計(jì)算機(jī)病毒技術(shù)及其防御 課件 第7章-計(jì)算機(jī)病毒發(fā)作(已修改)

惡

意

代

碼

原

理

與

防

范

MalwarePrinciples&Prevention主講人：張瑜廣東技術(shù)師范大學(xué)

網(wǎng)絡(luò)空間安全學(xué)院計(jì)算機(jī)病毒技術(shù)及其防御

ComputerVirusTechnology&ItsDefense主講人：張瑜廣東技術(shù)師范大學(xué)

網(wǎng)絡(luò)空間安全學(xué)院主講人：張瑜第七章ChapterSeven廣東技術(shù)師范大學(xué)網(wǎng)絡(luò)空間安全學(xué)院ComputerVirusesAttack計(jì)算機(jī)病毒發(fā)作前言PREFACE計(jì)算機(jī)病毒在目標(biāo)系統(tǒng)中潛伏的目的是靜待時機(jī)以完成致命一擊。一旦時機(jī)到來，觸發(fā)條件滿足，計(jì)算機(jī)病毒將從潛伏狀態(tài)切換至發(fā)作狀態(tài)，開始啟動、勒索、泄露、破壞等操作，以完成其使命、達(dá)到其目的。本章將探討與計(jì)算機(jī)病毒運(yùn)行發(fā)作相關(guān)的技術(shù)，主要包括病毒啟動、加密勒索、數(shù)據(jù)泄露、數(shù)據(jù)銷毀、軟硬件破壞等。微雨眾卉新，一雷驚蟄始?！啤ろf應(yīng)物1病毒啟動目錄2加密勒索3數(shù)據(jù)泄露

4數(shù)據(jù)銷毀5軟硬件破壞1CHAPTER病毒啟動注冊表啟動實(shí)體劫持啟動系統(tǒng)服務(wù)啟動病毒啟動計(jì)算機(jī)病毒從潛伏切換至發(fā)作狀態(tài)，首先需要在系統(tǒng)開機(jī)或應(yīng)用程序打開時啟動自己。只有在啟動自身之后，計(jì)算機(jī)病毒才有可能完成后續(xù)的諸如加密勒索、數(shù)據(jù)泄露、數(shù)據(jù)銷毀以及軟硬件破壞等操作。正常應(yīng)用程序或系統(tǒng)服務(wù)在啟動時，通常需要用戶參與或借助系統(tǒng)啟動機(jī)制完成。計(jì)算機(jī)病毒不是正常的應(yīng)用程序，用戶一般不可能主動去啟動它。因此，計(jì)算機(jī)病毒通常只能借助系統(tǒng)的相關(guān)啟動機(jī)制去完成啟動自身功能。Windows系統(tǒng)的啟動機(jī)制很多，主要包括注冊表啟動機(jī)制、實(shí)體劫持啟動機(jī)制、系統(tǒng)服務(wù)啟動機(jī)制等等。本節(jié)將重點(diǎn)探討計(jì)算機(jī)病毒如何利用這些系統(tǒng)啟動機(jī)制來完成自身啟動功能。計(jì)算機(jī)病毒啟動原理注冊表啟動

注冊表是Windows系統(tǒng)中極其重要的有層次結(jié)構(gòu)的核心數(shù)據(jù)庫，用于存儲系統(tǒng)和應(yīng)用程序的設(shè)置信息。注冊表是輔助Windows系統(tǒng)控制軟硬件、用戶環(huán)境和Windows界面的重要數(shù)據(jù)文件。注冊表是一個樹狀分層的數(shù)據(jù)庫，它有5個HKEY根鍵：注冊表啟動--5個HKEY根鍵HKEY_CURRENT_CONFIG存儲計(jì)算機(jī)在系統(tǒng)啟動時所用的硬件配置文件信息。HKEY_USERS存儲計(jì)算機(jī)上所有用戶的配置文件的根目錄。HKEY_LOCAL_MACHINE為注冊表的核心項(xiàng)，存儲著大部分軟硬件和系統(tǒng)配置信息。HKEY_CLASSES_ROOT提取自HKEY_LOCAL_MACHINE\SOFTWARE\Classes目錄，用于存儲文件的分類信息，例如文件擴(kuò)展名、默認(rèn)啟動程序、程序和文件的圖標(biāo)、文件右鍵菜單功能等。HKEY_CURRENT_USER存儲當(dāng)前登錄用戶的配置信息，提取自HKEY_USERS

在物理存儲上，注冊表一般保存在系統(tǒng)的多個文件中，大部分保存在C:\Windows\System32\Config中，如DEFAULT，DRIVERS，ELAM，SAM，SECURITY，SOFTWARE，SYSTEM，userdiff等等，如圖所示。注冊表啟動此外，注冊表還有個NTUSER.DAT數(shù)據(jù)文件保存在用戶文件夾下，路徑為C:\users\用戶名，包含同名的ntuser.ini和ntuser.dat.LOG文件，如圖所示。注冊表啟動——開機(jī)啟動功能Windows注冊表除了包含系統(tǒng)和應(yīng)用程序相關(guān)配置信息外，還支持應(yīng)用程序開機(jī)啟動功能。只要在注冊表的相關(guān)鍵項(xiàng)中添加啟動信息，就能完成系統(tǒng)開機(jī)后自動啟動功能。常用的注冊表啟動鍵主要包括Run鍵、Winlogon鍵、Windows鍵等等。注冊表啟動——Run鍵啟動Run鍵是Windows系統(tǒng)常用的開機(jī)啟動鍵項(xiàng)。凡是在該鍵項(xiàng)中設(shè)置的所有鍵值，系統(tǒng)開機(jī)時會逐一自動啟動。計(jì)算機(jī)病毒常利用該啟動機(jī)制，完成自動啟動自身功能，如圖所示?；A(chǔ)知識

注冊表啟動——Run鍵啟動

、

常用的Run啟動鍵項(xiàng)如下：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunonceHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesHKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKCU\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run注冊表啟動——Winlogon鍵啟動Windows注冊表中的Winlogon鍵項(xiàng)主要用于保存Windows系統(tǒng)啟動登錄時的相關(guān)設(shè)置，位于HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon鍵項(xiàng)中。計(jì)算機(jī)病毒有時會利用該鍵項(xiàng)在的Userinit、Shell、Notify等鍵值來加載啟動自身，如圖所示。基礎(chǔ)知識

注冊表啟動——Windows鍵啟動Windows注冊表中還有一些其他可用于啟動應(yīng)用程序的鍵項(xiàng)。這些注冊表鍵項(xiàng)也會被計(jì)算機(jī)病毒用以開機(jī)自動啟動自身。Windows鍵啟動鍵項(xiàng)HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\LoadHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

FoldersHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooksHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls實(shí)體劫持啟動Windows系統(tǒng)中所有的文件格式關(guān)聯(lián)，都有可能被計(jì)算機(jī)病毒修改。Windows系統(tǒng)的文件關(guān)聯(lián)位于注冊表HKEY_CLASSES_ROOT\文件類型\Shell\Open\Command主鍵，通過修改其鍵值就能更改文件打開方式。例如，通常利用WinRAR.exe程序打開RAR文件格式，如圖所示。如計(jì)算機(jī)病毒將其修改為病毒自身程序，則打開RAR文件時將啟動病毒。基礎(chǔ)知識

系統(tǒng)服務(wù)啟動Windows系統(tǒng)服務(wù)進(jìn)程是內(nèi)核進(jìn)程，擁有內(nèi)核運(yùn)行權(quán)限，會隨著Windows系統(tǒng)啟動而啟動。如果計(jì)算機(jī)病毒將自身設(shè)計(jì)且注冊為系統(tǒng)服務(wù)，則能獲得更高的內(nèi)核運(yùn)行權(quán)限和更優(yōu)先的運(yùn)行秩序。打開Services.msc程序，在服務(wù)列表管理器中可查看相關(guān)的系統(tǒng)服務(wù)項(xiàng)目，系統(tǒng)服務(wù)啟動原理此外，計(jì)算機(jī)病毒會通過在注冊HKLM\SYSTEM\CurrentControlSet\Services鍵項(xiàng)下建立相應(yīng)的鍵值來啟動自身。例如，TCPIP服務(wù)的ImagePath鍵值為該服務(wù)的驅(qū)動程序，Start鍵值為是否啟動該服務(wù)進(jìn)程（0代表啟動，3或4代表禁止啟動），如圖所示。系統(tǒng)服務(wù)啟動當(dāng)然，也可通過Windows的Sysinternals工具箱（/zh-cn/sysinternals/）中的Autoruns實(shí)用工具來查看并管理系統(tǒng)中自動運(yùn)行的值項(xiàng)，如圖所示。系統(tǒng)服務(wù)啟動加密勒索密碼學(xué)原理加密勒索發(fā)現(xiàn)2CHAPTER加密勒索的定義與屬性勒索病毒本質(zhì)首例勒索病毒勒索病毒攻擊是現(xiàn)實(shí)的敲詐勒索在網(wǎng)絡(luò)空間中的邏輯延伸。首例勒索病毒ADIS是通過加密DOS系統(tǒng)并索取189美元贖金而廣為人知。由于獲利豐厚、回報迅速、無需與受害者太多溝通、追蹤困難、制作快捷、傳播方便等特性，勒索病毒攻擊生態(tài)鏈已逐漸形成，攻擊事件數(shù)已呈現(xiàn)井噴式增長態(tài)勢。勒索病毒是一種通過操控用戶數(shù)據(jù)資源（加密文件、拒絕訪問、鎖定屏幕、竊取數(shù)據(jù)、泄露數(shù)據(jù)等），并以此為條件要挾用戶支付贖金的惡意網(wǎng)絡(luò)攻擊方式。基礎(chǔ)知識密碼學(xué)原理密碼學(xué)領(lǐng)域著名的“柯克霍夫原則（Kerckhoffs'sprinciple）”指出：即使密碼系統(tǒng)的任何細(xì)節(jié)已為人悉知，只要密鑰未泄漏，它也應(yīng)是安全的。這表明：在加密算法完全公開的前提下，只要安全地保存密鑰，便可使加密后的密文無法被惡意破解。勒索軟件較好地利用這個原則，即便加密算法公開，受害者在尚未獲得解密密鑰之前仍難以恢復(fù)被加密數(shù)據(jù)。只有通過支付贖金換取解密密鑰，才有可能還原被加密的相關(guān)文檔資料。加解密過程如圖所示。密碼學(xué)原理加密勒索發(fā)現(xiàn)

計(jì)算機(jī)病毒實(shí)現(xiàn)加密勒索的方法很多，本節(jié)將演示簡單的加密方法：向文件中插入隨機(jī)字符以亂序文件內(nèi)容，使得文件內(nèi)容無法閱讀。這個示例包含三個函數(shù)：Encryption函數(shù)，用于加密文件；FindFile函數(shù)，用于搜索文件；main主函數(shù)。加密示例代碼如下。數(shù)據(jù)泄露3CHAPTER數(shù)據(jù)泄露的定義數(shù)據(jù)泄露危害網(wǎng)絡(luò)釣魚攻擊如泄露的數(shù)據(jù)中包含個人信息，則可能會引發(fā)個人隱私信息泄露并被違法分子利用來進(jìn)行各類經(jīng)濟(jì)詐騙。如外泄數(shù)據(jù)中包含公司知識產(chǎn)權(quán)、科研數(shù)據(jù)等涉密信息，則可能給相關(guān)公司和社會安全、經(jīng)濟(jì)發(fā)展帶來嚴(yán)重后果網(wǎng)絡(luò)釣魚攻擊是數(shù)據(jù)泄露的常用攻擊方法。它利用社會工程學(xué)原理，誘騙用戶下載計(jì)算機(jī)病毒。一旦計(jì)算機(jī)病毒運(yùn)行后，則會反向連接攻擊者機(jī)器并淪為受控端。此時，攻擊者通過網(wǎng)絡(luò)控制受害主機(jī)系統(tǒng)并搜索敏感信息（如用戶名或帳戶憑據(jù)）。此后，還能以該受害主機(jī)為立足點(diǎn)在局域網(wǎng)內(nèi)進(jìn)行橫向移動，以竊取更多的敏感信息。數(shù)據(jù)泄露是指在未經(jīng)授權(quán)情況下將數(shù)據(jù)從一臺設(shè)備傳輸至另一臺設(shè)備，也可稱為數(shù)據(jù)外泄或數(shù)據(jù)竊取。數(shù)據(jù)泄露可分為兩類：外部惡意攻擊導(dǎo)致的泄露，內(nèi)部威脅發(fā)生的泄露。基礎(chǔ)知識數(shù)據(jù)泄露的兩種方式數(shù)據(jù)泄露--內(nèi)部和外部泄露（1）外部泄露

當(dāng)外部的網(wǎng)絡(luò)威脅行為體入侵目標(biāo)網(wǎng)絡(luò)后，通常會借助計(jì)算機(jī)病毒獲取訪問權(quán)限，進(jìn)而搜索目標(biāo)網(wǎng)絡(luò)中的用戶憑證或敏感數(shù)據(jù)，這將導(dǎo)致后續(xù)更多的數(shù)據(jù)泄露。（2）內(nèi)部泄露內(nèi)部威脅也可導(dǎo)致數(shù)據(jù)泄露。如組織內(nèi)的某個人惡意竊取、收集文檔并將其存儲歸檔。數(shù)據(jù)泄露——CobaltStrike介紹CobaltStrike功能

CobaltStrike是一款GUI的框架式滲透工具，集成了端口轉(zhuǎn)發(fā)、服務(wù)掃描，自動化溢出，多模式端口監(jiān)聽，winexe木馬生成，windll木馬生成，java木馬生成，office宏病毒生成，木馬捆綁；釣魚攻擊包括：站點(diǎn)克隆，目標(biāo)信息獲取，java執(zhí)行，瀏覽器自動攻擊等。CobaltStrike:C/S架構(gòu)的商業(yè)滲透軟件，適合多人進(jìn)行團(tuán)隊(duì)協(xié)作，可模擬APT做模擬對抗，進(jìn)行內(nèi)網(wǎng)滲透。CobaltStrike分為客戶端和服務(wù)器組件。該服務(wù)器稱為團(tuán)隊(duì)服務(wù)器（teamserver），是BeaconPayload的控制器，也是CobaltStrike社交工程功能的主機(jī)。團(tuán)隊(duì)服務(wù)器還存儲CobaltStrike收集的數(shù)據(jù)，并管理日志記錄。數(shù)據(jù)泄露——CobaltStrike演示過程

首先，啟動Cobaltstrike客戶端界面如圖所示。

其次，利用Cobaltstrike創(chuàng)建計(jì)算機(jī)病毒：“攻擊”→“生成后門”→“Windows

可執(zhí)行程序”，如圖所示。數(shù)據(jù)泄露——CobaltStrike演示過程再次，將已創(chuàng)建的計(jì)算機(jī)病毒通過社會工程學(xué)方法傳至受害者主機(jī)，執(zhí)行后該受害者主機(jī)會反向連接至攻擊者控制端，如圖所示。數(shù)據(jù)泄露——CobaltStrike演示過程最后，攻擊者可控制受害者主機(jī)并搜索磁盤上的敏感文件，這將導(dǎo)致數(shù)據(jù)泄露，如圖所示。數(shù)據(jù)泄露——CobaltStrike演示過程演示視頻數(shù)據(jù)銷毀數(shù)據(jù)存儲原理數(shù)據(jù)銷毀方法4CHAPTER數(shù)據(jù)銷毀簡介

數(shù)據(jù)銷毀是計(jì)算機(jī)病毒發(fā)作時的一種新興破壞技術(shù)，是指采用各種技術(shù)手段將目標(biāo)系統(tǒng)存儲設(shè)備中的數(shù)據(jù)予以徹底刪除，以阻止受害者利用殘留數(shù)據(jù)恢復(fù)原始數(shù)據(jù)信息，以達(dá)到銷毀關(guān)鍵數(shù)據(jù)、摧毀受害者恢復(fù)數(shù)據(jù)的意志以及報復(fù)受害者等目的?；A(chǔ)知識

數(shù)據(jù)銷毀——數(shù)據(jù)刪除和數(shù)據(jù)銷毀區(qū)別數(shù)據(jù)刪除數(shù)據(jù)銷毀數(shù)據(jù)刪除是一種邏輯刪除，經(jīng)過刪除的數(shù)據(jù)在物理層面依然存在于存儲介質(zhì)上，可通過一定的技術(shù)手段恢復(fù)出原始數(shù)據(jù)。目前市面上推出的各類數(shù)據(jù)恢復(fù)軟件都是基于此原理。數(shù)據(jù)銷毀是從軟銷毀、硬銷毀兩個方面進(jìn)行的數(shù)據(jù)處理，經(jīng)過銷毀的數(shù)據(jù)不能再恢復(fù)。其中，軟銷毀通過對數(shù)據(jù)進(jìn)行刪除或者使用擦除軟件對數(shù)據(jù)進(jìn)行多次的覆寫、清除（如使用0反復(fù)覆蓋磁盤上的原始比特數(shù)據(jù)）；硬銷毀則利用熔爐焚化、借助外力粉碎等進(jìn)行物理存儲介質(zhì)及其上數(shù)據(jù)的徹底毀滅與失效。數(shù)據(jù)存儲原理數(shù)據(jù)文件通常存儲在U盤、硬盤和光盤等存儲介質(zhì)中。由于這三種存儲介質(zhì)的原理和特征各異，對于這三類介質(zhì)中存儲數(shù)據(jù)的銷毀方式、實(shí)施難度也各不相同。一般而言，通常說來，由于硬盤是以模擬方式存儲數(shù)字信號的磁性存儲設(shè)備，存在著剩磁效應(yīng)，給徹底銷毀數(shù)據(jù)帶來了一定困難。U盤則采用半導(dǎo)體介質(zhì)存儲數(shù)據(jù)，是純數(shù)字式存儲，沒有剩磁效應(yīng)，只需進(jìn)行反復(fù)數(shù)次完全覆蓋就能安全銷毀數(shù)據(jù)，因而銷毀難度較小。光盤的介質(zhì)脆弱性降低了物理銷毀的難度，實(shí)現(xiàn)起來相對容易。數(shù)據(jù)存儲原理——硬盤物理構(gòu)造硬盤物理結(jié)構(gòu)

硬盤是信息系統(tǒng)主要的存儲介質(zhì)之一。根據(jù)讀寫方式和存儲方式不同，硬盤可分為固態(tài)硬盤（SSD硬盤）和機(jī)械硬盤（HDD硬盤）。由于固態(tài)硬盤價格昂貴、容量較小和一旦損壞難以修復(fù)等特點(diǎn)，目前市場主要流行的依然是機(jī)械硬盤。

硬盤在物理上是由很多盤片組成，而其存儲信息的方式就是通過盤片表面的磁性物質(zhì)來存儲數(shù)據(jù)。把盤片放在顯微鏡下放大，可看到盤片表面是凹凸不平的，凸起的地方被磁化，代表數(shù)字1，凹的地方?jīng)]有被磁化，代表數(shù)字0，因此硬盤可存儲二進(jìn)制形式表示的文字、圖片、視頻等信息。機(jī)械硬盤主要由磁盤、磁頭、盤片主軸、控制電機(jī)、磁頭控制器、數(shù)據(jù)轉(zhuǎn)換器、接口、緩存等幾個部分組成。數(shù)據(jù)存儲原理——硬盤物理運(yùn)作硬盤物理運(yùn)作

所有盤片都固定在一個旋轉(zhuǎn)軸上，這個軸即盤片主軸。所有盤片之間是絕對平行的，且在每個盤片的盤面上都有一個磁頭來對磁盤上的數(shù)據(jù)進(jìn)行讀寫操作。所有磁頭連在一個磁頭控制器上，由磁頭控制器負(fù)責(zé)各個磁頭的運(yùn)動，磁頭可沿盤片的半徑方向移動，實(shí)際上磁頭是圍繞固定點(diǎn)做圓周移動。由于所有磁頭都固定在同一個控制器上，因此每個磁頭同一時刻是同軸的，即從正上方往下看，所有磁頭任何時候都是重疊的。在這種情況下每一時刻只有一個磁頭能夠進(jìn)行數(shù)據(jù)存取。當(dāng)硬盤啟動時盤片在主軸的帶動下以每分鐘數(shù)千轉(zhuǎn)到上萬轉(zhuǎn)的速度高速運(yùn)轉(zhuǎn)，而磁頭在控制器的控制下固定在某個位置上對經(jīng)過其下方的磁盤區(qū)域進(jìn)行信息存取。數(shù)據(jù)存儲原理——硬盤邏輯結(jié)構(gòu)硬盤數(shù)據(jù)主要存儲在許多盤片上的磁性物質(zhì)上，而這些信息是通過磁頭在某一點(diǎn)上對其下方轉(zhuǎn)動的磁片進(jìn)行讀寫，因此這些信息以一條條圍繞主軸的同心圓細(xì)線的形式存在。為便于描述與管理，把這些存儲信息的同心圓細(xì)線稱為磁道，將盤片中用于記錄信息的面稱為盤面，而多個盤片上半徑相同的磁道稱為柱面，為優(yōu)化磁盤資源，將每個磁道劃分為均勻的幾段稱為扇區(qū)。硬盤邏輯結(jié)構(gòu)數(shù)據(jù)存儲原理——硬盤數(shù)據(jù)結(jié)構(gòu)硬盤只有建立起完整的數(shù)據(jù)結(jié)構(gòu)體系，才能用于存儲數(shù)據(jù)。格式化好的硬盤上的數(shù)據(jù)結(jié)構(gòu)體系由5個部分組成：主引導(dǎo)扇區(qū)、操作系統(tǒng)引導(dǎo)扇區(qū)、文件分配表、目錄區(qū)和數(shù)據(jù)區(qū)。主引導(dǎo)扇區(qū)是唯一的，其它區(qū)域與硬盤分區(qū)數(shù)相關(guān)。硬盤數(shù)據(jù)如圖所示。硬盤數(shù)據(jù)結(jié)構(gòu)主引導(dǎo)扇區(qū)操作系統(tǒng)引導(dǎo)扇區(qū)根目錄區(qū)數(shù)據(jù)存儲原理——硬盤數(shù)據(jù)結(jié)構(gòu)定義：主引導(dǎo)扇區(qū)位于整個硬盤的0柱面0磁頭1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR（MainBootRecord）和分區(qū)表DPT（DiskPartitionTable）。MBR是由分區(qū)程序（例如DOS的Fdisk.exe）產(chǎn)生的，不同操作系統(tǒng)的主引導(dǎo)扇區(qū)可能不盡相同。主引導(dǎo)記錄的作用：檢查分區(qū)表是否正確以及確定哪個分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時把該分區(qū)的啟動程序（也就是操作系統(tǒng)引導(dǎo)扇區(qū)）調(diào)入內(nèi)存加以執(zhí)行。文件分配表數(shù)據(jù)區(qū)分區(qū)表的作用：分區(qū)表以80H或00H為開始標(biāo)志并以55AAH為結(jié)束標(biāo)志，共64字節(jié)，位于本扇區(qū)的最末端。操作系統(tǒng)引導(dǎo)扇區(qū)主引導(dǎo)扇區(qū)根目錄區(qū)數(shù)據(jù)存儲原理——硬盤數(shù)據(jù)結(jié)構(gòu)定義：操作系統(tǒng)引導(dǎo)扇區(qū)OBR（OSBootRecord）位于硬盤的1柱面0磁頭1扇區(qū)，是操作系統(tǒng)可直接訪問的第一個扇區(qū)，它包括一個引導(dǎo)程序和一個被稱為BPB（BIOSParameterBlock）的本分區(qū)參數(shù)記錄表。OBR由高級格式化程序產(chǎn)生。引導(dǎo)程序的功能：判斷本分區(qū)根目錄前兩個文件是否為操作系統(tǒng)的引導(dǎo)文件。如是，則將第一個文件讀入內(nèi)存，并將控制權(quán)交給該文件。文件分配表數(shù)據(jù)區(qū)BPB的定義：BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲格式、硬盤介質(zhì)描述符、根目錄大小、FAT個數(shù)、分配單元（AllocationUnit，也稱之為簇）的大小等重要參數(shù)。文件分配表主引導(dǎo)扇區(qū)根目錄區(qū)數(shù)據(jù)存儲原理——硬盤數(shù)據(jù)結(jié)構(gòu)定義：文件分配表FAT(FileAllocationTable)是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)。

文件分配表FAT區(qū)緊接在OBR之后，其大小由本分區(qū)的大小及文件分配單元的大小決定。FAT一般有兩個，第二FAT為第一FAT的備份。

常見的有FAT12、FAT16和FAT32格式，但WindowsNT、OS/2、UNIX/Linux系統(tǒng)等都有各自的文件系統(tǒng)。操作系統(tǒng)引導(dǎo)扇區(qū)數(shù)據(jù)區(qū)根目錄區(qū)主引導(dǎo)扇區(qū)操作系統(tǒng)引導(dǎo)扇區(qū)數(shù)據(jù)存儲原理——硬盤數(shù)據(jù)結(jié)構(gòu)定義：根目錄區(qū)DIR（Directory）緊接在第二FAT表之后，F(xiàn)AT須與DIR配合才能準(zhǔn)確定位文件在磁盤上的位置。文件目錄是文件組織結(jié)構(gòu)的重要組成部分，一般分為兩類：根目錄，子目錄。根目錄只有一個，子目錄可有多個。子目錄其實(shí)是一種特殊的文件，文件系統(tǒng)為目錄項(xiàng)分配32字節(jié)。文件分配表數(shù)據(jù)區(qū)目錄項(xiàng)：目錄項(xiàng)分為三類：文件，子目錄，卷標(biāo)。目錄項(xiàng)中有文件的名字、擴(kuò)展名、屬性、生成或最后修改日期、開始簇號及文件大小。在定位文件位置時，操作系統(tǒng)根據(jù)DIR中的起始單元，結(jié)合FAT表就能知道文件在磁盤上的具體位置及大小。在DIR區(qū)之后，才是真正意義上的數(shù)據(jù)存儲區(qū)，即DATA區(qū)。數(shù)據(jù)區(qū)主引導(dǎo)扇區(qū)操作系統(tǒng)引導(dǎo)扇區(qū)數(shù)據(jù)存儲原理——硬盤數(shù)據(jù)結(jié)構(gòu)定義：數(shù)據(jù)DATA區(qū)占據(jù)硬盤的絕大部分空間，但沒有了前面的各部分，它對于我們來說，也只能是一些枯燥的二進(jìn)制代碼，沒有任何意義。文件分配表根目錄區(qū)硬盤數(shù)據(jù)恢復(fù)原因：在進(jìn)行硬盤分區(qū)時，也只是修改MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變。由于數(shù)據(jù)是隨機(jī)存放在數(shù)據(jù)區(qū)，只要數(shù)據(jù)區(qū)沒有被破壞，數(shù)據(jù)就沒有完全銷毀，就存在恢復(fù)的可能。數(shù)據(jù)銷毀方法數(shù)據(jù)刪除數(shù)據(jù)清除數(shù)據(jù)硬銷毀刪除文件格式化硬盤

硬盤分區(qū)數(shù)據(jù)銷毀方法逐位覆蓋跳位覆蓋消磁熔爐中焚化隨機(jī)覆蓋熔煉外力粉碎研磨磁盤表面數(shù)據(jù)銷毀方法——數(shù)據(jù)刪除數(shù)據(jù)刪除包括刪除文件、格式化硬盤、硬盤分區(qū)等。刪除文件是刪除數(shù)據(jù)最便捷的方法，如在Windows系統(tǒng)中使用“Del”命令即可刪除文件。然而，這種刪除方法只是在文件目錄項(xiàng)做個刪除標(biāo)記，將其在文件分配表中所占用的簇標(biāo)記為空簇，并未對數(shù)據(jù)區(qū)進(jìn)行任何改變與數(shù)據(jù)刪除。基礎(chǔ)知識

數(shù)據(jù)銷毀方法——格式化硬盤

格式化硬盤可分高級格式化、低級格式化、快速格式化、分區(qū)格式化等多種類型。格式化僅為操作系統(tǒng)創(chuàng)建一個全新的空文件索引，將所有的扇區(qū)標(biāo)記為“未使用”狀態(tài)，讓操作系統(tǒng)認(rèn)為硬盤上沒有文件。

通常情況下，普通用戶采用的格式化不會影響到硬盤上的數(shù)據(jù)區(qū)。而硬盤分區(qū)則只是修改了硬盤主引導(dǎo)記錄和系統(tǒng)引導(dǎo)扇區(qū)，絕大部分的數(shù)據(jù)區(qū)并未被修改。數(shù)據(jù)清除又稱邏輯銷毀，通過數(shù)據(jù)覆蓋等軟件方法銷毀數(shù)據(jù)，包括：逐位覆蓋、跳位覆蓋、隨機(jī)覆蓋等模式。數(shù)據(jù)覆蓋是將非保密數(shù)據(jù)寫入存有敏感數(shù)據(jù)的硬盤簇的過程。硬盤上的數(shù)據(jù)都是以二進(jìn)制的“1”和“0”形式存儲的。可使用預(yù)先定義的無意義、無規(guī)律的信息反復(fù)多次覆蓋硬盤上原先存儲的數(shù)據(jù)，使得無法得知原先數(shù)據(jù)是“1”還是“0”。數(shù)據(jù)銷毀方法——數(shù)據(jù)清除數(shù)據(jù)銷毀方法——數(shù)據(jù)硬銷毀數(shù)據(jù)硬銷毀是通過采用物理、化學(xué)方法直接銷毀存儲介質(zhì)，從而徹底銷毀其中的數(shù)據(jù)。數(shù)據(jù)硬銷毀可分為：物理銷毀，化學(xué)銷毀。物理銷毀又可分為：消磁、熔爐中焚化、熔煉、外力粉碎，研磨磁盤表面等方法。基礎(chǔ)知識

軟硬件破壞惡作劇數(shù)據(jù)破壞物理破壞5CHAPTER計(jì)算機(jī)病毒的影響任何一個計(jì)算機(jī)病毒的誕生，都有其相關(guān)目的，或炫耀，或竊密，或惡作劇，或刪除文件，或攻擊物理系統(tǒng)。從這個意義上說，各類計(jì)算機(jī)病毒的本質(zhì)就是破壞，只是程度不同而言。本節(jié)主要探討計(jì)算機(jī)病毒的軟硬件破壞技術(shù)，包括惡作劇、數(shù)據(jù)破壞、物理破壞等。惡作劇病毒計(jì)算機(jī)病毒通常會以對話框形式展現(xiàn)編制者的心理，或?yàn)檎f明一個問題，或?yàn)檎故疽欢涡蕾p的文字，或單純?yōu)閼蚺幌率芎φ?。?jì)算機(jī)病毒通過對話框循環(huán)式簡單問候，演示代碼片段如下：1.以對話框出現(xiàn)的惡作劇病毒惡作劇病毒計(jì)算機(jī)病毒通過對話框以文字和語音形式展示一段欣賞的文字（電影《大話西游》臺詞），演示代碼片段如下：1.以對話框出現(xiàn)的惡作劇病毒計(jì)算機(jī)病毒通過對話框戲弄受害者，演示代碼片段如下：惡作劇病毒計(jì)算機(jī)病毒有時會以圖形圖像形式展示編制者高超技術(shù)，通過在屏幕上呈現(xiàn)不同的圖形或圖像來愚弄受害者，達(dá)到滿足編制者某種心理需求目的。以圖形形式出現(xiàn)的計(jì)算機(jī)病毒最著名的要數(shù)1988年在我國發(fā)現(xiàn)的小球病毒。當(dāng)感染者系統(tǒng)處于半點(diǎn)或整點(diǎn)時，屏幕會出現(xiàn)一個活蹦亂跳的作斜線運(yùn)動的小圓球，當(dāng)碰到屏幕邊沿或者文字時會反彈回去，碰到的文字被整個削去或留下制表符亂碼。盡管小球病毒并未對感染系統(tǒng)造成實(shí)質(zhì)破壞，但卻嚴(yán)重影響用戶使用計(jì)算機(jī)系統(tǒng)。2.以圖形圖像出現(xiàn)的惡作劇病毒2.以圖形圖像出現(xiàn)的惡作劇病毒演示代碼片段如下：惡作劇病毒數(shù)據(jù)破壞簡介

計(jì)算機(jī)病毒的惡作劇表現(xiàn)，在計(jì)算機(jī)病毒發(fā)展初期較為常見。隨著病毒技術(shù)不斷進(jìn)化發(fā)展，計(jì)算機(jī)病毒開始對目標(biāo)系統(tǒng)上存儲的數(shù)據(jù)進(jìn)行各種破壞，主要包括刪除數(shù)據(jù)、加密數(shù)據(jù)、竊取數(shù)據(jù)、銷毀數(shù)據(jù)等。基礎(chǔ)知識

計(jì)算機(jī)病毒在感染目標(biāo)系統(tǒng)之后，多數(shù)會對目標(biāo)系統(tǒng)上的數(shù)據(jù)進(jìn)行刪除，通常表現(xiàn)為對某些類型文件進(jìn)行強(qiáng)行刪除，令受害者遭受數(shù)據(jù)損失。例如，2021年初爆發(fā)的Incaseformat病毒，通過U盤感染，狂刪目標(biāo)系統(tǒng)磁盤文件。計(jì)算機(jī)病毒實(shí)現(xiàn)刪除數(shù)據(jù)的指令簡單，通過使用Windows系統(tǒng)命令即可實(shí)現(xiàn)。演示代碼如下：數(shù)據(jù)破壞——刪除數(shù)據(jù)1、刪除數(shù)據(jù)上述的第一行代碼將強(qiáng)行刪除當(dāng)前目錄中的所有文件第二行代碼將強(qiáng)行刪除directory目錄。數(shù)據(jù)破壞——銷毀數(shù)據(jù)銷毀數(shù)據(jù)屬刪除數(shù)據(jù)范疇，是計(jì)算機(jī)病毒另一種更嚴(yán)重的刪除數(shù)據(jù)破壞方式。在計(jì)算機(jī)病毒刪除數(shù)據(jù)時，多數(shù)操作系統(tǒng)只是在文件目錄表FAT中進(jìn)行指針修改，并沒有真正從硬盤中刪除數(shù)據(jù)。因此，一些被計(jì)算機(jī)病毒刪除的數(shù)據(jù)可借助數(shù)據(jù)恢復(fù)軟件進(jìn)行恢復(fù)還原。但對于數(shù)據(jù)銷毀類計(jì)算機(jī)病毒則不同，此類病毒要么會寫入亂碼以填充被刪文件，致使數(shù)據(jù)恢復(fù)軟件無法還原數(shù)據(jù)，要么干脆利落格式化硬盤銷毀所有硬盤數(shù)據(jù)?；A(chǔ)知識

2、銷毀數(shù)據(jù)2.銷毀數(shù)據(jù)下面的演示代碼只是為說明計(jì)算機(jī)病毒完全可輕松銷毀磁盤上的所有數(shù)據(jù)，使用時請慎重?。?！數(shù)據(jù)破壞——銷毀數(shù)據(jù)數(shù)據(jù)破壞——加密數(shù)據(jù)為加密受害者數(shù)據(jù)，計(jì)算機(jī)病毒通常采用兩種密碼體制：對稱密碼，非對稱密碼。所謂對稱密碼，就是加密和解碼所用的密鑰是相同的，即解密所用的密鑰跟加密所用的密鑰相同。所謂非對稱密碼，也稱為公鑰密碼體制，就是密碼算法在開啟時會產(chǎn)生兩個相關(guān)的密鑰：公鑰和私鑰，如采用公鑰加密，則只能采用對應(yīng)的私鑰解密（數(shù)字信封技術(shù)），反之亦然，如采用私鑰加密，則只能用對應(yīng)的公鑰解密（數(shù)字簽名技術(shù)）。3.加密數(shù)據(jù)在密碼學(xué)中，有很多不同的密碼算法可實(shí)現(xiàn)加解密功能，例如，異或算法、DES算法、AES算法、RSA算法等。根據(jù)其不同的破壞意圖，計(jì)算機(jī)病毒在采用加密算法時會進(jìn)行破解權(quán)衡：如目標(biāo)系統(tǒng)不太重要，則可采用簡易的密碼算法；如要感染重要目標(biāo)，則可能采用高強(qiáng)度加密算法，以使受害者難以破解。下面將演示采用異或算法進(jìn)行加密的代碼。3.加密數(shù)據(jù)數(shù)據(jù)破壞——加密數(shù)據(jù)定義竊取數(shù)據(jù)方式用戶數(shù)據(jù)是計(jì)算機(jī)病毒編制者最感興趣的內(nèi)容，因?yàn)榭蓮挠脩魯?shù)據(jù)中機(jī)密信息或知識產(chǎn)權(quán)信息從而獲取更多利益。此類竊取數(shù)據(jù)（密碼、文件、加密貨幣和其他數(shù)據(jù)）的計(jì)算機(jī)病毒，也被稱為Stealer。從瀏覽器中能收集到的信息包括：密碼、自動填充數(shù)據(jù)、支付卡信息、Cookie等。從目標(biāo)系統(tǒng)上復(fù)制文件包括：從特定目錄復(fù)制所有文件、特定后綴的文件、特定app的文件等。獲取系統(tǒng)數(shù)據(jù)包括：操作系統(tǒng)版本、用戶名、IP地址等。竊取不同應(yīng)用的賬號包括：FTP客戶端、VPN、Email、社交軟件等。數(shù)據(jù)破壞——竊取數(shù)據(jù)物理破壞

物理破壞的影響從傳統(tǒng)視角來看，計(jì)算機(jī)病毒所造成的影響無非是惡作劇和數(shù)據(jù)破壞。然而，隨著社會進(jìn)步與技術(shù)發(fā)展，計(jì)算機(jī)病毒的觸角已遍及網(wǎng)絡(luò)空間，只要有代碼的地方，都有被計(jì)算機(jī)病毒感染的可能。此外，由于信息技術(shù)與實(shí)體經(jīng)濟(jì)的深度融合，工業(yè)控制系統(tǒng)已開始普及，這為計(jì)算機(jī)病毒從虛擬實(shí)體向物理實(shí)體領(lǐng)域蔓延提供了現(xiàn)實(shí)基礎(chǔ)。計(jì)算機(jī)病毒通過控制工業(yè)系統(tǒng)，已具備物理破壞力。物理破壞的分類有哪些？（1）直接物理破壞（2）間接物理破壞基礎(chǔ)知識

物理破壞——直接物理破壞顧名思義，直接物理破壞，是指計(jì)算機(jī)病毒可針對某些計(jì)算機(jī)系統(tǒng)上的物理器部件進(jìn)行直接損壞。常意義上的計(jì)算機(jī)病毒，其破壞性主要表現(xiàn)在數(shù)據(jù)破壞和惡作劇上，但于1998年問世的CIH病毒改變了這一默認(rèn)規(guī)則，它是首例能夠破壞計(jì)算機(jī)系統(tǒng)硬件的計(jì)算機(jī)病毒。CIH病毒采用了Windows95/98支持的VxD（VirtualxDriver，虛擬設(shè)備驅(qū)動程序）技術(shù)，相當(dāng)于內(nèi)核驅(qū)動程序，具有高權(quán)限與強(qiáng)隱匿性，導(dǎo)致發(fā)作時能將垃圾數(shù)據(jù)寫入BIOS芯片和硬盤，從而破壞硬盤數(shù)據(jù)和BIOS芯片數(shù)據(jù)，而普通反病毒軟件卻難以檢測?；A(chǔ)知識

1.直接物理破壞

（1）進(jìn)入系統(tǒng)內(nèi)核CIH病毒進(jìn)入系統(tǒng)內(nèi)核的演示代碼片段如下：物理破壞——直接物理破壞1.直接物理破壞

（2）鉤掛系統(tǒng)調(diào)用CIH病毒鉤掛系統(tǒng)調(diào)用的演示代碼片段如下：物理破壞——直接物理破壞1.直接物理破壞

（3）隱匿與觸發(fā)CIH病毒隱匿自身并判斷日期為26日時觸發(fā)的演示代碼片段如下：物理破壞——直接物理破壞1.直接物理破壞

（4）破壞硬盤與BIOS數(shù)據(jù)

當(dāng)滿足觸發(fā)日期26日時，CIH病毒啟動破壞操作，主要是破壞硬盤數(shù)據(jù)和BIOS芯片數(shù)據(jù)。CIH病毒破壞硬盤數(shù)據(jù)的演示代碼片段如下：物理破壞——直接物理破壞1.直接物理破壞

（4）破壞硬盤與BIOS數(shù)據(jù)CIH病毒破壞BIOS數(shù)據(jù)的演示代碼片段如下：

CIH病毒所采用的當(dāng)時先進(jìn)的VxD技術(shù)。VxD技術(shù)的實(shí)質(zhì)是：通過加載具有Ring0最高優(yōu)先級的VxD，運(yùn)行于Ring3上的應(yīng)用程序能夠以相關(guān)接口控制VxD動作，從而達(dá)到控制系統(tǒng)的目的。CIH病毒正是利用了VxD技術(shù)才得以駐留內(nèi)存、傳染執(zhí)行文件、破壞硬盤和BIOS數(shù)據(jù)。不過，由于自WindowsNT系統(tǒng)以來就棄用了VxD技術(shù)，取而代之的是WDM（WindowsDriverModel，WDM驅(qū)動模型）和WDF（WindowsDriverFoundation，WDF驅(qū)動模型）。這樣就導(dǎo)致CIH病毒在以WindowsNT技術(shù)為基礎(chǔ)的Windows2000/XP及后續(xù)版本中失效。