計(jì)算機(jī)病毒的工作機(jī)制

計(jì)算機(jī)病毒的工作機(jī)制計(jì)算機(jī)病毒的工作機(jī)制第1頁第2章計(jì)算機(jī)病毒工作機(jī)制2.1計(jì)算機(jī)病毒工作步驟分析2.2計(jì)算機(jī)病毒引導(dǎo)機(jī)制2.3計(jì)算機(jī)病毒傳染機(jī)制2.4計(jì)算機(jī)病毒觸發(fā)機(jī)制2.5計(jì)算機(jī)病毒破壞機(jī)制2.6計(jì)算機(jī)病毒傳輸機(jī)制計(jì)算機(jī)病毒的工作機(jī)制第2頁2.1計(jì)算機(jī)病毒工作步驟分析本質(zhì)上看，病毒程序能夠執(zhí)行其它程序所能執(zhí)行一切功效與普通程序又不一樣是病毒必須將本身附著在其它程序上病毒程序所依附其它程序稱為宿主程序當(dāng)用戶運(yùn)行宿主程序時(shí)，病毒程序被激活，并開始執(zhí)行一旦病毒程序被執(zhí)行，它就能執(zhí)行一切意想不到功效（如感染其它程序、刪除文件等）計(jì)算機(jī)病毒的工作機(jī)制第3頁2.1計(jì)算機(jī)病毒工作步驟分析從病毒生命周期來看，病毒普通經(jīng)歷4個(gè)階段：1．潛伏階段：病毒程序處于休眠狀態(tài)。2．傳染階段：感染其它程序——將本身程序復(fù)制到其它程序或者磁盤某個(gè)區(qū)域3．觸發(fā)階段：病毒執(zhí)行某種特定功效從而到達(dá)既定目標(biāo)4．發(fā)作階段：病毒為了既定目標(biāo)而運(yùn)行（如破壞文件、感染其它程序等）為了實(shí)現(xiàn)病毒生命周期轉(zhuǎn)換，病毒程序必須含有對(duì)應(yīng)功效模塊：引導(dǎo)模塊、感染模塊、表現(xiàn)模塊計(jì)算機(jī)病毒的工作機(jī)制第4頁2.1計(jì)算機(jī)病毒工作步驟分析潛伏階段傳染階段觸發(fā)階段發(fā)作階段潛伏期結(jié)束傳染結(jié)束觸發(fā)條件在潛伏階段，病毒程序處于休眠狀態(tài)，用戶根本感覺不到病毒存在，但并非全部病毒均會(huì)經(jīng)歷潛伏階段。假如一些事件發(fā)生（如特定日期、某個(gè)特定程序被執(zhí)行等），病毒就會(huì)被激活，并從而進(jìn)入傳染階段。處于傳染階段病毒，將感染其它程序——將本身程序復(fù)制到其它程序或者磁盤某個(gè)區(qū)域上。經(jīng)過傳染階段，病毒程序已經(jīng)具備運(yùn)行條件，一旦病毒被激活，則進(jìn)入觸發(fā)階段計(jì)算機(jī)病毒的工作機(jī)制第5頁2.1計(jì)算機(jī)病毒工作步驟分析動(dòng)態(tài)靜態(tài)引導(dǎo)模塊病毒感染病毒破壞觸發(fā)模塊滿足觸發(fā)條件滿足破壞條件攜毒潛伏或消散攜毒潛伏或消散滿足滿足不滿足不滿足計(jì)算機(jī)病毒的工作機(jī)制第6頁2.1計(jì)算機(jī)病毒工作步驟分析病毒引導(dǎo)模塊病毒傳染模塊病毒表現(xiàn)模塊激活傳染條件判斷模塊傳染功效實(shí)現(xiàn)模塊觸發(fā)表現(xiàn)條件判斷模塊表現(xiàn)功效實(shí)現(xiàn)模塊計(jì)算機(jī)病毒組成模塊：引導(dǎo)模塊感染模塊感染條件判斷模塊傳染功效實(shí)現(xiàn)模塊表現(xiàn)模塊表現(xiàn)條件判斷模塊表現(xiàn)功效實(shí)現(xiàn)模塊計(jì)算機(jī)病毒的工作機(jī)制第7頁2.1計(jì)算機(jī)病毒工作步驟分析計(jì)算機(jī)病毒組成模塊：1．引導(dǎo)模塊：實(shí)現(xiàn)將計(jì)算機(jī)病毒程序引入計(jì)算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動(dòng)狀態(tài)。引導(dǎo)模塊必須具備功效：引導(dǎo)模塊需要提供自我保護(hù)功效，防止在內(nèi)存中本身代碼不被覆蓋或去除計(jì)算機(jī)病毒程序引入內(nèi)存后為傳染模塊和表現(xiàn)模塊設(shè)置對(duì)應(yīng)開啟條件，方便在適當(dāng)時(shí)候或者適當(dāng)條件下激活傳染模塊或者觸發(fā)表現(xiàn)模塊計(jì)算機(jī)病毒的工作機(jī)制第8頁2.1計(jì)算機(jī)病毒工作步驟分析計(jì)算機(jī)病毒組成模塊：1．引導(dǎo)模塊2．感染模塊：感染條件判斷子模塊：依據(jù)引導(dǎo)模塊設(shè)置傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件傳染功效實(shí)現(xiàn)子模塊：假如傳染條件滿足，則開啟傳染功效，將計(jì)算機(jī)病毒程序附加在其它宿主程序上3．表現(xiàn)模塊：計(jì)算機(jī)病毒的工作機(jī)制第9頁2.1計(jì)算機(jī)病毒工作步驟分析計(jì)算機(jī)病毒組成模塊：1．引導(dǎo)模塊：2．感染模塊：3．表現(xiàn)模塊：表現(xiàn)條件判斷子模塊：依據(jù)引導(dǎo)模塊設(shè)置觸發(fā)條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足觸發(fā)條件表現(xiàn)功效實(shí)現(xiàn)子模塊：假如觸發(fā)條件滿足，則開啟計(jì)算機(jī)病毒程序，按照預(yù)定計(jì)劃執(zhí)行計(jì)算機(jī)病毒程序經(jīng)典組成偽代碼描述：P21

計(jì)算機(jī)病毒的工作機(jī)制第10頁2.1計(jì)算機(jī)病毒工作步驟分析計(jì)算機(jī)病毒程序經(jīng)典組成偽代碼描述：BootingModel（） /*引導(dǎo)模塊*/{將計(jì)算機(jī)病毒程序寄生于宿主程序中；開啟自保護(hù)功效；設(shè)置傳染條件；設(shè)置激活條件；加載計(jì)算機(jī)程序；計(jì)算機(jī)病毒程序隨宿主程序地運(yùn)行進(jìn)入系統(tǒng)；}計(jì)算機(jī)病毒的工作機(jī)制第11頁2.1計(jì)算機(jī)病毒工作步驟分析計(jì)算機(jī)病毒程序經(jīng)典組成偽代碼描述：InfectingModel（） /*傳染模塊*/{按照計(jì)算機(jī)病毒目標(biāo)實(shí)現(xiàn)傳染功效；}BehavingModel（） /*表現(xiàn)模塊*/{按照計(jì)算機(jī)病毒目標(biāo)實(shí)現(xiàn)表現(xiàn)功效；}計(jì)算機(jī)病毒的工作機(jī)制第12頁2.1計(jì)算機(jī)病毒工作步驟分析計(jì)算機(jī)病毒程序經(jīng)典組成偽代碼描述：main()

/*計(jì)算機(jī)病毒主程序*/{ BootingModel()；while(1){ 尋找感染對(duì)象； if(假如感染條件不滿足)continue； InfectingModel()； if

(激活條件不滿足)continue； behavingModel()； 運(yùn)行宿主程序； if(計(jì)算機(jī)病毒程序需要退出)exit()；}}計(jì)算機(jī)病毒的工作機(jī)制第13頁2.2計(jì)算機(jī)病毒引導(dǎo)機(jī)制2.2.1計(jì)算機(jī)病毒寄生對(duì)象：1．寄生在計(jì)算機(jī)硬盤主引導(dǎo)扇區(qū)中2．寄生在計(jì)算機(jī)磁盤邏輯分區(qū)引導(dǎo)扇區(qū)中3．寄生在可執(zhí)行程序中計(jì)算機(jī)病毒的工作機(jī)制第14頁2.2計(jì)算機(jī)病毒引導(dǎo)機(jī)制2.2.2計(jì)算機(jī)病毒寄生方式替換法：指計(jì)算機(jī)病毒程序用自己個(gè)別或全部指令代碼，替換磁盤引導(dǎo)扇區(qū)或文件中全部或個(gè)別內(nèi)容。 ——寄生在磁盤引導(dǎo)扇區(qū)病毒鏈接法：指計(jì)算機(jī)病毒程序?qū)⒈旧泶a作為正常程序一個(gè)別與原有正常程序鏈接在一起，鏈接位置可能在正常程序首部、尾部或中間。 ——寄生在可執(zhí)行程序中病毒

計(jì)算機(jī)病毒的工作機(jī)制第15頁2.2計(jì)算機(jī)病毒引導(dǎo)機(jī)制2.2.2計(jì)算機(jī)病毒寄生方式替換法剩下宿主程序宿主程序病毒程序

病毒程序

宿主程序

鏈接在頭部宿主程序

病毒程序

鏈接在尾部宿主程序

宿主程序

病毒程序

鏈接在中間計(jì)算機(jī)病毒的工作機(jī)制第16頁2.2計(jì)算機(jī)病毒引導(dǎo)機(jī)制2.2.3計(jì)算機(jī)病毒引導(dǎo)過程1．駐留內(nèi)存計(jì)算機(jī)病毒若要發(fā)揮其破壞作用，普通要駐留內(nèi)存。要開辟內(nèi)存空間或覆蓋系統(tǒng)占用個(gè)別內(nèi)存空間。2．獲取系統(tǒng)控制權(quán)必須使用相關(guān)代碼取代或擴(kuò)充系統(tǒng)原有功效，并竊取系統(tǒng)控制權(quán)。之后隱蔽自己，伺機(jī)進(jìn)行傳染和破壞。3．恢復(fù)系統(tǒng)功效病毒為隱蔽自己，駐留內(nèi)存后要恢復(fù)系統(tǒng)，使系統(tǒng)不出現(xiàn)異常表現(xiàn)。

計(jì)算機(jī)病毒的工作機(jī)制第17頁2.2計(jì)算機(jī)病毒引導(dǎo)機(jī)制2.2.3計(jì)算機(jī)病毒引導(dǎo)過程引導(dǎo)區(qū)病毒引導(dǎo)過程搬遷系統(tǒng)引導(dǎo)程序→替換為病毒引導(dǎo)程序開啟時(shí)→病毒引導(dǎo)模塊→加載傳染、破壞和觸發(fā)模塊到內(nèi)存→使用常駐內(nèi)存技術(shù)轉(zhuǎn)向系統(tǒng)引導(dǎo)程序→引導(dǎo)系統(tǒng)文件型病毒引導(dǎo)過程修改入口指令→替換為跳轉(zhuǎn)到病毒模塊指令執(zhí)行時(shí)→跳轉(zhuǎn)到病毒引導(dǎo)模塊→病毒引導(dǎo)模塊→加載傳染、破壞和觸發(fā)模塊到內(nèi)存→使用常駐技術(shù)轉(zhuǎn)向程序正常執(zhí)行指令→執(zhí)行程序計(jì)算機(jī)病毒的工作機(jī)制第18頁2.3計(jì)算機(jī)病毒傳染機(jī)制2.3.1計(jì)算機(jī)病毒傳染方式計(jì)算機(jī)病毒傳染：指計(jì)算機(jī)病毒程序由一個(gè)信息載體傳輸?shù)搅硪粋€(gè)信息載體，或由一個(gè)系統(tǒng)傳輸?shù)搅硪粋€(gè)系統(tǒng)過程計(jì)算機(jī)病毒傳輸方式：被動(dòng)傳染：用戶在復(fù)制磁盤或文件時(shí)，把一個(gè)計(jì)算機(jī)病毒由一個(gè)信息載體復(fù)制到另一個(gè)信息載體，也可能經(jīng)過網(wǎng)絡(luò)傳輸主動(dòng)傳染：在計(jì)算機(jī)病毒處于激活狀態(tài)下，只要傳染條件滿足，計(jì)算機(jī)病毒能主動(dòng)將病毒本身傳染給另一個(gè)載體或系統(tǒng)計(jì)算機(jī)病毒的工作機(jī)制第19頁2.3計(jì)算機(jī)病毒傳染機(jī)制2.3.1計(jì)算機(jī)病毒傳染方式計(jì)算機(jī)病毒傳染：指計(jì)算機(jī)病毒程序由一個(gè)信息載體傳輸?shù)搅硪粋€(gè)信息載體，或由一個(gè)系統(tǒng)傳輸?shù)搅硪粋€(gè)系統(tǒng)過程。按照病毒傳染時(shí)間性分為：馬上傳染：計(jì)算機(jī)病毒在被執(zhí)行瞬間，搶在宿主程序執(zhí)行之前，馬上感染磁盤上其它程序，然后再執(zhí)行宿主程序伺機(jī)傳染：計(jì)算機(jī)病毒駐留內(nèi)存后當(dāng)滿足傳染條件時(shí)傳染磁盤上程序計(jì)算機(jī)病毒的工作機(jī)制第20頁2.3計(jì)算機(jī)病毒傳染機(jī)制2.3.2計(jì)算機(jī)病毒傳染過程被動(dòng)傳染：伴隨復(fù)制磁盤或文件工作進(jìn)行而進(jìn)行。主動(dòng)傳染：

1.在系統(tǒng)運(yùn)行時(shí)，計(jì)算機(jī)病毒經(jīng)過計(jì)算機(jī)病毒載體，即系統(tǒng)外存放器進(jìn)入系統(tǒng)內(nèi)存放器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)運(yùn)行；

2.病毒程序引導(dǎo)模塊，修改中止向量入口地址，使之指向病毒程序傳染模塊；

3.一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功效調(diào)用，病毒傳染模塊就被激活，當(dāng)傳染條件滿足時(shí)，利用INT13H將病毒本身傳染給被讀寫磁盤或被加載程序。計(jì)算機(jī)病毒的工作機(jī)制第21頁2.3計(jì)算機(jī)病毒傳染機(jī)制2.3.2計(jì)算機(jī)病毒傳染過程文件型病毒傳染機(jī)理系統(tǒng)（程序）運(yùn)行各種模塊進(jìn)入內(nèi)存按各種傳染方式傳染操作系統(tǒng)型計(jì)算機(jī)病毒傳染過程（P26）計(jì)算機(jī)病毒的工作機(jī)制第22頁2.3計(jì)算機(jī)病毒傳染機(jī)制2.3.3系統(tǒng)型計(jì)算機(jī)病毒傳染機(jī)理系統(tǒng)型計(jì)算機(jī)病毒針對(duì)軟硬盤不一樣特點(diǎn)采取不一樣傳染方式：系統(tǒng)型計(jì)算機(jī)病毒對(duì)軟盤傳染：利用在開機(jī)引導(dǎo)時(shí)竊取INT13H控制權(quán)，系統(tǒng)運(yùn)行過程中隨時(shí)監(jiān)視軟盤操作情況，在系統(tǒng)讀寫軟盤時(shí)讀出磁盤引導(dǎo)區(qū)，若未感染病毒就按病毒寄生方式將原引導(dǎo)區(qū)寫到磁盤另一位置，將病毒寫入磁盤第一扇區(qū)，從而完成傳染。系統(tǒng)型計(jì)算機(jī)病毒對(duì)硬盤傳染：經(jīng)過第一次使用帶毒軟盤進(jìn)行，詳細(xì)步驟與軟盤傳染相同，讀出引導(dǎo)區(qū)判斷后寫入計(jì)算機(jī)病毒。

計(jì)算機(jī)病毒的工作機(jī)制第23頁2.3計(jì)算機(jī)病毒傳染機(jī)制2.3.4文件型計(jì)算機(jī)病毒傳染機(jī)理文件型計(jì)算機(jī)病毒傳染過程：

1．依據(jù)可執(zhí)行程序文件特點(diǎn)地址標(biāo)識(shí)符信息，判斷是否已感染病毒

2．條件滿足時(shí)，利用INT13H將病毒鏈接到可執(zhí)行程序文件首部、尾部或中間；

3．完成傳染后，繼續(xù)監(jiān)視系統(tǒng)運(yùn)行，試圖尋找新攻擊目標(biāo)。文件型計(jì)算機(jī)病毒傳染路徑：

1．加載執(zhí)行文件：經(jīng)過截獲INT21中止檢驗(yàn)每一個(gè)加載運(yùn)行可執(zhí)行文件進(jìn)行傳染。每次只傳染一個(gè)文件，不會(huì)感染用戶為執(zhí)行文件。

2．列目錄過程：在用戶列硬盤目錄時(shí)，病毒檢驗(yàn)每個(gè)文件擴(kuò)展名，對(duì)可執(zhí)行文件進(jìn)行傳染。

3．創(chuàng)建文件過程：在創(chuàng)建文件過程中，病毒將其附加在新文件上計(jì)算機(jī)病毒的工作機(jī)制第24頁2.4計(jì)算機(jī)病毒觸發(fā)機(jī)制可觸發(fā)性：是計(jì)算機(jī)病毒攻擊性和潛伏性之間調(diào)整杠桿，可控制病毒感染和破壞頻度，兼顧殺傷力和潛伏性。當(dāng)前常見病毒觸發(fā)條件種類：1．日期觸發(fā)2．時(shí)間觸發(fā)3．鍵盤觸發(fā)4．感染觸發(fā)5．開啟觸發(fā)6．訪問磁盤次數(shù)觸發(fā)7．調(diào)用中止功效觸發(fā)8．CPU型號(hào)/主板型號(hào)觸發(fā)計(jì)算機(jī)病毒的工作機(jī)制第25頁2.5計(jì)算機(jī)病毒破壞機(jī)制經(jīng)過修改某一中止向量入口地址實(shí)現(xiàn)，使中止向量入口地址指向病毒破壞模塊，當(dāng)系統(tǒng)或被加載程序訪問該中止向量時(shí)，病毒破壞模塊被激活，滿足一定條件時(shí)實(shí)施破壞活動(dòng)。

計(jì)算機(jī)病毒的工作機(jī)制第26頁2.6計(jì)算機(jī)病毒傳輸機(jī)制計(jì)算機(jī)病毒傳輸方式：計(jì)算機(jī)病毒直接從有盤站復(fù)制到服務(wù)器中計(jì)算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，等運(yùn)行網(wǎng)