器(iexplore.exe)：HttpSendRequestW 拿IE为例被Hook后的HttpSendRequestW一旦执行，则会在真正的HttpSendRequestW执行之前将数据发送到.in/don1/gate.php 计算机病毒原理傀儡进程运行过程 被Hook后的CreateToolhelp32Snapshot在被调用时执行真正代码之前会先进查PE结构中的FileStamp中的值是否和资源中解密出来的相同，如果不同，则会首先尝试写入MBR（主引导记录） 计算机病毒原理自爆过程 写入的数据内容 被写入MBR后重启计算机会看到如下提示 计算机病毒原理自爆过程 如果MBR写入失败，则会进入另一个破坏流程，加密文件。首先获取登录用户所在路径，如C:\Documents and Settings\Administrator\，然后查找该目录下所有文件。 计算机病毒原理自爆过程 排除exe、dll、vxd等类型后缀名后进入加密流程（也就是说主要破坏文档、图片等所有非PE文件），读取文件内容后对内容加密并写回到源文件。 计算机病毒原理自爆过程 计算机病毒原理总结 Rombertik病毒会注入浏览器窃取受害者上 网信息，包括账号密码等敏感数据，严重威胁广大网友的账号和财产安全。其特点在于关键代码采用乱序引擎，大大提高分析成本和门槛，且“自我保护”意识很 强，一旦检测自身受到威胁则会开启破坏模式。 计算机病毒原理后记 赛门铁克的研究人员认为“自毁”功能针对的是那些试图使用、修改这款木马的人。Rombertik的作者把它卖给其他犯罪团伙，而这些被传播的版本的二进制代码中包含CC服务器的地址，这使得客户不能更改。很多黑客会尝试反编译而使用“盗版”恶意软件，他们试图更改CC地址为自己的，并逃避向Rombertik团队支付费用。 病毒生成者也要注意知识产权的保护啊。 病毒简介 几个名词 木马——来自“特伊诺木马”，指深入到内部进行攻击与破坏的行为。现在的木马程序一般是指，利用系统漏洞或用户操作不当进入用户的计算机系统，通过修改启动项目或捆绑进程方式自动运行，运行时有意不让用户察觉，将用户计算机中的敏感信息都暴露在网络中或接受远程控制的恶意程序。 计算机病毒传播动力学模型模型背景 随着计算机网络的飞速发展，病毒对计算机网络与系统的威胁也在逐步上升，因此找到一种有效地方法来研究并预测病毒的传播规律迫在眉睫。 针对该问题，相关学者将生态学方法引入网络建模中，建立了一种仿生态的网络信息运转机制。引入了生物学的传染病模型来进行计算