計(jì)算機(jī)病毒原理與防范基礎(chǔ).ppt

《計(jì)算機(jī)病毒原理與防范基礎(chǔ).ppt》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《計(jì)算機(jī)病毒原理與防范基礎(chǔ).ppt（22頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

計(jì)算機(jī)病毒原理與防范,胡繼榮制作,病毒起因計(jì)算機(jī)病毒的起因多種多樣，有的是計(jì)算機(jī)工作人員或業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制造出來(lái),有的則是為防止自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰。一般可分為這樣幾種情況：,,,1.惡作?。好绹?guó)康奈爾大學(xué)的莫里斯，編寫(xiě)蠕蟲(chóng)程序肇事后，被稱(chēng)為電腦奇才，一些公司出高薪爭(zhēng)相聘用他。,2.加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國(guó)一家電腦商店的兩兄弟編寫(xiě)，目的是追蹤軟件產(chǎn)品的非法用戶(hù)。,3.游戲程序起源：1960年美國(guó)人約翰康維在編寫(xiě)生命游戲程序時(shí)，萌發(fā)了程序自我自制技術(shù)。其程序運(yùn)行時(shí)屏幕上有許多生命元素圖案在運(yùn)動(dòng)變化，元素在過(guò)于擁擠和稀疏時(shí)都會(huì)因缺少生存條件而死亡，只有處于合適環(huán)境中的元素才能自我復(fù)制并進(jìn)行傳播。,4.政治、經(jīng)濟(jì)和軍事：一些組織和個(gè)人也會(huì)編制一些程序勝于進(jìn)攻對(duì)方電腦，給對(duì)方造成災(zāi)難或直接經(jīng)濟(jì)損失。,,病毒與計(jì)算機(jī)犯罪,莫里斯事件：1988年11月2日，康奈爾大學(xué)計(jì)算機(jī)科學(xué)系研究生羅但特.莫里斯制造的蠕蟲(chóng)案件。震蕩波事件：2004年德國(guó)18歲的技校生為顯示自己的才能,用自己組裝的電腦編寫(xiě)了一個(gè)名為“震蕩波”的程序。該病毒不是通常意義上的病毒，而是一種以某種程序語(yǔ)言編寫(xiě)的程序文本。造成了全球巨大經(jīng)濟(jì)損失。美國(guó)德?tīng)査娇展救∠苣┤亢桨?、歐萌委員會(huì)1200臺(tái)計(jì)算機(jī)失靈、芬蘭一家銀行關(guān)閉全部營(yíng)業(yè)處?；炜徒^情炸彈：2001年由黑龍江17歲的高中學(xué)生池某制造。,什么是計(jì)算機(jī)病毒,感染標(biāo)記：即病毒簽名。常以ASCⅡ方式放在程序里。破壞模塊：實(shí)現(xiàn)病毒編寫(xiě)者預(yù)定的破壞動(dòng)作代碼。觸發(fā)模塊：根據(jù)預(yù)定條件是否滿(mǎn)足，控制病毒的感染或破壞。主控模塊：包括調(diào)用感染模塊,進(jìn)行感染；調(diào)用觸發(fā)模塊，接受其返回值；根據(jù)返回值決定是否執(zhí)行破壞。,分類(lèi)方法有很多。根據(jù)攻擊系統(tǒng)分類(lèi)：攻擊DOS型、攻擊WINDOWS型、攻擊UNIX型、攻擊OS/2型。根據(jù)攻擊機(jī)型分：微型計(jì)算機(jī)病毒、小型計(jì)算機(jī)病毒、工作站病毒。根據(jù)病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統(tǒng)型。按破壞情況分:良性病毒、惡性病毒按傳播媒介分:單機(jī)病毒、網(wǎng)絡(luò)病毒,計(jì)算機(jī)病毒的特點(diǎn),可執(zhí)行性傳染性潛伏性可觸發(fā)性破壞性攻擊主動(dòng)性針對(duì)性非授權(quán)性隱蔽性衍生性寄生性不可預(yù)見(jiàn)性欺騙性持久性,計(jì)算機(jī)病毒的結(jié)構(gòu),計(jì)算機(jī)病毒的分類(lèi),,計(jì)算機(jī)病毒技術(shù)基礎(chǔ),文件系統(tǒng),馮.諾依曼體系結(jié)構(gòu),WINDOWS程序工作原理,磁盤(pán)結(jié)構(gòu),計(jì)算機(jī)病毒的制造、傳染和發(fā)作，依賴(lài)于具體的計(jì)算機(jī)硬件與軟件，必須符合這些硬件和軟件系統(tǒng)的規(guī)范要求，而這些規(guī)范要求實(shí)際就是計(jì)算機(jī)病毒的技術(shù)基礎(chǔ)。不同的計(jì)算機(jī)硬件環(huán)境、不同的軟件環(huán)境，都會(huì)制造出不同的病毒。了解和掌握計(jì)算機(jī)硬件與軟件的基礎(chǔ)知識(shí)，對(duì)我們分析了解計(jì)算機(jī)病毒技術(shù)的特點(diǎn)、工作原理是十分必要的。,馮.諾依曼機(jī)體系結(jié)構(gòu),馮.諾依曼是是20世紀(jì)最杰出的數(shù)學(xué)家之一，于1945年提出了“程序內(nèi)存式”計(jì)算機(jī)的設(shè)計(jì)思想。這一卓越的思想為電子計(jì)算機(jī)的邏輯結(jié)構(gòu)設(shè)計(jì)奠定了基礎(chǔ)，已成為計(jì)算機(jī)設(shè)計(jì)的基本原則。馮.諾依曼式計(jì)算機(jī)的硬件由五大部件構(gòu)成：,,磁盤(pán)結(jié)構(gòu),了解磁盤(pán)的結(jié)構(gòu)及其數(shù)據(jù)組織的特點(diǎn)，對(duì)于檢測(cè)和預(yù)防計(jì)算機(jī)病毒具有十分重要的意義。,硬盤(pán)盤(pán)面以轉(zhuǎn)軸中心為圓心，被均勻地劃分成若干個(gè)半徑不等的稱(chēng)為磁道的同心圓，不同盤(pán)面上的相同直徑的磁道，在垂直方向構(gòu)成一個(gè)叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。,磁道由首部、18個(gè)扇區(qū)和尾部構(gòu)成。扇區(qū)由標(biāo)識(shí)區(qū)(ID區(qū))、間隙、數(shù)據(jù)區(qū)和間隙組成。每個(gè)扇區(qū)為512B。,,,,,,……,,……,,首部,尾部,扇區(qū)1,扇區(qū)N,ID區(qū),間隙,間隙,間隙,ID區(qū),數(shù)據(jù)區(qū),,扇區(qū)2,,,,,索引信號(hào),容量=碰頭數(shù)磁道數(shù)/面扇區(qū)數(shù)/磁道512B/扇區(qū),標(biāo)識(shí)扇區(qū)的開(kāi)始與記錄目標(biāo)地址的信息,硬盤(pán)的數(shù)據(jù)組織,磁盤(pán)的扇區(qū)定位有兩種方法：物理扇區(qū)與邏輯扇區(qū)。硬盤(pán)的物理扇區(qū)由驅(qū)動(dòng)器號(hào)、磁頭號(hào)(面號(hào))、柱面號(hào)與扇區(qū)號(hào)四個(gè)參數(shù)組成。,每一種操作系統(tǒng)要想在硬盤(pán)上建立自己的分區(qū)，必須由一個(gè)自己特有的實(shí)用程序來(lái)進(jìn)行操作。硬盤(pán)初始化時(shí)，經(jīng)過(guò)分區(qū)后建立一個(gè)主引導(dǎo)分區(qū)和其他幾個(gè)分區(qū)。見(jiàn)下圖：,主引導(dǎo)扇區(qū),保留,FAT區(qū),DOS引導(dǎo)扇區(qū),目錄區(qū),數(shù)據(jù)區(qū),,系統(tǒng)隱藏分區(qū),,,DOS分區(qū)1,,DOS分區(qū)2,位于硬盤(pán)的0磁頭0柱面1扇區(qū)，是硬盤(pán)的第1物理扇區(qū)，包括硬盤(pán)主引導(dǎo)程序代碼、四個(gè)分區(qū)表信息和主引導(dǎo)記錄有效標(biāo)志等內(nèi)容。該區(qū)受損時(shí)可用FDISK/MBR的DOS命令來(lái)重建主引導(dǎo)程序和主引導(dǎo)記錄有效標(biāo)志，分區(qū)信息不會(huì)被修改。,,主引導(dǎo)扇區(qū)結(jié)構(gòu)與文件系統(tǒng),用戶(hù)可用DEBUG來(lái)查看主引導(dǎo)記錄。,文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲(chǔ)和命名文件的結(jié)構(gòu)。磁盤(pán)或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應(yīng)用程序都基于文件系統(tǒng)進(jìn)行操作，在不同種文件系統(tǒng)上是不能工作的。,磁盤(pán)文件系統(tǒng),DOS/WINDOWS系統(tǒng)操作系統(tǒng)中共使用了6種不同的文件系統(tǒng)：FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系統(tǒng)使用的主要是Ext2、Ext3，也能識(shí)別FAT16分區(qū)。,FAT12：文件名只能是8.3格式；磁盤(pán)容量最大8M；文件磁片嚴(yán)重HAT16:大容量磁盤(pán)利用率低；分區(qū)創(chuàng)建的越大，造成的浪費(fèi)越大。FAT32：文件分配表擴(kuò)大后，速度減慢；不能向下兼容；當(dāng)分區(qū)小于512M時(shí)，該格式不起作用，單個(gè)文件不能超過(guò)4G。NTFS：有出色的安全性和穩(wěn)定性，且不易產(chǎn)生故善人碎片，對(duì)用戶(hù)權(quán)限有非常嚴(yán)格的限制。但兼容性不好NTFS5.0：可支持2T的分區(qū)，是可恢復(fù)的文件系統(tǒng)；支持對(duì)分區(qū)、文件夾和文件的壓縮以及動(dòng)態(tài)分區(qū)。WinFS:建立在NTFS文件系統(tǒng)之上。請(qǐng)上微軟官方網(wǎng)站查看。Ext2：是LINUX/GUN系統(tǒng)中的標(biāo)準(zhǔn)文件系統(tǒng)。存取文件性能好。Ext3：是上述系統(tǒng)的下一代，目前離實(shí)用階段還的一段距離。是一個(gè)日志式文件系統(tǒng)。,在Windows9x、NT、2000下，所有的Win32可執(zhí)行文件(除VxD與DLL)都是基于Microsoft設(shè)計(jì)的一種新的文件格式：可移植的執(zhí)行體,即PE格式。該格式的一些特性源自UNIX的COFF(命令目標(biāo)文件)文件格式。Windows下感染可執(zhí)行文件的病毒，就必須對(duì)PE格式的可執(zhí)行文件進(jìn)行修改。PE文件結(jié)構(gòu)格式如下：,HomePage,GameDirections,PE文件格式,1.調(diào)用API函數(shù)進(jìn)行文件搜索2.采用遞歸與非遞歸算法進(jìn)行搜索3.內(nèi)存映射文件,1.利用程序的返回地址,在其附近搜索Kernel32模塊基地址2.對(duì)相應(yīng)操作系統(tǒng)分別給出固定的Kernel32模塊基地址,我們?cè)诰幊逃贸Ａ亢妥兞繒r(shí)，一般直接用名字訪(fǎng)問(wèn),編譯后通過(guò)偏移地址訪(fǎng)問(wèn),而計(jì)算機(jī)病毒在感染宿主程序時(shí),要插入到宿主程序的代碼空間,肯定要用到變量和常量.當(dāng)病毒感染host程序后,由于依附到host程序中的位置不同,病毒隨host載入內(nèi)存后,病毒的各變量常量在內(nèi)存中的位置自然也隨之變化.病毒必須采用重定位技術(shù)才能使自己正常運(yùn)行,WIN32病毒分析,,,概念,組成,分類(lèi),特征,植入方法,特洛伊木馬,一種能夠在受害者毫無(wú)察覺(jué)的情況下滲透到系統(tǒng)的代碼,硬件部分,軟件部分,具體連接部分,遠(yuǎn)程控制型,密碼發(fā)送型,鍵盤(pán)記錄型,毀壞型,FTP型,多媒體型,隱蔽性,自動(dòng)運(yùn)行性,欺騙性,自動(dòng)恢復(fù)性,功能特殊性,軟件復(fù)制,電子郵件,發(fā)送超鏈接,緩沖區(qū)溢出攻擊,WINDOWS程序設(shè)計(jì)是一種事件驅(qū)動(dòng)方式的程序設(shè)計(jì)模式。其應(yīng)用程序最大的特點(diǎn)就是程序無(wú)固定的流程，只是針對(duì)某個(gè)事件的處理有特定的子流程，WINDOWS應(yīng)用程序就是由許多這樣的子流程構(gòu)成的。WINDOWS應(yīng)用程序本質(zhì)上是面向?qū)ο蟮?。程序提供給用戶(hù)界面的可視圖像在程序內(nèi)部一般也是一個(gè)對(duì)象，用戶(hù)對(duì)可視對(duì)象的操作通過(guò)事件驅(qū)動(dòng)模式觸發(fā)相應(yīng)對(duì)象的可用方法。程序的運(yùn)行就是用戶(hù)外部操作不斷產(chǎn)生事件，這些事件又被相應(yīng)的對(duì)象處理的過(guò)程。,,,CIH病毒剖析,CIH病毒是一種文件型病毒,是第一例感染W(wǎng)INDOWS環(huán)境下的PE格式文件的病毒。目前CIH病毒有多個(gè)版本，最流行的是CIH1.2版本。,受感染的EXE文件的文件長(zhǎng)度未改變。DOS及Win3.1格式的或執(zhí)行文件不受感染，且在WinNT中無(wú)效查找包含EXE特征“CIHv”過(guò)程中顯示一大堆符合查找特征的可執(zhí)行文件4月26日開(kāi)機(jī)會(huì)黑屏、硬盤(pán)指示燈閃爍、重新開(kāi)機(jī)時(shí)無(wú)法啟動(dòng),CIH病毒的表現(xiàn)形式、危害及傳播途徑,CIH病毒的運(yùn)行機(jī)制,碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫(xiě)特點(diǎn)，發(fā)作時(shí)向主板BIOS中寫(xiě)入亂碼，開(kāi)創(chuàng)了病毒直接進(jìn)攻硬件的行先例。,CIH病毒程序的組成,引導(dǎo)模塊：感染了該病毒的EXE文件運(yùn)行時(shí)修改文件程序的入口地址傳染模塊：病毒駐留內(nèi)存過(guò)程中調(diào)用WINDOWS內(nèi)核底層表現(xiàn)模塊,腳本病毒,腳本宿主簡(jiǎn)稱(chēng)WSH，是一種與語(yǔ)言無(wú)關(guān)的腳本宿主，可用于與WINDOWS腳本兼容的腳本引擎。WSH是一種WINDOWS管理工具。當(dāng)腳本到達(dá)計(jì)算機(jī)時(shí)，WSH先充當(dāng)主機(jī)的一部分，它使對(duì)象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南。腳本語(yǔ)言的前身實(shí)際上就是DOS系統(tǒng)下的批處理文件。腳本的應(yīng)用是對(duì)應(yīng)用系統(tǒng)的一個(gè)強(qiáng)大的支撐，需要一個(gè)運(yùn)行環(huán)境?，F(xiàn)在比較流行的腳本語(yǔ)言的Unix/Linuxshell、VBScript、PHP、JavaScript、JSP等?，F(xiàn)在流行的腳本病毒大都是利JavaScript和VBScript編寫(xiě)。JavaScript是一種解釋型的、基于對(duì)象的腳本語(yǔ)言，是一種寬松類(lèi)型的語(yǔ)言，不必顯式地定義變量的數(shù)據(jù)類(lèi)型。大多數(shù)情況下，該語(yǔ)言會(huì)根據(jù)需要自動(dòng)進(jìn)行轉(zhuǎn)換。VBScript使用ActiverXScript與宿主應(yīng)用程序?qū)υ?huà)。,VBS腳本病毒,該病毒是用VBScript編寫(xiě)的，其腳本語(yǔ)言功能非常強(qiáng)大，利用WINDOWS系統(tǒng)的開(kāi)放性特點(diǎn)，通過(guò)調(diào)用一些現(xiàn)成的WINDOWS對(duì)象、組件，可直接對(duì)文件系統(tǒng)、注冊(cè)表等進(jìn)行控制，功能非常強(qiáng)大。VBS腳本病毒具有如下特點(diǎn)：編寫(xiě)簡(jiǎn)單破壞力大感染力強(qiáng)傳播范圍廣病毒碼容易被獲取、變種多欺騙性強(qiáng)病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易,VBS病毒機(jī)理,感染方法：一般直接通過(guò)自我復(fù)制進(jìn)行感染，病毒中的絕大部分代碼都可以直接附加在其他同類(lèi)程序的中間。如新歡樂(lè)時(shí)光病毒可將自己的代碼附加在htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句；而愛(ài)蟲(chóng)病毒則是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，VBS作為后綴。,傳播方式：通過(guò)E-mail附件傳播、通過(guò)局域網(wǎng)共享傳播、通過(guò)感染htm、asp、jsp、php等網(wǎng)頁(yè)文件傳播、通過(guò)IRC聊天通道傳播。,病毒加載：修改注冊(cè)表項(xiàng)、通過(guò)映射文件執(zhí)行方式、欺騙用戶(hù)，讓用戶(hù)自己執(zhí)行、Desktop.ini和Folder.htt互相配合。,對(duì)抗反病毒的方法：自加密、運(yùn)用Execute函數(shù)、改變對(duì)象的聲明方法、直接關(guān)閉反病毒軟件。,VBS腳本病毒的防范,VBS病毒具有一些弱點(diǎn)：運(yùn)行是時(shí)需要用到一個(gè)對(duì)象：FileSystemObject代碼通過(guò)WindowsScriptHost來(lái)解釋執(zhí)行運(yùn)行時(shí)需要其關(guān)聯(lián)程序Wscript.exe的支持通過(guò)網(wǎng)頁(yè)傳播的病毒需要ActiveX的支持通過(guò)E-mail傳播的病毒需要OE的自動(dòng)發(fā)送郵件功能支持，但絕大多數(shù)病毒都是以E-mail為主要傳播方式的預(yù)防措施：禁用文件系統(tǒng)對(duì)象FileSystemObject卸載WindowsScriptHost刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射在Windows目錄中找到Wscript.exe，更名或刪除在瀏覽器安全選項(xiàng)中將“ActiveX”控件及插件設(shè)為禁用禁止OE的自動(dòng)收發(fā)郵件功能不要隱藏系統(tǒng)中書(shū)籍文件類(lèi)型的擴(kuò)展名安裝防病毒軟件,宏病毒,MicrosoftWord對(duì)宏的定義是：能組織到一起作為一個(gè)獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易。Word宏病毒是一些制作病毒的專(zhuān)業(yè)人員利用MicriptWord的開(kāi)放性即WordBasic編程接口，專(zhuān)門(mén)制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合。這種病毒影響計(jì)算機(jī)使用，并能通過(guò)DOC文檔模塊進(jìn)行自我復(fù)制及傳播。該病毒具有如下特點(diǎn)：感染DOC文檔文件和DOT模板文件傳染通常是Word在打開(kāi)一個(gè)帶有該病毒的文檔或模板時(shí)激活大多含有AutoOpen、AutoClose、AutonNew和AutoExit等自動(dòng)宏必然含有對(duì)文檔讀寫(xiě)操作的宏指令在DOC文檔、DOT模板中是BFF的加密壓縮格式存放,蠕蟲(chóng)病毒,蠕蟲(chóng)與病毒的區(qū)別表現(xiàn)在兩個(gè)方面：主動(dòng)性不一樣：蠕蟲(chóng)具有很強(qiáng)的主動(dòng)性，其運(yùn)行傳播不需要計(jì)算機(jī)使用者干預(yù)；而病毒則必須借助使用者的某種操作才能激活。感染對(duì)象不同：蠕蟲(chóng)感染的是有相應(yīng)漏洞或其他脆弱性的計(jì)算機(jī)系統(tǒng)；而病毒則是針對(duì)計(jì)算機(jī)中的文件系統(tǒng)。蠕蟲(chóng)的傳播模型：SimpleEpidemicModel、Kermack-MckendrickModel、SIS、鄒長(zhǎng)春的Two-Anti-Worm。蠕蟲(chóng)的傳播策略：拓?fù)鋻呙琛㈥?duì)列掃描、子網(wǎng)掃描、基于目標(biāo)列表的掃描、隨機(jī)掃描。蠕蟲(chóng)的攻擊手段：緩沖區(qū)溢出攻擊、格式化字符串攻擊、DoS與DDoS攻擊、弱密碼攻擊、默認(rèn)設(shè)置脆弱性攻擊、社會(huì)工程方式。,