病毒的逻辑结构与基本讲解.ppt

第十讲 病毒的逻辑结构与基本机制 一. 计算机病毒的状态与基本环节 1.1 计算机病毒的状态 计算机病毒在传播中存在两种状态：静态和动态。 静态病毒 动态病毒 病毒处于静态的原因： 没有用户启动该病毒或运行感染了该病毒的文件 该病毒存在于不可执行它的系统中 内存中的动态病毒的两种状态：激活态和灭活态。 病毒的引导：病毒由静态变为动态的过程。 病毒的首次激活过程：病毒的引导过程。 一. 计算机病毒的状态与基本环节 1.2 计算机病毒的基本环节 分发拷贝阶段 潜伏繁殖阶段 破坏表现阶段 二. 计算机病毒的基本结构 2.1 一个简单的计算机病毒 下面是一个DOS批处理病毒源程序autoexec.bat（假设从A盘启动） ECHO OFF IF EXIST c:\autoexec.bat GOTO Virus GOTO No_Virus :Virus c: REN autoexec.bat auto.bat COPY a:\autoexec.bat c:\ ECHO Hello World! 二. 计算机病毒的基本结构 :No_Virus a: ECHO ON /AUTO PAUSE 二. 计算机病毒的基本结构 2.2 计算机病毒的逻辑结构 感染标志 引导模块 感染模块 破坏模块 三. 计算机病毒的传播机制 3.1 病毒实施感染的前提条件 病毒在什么情况下有可能被首次执行？ 染有引导型病毒的磁盘在启动计算机时，病毒被执行。 文件型病毒的病毒代码在执行染毒文件时被执行。 初始化批处理启动病毒，或利用系统初始化配置文件 的启动项启动病毒。 Win32病毒借助Windows注册表的特殊键值，在启动 Windows时随之启动。 病毒感染的一个必要条件：有传染目标－－病毒宿主。 三. 计算机病毒的传播机制 3.2 病毒的感染对象和感染过程 1. 感染对象 目前出现的计算机病毒来看，其寄生对象主要有： 寄生在磁盘引导扇区 寄生在可执行文件中 传染方式 传染：计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。 促使病毒传染的两种情况：被动传染和主动传染。 三. 计算机病毒的传播机制 传染过程 被动传染的传染过程 主动传染的传染过程 感染过程分为两类：立即传染和驻留内存并伺机传染。 计算机病毒感染的过程： 当宿主程序运行时，截取控制权 寻找感染的突破口 将病毒代码放入新的宿主程序 病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点。 三. 计算机病毒的传播机制 3.3 引导型病毒传染机理 引导型病毒的工作原理是基于操作系统的上电或重启算法。 引导型病毒感染硬盘的方式： 感染主引导扇区 感染活动分区引导扇区 3.4 文件型病毒传染机理 3.5 混合感染和交叉感染 四. 文件型病毒的感染方式 4.1 寄生感染 4.2 无入口点感染 4.3 滋生感染 4.4 链式感染 4.5 OBJ、LIB和源码的感染 五. 计算机病毒的触发机制 病毒常用的触发条件： 日期触发 时间触发 键盘触发 感染触发 启动触发 访问磁盘次数/调用中断功能触发 CPU型号/主板型号触发 打开或预览Email附件触发 随机触发 六. 计算机病毒的破坏机制 计算机病毒的破坏机制在设计原则，工作原理上与传染机制相似，也是通过修改某一中断向量入口地址，使该中断向量指向病毒程序的破坏模块。 这样当被加载的程序或系统访问该中断向量 时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏。 计算机病毒的破坏行为体现了病毒的杀伤力 病毒的破坏程度取决于： 六. 计算机病毒的破坏机制 病毒常见的攻击部位和破坏目标： 攻击系统数据区 攻击文件 攻击内存 干扰系统运行 扰乱输出设备 扰乱键盘 七. 计算机病毒程序结构示例 病毒名称：Win32.Funlove4608(4099) 病毒类型：文件型 Funlove病毒是一个Win32pe病毒，因病毒体内含有字符串~Fun Loving Criminal~而命名为Funlove病毒。属驻留内存、感染文件型，感染EXE、SCR、OCX三种类型的文件，被感染文件增长4099字节，病毒进驻系统后将会在Windows的System目录下建立flcss.exe文件，是病毒本身的点滴器，长度4608字节。 七. 计算机病毒程序结构示例 Funlove病毒可以通过局域网进行传播，当染毒程序运行后，该病毒将创建一份名为“flcss.exe的文件，放在当前Windows系统的System目录下（NT系统中为Syste