《软件安全》课件第6章-恶意代码机理分析.pptx

软件安全

章节Part

6.1传统计算机病毒

rt

节

Pa

章

6.1传统计算机病毒

6.1.1计算机病毒概述

定义：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码

·隐藏性

·潜伏性

·可触发性

·破坏性

·传染性等特性

6.1传统计算机病毒

6.1.1计算机病毒概述

根据病毒存在的媒体分类：

●网络病毒：通过计算机网络传播感染网络中的可执行文件；

●文件病毒：感染计算机中的文件(如：COM,EXE,DOC等);

●引导型病毒：感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。

6.1传统计算机病毒

6.1.1计算机病毒概述

根据病毒破坏的能力分类：

●无害型：减小磁盘空间

●无危险型：减少内存，显示特殊图像，播放特殊音效。

●危险型：使计算机发生严重错误。

●非常危险型：删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

6.1传统计算机病毒

6.1.1计算机病毒概述

根据病毒中特定的算法分类：

●伴随型病毒：生成目标EXE文件同样的名字但不同的扩展名(COM)的伴随体。●“蠕虫”型病毒：自我传播

●寄生型病毒：依附在系统的引导扇区或文件中，通过系统的功能进行传播。

●练习型病毒：自身包含错误。

●诡秘型病毒：通过设备技术和文件缓冲区等DOS内部修改。利用DOS空闲的数据区进行工作。

●变型病毒(又称幽灵病毒):每传播—份都具有不同的内容和长度。

云动态

角虫发模块

满足角虫发条件

携毒潜伏或消女

青争态

病毒破皮坏

满足破皮坏条件

携毒潜伏或消背

6.1传统计算机病毒

6.1.2病毒的结构和工作机制

弓病

块染

导毒

模感

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—结构

1、引导模块(主控模块)

●驻留内存

●窃取系统控制权

●恢复系统功能

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—结构

2、感染模块

●被动传染

●主动传染

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—结构

病毒发现被传染的目标时：

①判断感染可能

②进行感染。

③潜伏寻找新目标。

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—结构

文件型病毒传染途径：

①加载执行文件。加载传染方式每次传染一个文件。

②浏览目录过程。用户浏览目录时一次传染所有目标。

③创建文件过程。创建文件时进行传染

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—结构

3、破坏模块(表现模块)

在触发条件满足的情况下，病毒对系统或磁盘上的文件进行破坏活动。

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—结构

4、触发模块

计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。

●日期触发

●时间触发

●键盘触发

●感染触发

●启动触发

●访问磁盘次数触发

●CPU型号/主板型号触发

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—机制

1、感染机制又称传播机制。

病毒程序的宿主(载体):一个合法的程序。

已感染程序执行并检测

在设定次数内循环

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—机制

单次感染

重复性感染

感染目标

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—机制

重复性感染根据感染次数是否有限：

简单重复感染

有限次重复感染

还可分为

变长重复感染

变位重复感染

6.1传统计算机病毒

6.1.2病毒的结构和工作机制—机制

正常引导区012NN+1N+2

MBR或BR

NN+1

MBR或BR病毒尾部

NN+1

病毒体

0

病毒头部

0

指向病毒体的指针

第1种感染方法

第2种感染方法

N+2

N+2

2

2

1

JAMLocVirusor