黑客大曝光第十一周.ppt

计算机病毒及其防治技术 本周主要内容： 第7章 计算机病毒编制关键技术及典型计算机 病毒 第8章 计算机病毒的检测 第9章 计算机病毒的清除和预防技术 第7章 计算机病毒编制关键技术及典型计算机病毒 7.1 DOS病毒分析 引导型病毒 引导型病毒是指病毒侵入系统引导区，从而引发破坏行为的一种病毒特性。DOS启动时，绝大多数引导型病毒感染硬盘主引导扇区和DOS引导扇区。 引导型病毒是把原来的主引导记录保存后用自己的程序替代掉原来的主引导记录。启动时，当病毒体得到控制权，在做完了处理后，病毒将保存的原主引导记录读入0000：7C00H处，然后将控制权交给原主引导记录进行启动。这类病毒的感染途径是通过磁盘操作引起的。例如，当用一个染毒的系统软盘启动计算机时，就有可能将病毒传染给硬盘，从而引起硬盘引导区染毒；同样，当某软盘在一台染毒的计算机上运行时，硬盘上的病毒就可能感染软盘。 引导型病毒能否成功运行的关键技术涉及有以下几个方面：保存主引导记录、调用BIOS磁盘服务功能、寻找病毒感染途径和病毒驻留位置。 文件型病毒 文件型病毒是DOS病毒中的大家族，文件病毒有广义和狭义之称。广义的可执行文件病毒包括了通常所说的可执行文件病毒、源码病毒，甚至bat病毒和Word宏病毒，狭义的可执行文件病毒即com型和exe型病毒。 文件型病毒的编制方法一般是将病毒程序植入正常程序中或是将病毒程序覆盖正常程序的部分代码，以源文件作为病毒程序的载体，将病毒程序隐藏其间。正常情况下，看不出程序有可变化，当一定的条件满足时，病毒发作，感染和破坏系统。一般作法是利用com或exe文件的文件头，找到可执行文件的入口，将病毒程序安插到程序中，重新设置或修改文件的起始代码，并使其能转到病毒程序运行。病毒程序代码一般分为3个模块：初始设置模块、感染模块和破坏模块。 混合型病毒 所谓混合型病毒，即既能感染引导区，又能感染文件的病毒。但并非将文件型病毒和引导型病毒简单的叠加在一起，其中有一个转换过程，这是最关键的。一般采取以下方法：在文件中的病毒执行时将病毒写入引导区，这是很容易理解的。染毒硬盘启动时，用引导型病毒的方法驻留内存，但此时DOS并未加载，无法修改INT 21中断，也就无法感染文件，可以用这样的办法，修改INT 8中断，保存INT 21中断目前的地址，用INT 8中断服务程序监测INT 21中断的地址是否改变，若改变则说明DOS已加载，则可修改INT 21中断指向病毒传染段。以上是混合型病毒关键之处。 7.2 Windows病毒分析 Windows病毒的特点 主要指针对Windows 9x操作系统的病毒。Windows病毒一般感染Windows 9x系统，其中最典型的病毒有CIH病毒。一些Windows病毒不仅在Windows 9x上正常感染，还可以感染Windows NT上的其他文件。主要感染的文件扩展名为exe、scr、dll、ocx等。 在Windows 95/98/2000/NT中允许 DOS程序和病毒对软盘进行直接读写。这对病毒十分有利，对用户来说是十分不幸的；病毒仍然可以用相同的方式工作，如同在硬盘中工作一样。并且Windows 95/98/2000/NT很少能阻止它。在Windows，许多新手可以用可视化开发工具的高级语言来编写病毒，因为它们更像用户运行的其他程序，因此很难检测出来。 Windows病毒的运行机制 感染 在Windows操作系统中，一般文件型病毒是以PE文件作为病毒代码的寄主程序，病毒的感染过程，就是病毒侵入PE文件的过程。 分配驻留所需内存 在Win 32下，每个应用程序都有自己的线性地址空间，必须使用特殊的函数分配2GB以上的系统地址。 截留FILE I/O操作 驻留型的病毒通过截留FILE I/O来激活，可以通过使用VxD服务IFSMgr_InstallFileSystemAPIHook（如CIH）或截留VxDCall中的DOS Services callback（如HPS）实现。 Windows病毒编制的关键技术 利用Wininit.ini文件技术 　　Wininit.ini文件属于Windows启动配置文件，主要用于对一些在Windows运行过程中无法进行删除、更名或更新等操作的文件在启动过程中进行上述操作，它存在的时间很短，操作完成后即被自动删除。 　　利用PE文件结构 　　　　在Windows 9x/NT/2000下，所有的可执行文件都是基于Microsoft设计的一种新的文件PE格式。有些病毒程序采用同DOS文件型病毒相似的方法攻击PE格式的文件，对PE格式的文件进行修改，使病毒体侵入和隐藏在该类文件中。 　　利用