第三章计算机病毒结构分析(1)

合集下载

计算机病毒机理分析

31
ISA
• ISA插槽是基于ISA总线（Industrial Standard Architecture，工业标准结构总线）的扩展插槽，其颜色一般为黑色，比PCI 接口插槽要长些，位于主板的最下端。其工作频率为8MHz左右，为16位插槽，最大传输率16MB/sec，可插接显卡，声卡，网卡以及所谓的多功能接口卡等扩展插卡。其缺点是CPU资源占用太高，数据传输带宽太小，是已经被淘汰的插槽接口。 • 在1988年，康柏、惠普等9个厂商协同把ISA 扩展到32-bit，这就是著名的EISA（Extended ISA，扩展ISA）总线。可惜的是，EISA 仍旧由于速度有限，并且成本过高，在还没成为标准总线之前，在20世纪90年代初的时候，就给PCI 总线给取代了。
9
被破坏的主引导区记录
“Non-System disk or disk error，replace disk and press a key to reboot”(非系统盘或盘出错) “Error Loading Operating System”(装入DOS引导记录错误) “No ROM Basic，System Halted”(不能进入ROM Basic，系统停止响应)
完成信息的检测之后，Windows XP会在屏幕上显示那个著名的 Windows XP商标，并显示一个滚动的，告诉用户Windows 的启动进程
30
Step4:检测和配置硬件过程--
会收集如下类型的硬件信息：
1.系统固件信息，例如时间和日期等 2.总线适配器的类型 3.显卡适配器的类型 4.键盘 5.通信端口 6.磁盘 7.软盘 8.输入设备，例如鼠标 9.并口 10.安装在ISA槽中的ISA设备
8
分区表DPT(Disk Partition Table)

第3章计算机病毒结构及技术分析

计算机病毒及其防范技术
计算机病毒结构及技术分析
下午3时35分
计算机病毒及其防范技术 · 计算机病毒结构及技术分析
复习
1、计算机病毒定义？计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 2、计算机病毒的特点？
传染性、破坏性、寄生性
→
跳转到病毒引导模块
使用常驻技术
→
病毒引导模块
加载传染、破坏和触发模块到内存

转向程序的正常执行指令
→
执行程序
下午3时36分
计算机病毒及其防范技术 ·计算机病毒结构及技术分析
感染模块
什么是病毒感染？指计算机病毒程序由一个信息载体传播到另一个信息载体，或由一个系统传播到另一个系统的过程。
• PATCH IAT的函数。
下午3时36分
计算机病毒及其防范技术 ·计算机病毒结构及技术分析
抗分析技术
加密技术：
这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。
反跟踪技术：
使得分析者无法动态跟踪病毒程序的运行。例如：Win95.Flagger病毒
下午3时36分
下午3时36分
计算机病毒及其防范技术计算机病毒结构及技术分析
计算机病毒的传染过程
被动传染过程：随着复制或网络传输工作的进行而进行的。主动传染过程：系统运行是，病毒通过病毒载体即系统的外存储器进入系统的内存储器，然后，常驻内存并在系统内存中监视系统的运行，从而可以在一定条件先采用多种手段进行传染。
引导区病毒引导过程：
搬迁系统引导程序 → 替代为病毒引导程序

计算机网络安全电子教案(新版)第三章计算机病毒及其防治

（3）系统型病毒传染机理 ①对软盘的感染：系统型病毒利用在开机引导时窃获的 INT 13H控制权，在整个计算机运行过程中随时监视软盘操作情况，趁读写软盘的时机读出软盘引导区，判断软盘是否染毒，如未感染就按病毒的寄生方式把原引导区写到软盘另一位置，把病毒写入软盘第一个扇区，从而完成对软盘的感染 ②对硬盘的传染：往往是在计算机上第一次使用带毒软盘进行的，具体步骤与软盘传染相似，也是读出引导区判断后写入病毒
某些组织或个人采用高科技手段即利用计算机病毒，达到其政治、经济或军事目的。如在金融领域，利用计算机病毒进行高科技犯罪。这种犯罪具有动态性和随机性，不易取证，风险小获利大。这对金融安全和金融正常运转构成了严重的威胁。
2、计算机病毒的来源 (1) 产生于恶作剧 (2) 产生于报复心理 (3) 产生于软件商保护软件 (4) 用于研究或实践而设计的“有用”程序，由于某种原因失去控制而扩散出实验室或研究所，从而成为危害四方的计算机病毒 (5) 用于政治、经济和军事等特殊目的
（3）寄生性病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。（4）隐蔽性计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。有些计算机受到传染后，系统通常仍能正常运行，使用户不会感到任何异常
（2）计算机病毒的传染过程（1）立即传染：病毒在被执行到的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序（2）驻留内存并伺机传染：内存中的病毒检查当前系统环境，在执行一个程序或操作时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机

计算机病毒防治考试重点

第一章计算机病毒概述1.※计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2.※计算机病毒的特性破坏性传染性寄生性隐蔽性触发（潜伏）性3.※计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？病毒发展趋势：网络化专业化简单化多样化自动化犯罪化代表病毒：蠕虫、木马4. ※计算机病毒的主要危害直接危害：（1）病毒激发对计算机数据信息的直接破坏作用（2）占用磁盘空间和对信息的破坏（3）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒的兼容性对系统运行的影响间接危害：（1）计算机病毒给用户造成严重的心理压力（2）造成业务上的损失（3）法律上的问题5. ※计算机病毒和医学上的病毒相似之处是什么？区别又是什么？相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

6．（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪）7．※计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分：•家族名•组名•大变种•小变种•修改者CARO规则的一些附加规则包括：•不用地点命名•不用公司或商标命名•如果已经有了名字就不再另起别名•变种病毒是原病毒的子类举例说明：精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。

A 表示该病毒是某个组中的第一个变种。

业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。

计算机病毒结构分析(1)ppt课件

第三章计算机病毒结构分析本章学习目标•掌握计算机病毒的结构•掌握计算机病毒的工作机制•了解引导型病毒原理•了解COM、EXE、NE、PE可执行文件格式•掌握COM文件病毒原理及实验•掌握PE文件型病毒及实验总体概念•DOS是VXer的乐园(Aver) •9x病毒ring3, ring0•2K病毒主要是ring3•Windows文件格式变迁：•COM•EXE:MZ->NE->PE•Vxd: LE(16Bit, 32Bit)一、计算机病毒的结构和工作机制•四大模块：•感染模块•触发模块•破坏模块（表现模块）•引导模块（主控模块）•两个状态：•静态•动态工作机制引导模块•引导前——寄生•寄生位置：•引导区•可执行文件•寄生手段：•替代法（寄生在引导区中的病毒常用该法）•链接法（寄生在文件中的病毒常用该法）１PE文件结构及其运行原理（1）PE文件格式总体结构•PE（Portable Executable：可移植的执行体）•是Win32环境自身所带的可执行文件格式。

•它的一些特性继承自Unix的Coff(Common Object )文件格式。

•可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

•当然，移植到不同的CPU上PE执行体必然得有一些改变。

•除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。

因此，研究PE文件格式是我们洞悉Windows结构的良机。

PE文件结构总体层次分布DOSMZheader ‘MZ’格式DOSstub Dos程序PEheader PE文件Section表•所有PE文件必须以一个简单的DOS MZ header开始。

有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。

•DOS stub实际上是个有效的EXE，在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。

计算机病毒结构分析

本章学习目标
• • • • 掌握计算机病毒的结构掌握计算机病毒的工作机制了解引导型病毒原理了解COM、EXE、NE、PE可执行文件格式 • 掌握COM文件病毒原理及实验 • 掌握PE文件型病毒及实验
总体概念
• • • • DOS是VXer的乐园(Aver) 9x病毒 ring3, ring0 2K病毒主要是ring3 Windows文件格式变迁：
• 加载COM程序
– DOS尝试分配内存。因为COM程序必须位于一个64K的段中，所以COM文件的大小不能超过65,024（64K减去用于PSP的256字节和用于一个起始堆栈的至少256字节）。 – 如果DOS不能为程序、一个PSP、一个起始堆栈分配足够内存，则分配尝试失败。 – 否则，DOS分配尽可能多的内存（直至所有保留内存），即使 COM程序本身不能大于64K。 – 在试图运行另一个程序或分配另外的内存之前，大部分COM程序释放任何不需要的内存。 – 分配内存后，DOS在该内存的头256字节建立一个PSP（Program Segment Prefix：程序段前缀）。
• 文件型病毒传染机理
– 首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒； – 当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中； – 完成传染后，继续监视系统的运行，试图寻找新的攻击目标。
• 文件型病毒传染途径
– 加载执行文件 – 浏览目录过程 – 创建文件过程
破坏模块
• 破坏是Vxer的追求，病毒魅力的体现 • 破坏模块的功能
感染模块
• 病毒传染的条件
– 被动传染（静态时）
• 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。

计算机病毒原理及防范技术第3章计算机病毒基本机制

3.1 计算机病毒的5种状态
❖ 计算机病毒也是一种程序，只是这种程序具有一定的特殊性。人类之所以将其称为“病毒”，就是考虑到这种特殊程序和生物病毒的很多共同点。在生物界中有很多病毒，对其对应的物种有着这样或那样的危害，但是它们也有不构成威胁的时候。这是由它们所处的状态决定的。同样的，计算机病毒也有自己的不同状态（这里是指目前病毒所处的状态，和后面病毒技巧中的“多态”技术是完全不同的概念），必须清楚地知道这些状态，才能对病毒进行有效地防治。
3.3 感染机制（续）
❖ 一般来说，病毒的感染目标是一些可执行代码，计算机系统中可执行文件只有两种：引导程序和可执行文件。另一类经常被感染的目标是宏（Macro），宏是一种可执行代码，但是不能独立作为文件存在，它们所感染的是一类称为宏病毒的特殊病毒。病毒还会感染BIOS，不过由于现在基于Flash ROM的BIOS都带写保护，所以即使被感染，只需要重写BIOS即可消除病毒。下面是病毒的一般感染目标：
3.3 感染机制（续）
❖ 所谓单次感染，有的书上也称其为“一次性感染”，顾名思义就是指病毒对宿主只感染一次，若病毒在对感染目标检测发现其已经染上自己这种病毒就不再感染它。
❖ 重复性感染则是指无论目标是否已被感染，病毒在设定次数内都会对其再次进行感染动作。重复感染过程如图所示。
3.3 感染机制（续）
▪ 长度不变。 ▪ 增长的长度为恒定值。 ▪ 增长的长度在一个固定范围内变化。 ▪ 每次被病毒感染，宿主程序的长度都发生变化。
❖ 注意，能做到使目标宿主染毒后长度保持不变的病毒都采用了特殊编程技巧，其共同特点是要么隐蔽性极强，要么破坏力奇大。总之，具有这种能力的病毒一定是恶性病毒，需要特别提高警惕性。
▪ 硬盘系统分配表扇区（主引导扇区）； ▪ 硬盘Boot扇区； ▪ 软盘Boot扇区； ▪ 覆盖文件（.OVL）； ▪ 可执行文件（.EXE）； ▪ 命令文件（.COM）； ▪ COMMAND文件； ▪ IBM-BIO文件； ▪ IBM-DOS文件。

《计算机病毒》复习思考题及答案

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

计算机病毒是怎么样构成的

计算机病毒是怎么样构成的计算机病毒是有什么构成的呢?是不是很复杂?下面由店铺给你做出详细的计算机病毒构成介绍!希望对你有帮助!计算机病毒构成介绍一：计算机病毒是由三个部分构成：感染部分,表现破坏部分,激发部分。

计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。

计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒是一个程序，一段可执行码。

就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。

计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。

计算机病毒构成介绍二：计算机病毒的组成计算机病毒程序由引导模块、传染模块、干扰或破坏模块组成.后两个模块又有两个子程序段：条件判断子模块和实施子模块计算机病毒构成介绍三：计算机病毒的构成：计算机病毒程序通常由三个单元和一个标志构成：引导模块、感染模块、破坏表现模块和感染标志,后两个模块又各有两个功能部分的程序.计算机病毒程序的构成如图9-2所示.1.引导单元计算机病毒在感染前,需要先通过识别感染标志判断计算机系统是否被感染,若判断没有被感染则将病毒程序的主体设法引导安装在计算机系统,为其感染模块和破坏表现模块的引入、运行和实施做好准备.不同类型的计算机病毒程序,通常使用不同的隐蔽侵入和安装方法.计算机病毒的基本流程与状态转换1.机病毒程序的构成2.感染模块计算机病毒的感染模块主要包括两个部分：一是具有激活感染功能的判断部分.可通过识别感染标志,判断计算机系统是否被感染.二是具有感染功能的实施部分.对未感染的计算机系统,设法将病毒侵入内存后获得运行控制权并进行监视,当发现被传染的目标且判断满足传染条件时,及时将计算机病毒程序存入系统的特定位置.3.破坏表现模块计算机病毒的破坏表现模块主要包括两个部分：一是具有触发破坏表现功能的判断部分,主要判断病毒是否满足触发条件且适合破坏表现;二是具有破坏表现功能的实施部分,当病毒满足触发条件且适合破坏表现时,病毒便开始发作实施破坏操作.各种病毒有不同的操作方法,如果不满足触发条件或破坏条件,则继续带毒潜伏或消散,等待时机进行运行或破坏.。

浅谈计算机病毒的结构

浅谈计算机病毒的结构
刘国强
【期刊名称】《发展》
【年(卷),期】2009(000)008
【摘要】计算机病毒一般由引导模块、感染模块、破坏模块、触发模块四大部分
组成。

根据是否被加载到内存，计算机病毒又分为静态和动态。

处于静态的病毒存于存储器介质中，一般不执行感染和破坏，其传播只能借助第三方活动（如：复制、下载、邮件传输等）实现。

当病毒经过引导进入内存后，便处于活动状态，满足一定的触发条件后就开始进行传染和破坏，从而构成对计算机系统和资源的威胁和毁坏。

【总页数】1页(P65)
【作者】刘国强
【作者单位】兰州职业技术学院信息工程系
【正文语种】中文
【中图分类】TP3
【相关文献】
1.浅谈计算机病毒及防范措施 [J], 周利
2.浅谈计算机病毒及防范措施 [J], 周利
3.浅谈中国计算机病毒与反计算机病毒技术发展与免杀技术 [J], 杨楠
4.计算机病毒结构及传播方式 [J], 喻伟;
5.计算机病毒的产生、结构、诊断及排除 [J], 卿琳
因版权原因，仅展示原文概要，查看原文内容请购买。

计算机病毒分析(最全版)PTT文档

引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。有别于一般通过网页传染的病毒。
0c
2 bytes
最大分配数(16 bytes*this value)
COM文件被载入内存后的格式 ❖ 1a
16
2 bytes 2 bytes
计算机病毒分析
将要介绍的几种病毒类型
❖ DOS病毒
❖ 引导区病毒 ❖ 文件型病毒 ❖ 混合型病毒
❖ Windows病毒
❖ VBS脚本病毒 ❖ 宏病毒 ❖ 网页病毒 ❖ Win32 PE病毒
引导区病毒
❖ 什么是主引导记录？
❖ 硬盘的主引导记录在硬盘的0磁头0柱面1扇区。主引导记录由三部分组成：
❖ 主引导程序； ❖ 四个分区表； ❖ 主引导记录有效标志字。
所有通过操作系统的文件系统进行感染的病毒都称作文件病毒。
14
2 bytes
主引导记录有效标志字。
初始代码段指针(IP)
引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病
毒传染给硬盘的。
宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行（主要是微软的办公软件系统，字处理、电子数据表和其他Office程
定位表的偏移地址
❖ 1a
2 bytes
覆盖号The overlay number make by link
混合型病毒
❖ 什么是混合型病毒？
❖ 所谓混合型病毒，就是指既可以感染引导区又可以感染文件的病毒。
❖ 但是这种病毒绝对不是引导区病毒和文件型病毒的简单相加。
❖ 文件型病毒大多采用INT 21H，但是引导型病毒是在引导阶段进行感染驻留，这时DOS系统还没有启动，因此混合型病毒此时无法采用21号中断。如何解决这个问题？

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

• •
PSP结构偏移大小 0000h 0002h 0004h 0005h 000Ah 000Ch 000Eh 0010h 0012h 0014h 0016h 0018h 002Ch 002Eh 0032h 0050h 0053h 0055h 005Ch 006Ch 007Ch 0080h 0081h
长度（Byte）说明 02 中断20H 02 以节计算的内存大小（利用它可看出是否感染引导型病毒） 01 保留 05 至DOS的长调用 02 INT 22H 入口 IP 02 INT 22H 入口 CS 02 INT 23H 入口 IP 02 INT 23H 入口 CS 02 INT 24H 入口 IP 02 INT 24H 入口 CS 02 父进程的PSP段值（可测知是否被跟踪） 14 存放20个SOFT号 02 环境块段地址（从中可获知执行的程序名） 04 存放用户栈地址指针 1E 保留 03 DOS调用（INT 21H / RETF） 02 保留 07 扩展的FCB头 10 格式化的FCB1 10 格式化的FCB2 04 保留 80 命令行参数长度 127 命令行参数
• DOS可以把MZ格式的程序放在任何它想要的地方。
MZ标志其它信息重定位表的字节偏移量重定位表可重定位程序映像重定位表二进制代码
MZ文件头
• • • • • • • • • • • • • • • • • • • •
// MZ格式可执行程序文件头 struct HeadEXE { WORD wType; // 00H MZ标志 WORD wLastSecSize; // 02H 最后扇区被使用的大小 WORD wFileSize; // 04H 文件大小 WORD wRelocNum; // 06H 重定位项数 WORD wHeadSize; // 08H 文件头大小 WORD wReqMin; // 0AH 最小所需内存 WORD wReqMax; // 0CH 最大所需内存 WORD wInitSS; // 0EH SS初值 WORD wInitSP; // 10H SP初值 WORD wChkSum; // 12H 校验和 WORD wInitIP; // 14H IP初值 WORD wInitCS; // 16H CS初值 WORD wFirstReloc; // 18H 第一个重定位项位置 WORD wOverlap; // 1AH覆盖 WORD wReserved[0x20];//1CH 保留 WORD wNEOffset; // 3CH NE头位置 };
– COM – EXE:MZ->NE->PE – Vxd: LE(16Bit, 32Bit)
一、计算机病毒的结构和工作机制
• 四大模块：
– 感染模块 – 触发模块 – 破坏模块（表现模块） – 引导模块（主控模块）
• 两个状态：
– 静态 – 动态
工作机制
静态
引导模块
动态
病毒破坏
触发模块
满足满足
• 传染过程
– 系统（程序）运行-〉各种模块进入内存
– 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。 – 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。
– 是Win32环境自身所带的可执行文件格式。 – 它的一些特性继承自Unix的Coff(Common Object File Format)文件格式。 – 可移植的执行体意味着此文件格式是跨win32平台的，即使 Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。 – 当然，移植到不同的CPU上PE执行体必然得有一些改变。
• 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡
– 大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。 – 而不破坏、不感染又会使病毒失去其特性。 – 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。
MZ格式
• MZ格式：COM发展下去就是MZ格式的可执行文件，这是 DOS中具有重定位功能的可执行文件格式。MZ可执行文件内含16位代码，在这些代码之前加了一个文件头，文件头中包括各种说明数据，例如，第一句可执行代码执行指令时所需要的文件入口点、堆栈的位置、重定位表等。 • 装载过程：
– 操作系统根据文件头的信息将代码部分装入内存， – 然后根据重定位表修正代码， – 最后在设置好堆栈后从文件头中指定的入口开始执行。
• 加载COM程序
– DOS尝试分配内存。因为COM程序必须位于一个64K的段中，所以COM文件的大小不能超过65,024（64K减去用于PSP的256字节和用于一个起始堆栈的至少256字节）。 – 如果DOS不能为程序、一个PSP、一个起始堆栈分配足够内存，则分配尝试失败。 – 否则，DOS分配尽可能多的内存（直至所有保留内存），即使 COM程序本身不能大于64K。 – 在试图运行另一个程序或分配另外的内存之前，大部分COM程序释放任何不需要的内存。 – 分配内存后，DOS在该内存的头256字节建立一个PSP（Program Segment Prefix：程序段前缀）。
MS-DOS头
保留区域 Windows头偏移 DOS Stub程序信息块段表资源表驻留名表模块引用表引入名字表 NE文件头 DOS文件头
入口表非驻留名表
代码段和数据段重定位表程序区
3 COM文件病毒原理
• 感染过程：
– 将开始的3个字节保存在orgcode中． – 将这3个字节更改为0E9H和COM文件的实际大小的二进制编码。 – 将病毒写入原COM文件的后边。 – 在病毒的返回部分，将3个字节改为0E9H和表达式（当前地址－COM文件的实际大小－病毒代码大小）的二进制编码，以便在执行完病毒后转向执行原程序。
• 文件型病毒传染机理
– 首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒； – 当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中； – 完成传染后，继续监视系统的运行，试图寻找新的攻击目标。
• 文件型病毒传染途径
– 加载执行文件 – 浏览目录过程 – 创建文件过程
破坏模块
• 破坏是Vxer的追求，病毒魅力的体现 • 破坏模块的功能
感染模块
• 病毒传染的条件
– 被动传染（静态时）
• 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。
– 主动传染（动态时）
• 以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。
３病毒在启动时获得控制权 MBR和分区表将病毒的引导程序加载入内存运行病毒引导程序
病毒驻留内存
原ＤＯＳ引导程序执行并加载ＤＯＳ系统
2COM\EXE\NE文件结构及运行原理
• COM格式
– – – 最简单的可执行文件就是DOS下的以COM(Copy Of Memory)文件。 COM格式文件最大64KB，内含16位程序的二进制代码映像，没有重定位信息。 COM文件包含程序二进制代码的一个绝对映像，也就是说，为了运行程序准确的处理器指令和内存中的数据，DOS通过直接把该映像从文件拷贝到内存来加载COM程序，系统不需要作重定位工作。
源代码：jump E9 E9 ＸＸＸＸＡＡＡＡ
ｘｘｘｘ
ＡＡ
ＡＡ
Ｒｅｓｕｍｅ：Ｅ９ＸＸＸＸ
源代码示例讲解
三、32位操作系统病毒示例分析
• １PE文件结构及其运行原理 • ２Win32文件型病毒编制技术 • ３从ring3到ring0概述
１PE文件结构及其运行原理（1）PE文件格式总体结构 • PE（Portable Executable：可移植的执行体）
NE格式
• 为了保持对DOS的兼容性并满足Windows 的需要，Win3.x中出现的NE格式的可执行文件中保留了MZ格式的头，同时NE文件又加了一个自己的头，之后才是可执行文件的可执行代码。NE类型包括了EXE、DLL、 DRV和FON四种类型的文件。NE格式的关键特性是：它把程序代码、数据、资源隔离在不同的可加载区中；藉由符号输入和输出，实现所谓的运行时动态链接。
满足破坏条件病毒感染满足触发条件
不满足
不满足携毒潜伏或消散
携毒潜伏或消散
引导模块
• 引导前——寄生
– 寄生位置：
• 引导区 • 可执行文件
– 寄生手段：
• 替代法（寄生在引导区中的病毒常用该法） • 链接法（寄生在文件中的病毒常用该法）
• 引导过程
– 驻留内存 – 窃取系统控制权 – 恢复系统功能
– 创建PSP后，DOS在PSP后立即开始（偏移100H）加载COM文件，它置SS、DS和ES为PSP的段地址，接着创建一个堆栈。 – DOS通过把控制传递偏移100H处的指令而启动程序。程序设计者必须保证COM文件的第一条指令是程序的入口点。 – 因为程序是在偏移100H处加载，因此所有代码和数据偏移也必须相对于100H。汇编语言程序设计者可通过置程序的初值为100H而保证这一点（例如，通过在源代码的开始使用语句org 100H）。
– 破坏、破坏、还是破坏……
• 破坏对象
– 系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。
• 破坏的程度