計算機病毒結(jié)構(gòu)分析(1)ppt課件

1、第三章 計算機病毒構(gòu)造分析本章學習目的 掌握計算機病毒的構(gòu)造 掌握計算機病毒的任務機制 了解引導型病毒原理 了解COM、EXE、NE、PE可執(zhí)行文件格式 掌握COM文件病毒原理及實驗 掌握PE文件型病毒及實驗總體概念 DOS是VXer的樂園(Aver) 9x病毒 ring3, ring0 2K病毒 主要是ring3 Windows文件格式變化： COM EXE:MZ-NE-PE Vxd: LE(16Bit, 32Bit)一、計算機病毒的構(gòu)造和任務機制 四大模塊： 感染模塊 觸發(fā)模塊 破壞模塊表現(xiàn)模塊 引導模塊主控模塊 兩個形狀： 靜態(tài) 動態(tài)任務機制引導模塊 引導前寄生 寄生位置： 引導區(qū) 可執(zhí)

2、行文件 寄生手段： 替代法寄生在引導區(qū)中的病毒常用該法 鏈接法寄生在文件中的病毒常用該法 引導過程 駐留內(nèi)存 竊取系統(tǒng)控制權(quán) 恢復系統(tǒng)功能 引導區(qū)病毒引導過程 搬遷系統(tǒng)引導程序-替代為病毒引導程序 啟動時-病毒引導模塊-加載傳染、破壞和觸發(fā)模塊到內(nèi)存-運用常駐技術(shù) 最后，轉(zhuǎn)向系統(tǒng)引導程序-引導系統(tǒng) 文件型病毒引導過程 修正入口指令-替代為跳轉(zhuǎn)到病毒模塊的指令 執(zhí)行時-跳轉(zhuǎn)到病毒引導模塊-病毒引導模塊-加載傳染、破壞和觸發(fā)模塊到內(nèi)存-運用常駐技術(shù) 最后，轉(zhuǎn)向程序的正常執(zhí)行指令-執(zhí)行程序感染模塊感染模塊 病毒傳染的條件 被動傳染靜態(tài)時 用戶在進展拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載

3、體上?；蛘呤墙?jīng)過網(wǎng)絡上的信息傳送，把一個病毒程序從一方傳送到另一方。這種傳染方式叫做計算機病毒的被動傳染。 自動傳染動態(tài)時 以計算機系統(tǒng)的運轉(zhuǎn)以及病毒程序處于激活形狀為先決條件。在病毒處于激活的形狀下，只需傳染條件滿足，病毒程序能自動地把病毒本身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式叫做計算機病毒的自動傳染。 傳染過程 系統(tǒng)程序運轉(zhuǎn)-各種模塊進入內(nèi)存-按多種傳染方式傳染 傳染方式 立刻傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開場執(zhí)行前，立刻感染磁盤上的其他程序，然后再執(zhí)行宿主程序。 駐留內(nèi)存并伺機傳染，內(nèi)存中的病毒檢查當前系統(tǒng)環(huán)境，在執(zhí)行一個程序、閱讀一個網(wǎng)頁時傳染磁盤上的程序，駐留在系統(tǒng)

4、內(nèi)存中的病毒程序在宿主程序運轉(zhuǎn)終了后，仍可活動，直至封鎖計算機。 文件型病毒傳染機理 首先根據(jù)病毒本人的特定標識來判別該文件能否已感染了該病毒； 當條件滿足時，將病毒鏈接到文件的特定部位，并存入磁盤中； 完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運轉(zhuǎn)，試圖尋覓新的攻擊目的。 文件型病毒傳染途徑 加載執(zhí)行文件 閱讀目錄過程 創(chuàng)建文件過程 破壞模塊破壞模塊 破壞是Vxer的追求，病毒魅力的表達 破壞模塊的功能 破壞、破壞、還是破壞 破壞對象 系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運轉(zhuǎn)速度、磁盤、CMOS、主板和網(wǎng)絡等。 破壞的程度觸發(fā)模塊觸發(fā)模塊 觸發(fā)條件 計算機病毒在傳染和發(fā)作之前，往往要判別某些特定條件能否滿足，滿足那

5、么傳染或發(fā)作，否那么不傳染或不發(fā)作或只傳染不發(fā)作，這個條件就是計算機病毒的觸發(fā)條件。 觸發(fā)模塊的目的是調(diào)理病毒的攻擊性和埋伏性之間的平衡 大范圍的感染行為、頻繁的破壞行為能夠給用戶以重創(chuàng)，但是，它們總是使系統(tǒng)或多或少地出現(xiàn)異常，容易使病毒暴露。 而不破壞、不感染又會使病毒失去其特性。 可觸發(fā)性是病毒的攻擊性和埋伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和埋伏性。病毒常用的觸發(fā)條件 日期觸發(fā) 時間觸發(fā) 鍵盤觸發(fā) 感染觸發(fā) 例如，運轉(zhuǎn)感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)、感染失敗觸發(fā)等。 啟動觸發(fā) 訪問磁盤次數(shù)觸發(fā) CPU型號/主板型號觸發(fā)二、二、16位操作系統(tǒng)病毒編制

6、技術(shù)位操作系統(tǒng)病毒編制技術(shù) 1 引導型病毒編制原理引導型病毒編制原理 2 COM、EXE、NE文件構(gòu)造及運轉(zhuǎn)原理文件構(gòu)造及運轉(zhuǎn)原理 3 COM文件病毒原理文件病毒原理1 引導型病毒編制原理引導型病毒編制原理 PC引導流程加電CPUBIOS初始化POST自檢引導區(qū)、分區(qū)表檢查發(fā)現(xiàn)操作系統(tǒng)執(zhí)行引導程序MBR和分區(qū)表裝載DOS引導區(qū)運轉(zhuǎn)DOS引導程序加載IO.sysMSDOS.sys加載引導型病毒從軟盤加載到內(nèi)存尋覓DOS引導區(qū)的位置將引導區(qū)挪動到別的位置病毒將本人寫入原引導區(qū)的位置MBR和分區(qū)表將病毒的引導程序加載入內(nèi)存運轉(zhuǎn)病毒引導程序病毒駐留內(nèi)存原引導程序執(zhí)行并加載系統(tǒng)2COMEXENE文件構(gòu)造

7、及運轉(zhuǎn)原文件構(gòu)造及運轉(zhuǎn)原理理COM格式最簡單的可執(zhí)行文件就是DOS下的以COM(Copy Of Memory)文件。COM格式文件最大64KB，內(nèi)含16位程序的二進制代碼映像，沒有重定位信息。COM文件包含程序二進制代碼的一個絕對映像，也就是說，為了運轉(zhuǎn)程序準確的處置器指令和內(nèi)存中的數(shù)據(jù)，DOS經(jīng)過直接把該映像從文件拷貝到內(nèi)存來加載COM程序，系統(tǒng)不需求作重定位任務。 加載COM程序 DOS嘗試分配內(nèi)存。由于COM程序必需位于一個64K的段中，所以COM文件的大小不能超越65,02464K減去用于PSP的256字節(jié)和用于一個起始堆棧的至少256字節(jié)。 假設DOS不能為程序、一個PSP、一個起始

8、堆棧分配足夠內(nèi)存，那么分配嘗試失敗。 否那么，DOS分配盡能夠多的內(nèi)存直至一切保管內(nèi)存，即使COM程序本身不能大于64K。 在試圖運轉(zhuǎn)另一個程序或分配另外的內(nèi)存之前，大部分COM程序釋放任何不需求的內(nèi)存。 分配內(nèi)存后，DOS在該內(nèi)存的頭256字節(jié)建立一個PSPProgram Segment Prefix：程序段前綴。 創(chuàng)建PSP后，DOS在PSP后立刻開場偏移100H加載COM文件，它置SS、DS和ES為PSP的段地址，接著創(chuàng)建一個堆棧。 DOS經(jīng)過把控制傳送偏移100H處的指令而啟動程序。程序設計者必需保證COM文件的第一條指令是程序的入口點。 由于程序是在偏移100H處加載，因此一切代碼和

9、數(shù)據(jù)偏移也必需相對于100H。匯編言語程序設計者可經(jīng)過置程序的初值為100H而保證這一點例如，經(jīng)過在源代碼的開場運用語句org 100H。 PSP構(gòu)造偏移大小 長度Byte 說 明0000h 02 中斷20H0002h 02 以節(jié)計算的內(nèi)存大小利用它可看出能否感染引導型病毒0004h 01 保管0005h 05 至DOS的長調(diào)用000Ah 02 INT 22H 入口 IP000Ch 02 INT 22H 入口 CS000Eh 02 INT 23H 入口 IP0010h 02 INT 23H 入口 CS0012h 02 INT 24H 入口 IP0014h 02 INT 24H 入口 CS001

10、6h 02 父進程的PSP段值可測知能否被跟蹤0018h 14 存放20個SOFT號002Ch 02 環(huán)境塊段地址從中可獲知執(zhí)行的程序名002Eh 04 存放用戶棧地址指針0032h 1E 保管0050h 03 DOS調(diào)用INT 21H / RETF0053h 02 保管0055h 07 擴展的FCB頭005Ch 10 格式化的FCB1006Ch 10 格式化的FCB2007Ch 04 保管0080h 80 命令行參數(shù)長度0081h 127 命令行參數(shù)MZ格式 MZ格式：COM開展下去就是MZ格式的可執(zhí)行文件，這是DOS中具有重定位功能的可執(zhí)行文件格式。MZ可執(zhí)行文件內(nèi)含16位代碼，在這些代碼

11、之前加了一個文件頭，文件頭中包括各種闡明數(shù)據(jù)，例如，第一句可執(zhí)行代碼執(zhí)行指令時所需求的文件入口點、堆棧的位置、重定位表等。 裝載過程： 操作系統(tǒng)根據(jù)文件頭的信息將代碼部分裝入內(nèi)存， 然后根據(jù)重定位表修正代碼， 最后在設置好堆棧后從文件頭中指定的入口開場執(zhí)行。 DOS可以把MZ格式的程序放在任何它想要的地方。MZ標志MZ文件頭其它信息重定位表的字節(jié)偏移量重定位表 重定位表可重定位程序映像二進制代碼/ MZ格式可執(zhí)行程序文件頭struct HeadEXEWORD wType; / 00H MZ標志W(wǎng)ORD wLastSecSize; / 02H 最后扇區(qū)被運用的大小WORD wFileSize;

12、/ 04H 文件大小WORD wRelocNum; / 06H 重定位項數(shù)WORD wHeadSize; / 08H 文件頭大小WORD wReqMin; / 0AH 最小所需內(nèi)存WORD wReqMax; / 0CH 最大所需內(nèi)存WORD wInitSS; / 0EH SS初值WORD wInitSP; / 10H SP初值WORD wChkSum; / 12H 校驗和WORD wInitIP; / 14H IP初值WORD wInitCS; / 16H CS初值WORD wFirstReloc; / 18H 第一個重定位項位置WORD wOverlap; / 1AH覆蓋WORD wRese

13、rved0 x20;/1CH 保管WORD wNEOffset; / 3CH NE頭位置; NE格式 為了堅持對DOS的兼容性并滿足Windows的需求，Win3.x中出現(xiàn)的NE格式的可執(zhí)行文件中保管了MZ格式的頭，同時NE文件又加了一個本人的頭，之后才是可執(zhí)行文件的可執(zhí)行代碼。NE類型包括了EXE、DLL、DRV和FON四種類型的文件。NE格式的關(guān)鍵特性是：它把程序代碼、數(shù)據(jù)、資源隔離在不同的可加載區(qū)中；藉由符號輸入和輸出，實現(xiàn)所謂的運轉(zhuǎn)時動態(tài)鏈接。NE裝載 16位的NE格式文件裝載程序NE Loader讀取部分磁盤文件，并生成一個完全不同的數(shù)據(jù)構(gòu)造，在內(nèi)存中建立模塊。 當代碼或數(shù)據(jù)需求裝入

14、時，裝載程序必需從全局內(nèi)存中分配出一塊，查找原始數(shù)據(jù)在文件的位置，找到位置后再讀取原始的數(shù)據(jù)，最后再進展一些修正。 每一個16位的模塊Module要擔任記住如今運用的一切段選擇符，該選擇符表示該段能否曾經(jīng)被丟棄等信息。 MS-DOS頭DOS文件頭保留區(qū)域Windows頭偏移DOS Stub程序信息塊NE文件頭段表資源表駐留名表模塊引用表引入名字表入口表3 COM文件病毒原理文件病毒原理 感染過程： 將開場的3個字節(jié)保管在orgcode中 將這3個字節(jié)更改為0E9H和COM文件的實踐大小的二進制編碼。 將病毒寫入原COM文件的后邊。 在病毒的前往部分，將3個字節(jié)改為0E9H和表達式當前地址COM

15、文件的實踐大小病毒代碼大小的二進制編碼，以便在執(zhí)行完病毒后轉(zhuǎn)向執(zhí)行原程序。E9：E9源代碼：jump源代碼例如講解三、三、32位操作系統(tǒng)病毒例如分析位操作系統(tǒng)病毒例如分析 PE文件構(gòu)造及其運轉(zhuǎn)原理文件構(gòu)造及其運轉(zhuǎn)原理 Win32文件型病毒編制技術(shù)文件型病毒編制技術(shù) 從從ring3到到ring0概述概述PE文件構(gòu)造及其運轉(zhuǎn)原理文件構(gòu)造及其運轉(zhuǎn)原理1PE文件格式總體構(gòu)造文件格式總體構(gòu)造 PEPortable Executable：可移植的執(zhí)行體 是Win32環(huán)境本身所帶的可執(zhí)行文件格式。 它的一些特性承繼自Unix的Coff(Common Object File Format)文件格式。 可移植的

16、執(zhí)行體意味著此文件格式是跨win32平臺的，即使Windows運轉(zhuǎn)在非Intel的CPU上，任何win32平臺的PE裝載器都能識別和運用該文件格式。 當然，移植到不同的CPU上PE執(zhí)行體必然得有一些改動。 除VxD和16位的Dll外，一切 win32執(zhí)行文件都運用PE文件格式。因此，研討PE文件格式是我們洞悉Windows構(gòu)造的良機。 PE文件構(gòu)造總體層次分布DOS MZ headerMZ格式頭DOS stubDos樁程序PE headerPE文件頭Section table節(jié)表 一切 PE文件必需以一個簡單的DOS MZ header開場。有了它，一旦程序在DOS下執(zhí)行，DOS就能識別出這是

17、有效的執(zhí)行體。 DOS stub實踐上是個有效的EXE，在不支持 PE文件格式的操作系統(tǒng)中，它將簡單顯示一個錯誤提示，類似于字符串 “該程序不能在DOS方式下運轉(zhuǎn)或者程序員可根據(jù)本人的意圖實現(xiàn)完好的DOS代碼。 PE header是PE相關(guān)構(gòu)造IMAGE_NT_HEADERS的簡稱，其中包含了許多PE裝載器用到的重要域。 section table節(jié)表 是節(jié)的索引。 PE文件的真正內(nèi)容被劃分成塊，我們稱之為sections節(jié)。 每節(jié)是一塊擁有共同屬性的數(shù)據(jù)，比如代碼/數(shù)據(jù)、讀/寫等。 把PE文件想象成一邏輯磁盤，PE header是磁盤的boot扇區(qū)，而sections就是各種文件，每種文件自

18、然就有不同屬性如只讀、系統(tǒng)、隱藏、文檔等等。其中節(jié)表就像目錄。 值得我們留意的是節(jié)的劃分是基于各組數(shù)據(jù)的共同屬性而不是邏輯概念。因此，我么不用關(guān)懷節(jié)中類似于data, code或其他的邏輯概念。假設數(shù)據(jù)和代碼擁有一樣屬性，它們就可以被歸入同一個節(jié)中。 節(jié)稱號僅僅是個區(qū)別不同節(jié)的符號而已，類似于data和code等的節(jié)稱號只為了便于識別，惟有節(jié)的屬性設置決議了節(jié)的特性和功能。假設某塊數(shù)據(jù)想作為只讀屬性，就可以將該塊數(shù)據(jù)放入屬性為只讀的節(jié)中。裝載PE文件的主要步驟 第一，當PE文件被執(zhí)行，PE裝載器檢查DOS MZ header里的PE header偏移量。假設找到，那么跳轉(zhuǎn)到PE header。

19、 第二，PE裝載器檢查PE header的有效性。假設有效，就跳轉(zhuǎn)到PE header的尾部。 第三，緊跟PE header的是節(jié)表。PE裝載器讀取其中的節(jié)索引信息，并采用文件映射方法將這些節(jié)映射到內(nèi)存，同時附上節(jié)表里指定的節(jié)屬性。 第四，PE文件映射入內(nèi)存后，PE裝載器將處置PE文件中類似import table引入表邏輯部分。2檢驗PE文件的有效性 什么樣的文件是有效的？ 只需一些關(guān)鍵數(shù)據(jù)構(gòu)造有效，我們就以為是有效的PE文件了。 這個重要數(shù)據(jù)構(gòu)培育是PE header。從編程角度看，PE header實踐就是一個 IMAGE_NT_HEADERS 構(gòu)造。 IMAGE_NT_HEADERS

20、構(gòu)造的定義如下：IMAGE_NT_HEADERS STRUCTSignature ddFileHeader IMAGE_FILE_HEADEROptionalHeader IMAGE_OPTIONAL_HEADER32IMAGE_NT_HEADERS ENDS Signature：該域為PE標志，值為50h, 45h, 00h, 00hPE00。IMAGE_DOS_SIGNATURE equ 5A4DhIMAGE_OS2_SIGNATURE equ 454EhIMAGE_OS2_SIGNATURE_LE equ 454ChIMAGE_VXD_SIGNATURE equ 454ChIMAGE_N

21、T_SIGNATURE equ 4550h FileHeader：該構(gòu)造域包含了關(guān)于PE文件物理分布的信息，比如節(jié)數(shù)目、文件執(zhí)行機器等。OptionalHeader：該構(gòu)造域包含了關(guān)于PE文件邏輯分布的信息。定位PE header DOSMZ headerIMAGE_DOS_HEADER 包含了指向PE header 的文件偏移量，即e_lfanew。 定位步驟為: 第一，檢驗文件頭部第一個字的值能否等于IMAGE_DOS_SIGNATURE，是那么DOS MZ header有效。 第二，一旦證明文件的DOS MZ header有效后，就可用e_lfanew來定位PE header了。 第三，

22、比較PE header的第一個字的值能否等于IMAGE_NT_ SIGNATURE。假設前后兩個值都匹配，那我們就以為該文件是一個有效的PE文件。3文件頭FileHeader 文件頭FileHeader是IMAGE_NT_HEADERS的一個重要的域。文件頭的表示構(gòu)造為: IMAGE_FILE_HEADER STRUCT Machine WORD NumberOfSections WORD TimeDateStamp dd PointerToSymbolTable dd NumberOfSymbols dd SizeOfOptionalHeader WORD Characteristics W

23、ORD IMAGE_FILE_HEADER ENDS 域名含義Machine該文件運行所要求的CPU。對于Intel平臺，該值是IMAGE_FILE_MACHINE_I386 (14Ch)。NumberOfSections文件的節(jié)數(shù)目。如果我們要在文件中增加或刪除一個節(jié)，就需要修改這個值。TimeDateStamp文件創(chuàng)建日期和時間。要讓它保持原樣，不要變PointerToSymbolTable用于調(diào)試。NumberOfSymbols用于調(diào)試。SizeOfOptionalHeader指示緊隨本結(jié)構(gòu)之后的OptionalHeader結(jié)構(gòu)大小，必須為有效值。Characteristics關(guān)于文件信

24、息的標記，比如文件是exe還是dll。注：節(jié)、節(jié)表和NumberOfSections的關(guān)系節(jié)表數(shù)組邊境確定NumberOfSections全標示(4) Optional Header Optional Header是PE header中最后，最大，也是最重要的成員，包含了PE文件的邏輯分布信息。該構(gòu)造共有31個域。 虛擬地址(VAVirtual Address) RVARelative Virtual Address，相對虛擬地址域名含義AddressOfEntryPointPE裝載器準備運行的PE文件的第一個指令的RVA。若您要改變整個執(zhí)行的流程，可以將該值指定到新的RVA，這樣新RVA處的

25、指令首先被執(zhí)行。ImageBasePE文件的優(yōu)先裝載地址。比如，如果該值是400000H，PE裝載器將嘗試把文件裝到虛擬地址空間的400000H處。若該地址區(qū)域已被其他模塊占用，那PE裝載器會選用其他空閑地址。SectionAlignment內(nèi)存中節(jié)對齊的粒度。例如，如果該值是4096 (1000H)，那么每節(jié)的起始地址必須是4096的倍數(shù)。若第一節(jié)從401000H開始且大小是10個字節(jié)，則下一節(jié)必定從402000H開始，即使401000H和402000H之間還有很多空間沒被使用。FileAlignment文件中節(jié)對齊的粒度。含義類似SectionAlignment。MajorSubsyste

26、mVersionMinorSubsystemVersion Win32系統(tǒng)版本。SizeOfImage內(nèi)存中整個PE映像體的尺寸。它是所有頭和節(jié)經(jīng)過節(jié)對齊處理后的大小。 SizeOfHeaders所有頭+節(jié)表的大小，也就等于文件尺寸減去文件中所有節(jié)的尺寸?？梢砸源酥底鳛镻E文件第一節(jié)的文件偏移量。SubsystemNT用來識別PE文件屬于哪個子系統(tǒng)。對于大多數(shù)Win32程序，只有兩類值: Windows GUI 和 Windows CUI (控制臺)。DataDirectoryIMAGE_DATA_DIRECTORY 結(jié)構(gòu)數(shù)組。每個結(jié)構(gòu)給出一個重要數(shù)據(jù)結(jié)構(gòu)的RVA，比如引入地址表等。5節(jié)表 (Section Table) Section Table是用來索引節(jié)的數(shù)組構(gòu)造，其詳細表示為： IMAGE_SIZEOF_SHORT_NAME equ 8 IMAGE_SECTION_HEADER STRUCT Name db IMAGE_SIZEOF_SHORT_NAME dup(?) union Misc PhysicalAddress dd VirtualS