《計算機病毒原理及防范技術(shù)》課件第3章 計算機病毒基本機制

計算機病毒原理及防范技術(shù)中國水利水電出版社第3章計算機病毒基本機制3.4觸發(fā)機制3.3感染機制

3.2計算機病毒的結(jié)構(gòu)和3種機制

3.1計算機病毒的5種狀態(tài)3.5破壞機制

教學要求：理解：病毒原理的基礎(chǔ)部分，有關(guān)計算機病毒的基本構(gòu)成、作用方式等方面.

掌握：計算機病毒的5種狀態(tài)、計算機病毒的結(jié)構(gòu)和3種機制、傳播感染機制、觸發(fā)機制、破壞機制。3.1計算機病毒的5種狀態(tài)計算機病毒也是一種程序，只是這種程序具有一定的特殊性。人類之所以將其稱為“病毒”，就是考慮到這種特殊程序和生物病毒的很多共同點。在生物界中有很多病毒，對其對應的物種有著這樣或那樣的危害，但是它們也有不構(gòu)成威脅的時候。這是由它們所處的狀態(tài)決定的。同樣的，計算機病毒也有自己的不同狀態(tài)（這里是指目前病毒所處的狀態(tài)，和后面病毒技巧中的“多態(tài)”技術(shù)是完全不同的概念），必須清楚地知道這些狀態(tài)，才能對病毒進行有效地防治。3.1計算機病毒的5種狀態(tài)（續(xù)）計算機病毒在傳播中有兩種狀態(tài)：靜態(tài)和動態(tài)。這是以病毒當前所在位置為判斷依據(jù)的。如果病毒處于輔助存儲介質(zhì)，如硬盤、DVD上時，稱其為靜態(tài)病毒；如果病毒位于內(nèi)存中，則稱之為動態(tài)病毒。靜態(tài)病毒是沒有危害性的，因為任何計算機程序都必須通過系統(tǒng)加載并進入內(nèi)存，才有被執(zhí)行的資格。這里所謂的“資格”，是指即使程序進入內(nèi)存，但還需要系統(tǒng)執(zhí)行它才能夠表現(xiàn)自己。靜態(tài)病毒就好像一個標本一樣，不具有傳染、破壞等動作特征。因此，把處于靜態(tài)的病毒也稱為休眠狀態(tài)病毒。但是，這些病毒還是有會被加載的可能，那個時候它們就會“活”過來。所以，將病毒位于輔助存儲器上的時期稱為潛伏期。其次，還有一種特殊情況，那就是由于病毒所處的計算機系統(tǒng)沒有具備執(zhí)行它的條件，如專對Windows98操作系統(tǒng)的病毒進入了WindowsXP操作系統(tǒng)甚至UNIX操作系統(tǒng)的硬盤。顯然處于這種境況的病毒是不會被裝載的。但是它們有可能附著在E-mail附件上，或是通過局域網(wǎng)、FTP等途徑傳播到合適的系統(tǒng)上，從而造成危害。這就是所謂的多相病毒傳播機制。3.1計算機病毒的5種狀態(tài)（續(xù)）動態(tài)病毒則不同，它們本身已經(jīng)進入了計算機內(nèi)存，因此肯定是適應所在系統(tǒng)的。而且病毒一定是有宿主的，宿主啟動帶動它們的啟動，所以這個時候病毒已經(jīng)處于運行狀態(tài)，只是未必被激活。病毒從靜態(tài)轉(zhuǎn)變?yōu)閯討B(tài)的過程，就是病毒和操作系統(tǒng)監(jiān)察機制相對抗的過程，稱為病毒的啟動。病毒必須瞞過操作系統(tǒng)，讓它以為目前所運行的是正常程序，才會被順利加載。這是因為目前的操作系統(tǒng)普遍不能判斷加載的程序是否為被感染程序，這是操作系統(tǒng)的一大漏洞。對于普通用戶只能使用第三方工具來實現(xiàn)病毒的防堵。3.1計算機病毒的5種狀態(tài)（續(xù)）病毒處于動態(tài)，就已經(jīng)啟動了。但是進入內(nèi)存并不是最后的階段。處于動態(tài)的病毒也有兩種狀態(tài)：激活態(tài)和能激活態(tài)。能激活態(tài)是一種準備狀態(tài)，是指存在于內(nèi)存中的動態(tài)病毒可以被正常的運行機制執(zhí)行。病毒此時已經(jīng)修改了系統(tǒng)中斷調(diào)用，或是設(shè)備驅(qū)動頭等，使這些中斷、驅(qū)動等指向自己，從而在當系統(tǒng)要運行正常中斷、設(shè)備時運行病毒本身，達到被執(zhí)行的目的。激活態(tài)則是正在被執(zhí)行的病毒。此時它擁有系統(tǒng)的控制權(quán)，時時刻刻監(jiān)視系統(tǒng)的一舉一動，一旦條件符合，就執(zhí)行相應的傳染、破壞等動作。3.1計算機病毒的5種狀態(tài)（續(xù)）除了上面說的意外，內(nèi)存中的病毒還有一種比較特殊的狀態(tài)：失活態(tài)。之所以說其特殊，是因為雖然這時病毒也在內(nèi)存里，但是不能繼續(xù)正常工作了。出現(xiàn)這種情況的機會不多，大都是由于用戶、反病毒軟件等對病毒運行加以干預造成的。當然，也不排除系統(tǒng)出現(xiàn)某些問題從而“因禍得福”。需要將失活態(tài)和靜態(tài)病毒分清楚，它們是截然不同的。處于失活態(tài)的病毒是沒有任何活動能力的，不能傳播也不能做出破壞性動作，因此是我們很愿意看見的。因為內(nèi)存只要掉電，里面的內(nèi)容就會被清空。這時只需要重啟一次計算機就能將它們完全清理出計算機。3.2計算機病毒的機構(gòu)和3種機制病毒是一種基于硬件和操作系統(tǒng)的程序，一般由4部分組成：主控模塊、感染模塊、觸發(fā)模塊和破壞模塊。病毒的最大特點就是能感染，從而保證自己頑強的生命力。觸發(fā)模塊控制著整個病毒的工作，感染模塊和破壞模塊都是在觸發(fā)條件一定的情況下執(zhí)行的。破壞模塊負責做出一些破壞性的動作，并非所有的病毒都有破壞模塊，或至少是獨立的破壞模塊，如著名的巴基斯坦病毒。與此相對應的，計算機病毒就有3種機制：感染機制、觸發(fā)機制及破壞機制。需要說明的是，破壞機制并不一定對應破壞模塊，有的病毒沒有專門的破壞模塊，但是卻能造成用戶的重大損失，如后面將詳細看到的大麻病毒。3.2計算機病毒的機構(gòu)和3種機制（續(xù)）所謂傳染是指計算機病毒由一個宿主體內(nèi)傳播到另一個宿主的過程。但是請注意，計算機上有潛在宿主并不是病毒傳播的充分條件，病毒要傳染還有一個前提，這個前提又可分為以下兩種。被動傳染用戶在進行復制磁盤或文件時，把一個感染病毒的宿主復制到另一個媒介上，這個過程也通過當今發(fā)達的網(wǎng)絡進行。主動傳染病毒處于激活態(tài)，只要傳染條件滿足，觸發(fā)模塊就會自動運行，從而讓染毒程序能主動地把病毒傳染給另一個宿主。3.2計算機病毒的機構(gòu)和3種機制（續(xù)）三大模塊觸發(fā)模塊則是一個判斷機構(gòu)，它時時刻刻監(jiān)察目前的系統(tǒng)所處的環(huán)境是否滿足病毒設(shè)計者事先給定的發(fā)作條件，控制著病毒的感染和破壞動作。觸發(fā)的方式有很多種，如時間觸發(fā)、日期觸發(fā)等，會在后面專門講到。破壞模塊則是負責病毒的破壞工作，其在設(shè)計原則、工作原理上與傳染機制基本相同。它也需要修改某一中斷向量入口地址（一般為時鐘中斷INT8H，相關(guān)的其他中斷，如INT1CH），使該中斷向量指向病毒程序的破壞模塊。一旦該中斷向量被訪問，病毒破壞模塊就立即被激活。破壞模塊一般也分為兩部分：判斷部分和動作部分。判斷部分負責檢查目前的系統(tǒng)環(huán)境，看是否適合進行破壞活動，并為破壞動作搜集相關(guān)系統(tǒng)信息；動作部分則是在判斷設(shè)定條件滿足的情況下，進行各種破壞活動，如刪除文件、顯示提示信息等。3.3感染機制計算機病毒的感染機制又稱傳播機制。病毒是一種特殊的程序，它必須寄生在一個合法的程序中。這一點和生物病毒極其相似，它們有其自身的病毒體（病毒程序）和宿主。病毒生活在宿主中。一旦病毒程序成功感染某個合法程序，病毒就成了該程序的一部分，并擁有合法的地位。于是一個合法的程序就成了病毒程序的宿主，或稱為病毒程序的載體。對于宿主而言，病毒幾乎可以感染它的任何位置?？梢岳斫鉃椴《竞推渌拗髟诟腥竞缶褪且粋€有機的整體，它們一同工作和生活；但是病毒又有自己的主張，當條件滿足時它就會自己動作。病毒為了保證自己的被調(diào)用概率較高，會寄生于多個程序或區(qū)域中，而且它們的感染對象是有一定選擇的，一定是使用頻率很高的才會引起它們的注意，因為只有宿主活動它們才有被調(diào)用的機會。3.3感染機制（續(xù)）一般來說，病毒的感染目標是一些可執(zhí)行代碼，計算機系統(tǒng)中可執(zhí)行文件只有兩種：引導程序和可執(zhí)行文件。另一類經(jīng)常被感染的目標是宏（Macro），宏是一種可執(zhí)行代碼，但是不能獨立作為文件存在，它們所感染的是一類稱為宏病毒的特殊病毒。病毒還會感染BIOS，不過由于現(xiàn)在基于FlashROM的BIOS都帶寫保護，所以即使被感染，只需要重寫B(tài)IOS即可消除病毒。下面是病毒的一般感染目標：硬盤系統(tǒng)分配表扇區(qū)（主引導扇區(qū)）；硬盤Boot扇區(qū)；軟盤Boot扇區(qū)；覆蓋文件（.OVL）；可執(zhí)行文件（.EXE）；命令文件（.COM）；COMMAND文件；IBM-BIO文件；IBM-DOS文件。3.3感染機制（續(xù)）T偶數(shù)噬菌體的感染復制過程3.3感染機制（續(xù)）病毒代碼占據(jù)了原始的引導扇區(qū)的數(shù)據(jù)，為了能夠讓系統(tǒng)正常啟動（系統(tǒng)不啟動病毒自己也沒有辦法行動，病毒和宿主的關(guān)系是“唇亡齒寒”），于是把真正的BOOT扇區(qū)信息移到磁盤的其他扇區(qū)。當病毒的加載工作已經(jīng)完成，進駐內(nèi)存后，就會引導DOS到存儲引導信息的新扇區(qū)，從而使系統(tǒng)和用戶無法發(fā)覺信息被挪到新的地方。同時至少病毒的一個有效部分仍駐留在內(nèi)存中，于是當新的磁盤插入時，病毒就會把自己寫到新的磁盤上。當這個盤用于另一臺機器時，病毒就會以同樣的方法傳播到那臺機器的引導扇區(qū)上。這就是引導型病毒的傳播方式，如同潛伏在系統(tǒng)啟動過程中的必經(jīng)之地，在每次啟動的半途中，病毒程序便會奪取控制權(quán)，為病毒的感染做準備。此種感染方式的特點是：病毒有頻繁攻擊的機會，每次啟動病毒都會被激活。隱蔽性差，極易被發(fā)覺。病毒必須保存好原Boot扇區(qū)或主引導扇區(qū)，否則自己也無法啟動。如病毒長度大于512B，需占用別的扇區(qū)（想想這是為什么？）。3.3感染機制（續(xù)）常駐內(nèi)存的病毒的特點如下：病毒將其代碼隱藏到RAM內(nèi)存區(qū)中，這個區(qū)域是用戶一般不易注意到的地方，是病毒理想的棲身場所。可爭取較長的病毒活動時間。宿主程序退出運行之后，病毒代碼可獨立地伺機繼續(xù)攻擊。病毒常駐內(nèi)存的同時，篡改系統(tǒng)中斷，以便被激活。3.3感染機制（續(xù)）病毒駐留內(nèi)存的代碼常常是病毒修改過的“中斷處理程序”，病毒通過修改中斷向量，使預定的中斷發(fā)生時先運行駐留內(nèi)存的病毒程序，以便進行感染和破壞。這些被修改的中斷向量常常是操作系統(tǒng)程序和應用程序運行時經(jīng)常涉及的中斷。病毒修改中斷時常涉及的中斷及功能：INT9H：讀取鍵盤輸入。INT8H：計時中斷。INT13H：讀、寫磁盤。INT25H：讀磁盤邏輯扇區(qū)。INT26H：寫磁盤邏輯扇區(qū)。INT21H的4BH：在可執(zhí)行程序中調(diào)用另一程序。3.3感染機制（續(xù)）病毒感染宿主后，一般都會引起宿主程序長度的變化，因為它需要把自己放入宿主程序中。顯然，不同病毒引起的宿主長度變化是不同的，因為病毒本身長度就隨著種類不同而變化，加上感染方式各異，于是宿主長度變化量就千差萬別?？傮w來說，宿主感染病毒后長度變化情況有4種：長度不變。增長的長度為恒定值。增長的長度在一個固定范圍內(nèi)變化。每次被病毒感染，宿主程序的長度都發(fā)生變化。注意，能做到使目標宿主染毒后長度保持不變的病毒都采用了特殊編程技巧，其共同特點是要么隱蔽性極強，要么破壞力奇大。總之，具有這種能力的病毒一定是惡性病毒，需要特別提高警惕性。3.3感染機制（續(xù)）所謂單次感染，有的書上也稱其為“一次性感染”，顧名思義就是指病毒對宿主只感染一次，若病毒在對感染目標檢測發(fā)現(xiàn)其已經(jīng)染上自己這種病毒就不再感染它。重復性感染則是指無論目標是否已被感染，病毒在設(shè)定次數(shù)內(nèi)都會對其再次進行感染動作。重復感染過程如圖所示。3.3感染機制（續(xù)）簡單重復感染屬于這一類的病毒感染次數(shù)是沒有設(shè)定上限的，且每次感染的病毒代碼、代碼長度及植入宿主的位置都是一樣的。簡單重復感染很多時候并不是作者有意為之，而是編程錯誤所致，如著名的Jerusalem（耶路撒冷病毒）。有限次數(shù)重復感染這類病毒也比較簡單，和上面一種相比的區(qū)別就是它們感染宿主的次數(shù)有一個預設(shè)值，達到這個值后則不再繼續(xù)感染。變長度重復感染此類病毒每次感染宿主，都會造成宿主長度變化量的不定值增長。如果不給它設(shè)一個感染上限，則宿主的長度會不斷增加，直到機器無法裝載，從而死機或系統(tǒng)崩潰。這種感染方式看起來比較笨，但是作用效果卻十分可怕。變位重復感染這類病毒的特點在于其每次感染宿主時，植入病毒代碼的位置都會發(fā)生改變。如1992年1月被發(fā)現(xiàn)的AUTO病毒。它的感染目標是COM文件，每次感染宿主的長度變化量都是129B。但它每次感染的位置是不同的：第一次感染的植入點在宿主頭部；以后每次感染的植入點在宿主尾部。3.3感染機制（續(xù)）兩種不同的感染引導區(qū)的方法：3.3感染機制（續(xù)）寄生式感染（ParasiticInfection）是最常見的感染方式，病毒將自身的代碼植入宿主，只要這么做了，不論植入點在宿主的頭部、尾部，還是中間部位，都稱為寄生感染。3.3感染機制（續(xù)）感染DOS下COM文件3.3感染機制（續(xù)）感染MZ文件3.3感染機制（續(xù)）兩種感染驅(qū)動程序尾部的方法：3.3感染機制（續(xù)）插入式感染：3.3感染機制（續(xù)）RAM病毒插入示例（逆插入）：3.3感染機制（續(xù)）滋生感染（CompanionInfection）是一類很不常見的手法。由于其特殊的工作方式，使用滋生感染法的病毒一般又稱為伴侶病毒。滋生感染一共有3種做法。這一系列病毒首先在目錄中搜索EXE文件，但是不去動它，而是生成一個和該EXE文件同名的COM文件。換句話說，這時的目錄下面有了兩個文件名相同但后綴一個是EXE一個是COM的文件。EXE文件沒有絲毫改變，而COM文件則完全就是病毒體本身。也就是說，滋生感染法病毒的病毒體是獨立作為文件存在的，但是又不能脫開它的宿主。這時，只要用戶輸入那個文件名，根據(jù)DOS下COM文件運行優(yōu)先級高于EXE文件的規(guī)則，運行的是病毒體。只要這個目錄下的病毒文件還在，EXE文件就總不能被執(zhí)行。顯然這種辦法只適用于DOS，且對于有經(jīng)驗的用戶意義不大。需要對目標文件的文件名略加修改（如改掉后綴名的最后一個字母），然后將病毒文件以原始目標文件名存放，同時現(xiàn)在幾乎所有的這類病毒都會將被修改的目標文件的屬性改為“隱藏”。這種做法比上面的使用范圍要廣得多，在Windows下同樣適用。這一種方法更少見，叫做PATH滋生。它利用DOS-PATH的搜索特點，具體來說又有3種做法：一是將自己存為目標文件的文件名，然后添加進DOS-PATH的高級目錄中，這樣根據(jù)執(zhí)行的優(yōu)先級就是病毒體先被激活；二是將目標文件移動到該目錄的子目錄下；三是將病毒體所在文件的文件名修改成比較吸引人的名字，誘騙用戶點擊。3.3感染機制（續(xù)）DIR-Ⅱ病毒感染軟盤的方式（鏈式感染）：3.3感染機制（續(xù)）零長度感染病毒在感染宿主程序時，要將病毒程序放入宿主程序中，這樣做一般會使宿主程序增長，很容易被人發(fā)現(xiàn)。而零長度感染病毒在感染時，雖然也把病毒程序放入宿主程序中，但宿主程序的長度卻保持不變，這類病毒不易被發(fā)現(xiàn)，有很好的潛伏性。這類病毒采用特殊的編程技巧。具體說來又有兩種方法：空洞法和壓縮法。3.3感染機制（續(xù)）空洞法這種方法需要先在宿主程序中尋找到合適的“空洞”，然后病毒將修改宿主程序的開始部分使之指向自己，從而能保證自己首先運行。所謂“空洞”（Cavity）指的是宿主中具有的長度足夠且全部為0的程序數(shù)據(jù)區(qū)或堆棧區(qū)。1991年發(fā)現(xiàn)于保加利亞的Phoenix2000病毒即為一例，它會事先檢查目標中有沒有連續(xù)的2000B長的全0空間，如果有則將自身代碼寫入，否則不感染。3.3感染機制（續(xù)）壓縮法這種手法使用到文件壓縮技術(shù)。為了說明清楚，設(shè)被感染前的正常宿主為O1，壓縮后的宿主為O2，病毒體為V，則具體步驟如下：（1）病毒發(fā)現(xiàn)O1，于是調(diào)用自帶壓縮模塊對其進行壓縮，使其變?yōu)镺2，且V和O2的長度總和不大于O1。（2）病毒將V放在O2的頭部，組成一個長度等于O1的文件。上面就是感染的步驟，如果需要執(zhí)行染毒程序，則將上述步驟倒過來，并將其中的壓縮操作換位解壓縮操作即可。3.4觸發(fā)機制計算機病毒有3種機制，前面已經(jīng)介紹了感染機制，它負責病毒的傳播。而破壞機制體現(xiàn)了病毒的殺傷能力。計算機用戶每年由于病毒而產(chǎn)生的各種損失不計其數(shù)，使得病毒預防和處理也成為一個很大的產(chǎn)業(yè)。但病毒僅僅只有感染和破壞兩個模塊是不能夠完成其設(shè)定任務的。過于頻繁的感染和破壞會使病毒暴露，且令系統(tǒng)不穩(wěn)定，讓自己的生存環(huán)境也不太好；完全不破壞、不感染又會使病毒失去殺傷力。因此，病毒必須潛伏，少做動作以躲避檢查而隱蔽自己；如果完全不動作，僅僅只是潛伏的話，病毒又失去了其存在的意義。所以，為了病毒最好能做到“靜若處子，動若脫兔”，該安靜的時候安靜，該發(fā)作的時候也毫不猶豫。能夠?qū)⑦@兩點緊密聯(lián)系在一起的就是觸發(fā)機制。觸發(fā)機制是指病毒用于判斷發(fā)作條件的方法，一旦環(huán)境合適就通知病毒進行感染或破壞。這是病毒用于調(diào)節(jié)發(fā)作和潛伏比例的游碼。很多沒有能廣泛流行的病毒之所以失敗的原因，除了自身設(shè)計問題以外，沒有選取一個合適的觸發(fā)機制占據(jù)了相當大的比例。在觸發(fā)機制上，可以看到病毒作者那無與倫比的想象力和創(chuàng)造力。3.4觸發(fā)機制（續(xù)）觸發(fā)條件觸發(fā)條件是病毒中的敏感部分，由病毒作者事先定義。觸發(fā)條件可以是時間、日期、文件類型、擊鍵動作、開啟郵件或某些特定數(shù)據(jù)，甚至是一個比較少用的中斷，都能成為觸發(fā)的理由。病毒被運行后就進駐內(nèi)存，然后不停地掃描系統(tǒng)動作，這里觸發(fā)模塊就不停地檢查定義的條件是否滿足、環(huán)境是否合適。如果滿足，則進行相應的感染或破壞動作；否則將繼續(xù)潛伏。計算機安全人員在深入分析病毒時，往往需要一個安全的環(huán)境，因此很有必要搞懂手中病毒的觸發(fā)機制，以便修改此部分代碼，使病毒不會發(fā)作；或者當需要弄清病毒行為特征時也可以對此處進行修改，讓病毒樣本頻繁發(fā)作，以研究對策。3.4觸發(fā)機制（續(xù)）常見的觸發(fā)條件如下：時間觸發(fā)操作觸發(fā)啟動觸發(fā)中斷觸發(fā)感染觸發(fā)其他觸發(fā)形式3.5破壞機制如果說感染機制體現(xiàn)了病毒作者高超的編程技巧和對計算機系統(tǒng)的理解，觸發(fā)機制體現(xiàn)了病毒作者的奇思妙想，那么破壞機制則是他們底層性格和品行的最好注解。有的人寫出病毒只是開個小玩笑，中毒的人也就一笑而過；但是有的病毒會對中毒者的計算機系統(tǒng)造成永久的、不可修復的毀滅性打擊。本節(jié)會對最常見的病毒破壞行為進行歸納。3.5破壞機制（續(xù)）對文件的破壞：刪除文件給文件改名替換文件內(nèi)容擦除部分代碼顛倒內(nèi)容擦除寫入時間將宿主弄成碎片將寫操作改為只讀操作3.5破壞機制（續(xù)）