惡意代碼原理、技術與防范 課件 3-計算機病毒

第三章計算機病毒引言計算機病毒是出現最早、流行最廣的惡意代碼類型之一。隨著計算機、互聯網的普及和操作系統(tǒng)的多樣化，計算機病毒在傳染機制、表現形式上都有了很大的發(fā)展。本章在介紹PE文件結構的基礎上，深入剖析了Win32病毒、宏病毒和腳本型病毒等文件型病毒的原理和關鍵技術。計算機病毒概述Win32病毒宏病毒腳本病毒1.計算機病毒的基本概念4定義：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。特點：感染宿主式的自我復制花樣繁多的破壞方式有宿主會破壞能感染定義1.計算機病毒的基本概念計算機病毒狀態(tài)靜態(tài)：是指存在于輔助存儲介質中的狀態(tài)，不具備破壞和表現功能；動態(tài)：處于運行狀態(tài)，獲得系統(tǒng)控制權；可激活態(tài)：病毒已被加載至內存，能夠被系統(tǒng)的正常運行機制所執(zhí)行卻未執(zhí)行病毒代碼時的狀態(tài)；激活態(tài)：系統(tǒng)正在執(zhí)行病毒代碼時，病毒處于激活態(tài)。5定義1.計算機病毒的基本概念6病毒的生命周期狀態(tài)變遷圖

1.計算機病毒的基本概念7計算機病毒的基本結構組成1.計算機病毒的基本概念注意：不是所有的計算機病毒均具有三個模塊的功能。上述三個模塊須由主控制模塊調用，協(xié)同完成工作。8main(){調用引導功能模塊；A：do{尋找傳染對象；if(傳染條件不滿足)gotoA；}while(滿足傳染條件)；調用傳染功能模塊；while(滿足破壞條件){激活病毒程序；調用破壞功能模塊；}運行宿主源程序；}1.計算機病毒的基本概念9計算機病毒的分類：按照計算機病毒攻擊的設備類型分類：PC機病毒、小型機病毒、移動設備、工控設備病毒等；按照計算機病毒的鏈接方式：源碼型病毒、二進制型病毒、解釋型病毒等；計算機病毒按感染對象分類：引導型病毒；文件型病毒；引導型兼文件型病毒分類1.計算機病毒的基本概念工作機制：包括傳播機制、觸發(fā)機制和破壞機制傳播機制又稱感染機制，指計算機病毒自我復制的方法。10磁盤的引導扇區(qū)可執(zhí)行文件OFFICE文檔模板(宏）網頁（js等腳本）其它…病毒的感染對象有哪些類型？傳播機制1.計算機病毒的基本概念傳播機制核心要解決病毒代碼存儲在宿主什么地方，并能獲得控制權的問題。(a)引導型病毒的感染位置：替換MBR或DBR11MBRDBR......sec-0sec-1sec-n............Virus<446bytevirvirMBRDBR......sec-0sec-1sec-n............Virus>446bytevirheadvirpartvirhead傳播機制1.計算機病毒的基本概念(b)文件型病毒腳本型病毒的感染

特點：文本編輯解釋引擎翻譯執(zhí)行順序執(zhí)行病毒代碼也是文本12virus可以寫在宿主腳本的頭、中、尾的任何位置（最好包含在函數中）傳播機制1.計算機病毒的基本概念二進制文件的感染控制權：入口點、退出點、必經路徑。形式：二進制shellcode考慮重定位，插入的代碼不應導致各節(jié)的偏移13傳播機制1.計算機病毒的基本概念加殼式病毒將宿主文件整體打包并作為數據的一部分（類似加殼軟件），執(zhí)行時病毒先執(zhí)行，再將宿主脫殼后執(zhí)行。14HOST程序代碼頭HOST程序代碼病毒頭病毒代碼原Host（壓縮）傳播機制1.計算機病毒的基本概念壓縮式壓縮型將原Host代碼段進行壓縮，將自身放入減少的代碼段空間，并通過修改EPO獲得控制權；15HOST程序代碼頭HOST程序代碼HOST程序頭（改EPO)病毒代碼壓縮后的Host代碼代碼段可容納病毒HOST程序頭（改EPO)病毒代碼+JMPxx壓縮后的Host代碼病毒代碼2代碼段太小傳播機制1.計算機病毒的基本概念空洞填充型16傳播機制1.計算機病毒的基本概念17無入口點式入口點模糊技術，即病毒在不修改宿主原入口點的前提下，通過在宿主代碼體內某處插入跳轉指令來使病毒獲得控制權傳播機制1.計算機病毒的基本概念18鏈式病毒感染時，完全不改動宿主程序本體，而是改動或利用與宿主程序的相關信息，將病毒程序與宿主程序鏈成一體，這種感染方式叫做鏈式感染。傳播機制1.計算機病毒的基本概念19破壞型感染病毒感染時，對宿主程序的一部分代碼，不作保留第進行覆蓋寫入，病毒寫入處的原宿主程序代碼全部丟失。傳播機制1.計算機病毒的基本概念編譯器和源碼的感染用被病毒感染的編譯器編譯新的代碼，生成帶病毒代碼的程序對象。202016，Xcode風波傳播機制1.計算機病毒的基本概念觸發(fā)機制利用特定條件激活病毒代碼，使其由可激活態(tài)轉換為激活態(tài)。觸發(fā)的條件包括：指令觸發(fā)日期和時間觸發(fā)鍵盤觸發(fā)開機觸發(fā)磁盤訪問觸發(fā)和中斷訪問觸發(fā)其它觸發(fā)：OS型號、IP地址、語言、地區(qū)、特定漏洞21觸發(fā)機制破壞機制攻擊文件和硬盤；攻擊內存；干擾系統(tǒng)的運行；擾亂輸出設備；擾亂鍵盤；干擾瀏覽器和下載新的惡意軟件；實施網絡攻擊和敲詐；……221.計算機病毒的基本概念破壞機制計算機病毒概述Win32病毒宏病毒腳本病毒2Win32病毒PE可執(zhí)行文件是Windows系統(tǒng)下計算機病毒感染的主要文件類型，通常將感染PE文件的病毒稱為win32病毒。2.1

PE文件格式PE文件布局基址磁盤中的文件內存中的文件2.1

PE文件格式26物理地址（Raw

Address,RA）:數據在磁盤文件中的偏移;

虛擬地址(Virtual

Address，VA):數據加載到虛擬空間后的內存地址；相對虛擬地址(RelativeVirtualAddresses，RVA)，數據相對于在虛擬地址的基地址的偏移量。VA=ImageBase+RVA27typedefstruct_IMAGE_DOS_HEADER{

USHORTe_magic;//魔術數字MZUSHORTe_cblp;USHORTe_cp;……LONGe_lfanew;//新EXE頭部的文件地址}作用：判斷文件是否為PE文件；DOSStub是為了與DOS操作系統(tǒng)兼容而保留的頭部；2.1

PE文件格式2.1

PE文件格式28PEHeader（PE文件頭）：是IMAGE_NT_HEADER的簡稱，存放PE整個文件信息分布的重要字段，包含了許多PE裝載器用到的重要字段。2.1

PE文件格式IMAGE_NT_HEADERSSTRUCTSignaturedd?//’PE\0\0’FileHeaderIMAGE_FILE_HEADER<>//文件基本信息OptionalHeaderIMAGE_OPTIONAL_HEADER32<>//文件附屬信息IMAGE_NT_HEADERSENDStypedefstruct_IMAGE_FILE_HEADER{WORDMachine;//0x04，該程序要執(zhí)行的環(huán)境及平臺

WORDNumberOfSections;//0x06，文件中節(jié)的個數

DWORDTimeDateStamp;//0x08，文件建立的時間

DWORDPointerToSymbolTable;//0x0c，COFF符號表的偏移

DWORDNumberOfSymbols;//0x10，符號數目

WORDSizeOfOptionalHeader;//0x14，可選頭的長度

WORDCharacteristics;//0x16，標志集合}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;2.1

PE文件格式30緊跟映像文件頭后面的就是可選映像頭typedefstruct_IMAGE_OPTIONAL_HEADER{//標準域:WORDMagic;//0x18，一般是0x010BBYTEMajorLinkerVersion;//0x1a，鏈接器的主/次版本號，

BYTEMinorLinkerVersion;//0x1b，這兩個值都不可靠

DWORDSizeOfCode;//0x1c，可執(zhí)行代碼的長度

DWORDSizeOfInitializedData;//0x20，初始化數據的長度(數據節(jié))DWORDSizeOfUninitializedData;//0x24，未初始化數據的長度(bss節(jié))

DWORDAddressOfEntryPoint;//0x28，代碼的入口RVA地址，程序從這開始執(zhí)行

DWORDBaseOfCode;//0x2c，可執(zhí)行代碼起始位置，意義不大

DWORDBaseOfData;//0x30，初始化數據起始位置，意義不大

DWORDImageBase;//0x34，載入程序首選的RVA地址

DWORDSectionAlignment;//0x38，加載后節(jié)在內存中的對齊方式,0x1000

(待續(xù))31DWORDFileAlignment;//0x3c，節(jié)在文件中的對齊方式,0x200

WORDMajorOperatingSystemVersion;//0x3e，操作系統(tǒng)主/次版本，WORDMinorOperatingSystemVersion;//0x40，Loader并沒有用這兩個值WORDMajorImageVersion;//0x42，可執(zhí)行文件主/次版本WORDMinorImageVersion;//0x44WORDMajorSubsystemVersion;//0x46，子系統(tǒng)版本號WORDMinorSubsystemVersion;//0x48DWORDWin32VersionValue;//0x4c，Win32版本，一般是0DWORDSizeOfImage;//0x50，程序調入后占用內存大小(字節(jié))DWORDSizeOfHeaders;//0x54，文件頭的長度之和DWORDCheckSum;//0x58，校驗和,DLL用WORDSubsystem;//0x5c，可執(zhí)行文件的子系統(tǒng)WORDDllCharacteristics;//0x5e，何時DllMain被調用，一般為0DWORDSizeOfStackReserve;//0x60，初始化線程時保留的堆棧大小DWORDSizeOfStackCommit;//0x64，初始化線程時提交的堆棧大小DWORDSizeOfHeapReserve;//0x68，進程初始化時保留的堆大小DWORDSizeOfHeapCommit;//0x6c，進程初始化時提交的堆大小DWORDLoaderFlags;//0x70，裝載標志，與調試相關DWORDNumberOfRvaAndSizes;//0x74，數據目錄的項數，一般是16IMAGE_DATA_DIRECTORYDataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];}IMAGE_OPTIONAL_HEADER,*PIMAGE_OPTIONAL_HEADER;2.1

PE文件格式32節(jié)表是緊挨著NT映像頭的一結構數組，其成員的數目由映像文件頭中NumberOfSections決定#defineIMAGE_SIZEOF_SHORT_NAME8typedefstruct_IMAGE_SECTION_HEADER{UCHARName[IMAGE_SIZEOF_SHORT_NAME];//節(jié)名

union{ULONGPhysicalAddress;//OBJ文件中表示本節(jié)物理地址

ULONGVirtualSize;//對齊前節(jié)的實際字節(jié)數

}Misc;

ULONGVirtualAddress;//本節(jié)的RVA

ULONGSizeOfRawData;//本節(jié)經過文件對齊后的尺寸

ULONGPointerToRawData;//本節(jié)原始數據在文件中的位置,自裝載時有用

ULONGPointerToRelocations;//OBJ文件中表示本節(jié)重定位信息的偏移

ULONGPointerToLinenumbers;//OBJ行號偏移

USHORTNumberOfRelocations;//OBJ本節(jié)需重定位的數目

USHORTNumberOfLinenumbers;//OBJ本節(jié)在行號表中的行號數目

ULONGCharacteristics;//節(jié)屬性}IMAGE_SECTION_HEADER,*PIMAGE_SECTION_HEADER;2.1

PE文件格式33代碼節(jié)的屬性一般是60000020H，即“可執(zhí)行”、“可讀”和“節(jié)中包含代碼”數據節(jié)的屬性一般是C0000040H，即“可讀”、“可寫”和“包含已初始化數據”

病毒在添加新節(jié)時，都會將新添加的節(jié)的屬性設置為可讀、可寫、可執(zhí)行2.1

PE文件格式IMAGE_IMPORT_DESCRIPTORSTRUCT{union{DWORDCharacteristics DWORDOriginalFirstThun//該RVA指向一個IMAGE_THUNK_DATA

}DWORDTimeDateStamp //時間日期記錄，無意義

DWORDForwarderChain //正向連接索引

DWORD

Name //被調用dll的名字指針數組的指針

DWORDFirstThunk //該RVA指向一個IMAGE_THUNK_DATA}IMAGE_IMPORT_DESCRIPTOR34導入表格式導入表的重要性2.1

PE文件格式

_IMAGE_THUNK_DATA{

union{

DWORDForwarderString

DWORDFunction

DWORDOrdinal//序號

DWORDAddressOfData//指向IMAGE_IMPORT_BY_NAME

}}IMAGE_THUNK_DATAIMAGE_IMPORT_BY_NAME{

WORDHint//函數序號，但有的編譯器不用此域

BYTEName[1]

//函數名稱，以0結尾}IMAGE_IMPORT_BY_NAMEends352.1

PE文件格式36PE加載前2.1

PE文件格式37PE加載后2.2

Win32病毒Win32病毒是一段二進制代碼，但與正常程序有區(qū)別：1.只有代碼節(jié)，沒有數據節(jié)等其它節(jié)；2.病毒附著在宿主文件，附著的位置不確定；3.病毒功能需要的API宿主程序的導入表并不提供；38病毒代碼入口重定位查找Kernel32基地址獲取API函數地址搜索文件讀寫操作文件操作是否成功讀取文件PE頭信息是否已經被感染修改PE節(jié)感染Host，設置新入口點，并在病毒結束處指向原入口點判斷發(fā)作條件是否符合發(fā)作條件轉到Host程序執(zhí)行正常程序操作成功否是否是不成功進行破壞或竊聽潛伏并監(jiān)聽怎么辦？原理2.2

Win32病毒重定位問題病毒的寄生性決定了病毒只能作為一段代碼寄生在PE文件中，而不是一個完整的可執(zhí)行文件。病毒中所有的數據和代碼都必須融合在代碼段完成；39重定位bvsegment;定義段

assumecs:bv,ds:bv,es:bv;聲明段與寄存器的結合start:

oint13_ipdw?;定義雙字

oint13_csdw?

;定義雙字……2.2

Win32病毒40callvstartvstart：popebx…var1:db10dup(0)leaeax，[ebx+(offsetvar1-offsetvstart)]//eax中存放著var1在內存中的真實地址感染不同的宿主對象后病毒代碼所在內存位置不同，執(zhí)行時對地址的調用如何解決？重定位找一個相對穩(wěn)定的位置2.2

Win32病毒API函數的問題宿主程序并不保證提供病毒代碼實現功能的API函數。41解決方案：（1）在宿主程序的內存空間中搜索需要的API（2）動態(tài)獲得API函數的地址調用API2.2

Win32病毒（1）在宿主程序的內存空間中搜索需要的API條件：適合宿主程序的內存空間已經加載了所需API的動態(tài)鏈接庫，不具有普適性；方法：找到所在DLL的基址，再根據其導出表找到所需API的地址；調用API2.2

Win32病毒typedefstruct_IMAGE_EXPORT_DIRECTORY{

//導出表結構 DWORDCharacteristics;//保留 DWORDTimeDateStamp;//時間戳

WORDMajorVersion;//

WORDMinorVersion;//

DWORDName;//指向模塊名稱的RVA DWORDBase;//導出表用于導出函數序號基數

DWORDNumberOfFunctions;//導出函數成員個數

DWORDNumberOfNames;//導出函數名稱表成員個數

DWORDAddressOfFunctions;//導出函數址表RAV DWORDAddressOfNames;//函數名稱表RAV DWORDAddressOfNameOrdinals;//導出函數序號表}IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY;調用API2.2

Win32病毒（2）動態(tài)獲取API函數地址（普適性）獲取Kernel32.dll的基地址；獲得LoadLibrary和GetProcAddress函數地址調用API2.2

Win32病毒46mov

edx,

[esp].Next:dec

edxXordx,

dx

;減去跨度,或andedx,0xFFFF0000

cmp

word

[edx],

’ZM’

jz

.IsPe

jmp

.Next

.IsPe:

mov

eax,

[edx+3ch]

cmp

word

[eax+edx],

‘EP'

jnz

.Next

xchg

eax,

edx

eax

=

kernel32

基地址獲得KERNEL32的基地址方法利用HOST程序入口點的返回地址，在其附近搜索KERNEL32模塊基地址（適合入口點病毒）。調用API2.2

Win32病毒47通過PEB（ProcessEnviromentBlock）獲取PEB基本結構基本原理：NT內核系統(tǒng)中FS寄存器指向TEB,TEB+0X30處指向PEB結構，PEB+0X0C處指向PEB_LDR_DATA結構,PEB_LDR_DATA+0X14處存放一些DLL地址，其中第一個為NTDLL.DLL,第二個為KERNEL32.DLL調用API2.2

Win32病毒48

__asm{ pusheax mov eax,fs:[30h]//獲得PEB指針 mov eax,[eax+0ch]//獲得PEB_LDR_DATA結構

mov eax,[eax+14h]//PEB->Ldr.InInitializationOrderModuleList.Flink mov eax,[eax]//eax,現在是ntdll.dll

moveax,[eax]//現在是kernel32.dll

mov eax,[eax+10h] //得到Kernel32.dll的BaseAddress

movret,eax popeax }基于PEB結構獲得基地址的代碼實例調用API2.2

Win32病毒通過SEH獲取異常處理鏈表的頂端節(jié)點默認情況下會放置Kernel32.UnhaldledExceptionFilter函數。因此，可以通過遍歷異常處理鏈表來找到它的未處理異常回調函數的地址，通過該地址向低地址尋找PE文件的DOS頭標志.49EXCEPTION_REGISTRATIONTEB(fs:[0])回調函數1的地址下一個回調函數2的地址下一個Toplevel函數的地址0xFFFFFFFF…調用API2.2

Win32病毒常見感染方法：新加代碼節(jié)，修改入口點主要的工作：增加一個節(jié)表項；向節(jié)表增加一個新段（病毒代碼）；//注意對齊調整文件映像尺寸，節(jié)表數（即SizeofImage/NumberofSections）以及節(jié)的屬性。50文件修改病毒寫到哪個位置不會影響原功能？2.2

Win32病毒病毒對文件頭的修改修改映像文件頭中節(jié)表數目NumberOfSections；新增節(jié)表SectionTable;修改入口點AddressOfEntryPoint；修改內存映像大小SizeOfImage（內存中整個PE映像尺寸=原SizeOfImage+病毒節(jié)經過內存節(jié)對齊后的大小)；寫入感染標記。51注意：為了將控制權轉回宿主程序，病毒代碼中需要一個變量用于存放原來的入口點!文件修改計算機病毒概述Win32病毒宏病毒腳本病毒3宏病毒什么是宏？宏(macro)是一種批量處理的稱謂，是指把常用的動作寫成類似批處理命令的多行代碼的集合。適合所有文檔操作，通常是將重復操作設置為宏；創(chuàng)建或錄制；宏的類型自建宏：只對本文檔有效的宏，如FileSave、FilePrint等；自動宏：對于所有文檔都有效的，如AutoExit、AutoOpen、AutoClose、AutoNew等；自定義宏：用戶自己建立或錄制。53概念3宏病毒54SubHelloVBA()DimNormProjMsgBox"HelloWold!這是我的第一個VBA宏!",vbOKOnly,"宏測試"SetNormProj=NormalTemplate.VBProjectMsgBoxNormProj.Name,vbOKOnly,"模板文件名"'顯示模板文件名

WithAssistant.NewBalloon'調出助手

.Icon=msoIconAlert.Animation=msoAnimationGetArtsy.Heading="請注意!".Text="助手在此!".ShowEndWithEndSubOffice軟件的宏主要采用VBA語言編寫。概念3宏病毒定義使用宏語言編寫的程序，附著在文字處理的文檔、表格、數據庫、演示文檔等數據文件中，由數據處理軟件運行，利用宏語言的功能將自己復制、繁殖到其他數據文檔中。寄生性：宏程序可以附著在一個文檔文件上；傳染性：宏程序可以隨著文檔文件的復制傳播；破壞性：宏程序不需要用戶的干預而自動執(zhí)行相應功能。55概念3宏病毒宏病毒同樣需要解決如下問題：如何獲得控制權？充分利用自動宏和內建宏的事件觸發(fā)機制如何傳播？如何保護？56工作原理3宏病毒利用文檔模板共享的特性，先感染模板，再由染毒模板向干凈文檔的復制；57宏病毒如何傳播？工作原理有毒文檔打開，激自動宏活寫入干凈模板Normal.dot有毒模板打開新文檔，激活自動宏寫入干凈文檔

有毒文檔3宏病毒宏病毒的自我保護58OnErrorResumeNext'如果發(fā)生錯誤，不彈出出錯窗口，繼續(xù)執(zhí)行下面語句Application.DisplayAlert=wdAlertsNoe'不彈出警告窗口Application.EnableCancelKey=wdCancelDisabled'不允許通過ESC鍵結束正在運行的宏Application.DisplayStatusBar=False'不顯示狀態(tài)欄，避免顯示宏的運行狀態(tài)Application.ScreenUpdating=False'不讓刷新屏幕，避免病毒運行引起刷新速度變慢Option.VirusProtection=False'關閉病毒保護功能，運行前如果包含宏，不提示Option.SaveNormalPrompt=False'如果公用模板被修改，不給用戶提示窗口而直接保存工作原理計算機病毒概述Win32病毒宏病毒腳本病毒4腳本病毒腳本語言腳本語言前身是批處理文件，后通過優(yōu)化、擴充形成腳本編程語言。VBScript既是客戶端腳本語言，也是服務器端腳本語言。可用于各種應用程序。JavaScript只是一種客戶端腳本語言，用于各種網站瀏覽器上的各種操作。PowerShell是一個強類型的動態(tài)腳本語言，支持面向對象，支持調用系統(tǒng)API和.NET庫。604腳本病毒Win32

APIWindows

Desktop

Windows

StartMenuWindows

Applications

Windows

File

SystemQuick

Lanch

Bar

Network

PrintersNetwork

Drivers

Windows

RegistryWeb

Application

WebAPICloud

Native

ApplicationMobile

Application

IoTMachine

learningWSH(Windows

Script

Host)CSript

Execution

HostWSript

Execution

HostVBScriptJScriptPowershell.NETWindows腳本架構4腳本病毒WSH（WindowsScriptingHost）WSH是一個基于32位Windows平臺、并獨立于語言的腳本運行環(huán)境，是腳本語言/命令的工具。在WSH腳本環(huán)境里，預定義了一些對象，通過這些內置對象，可以實現獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。624腳本病毒63訪問文件WScript.Echo("WSH應用舉例")'在D盤根目錄下建立5個新文件夾dimobjdirsetobjdir=WScript.CreateObject("Scripting.filesystemobject")fork=1to5sNewFolder="d:\WSHsample"&k'給新的文件夾命名

objdir.Createfolder(sNewFolder)next'在C盤根目錄創(chuàng)建一個文本文件testfile.txtSetRegWsh=Wscript.CreateObject("Wscript.Shell")RegWsh.Run("notepad"&WScript.ScriptFullName)Setfs=WScript.CreateObject("Scripting.FileSystemObject")Seta=fs.CreateTextFile("c:\testfile.txt",True)a.WriteLine("HelloWorld!")a.Close4腳本病毒64訪問注冊表DimRegWsh,sReadKey,sPrompt,sFixpromptSetRegWsh=WScript.CreateObject("WScript.Shell")RegWsh.RegWrite"HKCU\MyRegKey","一級鍵值"'創(chuàng)建一級鍵值sReadKey=RegWsh.RegRead("HKCU\MyRegKey")'讀取(默認)鍵值sPrompt="(默認)鍵值為："&sReadKeyMsgBox"讀取的HKCU\MyRegKey下"&sPromptRegWsh.Reg