計(jì)算機(jī)病毒及其防范技術(shù)（第2版）第3章 計(jì)算機(jī)病毒結(jié)構(gòu)及技術(shù)分析

第三章 計(jì)算機(jī)病毒結(jié)構(gòu)分析 上海交通大學(xué)信息安全工程學(xué)院 劉功申 信息安全工程學(xué)院 本章學(xué)習(xí)目標(biāo) 掌握計(jì)算機(jī)病毒的結(jié)構(gòu) 掌握計(jì)算機(jī)病毒的工作機(jī)制 了解各種計(jì)算機(jī)病毒技術(shù) 信息安全工程學(xué)院 一、 計(jì)算機(jī)病毒的結(jié)構(gòu)和工作機(jī)制 四大模塊： 感染模塊 觸發(fā)模塊 破壞模塊（表現(xiàn)模塊） 引導(dǎo)模塊（主控模塊） 兩個(gè)狀態(tài)： 靜態(tài) 動(dòng)態(tài) 信息安全工程學(xué)院 工作機(jī)制 動(dòng) 態(tài)靜 態(tài)引 導(dǎo) 模 塊病 毒 感 染病 毒 破 壞觸 發(fā) 模 塊滿 足 觸 發(fā) 條 件滿 足 破 壞 條 件攜 毒 潛 伏 或 消 散攜 毒 潛 伏 或 消 散滿 足滿 足不 滿 足不 滿 足信息安全工程學(xué)院 引導(dǎo)模塊 引導(dǎo)前 寄生 寄生位置： 引導(dǎo)區(qū) 可執(zhí)行文件 寄生手段： 替代法（寄生在引導(dǎo)區(qū)中的病毒常用該法） 鏈接法（寄生在文件中的病毒常用該法） 信息安全工程學(xué)院 引導(dǎo)過(guò)程 駐留內(nèi)存 竊取系統(tǒng)控制權(quán) 恢復(fù)系統(tǒng)功能 引導(dǎo)區(qū)病毒引導(dǎo)過(guò)程 搬遷系統(tǒng)引導(dǎo)程序 - 替代為病毒引導(dǎo)程序 啟動(dòng)時(shí) - 病毒引導(dǎo)模塊 - 加載傳染、破壞和觸發(fā)模塊到內(nèi)存 -使用常駐技術(shù) 最后，轉(zhuǎn)向系統(tǒng)引導(dǎo)程序 - 引導(dǎo)系統(tǒng) 信息安全工程學(xué)院 文件型病毒引導(dǎo)過(guò)程 修改入口指令 - 替代為跳轉(zhuǎn)到病毒模塊的指令 執(zhí)行時(shí) - 跳轉(zhuǎn)到病毒引導(dǎo)模塊 - 病毒引導(dǎo)模塊 -加載傳染、破壞和觸發(fā)模塊到內(nèi)存 - 使用常駐技術(shù) 最后，轉(zhuǎn)向程序的正常執(zhí)行指令 - 執(zhí)行程序 信息安全工程學(xué)院 感染模塊 病毒傳染的條件 被動(dòng)傳染（靜態(tài)時(shí)） 用戶在進(jìn)行拷貝磁盤(pán)或文件時(shí)，把一個(gè)病毒由一個(gè)載體復(fù)制到另一個(gè)載體上?；蛘呤峭ㄟ^(guò)網(wǎng)絡(luò)上的信息傳遞，把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動(dòng)傳染。 主動(dòng)傳染（動(dòng)態(tài)時(shí)） 以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。這種傳染方式叫做計(jì)算機(jī)病毒的主動(dòng)傳染。 信息安全工程學(xué)院 傳染過(guò)程 系統(tǒng)（程序）運(yùn)行 - 各種模塊進(jìn)入內(nèi)存 - 按多種傳染方式傳染 傳染方式 立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開(kāi)始執(zhí)行前，立即感染磁盤(pán)上的其他程序，然后再執(zhí)行宿主程序。 駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個(gè)程序、瀏覽一個(gè)網(wǎng)頁(yè)時(shí)傳染磁盤(pán)上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后，仍可活動(dòng)，直至關(guān)閉計(jì)算機(jī)。 信息安全工程學(xué)院 文件型病毒傳染機(jī)理 首先根據(jù)病毒自己的特定標(biāo)識(shí)來(lái)判斷該文件是否已感染了該病毒； 當(dāng)條件滿足時(shí)，將病毒鏈接到文件的特定部位，并存入磁盤(pán)中； 完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。 文件型病毒傳染途徑 加載執(zhí)行文件 瀏覽目錄過(guò)程 創(chuàng)建文件過(guò)程 信息安全工程學(xué)院 破壞模塊 破壞是 毒魅力的體現(xiàn) 破壞模塊的功能 破壞、破壞、還是破壞 破壞對(duì)象 系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運(yùn)行速度、磁盤(pán)、板和網(wǎng)絡(luò)等。 破壞的程度 信息安全工程學(xué)院 觸發(fā)模塊 觸發(fā)條件 計(jì)算機(jī)病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個(gè)條件就是計(jì)算機(jī)病毒的觸發(fā)條件。 觸發(fā)模塊的目的是調(diào)節(jié)病毒的攻擊性和潛伏性之間的平衡 大范圍的感染行為、頻繁的破壞行為可能給用戶以重創(chuàng)，但是，它們總是使系統(tǒng)或多或少地出現(xiàn)異常，容易使病毒暴露。 而不破壞、不感染又會(huì)使病毒失去其特性。 可觸發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。 信息安全工程學(xué)院 病毒常用的觸發(fā)條件 日期觸發(fā) 時(shí)間觸發(fā) 鍵盤(pán)觸發(fā) 感染觸發(fā) 例如，運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤(pán)數(shù)觸發(fā)、感染失敗觸發(fā)等。 啟動(dòng)觸發(fā) 訪問(wèn)磁盤(pán)次數(shù)觸發(fā) 主板型號(hào)觸發(fā) 信息安全工程學(xué)院 二、常見(jiàn)計(jì)算機(jī)病毒的技術(shù)特征 駐留內(nèi)存 病毒變種 術(shù) 抗分析技術(shù)（加密、反跟蹤） 隱蔽性病毒技術(shù) 多態(tài)性病毒技術(shù) 插入型病毒技術(shù) 超級(jí)病毒技術(shù) 破壞性感染技術(shù) 網(wǎng)絡(luò)病毒技術(shù) 信息安全工程學(xué)院 1 駐留內(nèi)存 :內(nèi)存控制塊 （ 內(nèi)存塊 1 為病毒分配的內(nèi)存塊 內(nèi)存塊 2 為病毒分配一塊內(nèi)存 高端內(nèi)存區(qū)域 視頻內(nèi)存塊 中斷向量表 空閑區(qū)域 病毒代碼 空閑區(qū)域 空閑區(qū)域 空閑區(qū)域 信息安全工程學(xué)院 1 駐留內(nèi)存：引導(dǎo)區(qū)病毒的內(nèi)存駐留 大小在 1 為了避免用戶可以很容易的覺(jué)察到系統(tǒng)可用內(nèi)存的減少，一些病毒會(huì)等待 后使用 不用考慮重載。 信息安全工程學(xué)院 1 駐留內(nèi)存： 三種駐留內(nèi)存的方法 由于 以最簡(jiǎn)單的內(nèi)存駐留方法是將病毒作為一個(gè)應(yīng)用程序，病毒擁有自己的窗口（可能是隱藏的）、擁有自己的消息處理函數(shù)； 另外一種方法是使用 后將病毒代碼放到這塊內(nèi)存中； 第三種方法是將病毒作為一個(gè) 者在 T 信息安全工程學(xué)院 防止重載的方法 傳統(tǒng)的防止重入方法 禁止啟動(dòng)兩個(gè)實(shí)例 對(duì)于 靜態(tài)加載時(shí)，病毒會(huì)在“ 件中包含加載設(shè)備驅(qū)動(dòng)程序的一行信息； 動(dòng)態(tài)加載時(shí)，可能使用某些英特爾 信息安全工程學(xué)院 1 駐留內(nèi)存：宏病毒的內(nèi)存駐留方法 病毒隨著宿主程序而被加載并且一直存在于系統(tǒng)中，所以從某種意義上，宏病毒都是內(nèi)存駐留病毒。 宏病毒通過(guò)檢測(cè)自己的特征防止重入。 信息安全工程學(xué)院 2 病毒變種 變形 變種 新品種 兩種方式： 手工變種 自動(dòng)變種（ 形機(jī)） 保加利亞 毒構(gòu)造工具箱， 毒制造實(shí)驗(yàn)室， 一代病毒機(jī)， 信息安全工程學(xué)院 變種分類 第一類，具備普通病毒所具有的基本特性，然而，病毒每感染一個(gè)目標(biāo)后，其自身代碼與前一被感染目標(biāo)中的病毒代碼幾乎沒(méi)有三個(gè)連續(xù)的字節(jié)是相同的，但這些代碼及其相對(duì)空間的排列位置是不變動(dòng)的。這里稱其為一維變形病毒。 第二類，除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離（相對(duì)空間位置）也是變化的，有的感染文件的字節(jié)數(shù)不定。這里稱其為二維變形病毒。 信息安全工程學(xué)院 第三類，具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，隨便某一處的子病毒被激發(fā)后都能自我恢復(fù)成一個(gè)完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。例如，在某臺(tái)機(jī)器中，病毒的一部分可能藏在機(jī)器硬盤(pán)的主引導(dǎo)區(qū)中，另外幾部分也可能潛藏在可執(zhí)行文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統(tǒng)引導(dǎo)區(qū)，也可能另開(kāi)墾一塊區(qū)域潛藏等等。在另一臺(tái)被感染的機(jī)器內(nèi)，病毒可能又改變了其潛藏的位置。這里稱其為三維變形病毒。 第四類，具備三維變形病毒的特性，并且，這些特性隨時(shí)間動(dòng)態(tài)變化。例如，在染毒的機(jī)器中，剛開(kāi)機(jī)時(shí)病毒在內(nèi)存里變化為一個(gè)樣子，一段時(shí)間后又變成了另一個(gè)樣子，再次開(kāi)機(jī)后病毒在內(nèi)存里又是一個(gè)不同的樣子。這里稱其為四維變形病毒。 信息安全工程學(xué)院 3 術(shù) 為什么要采用 殺毒技術(shù)提高 防止被發(fā)現(xiàn) 現(xiàn)方法： 最早的 單但無(wú)用 把宿主程序的任意位置的指令替換為跳轉(zhuǎn)語(yǔ)句。難點(diǎn)在于定位一個(gè)完整的指令（類似于一個(gè)反編譯器） 信息安全工程學(xué)院 如果在一段代碼中有一條指令： 228738fd 7把它替換成新的指令 of 在病毒體內(nèi)還要再次調(diào)用 7完成宿主程序的功能。代碼如下： dw ; ;存放 個(gè)后綴是變化的 在病毒代碼中，把 7令編譯后的后綴。 信息安全工程學(xué)院 4 抗分析技術(shù) 加密技術(shù)：這是一種防止靜態(tài)分析的技術(shù)，使得分析者無(wú)法在不執(zhí)行病毒的情況下，閱讀加密過(guò)的病毒程序。 反跟蹤技術(shù)：使得分析者無(wú)法動(dòng)態(tài)跟蹤病毒程序的運(yùn)行。 信息安全工程學(xué)院 4 抗分析技術(shù)：自加密技術(shù) 數(shù)據(jù)加密（信息加密） 例如： 算機(jī)病毒發(fā)作時(shí)將在屏幕上顯示的字符串被用異或操作的方式加密存儲(chǔ)。 1575 病毒加密數(shù)據(jù)文件。加密文件名 毒代碼加密 個(gè)字節(jié)加密并轉(zhuǎn)移位置。 1701/1704用宿主程序的長(zhǎng)度作為密鑰加密代碼。 信息安全工程學(xué)院 4 抗分析技術(shù)：反跟蹤技術(shù) 改 封鎖鍵盤(pán)輸入 關(guān)閉屏幕顯示 修改堆棧指令 程序運(yùn)行計(jì)時(shí) 動(dòng)態(tài)地生成指令代碼 信息安全工程學(xué)院 5 隱蔽性病毒技術(shù) 引導(dǎo)型隱藏方法一 感染時(shí)，修改中斷服務(wù)程序 使用時(shí)，截獲 3調(diào)用 原來(lái)的 病毒感染后的 普通扇區(qū) 普通扇區(qū) 被病毒感染的扇區(qū) 被病毒感染的扇區(qū)的原始扇區(qū) 讀扇區(qū)調(diào)用 讀請(qǐng)求 讀請(qǐng)求 返回?cái)?shù)據(jù) 返回?cái)?shù)據(jù) 返回?cái)?shù)據(jù) 信息安全工程學(xué)院 引導(dǎo)型隱藏方法二 針對(duì)殺毒軟件對(duì)磁盤(pán)直接讀寫(xiě)的特點(diǎn)。 截獲 1H，然后恢復(fù)感染區(qū) 最后，再進(jìn)行感染 感染后的 10H（ 加載一個(gè)程序執(zhí)行 ） 用戶敲入 恢復(fù)被病毒感染的扇區(qū)為原來(lái)的內(nèi)容 原來(lái)的 重新感染扇區(qū) 返回 信息安全工程學(xué)院 文件型病毒的隱藏技術(shù) 攔截（ 問(wèn) 恢復(fù) 再感染。例如，改變文件大小病毒， 直接磁盤(pán)訪問(wèn) ） 列目錄功能 （ 讀寫(xiě)功能 （ 執(zhí)行功能 （ 其他功能 （ 視窗操作系統(tǒng)下 ， 支持長(zhǎng)文件名的擴(kuò)展隱藏病毒扇區(qū) 列目錄時(shí)顯示感染前的文件大小 讀寫(xiě)文件看到正常的文件內(nèi)容 執(zhí)行或者搜索時(shí)隱藏病毒 在支持長(zhǎng)文件名的系統(tǒng)隱藏自身 信息安全工程學(xué)院 宏病毒的隱藏技術(shù) 刪除相關(guān)的菜單項(xiàng)：“文件 模板”或者“工具 宏” 使用宏病毒自己的 信息安全工程學(xué)院 6 多態(tài)性病毒技術(shù) 多態(tài)病毒就是沒(méi)有特殊特征碼的病毒，這種病毒無(wú)法（或極難）用特征碼掃描法檢測(cè)到。 方法： 使用不固定的密鑰或者隨機(jī)數(shù)加密病毒代碼 運(yùn)行的過(guò)程中改變病毒代碼 通過(guò)一些奇怪的指令序列實(shí)現(xiàn)多態(tài)性 信息安全工程學(xué)院 使用加密技術(shù)的多態(tài)性 OV OV EC 中 ， X、 感染不同的文件 ， 解密代碼使用隨機(jī)的寄存器 感染的時(shí)候 ， 這些數(shù)值都是隨機(jī)生成的 ， 不同的感染都不一樣 使用什么運(yùn)算指令是感染的時(shí)候隨機(jī)選擇的 使用什么跳轉(zhuǎn)指令也是感染的時(shí)候隨機(jī)選擇的 加密后的病毒代碼 信息安全工程學(xué)院 改變可執(zhí)行代碼技術(shù)的多態(tài)病毒 基本上都使用在宏病毒中，其他病毒少見(jiàn)。 宏語(yǔ)言都是以 引導(dǎo)型病毒 在引導(dǎo)區(qū)或者分區(qū)表中，包含了一小段代碼來(lái)加載實(shí)際的病毒代碼，這段代碼在運(yùn)行的過(guò)程中是可以改變的。 文件型病毒 “厚度”（ 毒 “ 毒 信息安全工程學(xué)院 多態(tài)病毒的級(jí)別 半多態(tài)： 病毒擁有一組解密算法，感染的時(shí)候從中間隨機(jī)的選擇一種算法進(jìn)行加密和感染。 具有不動(dòng)點(diǎn)的多態(tài)： 病毒有一條或者幾條語(yǔ)句是不變的（我們把這些不變的語(yǔ)句叫做不動(dòng)點(diǎn)），其他病毒指令都是可變的。 帶有填充物的多態(tài)： 解密代碼中包含一些沒(méi)有實(shí)際用途的代碼來(lái)干擾分析者的視線。 算法固定的多態(tài)： 解密代碼所使用的算法是固定的，但是實(shí)現(xiàn)這個(gè)算法的指令和指令的次序是可變的。 算法可變的多態(tài)： 使用了上述所有的技術(shù)，同時(shí)解密算法也是可以部分或者全部改變的。 完全多態(tài)： 算法多態(tài)，同時(shí)病毒體可以隨機(jī)的分布在感染文件的各個(gè)位置，但是在運(yùn)行的時(shí)候能夠進(jìn)行拼裝，并且可以正常工作。 信息安全工程學(xué)院 查殺技術(shù) 對(duì)于前面 3種多態(tài)病毒，可以使用病毒特征碼或者改進(jìn)后的病毒特征碼 對(duì)于第 4種多態(tài)病毒，可以增加多種情況的改進(jìn)后的特征碼 至于第 5和第 6種多態(tài)病毒，依靠傳統(tǒng)的特征碼技術(shù)是完全無(wú)能為力的。 最好的辦法是虛擬執(zhí)行技術(shù)。 信息安全工程學(xué)院 7 插入型病毒技術(shù) 例如， 息安全工程學(xué)院 8 超級(jí)病毒技術(shù) 超級(jí)病毒技術(shù)就是在計(jì)算機(jī)病毒進(jìn)行感染、破壞時(shí)，使得病