計算機病毒分析與防治教程

1、計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第1頁第第7章章 病毒常用技術(shù)分析病毒常用技術(shù)分析 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社教學(xué)目標(biāo)教學(xué)重點教學(xué)過程計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第2頁教學(xué)目標(biāo)教學(xué)目標(biāo)l加密、變形、多態(tài)加密、變形、多態(tài)l進入系統(tǒng)核心層進入系統(tǒng)核心層l欺騙欺騙l駐留系統(tǒng)截獲系統(tǒng)操作駐留系統(tǒng)截獲系統(tǒng)操作l反跟蹤反跟蹤計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日

2、第3頁教學(xué)重點教學(xué)重點l生產(chǎn)作業(yè)計劃的概念和特點生產(chǎn)作業(yè)計劃的概念和特點l生產(chǎn)作業(yè)流程的特點生產(chǎn)作業(yè)流程的特點l生產(chǎn)作業(yè)控制的內(nèi)容和特點生產(chǎn)作業(yè)控制的內(nèi)容和特點計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第4頁教學(xué)過程教學(xué)過程l病毒的加密技術(shù)病毒的加密技術(shù) l病毒的變種、多態(tài)與變形病毒的變種、多態(tài)與變形 l病毒的一些常用保護方法病毒的一些常用保護方法 l病毒對系統(tǒng)的破壞病毒對系統(tǒng)的破壞 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第5頁7.1 病毒的加密技術(shù)病毒的加密技術(shù) 1. 腳本代碼

3、的加密腳本代碼的加密 2. PE文件的加密文件的加密 3. 花指令方法花指令方法 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第6頁腳本代碼的加密腳本代碼的加密 l絕大部分腳本病毒運行的時候需要用到對絕大部分腳本病毒運行的時候需要用到對象象FileSystemObject。腳本代碼需要通過。腳本代碼需要通過Windows Script Host來解釋執(zhí)行。腳本來解釋執(zhí)行。腳本病毒的運行需要其關(guān)聯(lián)程序病毒的運行需要其關(guān)聯(lián)程序Wscript.exe的的支持。通過網(wǎng)頁傳播的病毒需要支持。通過網(wǎng)頁傳播的病毒需要ActiveX的的支持。支持。 計算機

4、病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第7頁自加密自加密 自加密使每次運行后病毒文件代碼都有所變化。如新歡樂時光病毒，它可以隨機選取密鑰對自己的部分代碼進行加密變換，使得每次感染的病毒代碼都不一樣，這給傳統(tǒng)的特征值查毒法帶來了一些困難。 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第8頁巧妙運用巧妙運用ExecuteExecute函數(shù)函數(shù) 例如，下面的例如，下面的VbsVbs程序：程序：str=set fso=createObject( & chr(34) & str=set fso=c

5、reateObject( & chr(34) & s c r i p & c h r ( 1 1 6 ) & s c r i p & c h r ( 1 1 6 ) & ing.FileSystemObject&chr(34)&chr(41)ing.FileSystemObject&chr(34)&chr(41)msgbox strmsgbox str Execute strExecute str 執(zhí)行執(zhí)行strstr計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第9頁改變某些對象的聲明方法改變某些對象的聲明方法 例如，對代碼：fso=cre

6、ateobject(scripting.filesystemobject)我們將其改變?yōu)椋篺 s o = c r e a t e o b j e c t ( s c r i p t ing.filesystemobject)這樣反病毒軟件對其進行靜態(tài)掃描時就不會發(fā)現(xiàn)filesystemobject對象。 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第10頁PEPE文件的加密文件的加密 l認定關(guān)鍵代碼認定關(guān)鍵代碼 。 l選擇加密算法選擇加密算法 。l在程序初始化的某個位置增加解密代碼在程序初始化的某個位置增加解密代碼 。l找到關(guān)鍵代碼在內(nèi)存中

7、位置找到關(guān)鍵代碼在內(nèi)存中位置 。l替換加密代碼中的初始值替換加密代碼中的初始值 。l加密關(guān)鍵代碼加密關(guān)鍵代碼 。l修改程序代碼節(jié)屬性修改程序代碼節(jié)屬性 。計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第11頁花指令方法花指令方法 在程序中摻雜一些采用在程序中摻雜一些采用“跳轉(zhuǎn)指令加數(shù)據(jù)跳轉(zhuǎn)指令加數(shù)據(jù)”的代碼，的代碼，可以局部破壞軟件反匯編，這就是所謂可以局部破壞軟件反匯編，這就是所謂“花指花指令令”。代碼格式可以表示為：。代碼格式可以表示為：jzjz f f ；若標(biāo)志位；若標(biāo)志位ZF=1,ZF=1,跳轉(zhuǎn)到下一個標(biāo)號跳轉(zhuǎn)到下一個標(biāo)號 jnzjn

8、z f f ；若標(biāo)志位；若標(biāo)志位ZF=0,ZF=0,跳轉(zhuǎn)到下一個標(biāo)跳轉(zhuǎn)到下一個標(biāo)號，所以總是跳轉(zhuǎn)到一個位置號，所以總是跳轉(zhuǎn)到一個位置 db 0 db 0 ；定義一個變量，干擾后面的反；定義一個變量，干擾后面的反匯編，也可為別的值，值不同效果不同匯編，也可為別的值，值不同效果不同 : : ；標(biāo)號；標(biāo)號計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第12頁花指令使用前花指令使用前 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第13頁使用花指令后使用花指令后 計算機病毒分析與防治教程計算機病毒分

9、析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第14頁7.2 7.2 病毒的變種、多態(tài)與變形病毒的變種、多態(tài)與變形 l變種病毒指在已有的病毒上對病毒的代碼變種病毒指在已有的病毒上對病毒的代碼進行修改后又成為一個新的病毒，可以看進行修改后又成為一個新的病毒，可以看作是在原病毒基礎(chǔ)上的升級。作是在原病毒基礎(chǔ)上的升級。 l病毒多態(tài)就是使病毒能夠改變自身的存儲病毒多態(tài)就是使病毒能夠改變自身的存儲形式的技術(shù)，使傳統(tǒng)依靠特征值檢測的技形式的技術(shù)，使傳統(tǒng)依靠特征值檢測的技術(shù)失效。變形則在多態(tài)的基礎(chǔ)上更進一步。術(shù)失效。變形則在多態(tài)的基礎(chǔ)上更進一步。 計算機病毒分析與防治教程計算機病毒分析與防治

10、教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第15頁多態(tài)與變形病毒的來歷與分類多態(tài)與變形病毒的來歷與分類 l一個成熟的多態(tài)病毒由密匙，解密代碼和主程序體構(gòu)成。一個成熟的多態(tài)病毒由密匙，解密代碼和主程序體構(gòu)成。每次生成的解密代碼和密鑰都不同，使得每條解密指令都每次生成的解密代碼和密鑰都不同，使得每條解密指令都不是固定的，病毒每次復(fù)制自身的時候，這些代碼都會隨不是固定的，病毒每次復(fù)制自身的時候，這些代碼都會隨機改變；密鑰每次都隨機生成。讓解密代碼幾乎沒有規(guī)律機改變；密鑰每次都隨機生成。讓解密代碼幾乎沒有規(guī)律可循，這就是多態(tài)病毒思想?？裳@就是多態(tài)病毒思想。 l變形引擎在多態(tài)引擎的基礎(chǔ)上

11、，使用了中間語言（由原始變形引擎在多態(tài)引擎的基礎(chǔ)上，使用了中間語言（由原始代碼反匯編而成，由病毒本體操作），并在實際執(zhí)行時進代碼反匯編而成，由病毒本體操作），并在實際執(zhí)行時進行匯編編譯變換，并附帶有模擬器，這樣進一步使病毒的行匯編編譯變換，并附帶有模擬器，這樣進一步使病毒的代碼發(fā)生變形，使得病毒完全喪失相同點。代碼發(fā)生變形，使得病毒完全喪失相同點。 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第16頁多態(tài)原理淺析多態(tài)原理淺析 l對加密病毒改進后，病毒由變化的解密頭對加密病毒改進后，病毒由變化的解密頭和加密的代碼組成。多態(tài)病毒運行時，先和加密

12、的代碼組成。多態(tài)病毒運行時，先執(zhí)行的是解密代碼，對加密代碼解密，然執(zhí)行的是解密代碼，對加密代碼解密，然后執(zhí)行剛解密的代碼，也就是實現(xiàn)傳播的后執(zhí)行剛解密的代碼，也就是實現(xiàn)傳播的主體代碼。主體代碼。 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第17頁使用宏后的效果使用宏后的效果 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第18頁變形引擎淺析變形引擎淺析 變形引擎即能不斷產(chǎn)生變形，使病毒呈現(xiàn)出變形引擎即能不斷產(chǎn)生變形，使病毒呈現(xiàn)出多態(tài)的程序。近年來出現(xiàn)了一些所謂的多態(tài)的程序。近年來出現(xiàn)了一

13、些所謂的“病毒生產(chǎn)機病毒生產(chǎn)機”軟件，使新病毒的制造非軟件，使新病毒的制造非常容易，能夠自動地產(chǎn)生病毒的變形代碼。常容易，能夠自動地產(chǎn)生病毒的變形代碼。 變形引擎原理的變形代碼一般由兩部分組成，變形引擎原理的變形代碼一般由兩部分組成，分別是一段經(jīng)過分別是一段經(jīng)過3232位密鑰異或加密的代碼位密鑰異或加密的代碼和由引擎隨機生成的一段對這段加密代碼和由引擎隨機生成的一段對這段加密代碼進行解碼的模塊。進行解碼的模塊。 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第19頁計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社

14、2022年1月16日第20頁7.3 7.3 病毒的一些常用保護方法病毒的一些常用保護方法 l自我刪除自我刪除l自我復(fù)制自我復(fù)制l駐留內(nèi)存駐留內(nèi)存l以服務(wù)程序方式以服務(wù)程序方式 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第21頁自我刪除自我刪除 l 自我刪除的目的是在安裝結(jié)束后或某些過自我刪除的目的是在安裝結(jié)束后或某些過程結(jié)束后刪除程序本身，方法有好幾種。程結(jié)束后刪除程序本身，方法有好幾種。適用于任何一種適用于任何一種Windows的程序自我刪除的程序自我刪除方法是使用擴展名為方法是使用擴展名為bat批處理文件。批處理文件。 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第22頁自我復(fù)制自我復(fù)制 lPEPE文件方式文件方式l腳本語言方式腳本語言方式 計算機病毒分析與防治教程計算機病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第23頁搜索資源（搜索資源（EmailEmail地址和共享目地址和共享目錄）錄