病毒查殺程序分析

1、計算機病毒與防治計算機病毒與防治課程小組1教學(xué)單元5-3簡單的殺毒程序?qū)嵗靶茇垷恪辈《練⒍境绦?批處理文件介紹沖擊波病毒殺毒源代碼分析 第一講 病毒查殺程序分析計算機病毒與防治課程小組sxs.exe病毒查殺程序分析1099病毒查殺程序分析2sxs.exe病毒查殺程序分析sxs.exe病毒查殺程序是一個批處理程序，雙擊執(zhí)行即可清除sxs.exe病毒。請大家根據(jù)搜集的資料一起來討論什么是批處理程序？批處理文件的作用是什么？ 1.批處理程序簡介批處理文件（Batch File，簡稱 BAT文件）是一種在DOS 下最常用的可執(zhí)行文件。它具有靈活的操縱性，可適應(yīng)各種復(fù)雜的計算機操作。所謂的批處理，就

2、是按規(guī)定的順序自動執(zhí)行若干個指定的DOS命令或程序。即是把原來一個一個執(zhí)行的命令匯總起來，成批的執(zhí)行，而程序文件可以移植到其它電腦中運行，因此可以大大節(jié)省命令反復(fù)輸入的繁瑣。同時批處理文件還有一些編程的特點，可以通過擴展參數(shù)來靈活的控制程序的執(zhí)行，所以在日常工作中非常實用。3sxs.exe病毒查殺程序分析 批處理文件起源于DOS時代，在DOS時代的擴展名為.bat（即是batch的縮寫），可使用Copy con、Edit、WPS等DOS程序來編輯。 隨著時代的發(fā)展，現(xiàn)今批處理文件已經(jīng)不止支持DOS下的程序，同時也支持Windows環(huán)境程序的運行，在Windows NT以后的平臺中，還加入了以.

3、cmd為擴展名的批處理文件，其性能比.bat文件更加優(yōu)越，執(zhí)行也與.bat文件一樣方便快捷。 注：由于.bat文件是基于16平臺下的程序，在Windows NT及以后的32位中運行時偶爾會出現(xiàn)堆棧溢出之類的錯誤，所以建議在新的系統(tǒng)中盡可能的采用.cmd擴展的批處理文件代替.bat的文件。 2.批處理程序發(fā)展史4sxs.exe病毒查殺程序分析 其實編寫批處理文件并沒有什么編程環(huán)境的要求，任何一個文本編輯器都可以用來編寫批處理文件，像DOS下的Edit、WPS以及DOS自帶的Copy命令的擴展copy con命令就可以編寫，Windows下的記事本、寫字板等。 計算機病毒與防治課程小組3如何來編寫

4、批處理文件5sxs.exe病毒查殺程序分析 由于批處理文件其實就是一個命令的集合，所以批處理文件的工作平臺是由這些命令所工作的平臺來決定，今天我們在這里主要研究的是Microsoft環(huán)境下的批處理文件（.bat和.cmd文件），所以這里的平臺，當然也就是指Microsoft的DOS和Windows系統(tǒng)。4批處理文件的工作平臺6sxs.exe病毒查殺程序分析現(xiàn)今Windows環(huán)境已經(jīng)如此普及，程序的運行只要點擊幾次鼠標就可以完成，所以造成很多人都已經(jīng)不了解批處理文件的作用，特別是那些新接觸電腦的用戶，而更多的了解它的人卻是那些程序設(shè)計人員，但不可否認，批處理文件有很多優(yōu)點是其它程序所無法比擬的，

5、最主要的優(yōu)點就是編寫環(huán)境的寬松，編寫人員能力要求較低。5批處理文件的應(yīng)用7sxs.exe病毒查殺程序分析下面我們來分析這個批處理程序：echo off (不顯示后續(xù)命令行及當前命令行，echo off表示在此語句后所有運行的命令都不顯示命令行本身, 與echooff相象，但它是加在其它命令行的最前面，表示運行時不顯示命令行本身。)taskkill /f /im sxs.exe /t (指定要強行終止進程sxs.exe，并且同時終止由此進程創(chuàng)建的的圖像和任何由此啟動的子進程。)taskkill /f /im SVOHOST.exe /t (指定要強行終止進程SVOHOST.exe，并且同時終止由

6、此進程創(chuàng)建的的圖像和任何由此啟動的子進程。)(接下來是對C:,D:,E:盤下的文件進行操作。)c: attrib sxs.exe -a -h -s (attrib顯示或更改文件屬性。此處是去除sxs.exe這個文件的存檔屬性、系統(tǒng)文件屬性和隱藏屬性)1.sxs殺毒程序分析8sxs.exe病毒查殺程序分析del /s /q /f sxs.exe （/S表示從所有子目錄刪除指定文件。/q表示安靜模式，刪除全局通配符時，不要求確認。f/表示強制刪除只讀文件sxs.exe）attrib autorun.inf -a -h -s (去除autorun.inf這個文件的存檔屬性、系統(tǒng)文件屬性和隱藏屬性)d

7、el /s /q /f autorun.inf （/S表示從所有子目錄刪除指定文件。/q表示安靜模式，刪除全局通配符時，不要求確認。f/表示強制刪除只讀文件sxs.exe）d: attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf 9sxs.exe病毒查殺程序分析e: attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib autorun.inf -a -h -s del /s /q /f autorun.

8、inf reg delete HKLMSoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL /V CheckedValue /f （從注冊表刪除項或子項，后面跟的是子項的特定路徑，此處是本地計算機的子目錄樹HKLM） （/V刪除子項下的特定項CheckedValue。如果未指定項，則將刪除子項下的所有項和子項。/f表示無需請求確認而刪除現(xiàn)有的注冊表子項或項，此處要刪除的為CheckedValue項。）10sxs.exe病毒查殺程序分析reg add （將新的子項或項添加到注冊表中。）HKLMSOFTW

9、AREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f （/v指定要添加到指定子項下的項名稱為CheckedValue，/t指定此項值的數(shù)據(jù)類型為REG_DWORD，/d指定新注冊表項的值為1，/f不用詢問信息而直接添加子項或項。）REG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /V sxs.exe /f REG DELETE HKLMSOFTWAREMicrosoftWin

10、dowsCurrentVersionRun /V SVOHOST.exe /f exit （退出批處理命令）11熊貓燒香殺毒程序”熊貓燒香“殺毒程序和sxs.exe殺毒程序類似，也是一個批處理程序，根據(jù)前面第3章講到的手工清除“熊貓燒香”病毒的步驟，不難寫出“熊貓燒香”病毒殺毒程序，請大家自行閱讀理解課本上熊貓燒香殺毒程序。 ”熊貓燒香“殺毒程序121099病毒查殺程序 1099病毒是一個文件型病毒，通常感染EXE和COM文件，具體特征如下：（1）EXE文件 文件頭第10h、11h兩字節(jié)被改為45h、06h，病毒特征碼為2Eh 8Ch 06h 32h 0Eh 1Fh B9h Dah 00h B

11、eh 11h 03h 6Ah 54h 07h，文件頭0E-11h、14h-17h共8個字節(jié)被轉(zhuǎn)移到病毒偏移127h處，病毒體的位置為16的倍數(shù)。（2）COM文件文件頭前11個字節(jié)被轉(zhuǎn)移，保存方法與EXE文件一樣，也是在相對病毒頭偏移127h處。文件開頭0-3字節(jié)為0Eh 8Ch C8h 05h，6-A字節(jié)為50h 68h 00h 01h CBh。1.1099病毒的特征碼分析131099病毒查殺程序2.查殺1099病毒的程序明白了1099病毒的感染方式后，我們就可以動手編寫查殺該病毒的程序了，下述程序采用的工具是TC2.0。#include “dos.h”#include “dir.h”#inc

12、lude “io.h”#include “font1.h”typedef unsigned char byte; typedef unsigned int word; int cur_dir(char *pathname);clean(char *fnx);int kv1099(int fp);int search(byte *a,byte *b,int place);計算機病毒與防治課程小組141099病毒查殺程序/*主函數(shù)*/main(int argc,char *argv) /*如果參數(shù)不對，則顯示錯誤提示信息后退出，否則在指定目錄中查找病毒*/if(argc!=2) printf(“用

13、法：%s路徑”,argv0);else cur_dir(argv1);int cur_dir(char *pathname) /*在指定目錄中查找病毒*/char fname256,fnx256,subpath256,subpath1256;struct ffblk f;int nomatch;printf(“n-”);151099病毒查殺程序計算機病毒與防治課程小組printf(“n Path=%s”,pathname); /*顯示正在查找的路徑*/strcpy(fname,pathname);strcat(fname,”*.*”); /*開始查找文件*/nomatch=findfirst(

14、fname,&f,0 x26);while(!nomatch)printf(“n %s”,f.ff_name);strcpy(fnx,pathname);strcat(fnx,”);strcat(fnx,f.ff_name);/*檢測并消除文件病毒*/clean(fnx);nomatch=findnext(&f);161099病毒查殺程序strcpy(subpath,pathname);strcat(subpath,”*.*”);nomatch=findfirst(subpath,&f,0 x16);/*查找子目錄*/while(!nomath)if(f.ff_attrib&FA_DIREC)

15、&strcmp(f.ff_name,”.”)&strcmp(f.ff_name,”.”)strcpy(subpath1,pathname);strcat(subpath1,”);strcat(subpath1,f.ff_name);/*遞歸檢索目錄*/cur_dir(subpath1);nomatch=findnext(&f);計算機病毒與防治課程小組171099病毒查殺程序/*清除病毒的函數(shù)，參數(shù)fnx是包括文件名在內(nèi)的文件全路徑*/clean(char *fnx)int k,fp;struct ftime ft;if(fp=open(fnx,O_RDW|O_BINARY)=-1)print

16、f(“打開文件出錯！”);else k=_chmod(fnx,0); /*保存文件屬性*/*保存文件日期、時間等信息*/getftime(fp,&ft);/*開始殺毒*/if(kv1099(fp)=-1) printf(“沒有找到病毒！”);else printf(“已經(jīng)清除！”);setftime(fp,&ft); /*恢復(fù)文件日期、時間信息*/*恢復(fù)文件屬性*/chmod(fnx,1,k);/*關(guān)閉文件*/close(fp);計算機病毒與防治課程小組18沖擊波病毒殺毒源代碼分析 沖擊波（Worm.Blaster）病毒2003年8月12日全球爆發(fā)，該病毒由于是利用系統(tǒng)的RPC漏洞進行傳播，因

17、此，沒有打補丁的電腦用戶都會感染該病毒，從而使電腦出現(xiàn)系統(tǒng)重啟、無法正常上網(wǎng)等現(xiàn)象。沖擊波病毒(Worm.Blaster)感染癥狀：（1）Windows XP、Server 2003計算機會彈出RPC服務(wù)終止對話框，莫名其妙地死機或重新啟動計算機；重起之后，它們開始掃描互聯(lián)網(wǎng)，尋找有安全漏洞的電腦系統(tǒng)進行感染。一旦攻擊成功，病毒體將會被傳送到對方電腦中進行感染，使對方系統(tǒng)操作異常、不停重新啟動，甚至導(dǎo)致系統(tǒng)崩潰。 （2）IE瀏覽器不能正常地打開鏈接；無法正常瀏覽網(wǎng)頁；不能收發(fā)郵件；DNS和IIS服務(wù)遭到非法拒絕等。（3）不能復(fù)制粘貼； 沖擊波簡介19沖擊波病毒殺毒源代碼分析 （4）有時出現(xiàn)應(yīng)用

18、程序，比如Word、Excel、Powerpoint等文件無法正常運行，彈出“找不到鏈接文件”的對話框。（5）網(wǎng)絡(luò)變慢；（6）最重要的是，在任務(wù)管理器里有一個叫“msblast.exe”的進程在運行?。?）SVCHOST.EXE產(chǎn)生錯誤會被WINDOWS關(guān)閉，您需要重新啟動程序（8）在WINNTSYSTEM32WINS下有DLLhost.exe和svchost.exe沖擊波”病毒W(wǎng)orm.msBlast是第一個利用RPC漏洞進行攻擊和傳染的病毒，漏洞存在于Windows NT、Windows 2000、Windows XP和微軟主要操作系統(tǒng)Windows Server 2003，并且該病毒會操

19、縱135、4444、69端口，危害系統(tǒng)。 20沖擊波病毒殺毒源代碼分析清除該病毒除了手工清除方法還有如下程序也能完成清除病毒的任務(wù)。程序源代碼如下：#define DEBUGMSG#include #include #include #include #include #include Psapi.h#pragma comment(lib,Psapi.lib)#define erron GetLastError ()21計算機病毒與防治課程小組沖擊波病毒殺毒源代碼分析TCHAR name50=0; /保存蟲蟲的文件名+路徑FILE *Gfp=NULL; /輸出到文件BOOL ScanVXER

20、(LPTSTR V_ V_ V_Length,TCHAR *V_Contents);/匹配特征碼函數(shù)BOOL Scan (LPTSTR );/文件遍歷函數(shù)BOOL ProcessVXER (void);/枚舉進程函數(shù)BOOL KillProc (DWORD ProcessID);/殺進程函數(shù)BOOL EnablePrivilege(LPTSTR PrivilegeName); /提升權(quán)限函數(shù)BOOL RegDelVXER (void);22沖擊波病毒殺毒源代碼分析/刪除注冊表項函數(shù)void Usage (LPCTSTR Parameter);/幫助函數(shù)int main (int argc, T

21、CHAR *argv)if (argc!=2)Usage(argv0);return 0;#ifdef DEBUGMSGGfp=fopen(VXER.txt,a+);23沖擊波病毒殺毒源代碼分析if (Gfp=NULL)printf(Open VXER.txt failn);return 0;fprintf(Gfp,%snn,-);#endifif (strlen(argv1)10)printf(Fine name no larger than 10n);return 0;24沖擊波病毒殺毒源代碼分析if (!(Scan(argv1)#ifdef DEBUGMSGprintf(Scan() G

22、etLastError reports %dn,erron);#endiffclose(Gfp);return 0;if (!(ProcessVXER()#ifdef DEBUGMSGprintf(ProcessesVXER() GetLastError reports %dn,erron);#endiffclose(Gfp);return 0;25沖擊波病毒殺毒源代碼分析if (!(RegDelVXER()#ifdef DEBUGMSGprintf(RegDelVXER() GetLastError reports %dn,erron);#endiffclose(Gfp); return 0

23、;fclose(Gfp);return 0;26沖擊波病毒殺毒源代碼分析BOOL Scan (LPTSTR )WIN32_FIND_DATA Find;DWORD lpBufferLength=255;TCHAR lpBuffer255=0;TCHAR DirBuffer255=0;HANDLE hFind=NULL;UINT count=0;long ; /偏移地址int ; /長度27沖擊波病毒殺毒源代碼分析TCHAR Contents=0 x49, 0 x20, 0 x6A, 0 x75, 0 x73, 0 x74, 0 x20, 0 x77, 0 x61, 0 x6E, 0 x74,

24、0 x20, 0 x74, 0 x6F, 0 x20, 0 x73,0 x61, 0 x79, 0 x20, 0 x4C, 0 x4F, 0 x56, 0 x45, 0 x20, 0 x59, 0 x4F, 0 x55, 0 x20, 0 x53, 0 x41, 0 x4E, 0 x21,0 x21, 0 x20, 0 x62, 0 x69, 0 x6C, 0 x6C, 0 x79, 0 x20, 0 x67, 0 x61, 0 x74, 0 x65, 0 x73, 0 x20, 0 x77, 0 x68,0 x79, 0 x20, 0 x64, 0 x6F, 0 x20, 0 x79, 0

25、x6F, 0 x75, 0 x20, 0 x6D, 0 x61, 0 x6B, 0 x65, 0 x20, 0 x74, 0 x68,0 x69, 0 x73, 0 x20, 0 x70, 0 x6F, 0 x73, 0 x73, 0 x69, 0 x62, 0 x6C, 0 x65, 0 x20, 0 x3F, 0 x20, 0 x53, 0 x74,0 x6F, 0 x70, 0 x20, 0 x6D, 0 x61, 0 x6B, 0 x69, 0 x6E, 0 x67, 0 x20, 0 x6D, 0 x6F, 0 x6E, 0 x65, 0 x79, 0 x20,0 x61, 0 x6

26、E, 0 x64, 0 x20, 0 x66, 0 x69, 0 x78, 0 x20, 0 x79, 0 x6F, 0 x75, 0 x72, 0 x20, 0 x73, 0 x6F, 0 x66,0 x74, 0 x77, 0 x61, 0 x72, 0 x65, 0 x21, 0 x21;/從沖擊波中提取出來的，用做特征碼28沖擊波病毒殺毒源代碼分析/獲取系統(tǒng)目錄的完整路徑if (GetSystemDirectory(DirBuffer,lpBufferLength)!=0)if (SetCurrentDirectory(DirBuffer)!=0) /設(shè)置為當前目錄hFind=Find

27、First); /查找文件if (hFind=INVALID_HANDLE_VALUE)#ifdef DEBUGMSGprintf(FindFirstFile() GetLastError reports %dn,erron);#endifif (hFind!=NULL)FindClose(hFind);return FALSE;29沖擊波病毒殺毒源代碼分析elsecount+;/獲得文件的完整路徑if (GetFullPathName(Find)!=0)#ifdef DEBUGMSGfprintf(Gfp,File:tt%sn,lpBuffer);#elseprintf(File:tt%sn

28、,lpBuffer);#endif30沖擊波病毒殺毒源代碼分析else#ifdef DEBUGMSGprintf(GetFullPathName() GetLastError reports %dn,erron);#endifif (hFind!=NULL)FindClose(hFind);return FALSE;/進行特征碼匹配工作ScanVXER(Find);31沖擊波病毒殺毒源代碼分析while (FindNext) /繼續(xù)查找文件count+;/以.和.除外if (strcmp(.,Find)=0|strcmp(.,Find)=0)#ifdef DEBUGMSGprintf( inc

29、lude . and .n);#endifif (hFind!=NULL)FindClose(hFind);fclose(Gfp);exit(0);32沖擊波病毒殺毒源代碼分析if (GetFullPathName(Find)!=0)#ifdef DEBUGMSGfprintf(Gfp,Next File:t%sn,lpBuffer);#elseprintf(Next File:t%sn,lpBuffer);#endif33沖擊波病毒殺毒源代碼分析else#ifdef DEBUGMSGprintf(GetFullPathName() GetLastError reports %dn,erron

30、);#endifif (hFind!=NULL)FindClose(hFind);fclose(Gfp);exit(0);ScanVXER(Find);34沖擊波病毒殺毒源代碼分析fprintf(Gfp,nnn,count);fprintf(Gfp,%snn,-n);printf(n,count); /打印出查找到的文件各數(shù)if (hFind!=NULL)FindClose(hFind); /關(guān)閉搜索句柄return TRUE;BOOL ScanVXER (LPTSTR V_, /*文件名*/long V_, /偏移地址int V_Length, /長度TCHAR *V_Contents) /

31、具體內(nèi)容TCHAR 255=0;35沖擊波病毒殺毒源代碼分析int cmpreturn=0;FILE *fp=NULL;fp=fopen(V_,rb); /以二進制只讀方式打開if (fp=NULL)#ifdef DEBUGMSGprintf(fopen() FAILn);#endiffclose(fp);return FALSE;fseek(fp,V_); /把文件指針指向特征碼在文件的偏移地址處fread();/讀取長度為特征碼長度的內(nèi)容36沖擊波病毒殺毒源代碼分析cmpreturn=memcmp(V_Contents,);/進行特征碼匹配。失敗返回FALSEif (cmpreturn=0

32、)#ifdef DEBUGMSGprintf( completelyn); /打印文件匹配消息#endifstrcpy(name,V_); /將文件名保存在全局變量name中if (fp!=NULL)fclose(fp);return TRUE;elsefclose(fp);return FALSE;37沖擊波病毒殺毒源代碼分析BOOL ProcessVXER (void)DWORD lpidProcess1024=0;DWORD cbNeeded_1,cbNeeded_2;HANDLE hProc=NULL;HMODULE hMod1024=0;TCHAR Proc;TCHAR 50=0;U

33、INT Pcount=0;int i=0;EnablePrivilege(SE_DEBUG_NAME); /提升調(diào)試進程權(quán)限fprintf(Gfp,%snn,-Process list-);strcpy(,C:WINNTsystem32);strcat();/把文件名+路徑復(fù)制到變量中/枚舉進程38沖擊波病毒殺毒源代碼分析if (!(EnumProcesses(lpidProcess,sizeof(lpidProcess),&cbNeeded_1)#ifdef DEBUGMSGprintf(EnumProcesses() GetLastError reports %dn,erron);#end

34、ifif (hProc!=NULL)CloseHandle(hProc);return FALSE;for (i=0;i(int)cbNeeded_1/4;i+)/打開找到的第一個進程hProc=OpenProcess(PROCESS_ALL_ACCESS,FALSE,lpidProcess);39沖擊波病毒殺毒源代碼分析if (hProc)/枚舉進程模塊if (EnumProcessModules(hProc,hMod,sizeof(hMod),&cbNeeded_2)/枚舉進程模塊文件名，包含全路徑if (GetModule(hProc,hMod0,Proc(ProcFile)#ifdef

35、 DEBUGMSGfprintf(Gfp,%5dt%sn,lpidProcess,ProcFile);#elseprintf(%5dt%sn,lpidProcess,ProcFile); /輸出進程#endif/可以考慮將其注釋掉，這樣就不會輸出進程列表了Pcount+;40沖擊波病毒殺毒源代碼分析/查找進程中是否包含if (strcmp()=0)/如果包含，則殺掉。KillProc為自定義的殺進程函數(shù)if (!(KillProc(lpidProcess)#ifdef DEBUGMSGprintf(KillProc() GetLastError reports %dn,erron);#endi

36、fif (hProc!=NULL)CloseHandle(hProc);fclose(Gfp);exit(0);41沖擊波病毒殺毒源代碼分析Delete); /進程殺掉后，再將文件刪除if (hProc!=NULL)CloseHandle(hProc); /關(guān)閉進程句柄fprintf(Gfp,nProcess total:%dnn,Pcount);fprintf(Gfp,%snn,-Process end-);printf(nProcess total:%dnn,Pcount); /打印進程各數(shù)return TRUE;42沖擊波病毒殺毒源代碼分析BOOL KillProc (DWORD Pro

37、cessID)HANDLE hProc=NULL;/打開由ProcessVXER()傳遞的進程PIDhProc=OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessID);if (hProc!=NULL)/終止進程if (!(TerminateProcess(hProc,0)#ifdef DEBUGMSGprintf(TerminateProcess() GetLastError reports %dn,erron);#endifCloseHandle(hProc);return FALSE;43沖擊波病毒殺毒源代碼分析else#ifdef DEBUGMSG

38、printf(OpenProcess() GetLastError reports %dn,erron);#endifreturn FALSE;if (hProc!=NULL)CloseHandle(hProc);return TRUE;44沖擊波病毒殺毒源代碼分析BOOL EnablePrivilege(LPTSTR PrivilegeName)HANDLE hProc=NULL,hToken=NULL;TOKEN_PRIVILEGES TP;hProc=GetCurrentProcess(); /打開當前進程的一個偽句柄/打開進程訪問令牌，hToken表示新打開的訪問令牌標識if(!Ope

39、nProcessToken(hProc,TOKEN_ADJUST_PRIVILEGES,&hToken)#ifdef DEBUGMSGprintf(OpenProcessToken() GetLastError reports %dn,erron);#endifgoto Close;/提升權(quán)限45沖擊波病毒殺毒源代碼分析if(!LookupPrivilegeValue(NULL,PrivilegeName,&TP.Privileges0.Luid)#ifdef DEBUGMSGprintf(LookupPrivilegeValue() GetLastError reports %dn,erron);#endifgoto Close;TP.Privileges0.Attributes=SE_PRIVILEGE_ENABLED;TP.PrivilegeCount=1;/允許權(quán)限，主要根據(jù)TP這個結(jié)構(gòu)if(!AdjustTokenPrivileges(hToken,FALSE,&TP,sizeof(TP),0,0)#ifdef DEBUGMSGprintf(AdjustTokenPrivile