《計(jì)算機(jī)病毒 教學(xué)ppt課件 3-計(jì)算機(jī)病毒的基本機(jī)制.ppt》由會員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)病毒 教學(xué)ppt課件 3-計(jì)算機(jī)病毒的基本機(jī)制.ppt（55頁珍藏版）》請?jiān)趨R文網(wǎng)上搜索。

1、計(jì)算機(jī)病毒Computer Virus汪潔1中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒的結(jié)構(gòu)nECHO ONnREM 文件名 VIRUS.BATnREM 本病毒感染自動執(zhí)行批處理文件nIFDRIVE=A:GOTO END123nIFDRIVE=C:GOTO END123nIF%COMSPEC%=C:WINDOWSCOMMAND.COM SET DRIVE=A:nIF%COMSPEC%=A:COMMAND.COM SET DRIVE=C:nIF NOT EXIST%DRIVE%AUTOEXEC.BAT GOTO END123nCOPYVIRUS.BAT

2、%DRIVE%NULnECHOCALL VIRUSTMP.DATnCOPY%DRIVE%AUTOEXEC.BAT+TMP.DAT%DRIVE%AUTOEXEC.BAT NULnDELTMP.DATNULnEcho BAT Virus Test!I will format your Disk!n:END123nECHO ON2中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒的結(jié)構(gòu)n觸發(fā)機(jī)制：這部分主要用來控制病毒的傳播和發(fā)作。觸發(fā)機(jī)制所設(shè)的條件不能太苛刻，也不可以太寬松。n傳播機(jī)制：這部分主要負(fù)責(zé)病毒的感染和傳播。n表現(xiàn)機(jī)制：這個模塊也稱為破壞模塊。3中南大

3、學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗第三章 計(jì)算機(jī)病毒的基本機(jī)制 n計(jì)算機(jī)病毒狀態(tài)n計(jì)算機(jī)病毒的三種機(jī)制計(jì)算機(jī)病毒的傳播機(jī)制計(jì)算機(jī)病毒的觸發(fā)機(jī)制計(jì)算機(jī)病毒的破壞機(jī)制4中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒狀態(tài)n計(jì)算機(jī)病毒在傳播中存在靜態(tài)和動態(tài)兩種狀態(tài)。靜態(tài)病毒,指存在于輔助存儲介質(zhì)(如軟盤、硬盤、磁帶、CD-ROM)上的計(jì)算機(jī)病毒。動態(tài)病毒，指進(jìn)入了計(jì)算機(jī)內(nèi)存的計(jì)算機(jī)病毒，它必定是隨病毒宿主的運(yùn)行，如使用寄生了病毒的軟、硬盤啟動機(jī)器，或執(zhí)行染有病毒的程序文件時進(jìn)入內(nèi)存的。5中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)

4、算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒狀態(tài)n內(nèi)存中的動態(tài)病毒又有兩種狀態(tài)：能激活態(tài)和激活態(tài)。能激活態(tài):當(dāng)內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)行機(jī)制所執(zhí)行時，動態(tài)病毒就處于能激活態(tài)。激活態(tài):系統(tǒng)正在執(zhí)行病毒代碼時，動態(tài)病毒就處于激活態(tài)。6中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒狀態(tài)n一般認(rèn)為病毒鏈接到中斷向量或塊設(shè)備驅(qū)動程序上，成功地駐留內(nèi)存后，病毒就獲得了系統(tǒng)控制權(quán)。實(shí)際上，處于“能激活態(tài)”的病毒并未獲得系統(tǒng)控制權(quán)。n內(nèi)存中的病毒還有一種較為特殊的狀態(tài)失活態(tài)。如果用戶把中斷向量表恢復(fù)成正確的值，修改中斷向量表的動態(tài)病毒就失活了；如果用戶把設(shè)備

5、驅(qū)動程序頭恢復(fù)成正確的值，修改設(shè)備驅(qū)動程序頭的動態(tài)病毒就失活了。7中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒的三種機(jī)制 n病毒程序是一種特殊程序，其最大特點(diǎn)是具有感染能力。病毒的感染動作受到觸發(fā)機(jī)制的控制，病毒觸發(fā)機(jī)制還控制了病毒的破壞動作。n病毒程序一般由感感染染模模塊塊、觸觸發(fā)發(fā)模模塊塊、破破壞壞模模塊塊、主主控控模模塊塊組成，相應(yīng)為傳傳染染機(jī)機(jī)制制、觸觸發(fā)發(fā)機(jī)機(jī)制制和和破破壞壞機(jī)機(jī)制制三種。有的病毒不具備所有的模塊，如：巴基斯坦智囊病毒沒有破壞模塊。8中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗感染模塊感染模塊

6、n感染模塊是病毒進(jìn)行感染動作的部分，負(fù)責(zé)實(shí)現(xiàn)感染機(jī)制。感染模塊的主要功能：尋找一個可執(zhí)行文件。檢查該文件中是否有感染標(biāo)記。如果沒有感染標(biāo)記，進(jìn)行感染，將病毒代碼放入宿主程序。9中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗感染模塊感染模塊n小球病毒的傳染：讀入目標(biāo)磁盤的自舉扇區(qū)（BOOT區(qū)）。判斷是否滿足傳染條件。若滿足（目標(biāo)盤BOOT區(qū)的01FC偏移位置為5713H標(biāo)志），則將病毒代碼前512個字節(jié)寫入BOOT引導(dǎo)程序，將其后512個字節(jié)寫入該簇，并將該簇標(biāo)記為壞簇，保護(hù)起來。跳轉(zhuǎn)至原INT 13H 的入口執(zhí)行正常的磁盤操作。10中南大學(xué)信息科學(xué)與工程學(xué)院 課程

7、名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗觸發(fā)模塊觸發(fā)模塊 n觸發(fā)模塊根據(jù)預(yù)定條件滿足與否，控制病毒的感染或破壞動作。依據(jù)觸發(fā)條件的情況，可以控制病毒感染和破壞動作的頻率，使病毒在隱蔽的狀態(tài)下，進(jìn)行感染和破壞動作。11中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗觸發(fā)模塊觸發(fā)模塊n病毒的觸發(fā)條件有多種形式，例如：日期、時間、發(fā)現(xiàn)特定程序、感染的次數(shù)、特定中斷調(diào)用的次數(shù)等。n病毒觸發(fā)模塊主要功能：檢查預(yù)定觸發(fā)條件是否滿足。如果滿足，返回真值。如果不滿足，返回假值。12中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗破壞模塊破壞模塊 n破

8、壞模塊負(fù)責(zé)實(shí)施病毒的破壞動作。其內(nèi)部是實(shí)現(xiàn)病毒編寫者預(yù)定破壞動作的代碼。這些破壞動作可能是破壞文件、數(shù)據(jù)。破壞計(jì)算機(jī)的空間效率和時間效率或者使機(jī)器運(yùn)行崩潰。有些病毒的該模塊并沒有明顯的惡意破壞行為，僅在被傳染的系統(tǒng)設(shè)備上表現(xiàn)出特定的現(xiàn)象，該模塊有時又被稱為表現(xiàn)模塊。n攻擊目標(biāo)分類攻擊系統(tǒng)數(shù)據(jù)區(qū)；攻擊文件；攻擊內(nèi)存；干擾系統(tǒng)運(yùn)行；攻擊CMOS和BIOS數(shù)據(jù)；干擾外部設(shè)備；破壞網(wǎng)絡(luò)系統(tǒng)13中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗主控模塊主控模塊 n主控模塊在總體上控制病毒程序的運(yùn)行。其基本動作如下：調(diào)用感染模塊，進(jìn)行感染。調(diào)用觸發(fā)模塊，接受其返回值。如果返回真值

9、，執(zhí)行破壞模塊。如果返回假值，執(zhí)行后續(xù)程序。14中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗病毒程序結(jié)構(gòu)病毒程序結(jié)構(gòu) Program Virus:=Subroutine infect_executable:=loop:file=Random_executable;if first_line of file=1234567 then go loop;append virus to file;Subroutine Do_damage:=/*whatever damage is desired*/Subroutine trigger_pulled:=Return tr

10、ue on desired condition main_program:=infect_executable;if trigger_pulled then Do_Damage;Goto next;next:15中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗計(jì)算機(jī)病毒的傳播機(jī)制 n病毒感染目標(biāo)和過程n感染長度和感染次數(shù)n引導(dǎo)型病毒的感染n寄生感染n插入感染和逆插入感染n鏈?zhǔn)礁腥緉破壞性感染n滋生感染n沒有入口點(diǎn)的感染nOBJ、LIB和源碼的感染n混合感染和交叉感染n零長度感染16中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗病毒感染目

11、標(biāo)和過程病毒感染目標(biāo)和過程n硬盤系統(tǒng)分配表扇區(qū)(主引導(dǎo)扇區(qū))n硬盤BOOT扇區(qū)n軟盤BOOT扇區(qū)n覆蓋文件(OVL)nEXE文件nCOM文件nCOMMAND文件nIBMBIOS文件/IBMD0S文件 n另外，eml,doc,dot,bvs,bat,pl,html,flash,dll,sys,asp 17中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗病毒感染目標(biāo)和過程病毒感染目標(biāo)和過程n病毒入侵宿主程序的基本方式有兩種：替代方式和鏈接方式。染毒程序運(yùn)行時，必須能使病毒代碼得到系統(tǒng)的控制權(quán)。染毒程序運(yùn)行時，首先運(yùn)行病毒代碼。而病毒的宿主程序可分為兩類：操作系統(tǒng)和應(yīng)用程

12、序。n病毒代碼替換磁盤的Boot扇區(qū)、主引導(dǎo)扇區(qū)。nCOMMAND程序做宿主程序 n應(yīng)用程序做宿主程序18中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗病毒感染目標(biāo)和過程病毒感染目標(biāo)和過程19中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗病毒感染目標(biāo)和過程病毒感染目標(biāo)和過程20中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗感染長度和感染次數(shù)感染長度和感染次數(shù)n保持原長度。n增長長度為恒定值。n增長長度的單位為一基數(shù)，在1節(jié)(16字節(jié))內(nèi)浮動。n每次感染，宿主程序增長長度都在變化。21中南大學(xué)信息科學(xué)與工程

13、學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗單次感染單次感染 單單次次感感染染病毒在每次感染宿主程序時，將病毒代碼放入宿主程序的同時，還放置了感染標(biāo)記。當(dāng)病毒再次遇到已染毒程序時，當(dāng)發(fā)現(xiàn)染毒程序中的感染標(biāo)記時，便不會再進(jìn)行感染。22中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗重復(fù)感染重復(fù)感染n重重復(fù)復(fù)感感染染是指病毒遇到宿主文件時，不論宿主文件是否已感染過，都再次進(jìn)行感染。重復(fù)感染的結(jié)果是病毒文件長度不斷膨脹。病毒的重復(fù)感染可分如下幾種。n簡單的重復(fù)感染。n有限次數(shù)重復(fù)感染。n每次重復(fù)感染時，長度變化。n每次重復(fù)感染時，病毒代碼的位置變化（變位重復(fù)感染

14、）。23中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗變位重復(fù)感染變位重復(fù)感染24中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗引導(dǎo)型病毒的感染引導(dǎo)型病毒的感染 25中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗引導(dǎo)型病毒的感染引導(dǎo)型病毒的感染n隱藏方法n把FAT表中的簇標(biāo)記為badn改變BPB中的邏輯驅(qū)動器的容量n非常規(guī)格式化磁盤26中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗寄生感染寄生感染 n病毒將其代碼放入宿主程序中，不論放入宿主程序的頭部、尾部還是中間部位，都稱之

15、為寄生感染。病毒放入宿主程序中部的感染方式稱為插入感染，另外有插入感染和逆插入感染。n有兩種方法把病毒放入文件的頭部。第一種方法把目標(biāo)文件的頭部移到文件的尾部，然后拷貝病毒體到目標(biāo)文件的頭部的空間。第二種方法是病毒在RAM中創(chuàng)建其拷貝，然后追加目標(biāo)文件，最后把連接結(jié)果存到磁盤。27中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗寄生感染寄生感染28中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗寄生感染寄生感染29中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗寄生感染寄生感染30中南大學(xué)信息科學(xué)與工程學(xué)院 課

16、程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗插入感染和逆插入感染插入感染和逆插入感染 n一般病毒感染宿主程序時，病毒代碼放在宿主程序頭部或尾部。而插入感染病毒能夠自動地將宿主程序攔腰截?cái)啵谒拗鞒绦虻闹胁坎迦氩《敬a。必須保證：病毒首先獲得運(yùn)行權(quán)。病毒不能卡死。宿主不能因病毒代碼的插入而卡死。31中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗插入感染和逆插入感染插入感染和逆插入感染32中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗插入感染和逆插入感染插入感染和逆插入感染33中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗鏈?zhǔn)礁腥炬準(zhǔn)礁腥?34中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗破壞性感染破壞性感染 35中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗滋生感染滋生感染 36中南大學(xué)信息科學(xué)與工程學(xué)院 課程名稱：計(jì)算機(jī)病毒 教材：計(jì)算機(jī)病毒分析與對抗中斷向量表沒有入口點(diǎn)的感染沒有入口點(diǎn)的感染 n這些病毒在宿主文件中沒有執(zhí)行入口，病毒沒