《计算机病毒原理及防范技术》第5章_windows病毒解析(精)

合集下载

Windows系统病毒防范与安全防护教程

Windows系统病毒防范与安全防护教程第一章：Windows系统病毒的基本概念Windows系统病毒是指针对Windows操作系统设计的恶意软件，它可以破坏系统功能、盗取用户隐私、加密或删除文件等。

了解病毒的特点和行为模式对于有效防范和安全防护至关重要。

第二章：常见的Windows系统病毒类型2.1 蠕虫病毒蠕虫病毒是一种能够自我复制并传播的恶意软件。

它可以通过网络传播，感染其他计算机并复制自身。

用户应当保持系统和安全软件的及时更新，避免蠕虫病毒的传播。

2.2 病毒病毒是指一种能够自我复制并侵害正常软件和文件的恶意软件。

常见的病毒类型包括文件病毒、宏病毒和引导扇区病毒等。

用户应当避免下载和运行不明来源的软件，以及打开来历不明的邮件附件，从根本上避免病毒感染。

第三章：Windows系统病毒防范措施3.1 安装可靠的杀毒软件用户应当选择信誉良好且功能强大的杀毒软件，确保及时更新病毒库和引擎，以提供最新的病毒防范能力。

3.2 避免下载和安装不明来源的软件用户应当谨慎选择软件下载源，尽量避免从非官方渠道下载软件，以减少病毒感染的风险。

3.3 及时更新系统和应用程序补丁Windows系统和应用程序的安全补丁是针对已知漏洞和安全问题的修复。

用户应当定期检查并安装系统和应用程序的最新补丁，以提高系统的安全性。

3.4 禁用或限制系统漏洞Windows系统提供了一些安全功能，如防火墙、用户账户控制等。

用户应当合理配置系统安全选项，限制系统漏洞的利用和攻击。

第四章：增强Windows系统安全防护4.1 使用强密码和多因素认证用户应当使用强密码，并尽可能启用多因素认证，提高账户安全性。

4.2 定期备份重要数据和文件为了应对系统崩溃、硬盘故障以及病毒攻击等问题，用户应当定期备份重要的数据和文件，以避免不可恢复的损失。

4.3 定期进行系统安全扫描除了杀毒软件的实时保护功能，用户还应当定期进行系统安全扫描，检测和排除潜在的安全隐患。

计算机病毒解析与防范

2023-11-08contents •计算机病毒概述•计算机病毒的类型与传播途径•计算机病毒的解析与防范•计算机病毒的检测与清除方法•计算机病毒防范的未来趋势与展望目录01计算机病毒概述计算机病毒是一种人为制造的恶意程序，它能够利用计算机系统中的漏洞或者用户的无意识行为进行传播和感染。

计算机病毒具有破坏性、传染性、潜伏性和可触发性的特点，对计算机系统和数据安全构成严重威胁。

计算机病毒的定义计算机病毒的特点计算机病毒可以破坏计算机系统的文件、目录、数据等，导致系统崩溃或数据丢失。

破坏性传染性潜伏性可触发性计算机病毒可以通过复制自身的方式传播，从一台计算机感染到另一台计算机。

计算机病毒在进入系统后可能会潜伏一段时间，然后在特定条件下被激活并开始破坏活动。

计算机病毒通常有一个触发条件，例如特定的日期、时间或用户执行特定的操作。

计算机病毒的历史与现状计算机病毒的历史可以追溯到20世纪80年代初，当时一些黑客制造了第一个病毒程序以进行恶作剧或显示自己的技术能力。

随着计算机技术的不断发展，病毒的种类和复杂程度也在不断增加，现在计算机病毒已经成为网络安全领域中的一个重要问题。

一些新型的病毒，如蠕虫、木马、勒索软件等，不仅具有传统病毒的特点，还具有更强的破坏性和传染性，对个人和企业信息安全造成了更大的威胁。

02计算机病毒的类型与传播途径蠕虫病毒蠕虫病毒是一种以网络为传播途径的病毒，它利用网络中的漏洞进行传播，并且能够自我复制，迅速蔓延到整个网络。

蠕虫病毒通常以电子邮件附件、恶意网站、恶意软件等形式出现，它能够窃取用户的个人信息，如账号密码、信用卡信息等。

蠕虫病毒的防范措施包括及时更新操作系统和应用程序的补丁，关闭不必要的网络端口，使用防火墙等安全软件。

木马病毒木马病毒是一种隐藏在正常程序中的病毒，当用户运行这个程序时，木马病毒就会被触发并执行恶意操作。

木马病毒通常通过社交工程、恶意网站、下载等方式传播，它能够窃取用户的个人信息，破坏用户的计算机系统。

计算机病毒的原理与防范

计算机病毒的原理与防范摘要结合现在这个阶段的实际情况来看，计算机病毒的波及范围是愈发广泛了，而且已经为电脑网络的安全性造成了很大的威胁。

只有知道更加详细、全面的电脑知识，方可以无惧任何的电脑病毒。

故而笔者在这篇文章当中就专门针对电脑病毒的一些情况来展开相应的介绍，从而获得更为理性的了解，并基于此而提出部分更为有效的预防手段，希望可以尽可能的避免由于电脑病毒而造成的各种危害。

所以这也就充分说明了，更为有效的防范措施对于电脑病毒预防来讲，是最为有效的和经济的，也应当被大家所重视。

在这一过程中，应该先对电脑病毒进行充分的了解和感知，进而去对其造成的攻击进行预防，在有效保护电脑相关数据安全的基础上，让互联网的积极作用被充分的发挥出来。

关键词：计算机；病毒；传播途径；预防第1章计算机病毒的概念及危害1.1 计算机病毒的概念这种病毒指的是通过相关研制人员在电脑程序内添加了具有破坏性的功能或数据的相关代码，从而对电脑的应用造成影响，并且可以进行自主复制的一组电脑指令或程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。

计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

其实这种病毒通常表现为一个程序，当然优势也会表现为一段可执行码，如同生物病毒那般，存在着自我繁衍、彼此感染、激活与重生等这些鲜明特点。

也正是因为电脑病毒存在比较特殊的复制功能，所以说可以迅速的扩散开来，且很难完全清除，它们可以附着于不同类型的文件当中，只要文件使用者在实施复制、或者是传送操作的时候，这些病毒同样会随之转移，并继续扩散。

1.2 计算机病毒的特征1.繁殖性这一病毒与生物病毒有一定的相似度，那就是能够不断的繁殖，它会在正常程序被使用时随之出现自主复制。

因此我们可以通过它的感染以及其繁殖特征来进行判定。

2.破坏性当电脑染上病毒以后，也许就会造成正常程序难以使用，而且也会将电脑里面的部分文件予以删除、或者是直接被损坏，甚至也可能会对其硬件环境造成很大的不利影响。

计算机病毒原理及防护

使用无线电技术将病毒码发送到另一方的电子硬件中。
这种方式是计算机病毒注进计算机的最好方式．但这个技术困难程度也ቤተ መጻሕፍቲ ባይዱ是最大的
２．２．２固化式方法
能运行。接着把它们放人感染以及破坏模块里的一些空间里，与此同时可以借助常驻内存的方法使得他们不被占用，
的一种属于ＩＮＴ２１Ｈ的修改，这样病毒就能够对计算机的一
数据控制链途径进入变成可能。远程修改技术应用，可很易地对数据控制链改变的正常途径。
３病毒的防护
３．１基本原则
切信息进行控制。
２．１．２感染模块
计算机病毒的防护要做到以下几点：（１）病毒检测能力：计算机病毒一定有很大概率侵入计算机系统，所以，系统中应该有对病毒检测的机制来阻挡外部侵犯病毒。（２）控制病毒传播的能力：计算机被病毒所感染会是个
进行初始化，再把它们转移给执行的软件，这样的话就能
网络技术的应用越来越广泛，使得计算机病毒从系统的
够让这个计算机中毒了还能运转。因为要得到进一步的感染以及破坏，病毒往往还能够对中断进行修改，人们熟悉
…
…
－
Ｃ０啊ＴＥＲＳＥＣＵＲＩＴＹＡＮＤＭＡＩＮＴＥＮＡＮＣＥ￣ ……………………………………………………………………

chp5 Windows病毒分析

Portable Executable（可移植的执行体） Win32环境自身所带的可执行文件格式一些特性继承自Unix的Coff文件格式

任何Win32平台的PE装载器都能识别和使用该文件格式
除VxD和16位dll外所有Win32执行文件都使用PE文件格式 PE文件结构总体层次分布图

PE病毒只有代码节没有导入函数节

需要先找出这些API函数在相应DLL中的地址
18
5.1.3 获取API函数地址

首先需要获取Kernel32的基地址

利用程序返回地址，在附近搜索Kernel32模块基地址
•
同应用程序用call指令调用子程序类似，返回地址在 Kernal32.DLL模块中 PE文件被装入内存时是按内存页对齐的，只要从返回地址按照页对齐的边界一页一页地往低地址搜索对于同一版本的Windows操作系统，Kernal32模块的地址是固定的甚至一些API函数的大概位置都是固定的

24
5.1.5 内存映射文件

内存映射函数

CreateFileMapping
•
创建一个新的文件映射对象，返回新建文件映射对象的句柄，为零意味着出错将一个文件映射对象映射到当前应用程序的地址空间，返回文件映射在内存中的起始地址，为零表示出错在当前应用程序的内存地址空间解除对一个文件映射对象的映射，返回非零表示成功，零表示失败
FindFile Endp
23
5.1.5 内存映射文件

提供了一组独立的函数使应用程序能够通过内存指针象访问内存一样对磁盘上的文件进行访问

这组内存映射文件函数将磁盘上的文件的全部或者部分映射到进程虚拟地址空间的某个位置以后对文件内容的访问就如同在该地址区域内直接对内存访问一样简单大大提高了访问的速度对于病毒来说，对减少资源占用非常重要

电脑中病毒的原理与防范方法

电脑中病毒的原理与防范方法在数字化时代，电脑成为了人们生活中不可或缺的工具。

然而，与之同时，电脑中的病毒也变得屡见不鲜。

病毒给我们的电脑和网络带来了很多问题，因此了解病毒的原理和有效的防范方法对于保护我们的电脑安全至关重要。

一、病毒的原理病毒是一种恶意软件，它通过植入到电脑系统中来破坏系统的功能和数据，甚至传播到其他电脑上。

病毒主要通过以下几种方式运作：1. 欺骗性附件或链接：病毒可能会通过电子邮件、社交媒体或即时通讯等方式传播，伪装成无害的附件或链接。

一旦用户点击或下载，病毒就会悄然进入电脑系统，并开始其破坏行为。

2. 操作系统漏洞利用：病毒利用操作系统中的漏洞来感染电脑。

这些漏洞可能是由于操作系统更新不及时或者缺乏必要的安全措施而存在的。

病毒通过利用这些漏洞，绕过系统的安全机制，进入电脑系统并篡改、破坏数据。

3. 可执行文件感染：病毒可以通过感染可执行文件来传播。

当用户运行被感染的可执行文件时，病毒就会潜伏在电脑系统中，并开始对系统进行破坏。

二、病毒的防范方法为了防止病毒感染我们的电脑系统，我们需要采取一些有效的防范措施：1. 安装可信的杀毒软件：安装一款可信赖的杀毒软件是非常重要的。

及时更新病毒库，定期进行全盘扫描，确保电脑中没有潜在的病毒。

同时，定期更新杀毒软件本身，以获取更强大的防护能力。

2. 注意网上行为：避免点击可疑的链接、下载未知来源的文件以及打开来历不明的电子邮件附件。

不轻易在不安全的网站上输入个人信息，特别是银行卡号、密码等敏感信息。

3. 更新操作系统和软件：及时更新操作系统和所安装软件，以确保系统和软件的最新修复补丁已安装。

这些更新通常包含对已知漏洞的修复，可以有效防范病毒利用漏洞侵入系统。

4. 备份重要数据：定期备份重要的数据并存储在安全的地方，可以在电脑系统受到病毒攻击时，及时恢复和保护数据的安全。

5. 强化密码安全：使用强密码，并定期更改密码，避免使用容易被猜测的密码，例如生日、手机号码等。

《计算机病毒技术及其防御》课程教学大纲

《计算机病毒技术及其防御》课程教学大纲一、课程基本信息二、课程简介《计算机病毒技术及其防御》（或《恶意代码原理与防范》）是网络空间安全专业中专业性与实践性较强的课程，是网络空间安全学科中的重要组成部分，与后续学习的多门课程皆有关联。

本课程主要研究恶意代码（计算机病毒）的分类、恶意代码的原理、恶意代码的行为、恶意代码静态与动态的分析方法以及恶意代码的防御技术，对构建学生网络安全类知识体系进而进行恶意代码攻防实践有重要作用。

课程的任务是通过课堂教学与实验教学方式，使学生能够从生命周期的角度掌握恶意代码技术的基本原理与实现方法，掌握常见恶意代码的防御方法，培养学生具备良好的恶意代码分析能力与常见恶意代码的防范能力，提高自身对相关领域的安全意识与职业素养，从而为今后从事网络信息安全领域相关工作奠定坚实的基础。

通过本课程学习，使学生能够通过对相关实操案例的分析，对恶意代码的种类、危害、应急、防御处理都有较为深入的认识，具备一定的分析研究能力，能够将本课程的相关知识与防御技术的思路和技巧用于解决恶意代码所带来的问题。

三、课程目标及其对毕业要求的支撑（一）课程目标课程目标1：理解恶意代码的基本概念和理论知识，能够描述恶意代码的基本特性以及恶意代码的发展趋势。

课程目标2：掌握恶意代码的基本技术，能够自觉运用基本知识认识恶意代码，并对常见的恶意代码的进行逆向分析，培养学生分析问题的能力。

课程目标3：掌握恶意代码防御技术，能够自觉运用所学知识进行恶意代码防御处理，并对其中常见问题进行分析并加以解决，培养学生研究和分析问题、工程部署与设计解决方案的能力。

（二）课程目标对毕业要求的支撑四、教学方法本课程课堂教学和上机实验并重，结合作业、练习及实验报告等教学手段和形式完成课程教学任务。

在课堂教学中，通过讲授、提问、实验、练习、演示等教学方法和手段让学生了解恶意代码，掌握恶意代码攻防的基本应用。

在实验、练习教学环节中，通过任务布置教学、培养学生动手能力，同时培养学生发现问题、分析问题和解决问题的能力。

计算机病毒解析与防范

计算机病毒解析与防范一、计算机病毒概述计算机病毒是一种恶意软件，它能够复制自身并且在计算机网络中进行传播，从而破坏数据、干扰计算机操作，甚至危害网络安全。

它们通常由复杂的算法和恶意代码组成，利用各种手段潜入计算机系统，对个人和企业信息安全构成严重威胁。

二、计算机病毒的类型与特性计算机病毒的种类繁多，按照其传播方式和破坏性，大致可以分为蠕虫病毒、木马病毒、宏病毒、文件病毒、启动区病毒等。

它们通常具有以下特性：1、自我复制：病毒会复制自身，并可能传播到其他计算机或网络中。

2、破坏性：病毒可能会破坏文件、删除数据、格式化硬盘，甚至造成系统崩溃。

3、潜伏性：病毒可能会隐藏在系统中，只有在特定条件下才会被激活。

4、传染性：病毒可以通过各种途径，如网络、文件、移动设备等传播。

三、计算机病毒的防范措施1、定期更新操作系统和应用程序，确保补丁及时打上，防止病毒利用漏洞进行攻击。

2、使用可靠的杀毒软件，并定期更新病毒库，以便及时检测和清除病毒。

3、不轻易打开未知来源的邮件和下载不明链接，避免访问不安全的网站，防止病毒通过这些途径入侵。

4、定期备份重要数据，以防万一病毒攻击导致数据丢失。

5、提高用户的安全意识，不轻信陌生人的信息，避免被诱导打开或下载病毒文件。

四、总结计算机病毒已经成为网络安全领域的一个重大问题。

了解计算机病毒的类型和特性，并采取有效的防范措施，对于保护个人和企业信息安全至关重要。

除了使用杀毒软件和定期更新操作系统外，提高用户的安全意识也是防止病毒攻击的重要一环。

只有全面了解并应对计算机病毒的威胁，我们才能更好地保护自己的计算机系统和数据安全。

计算机病毒防范计算机病毒是一种恶意程序，它会利用计算机系统的漏洞和弱点，对计算机系统和数据造成损害。

因此，计算机病毒防范是非常重要的。

一、计算机病毒的类型和特点计算机病毒有很多种类型，例如蠕虫病毒、木马病毒、宏病毒等。

这些病毒都有不同的特点和传播方式。

蠕虫病毒是一种通过网络传播的病毒，它可以通过网络传播到其他计算机系统。

计算机病毒解析与防范

引言概述：计算机病毒是一种恶意软件，通过植入计算机系统中进行复制和传播，并对系统和数据造成破坏的程序。

随着计算机技术的不断发展，计算机病毒的威胁也日益增加。

本文旨在通过对计算机病毒进行解析和防范，帮助读者更好地了解病毒的本质，采取有效的防范措施来保护计算机和数据的安全。

正文内容：一、计算机病毒的定义和分类1.计算机病毒的定义和特点2.计算机病毒的分类及其特点3.计算机病毒的传播途径和感染方式4.计算机病毒对系统和数据的危害二、计算机病毒的工作原理和行为特征1.计算机病毒的工作原理：自我复制和感染2.计算机病毒的行为特征：破坏、泄密、窃取等3.计算机病毒的隐藏与保护机制三、计算机病毒的防范措施1.安装杀毒软件与更新病毒库2.定期更新操作系统和软件补丁3.慎用可疑软件和源4.移动存储设备的防病毒措施5.邮件和网页的防病毒策略四、计算机病毒的检测和解毒技术1.病毒检测技术的原理和方法2.病毒解毒的技术手段和方法3.病毒样本的分析和特征提取五、未来计算机病毒的趋势和挑战1.新型计算机病毒的出现趋势2.与计算机病毒的关系3.大数据对计算机病毒防范的影响总结：计算机病毒是一种具有破坏性的恶意软件，对计算机系统和数据的安全造成了巨大威胁。

在当前高度互联的信息时代，保护计算机安全和数据隐私的重要性不言而喻。

通过本文对计算机病毒的解析和防范措施的阐述，我们可以更加深入地了解病毒的本质和工作原理，从而采取相应的防范措施。

杀毒软件、定期更新操作系统和软件、慎用可疑软件、防病毒策略以及病毒的检测和解毒技术等都是有效的防范手段。

同时，未来计算机病毒的趋势和挑战也需要我们密切关注，以便及时采取相应的预防措施。

只有加强计算机病毒防范，才能更好地保护计算机和数据的安全。

计算机病毒的解析与防范

计算机病毒的解析与防范计算机网络是信息社会的基础，已经进入了社会的各个角落，经济、文化、军事和社会生活越来越多的依赖计算机网络。

然而，计算机在给人们带来巨大便利的同时，也带来了不可忽视的问题，计算机病毒给网络系统的安全运行带来了极大的挑战。

2003年1月25日，突如其来的“蠕虫王”病毒，在互联网世界制造了类似于“9.11”的恐怖袭击事件，很多国家的互联网也受到了严重影响。

同样，前几年李俊制作的“熊猫烧香”病毒再次为计算机网络安全敲起了警钟。

据美国计算机权威组织报告，全球已发现的计算机病毒总和超过6万多种，而且每天还有100多种以上的新病毒问世，同时计算机病毒在2009年造成的全球经济损失高达2.6万亿美元。

因此，研究计算机病毒与防治就显得极具紧迫，意义重大。

一、计算机病毒的内涵、类型计算机病毒(Computer Virus )在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

也可以讲计算机病毒是一个程序，一段可执行码。

就像生物病毒一样，计算机病毒有独特的复制能力。

计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

在最近几年，产生了以下几种主要病毒：（一）系统病毒。

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。

如CIH病毒。

（二）蠕虫病毒。

蠕虫病毒的前缀是：Worm。

这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。

比如冲击波（阻塞网络），小邮差（发带毒邮件）等。

（三）木马病毒、黑客病毒。

第五章 Windows病毒原理分析

置，FS段寄存器指向当前的TEB结构。 TEB：线程环境块保存频繁使用的线程相关的数据。位于用户地址空间，进程中的每个线程都有自己的一个TEB。可通过CPU的FS（段选择子）寄存器来访问，一般存储在[FS:0]。
FS：0指向TEB结构， TEB+0x30处指向PEB结构
struct _TEB, 64 elements, 0xfb4 bytes +0x000 NtTib : struct _NT_TIB, 8 elements, 0x1c bytes +0x01c EnvironmentPointer : Ptr32 to Void +0x020 ClientId : struct _CLIENT_ID, 2 elements, 0x8bytes +0x028 ActiveRpcHandle : Ptr32 to Void +0x02c ThreadLocalStoragePointer : Ptr32 to Void +0x030 ProcessEnvironmentBlock : Ptr32 to struct _PEB, 66 elements, 0x210 bytes
方法3：通过PEB获取Kernel32.dll模块基地址
PEB：进程环境块
存放进程信息，每个进程都有自己的PEB信息。
获取准确的PEB地址：
可以从系统的EPROCESS结构的0x1b0偏移处获
得，但由于EPROCESS在系统地址空间，访问这个结构需要有ring0的权限。
也可以通过TEB结构的偏移0x30处获得PEB的位
① 获得Kernel32.dll的模块加载基地址
而这个返回地址正处于Kernel32.dll的地址空间之中。

第5章 Windows病毒分析

FindFile Proc ①指定找到的目录为当前工作目录 ②开始搜索文件(*.*) ③该目录搜索完毕？是则返回，否则继续 ④找到文件还是目录？是目录则调用自身函数FindFile，否则继续 ⑤是文件，如符合感染条件，则调用感染模块，否则继续 ⑥搜索下一个文件(FindNextFile)，转到③继续 FindFile Endp
计算机病毒与反病毒技术 © 清华大学出版社张仁斌等编著 11
5.1 PE病毒原理
5.1.4 病毒感染PE文件的基本方法
⑦修改AddressOfEntryPoint(即程序入口点指向病毒入口位置)，同时保存旧的AddressOfEntryPoint，以便返回 HOST继续执行。 ⑧更新SizeOfImage(内存中整个PE映像尺寸=原 SizeOfImage+病毒节经过内存节对齐后的大小)； ⑨写入感染标记(后面例子中是放在PE头中)； ⑩写入病毒代码到新添加的节中： – ECX=病毒长度 – ESI=病毒代码位置(并不一定等于病毒执行代码开始位置) – EDI=病毒节写入位置(后面例子是在内存映射文件中的相应位置) 11将当前文件位置设为文件末尾。
计算机病毒与反病毒技术
© 清华大学出版社
张仁斌等编著
3
5.1 PE病毒原理
5.1.1 获取API函数地址
另外也可以采用以下方法：
GetKBase: mov edi ,[esp+04h] ;这里的esp+04h是不定的，主要看从程序第一条指令执行到这里有多少push操作， ;如果设为N个push，则这里的指令就是Mov edi,[esp+N*4h] and edi,0FFFF0000h .while TRUE .if WORD ptr [edi] == IMAGE_DOS_SIGNATURE ;判断是否是MZ mov esi,edi add esi,DWORD ptr [esi+03Ch] ;esi指向PE标志 .if DWORD ptr [esi] ==IMAGE_NT_SIGNATURE;是否有PE标志 .break ;若有，则跳出循环 .endif .endif sub edi, 010000h ;分配粒度是10000h，dll必然加载在xxxx0000h处 .if edi < MIN_KERNEL_SEARCH_BASE ;MIN_KERNEL_SEARCH_BASE=70000000H mov edi, 0bff70000h ;如果上面没有找到，则使用Win 9x的内核(Kernel)地址 .break .endif .endw mov hKernel32,edi ;把找到的KERNEL32.DLL的基地址保存起来

计算机应用基础第五章《计算机病毒》课件

积。
5.1、计算机病毒的认识
3 计算机病毒的危害之三：破坏硬盘以及电脑数据 4 计算机病毒的危害之四：狂发垃圾邮件或其他信息，造成网络堵塞或瘫痪
5 计算机病毒的危害之五：计算机病毒给用户造成严重的心理压力
6 计算机病毒的危害之六：窃取用户隐私、机密文件、账号信息等。这就是大部分木马病毒计算机病毒的危害的目的。大部分都是以窃取用户信息，以获取经济利益为目的，如窃取用户资料，网银账号密码，网游账号密码等。一旦这些信息失窃，将给用户带来不少经济损失。因此我们在这样的计算机病毒的危害环境之下不能说用户在使用远程控制软件的过程当中会有很多的顾虑，顾虑太多正规的远程控制软件并不是木马病毒，就像网络人远程控制软件，需要双方电脑都安装软件方可进行远程控制、远程办公使用。
5.1、计算机病毒的认识
1 计算机病毒的危害之一：电脑运行缓慢。当你的电脑出现打开网页很慢、操作其他也都很慢的情况，一般会首先清理系统垃圾，接着处理些该处理的插件，完之后再全面扫描查杀病毒，如果不行再重装系统。计算机病毒的危害会导致电脑运行缓慢，病毒运行时不仅要占用内存，还会抢占中断，干扰系统运行，这必然会使系统运行缓慢。 2 计算机病毒的危害之二：消耗内存以及磁盘空间。当你发现自己的电脑并没有运行多少程序而系统内存已经被大量占用了，那么你的电脑可能已经收到了计算机病毒的危害。因为很多病毒在活动状态下都是常驻电脑内存的，尤其是文件感染类型的病毒，会不断大量感染违背计算机病毒危害过的文件，计算机病毒的危害会造成磁盘空间严重冗
课时预计4课时
第五.计算机病毒的防护
5.1、计算机病毒的认识
计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

5.1 Win 32 PE 病毒原理（续）
2．利用PE文件的重定位表项实现
• 这种方法就是在感染目标PE文件时，将引用自身指令所需要
被重定位的地址全部写入目标PE文件的重定位表中，如宿主无重定位表项（如用MS linker 的/fixed）则创建后再写
入。重定位的工作就完全由系统加载器在加载PE文件时自动
页病毒原理及防范。
5.1 Win 32 PE 病毒原理
DOS时代，程序员为了获得程序的高性能或直接控制硬件而用汇编语言编写程序。在Windows时代，C语言程序员都体验过直接使用C语
言来编写Windows程序的艰难。于是，很多人就会马上想起汇编语言
的好处，试着用汇编语言来编写Windows程序。但Windows操作系统本身的自我保护机制，让程序员直接控制硬件没有以前那么容易了，
这使得喜欢用汇编语言的人又有一定的减少。但实际上，在Windows
环境下使用汇编语言不会比C语言难，有时反而更加简单。在 Windows操作系统中，可执行文件比DOS操作系统下有了极大的改进，现在全部使用的都是基于Microsoft设计的一种新的文件格式： Portable Executable File Format。 Win32 PE病毒数量巨大，破坏性强，同时伴随着新的、高超的编程技巧，是每个信息安全人员必须掌握的一种病毒。
计算机病毒原理及防范技术
Virus
中国水利水电出版社
第5章 Windows病毒解析
5.1 Win 32 PE 病毒原理
5.2 脚本病毒
5.3 宏病毒
5.4 网页病毒
教学要求：
理解：Windows环境下病毒的分类和特点，一般的几种病毒编写方法。
掌握：WIN 32PE病毒，VBS脚本病毒，宏病毒，网
5.1 Win 32 PE 病毒原理（续）
如图，插入病毒之后变量R的位置发生了变化，必须加上由于病毒代码而产生的增量r。所以重定位技术不解决，PE文件的感染就无法实
现。
5.1 Win 32 PE 病毒原理（续）
一般来说，重定位的方法有以下两种。
1．使用Call指令等特殊指令在运行时动态获取指令地址
5.1 Win 32 PE 病毒原理（续）
重定位问题
重定位是病毒能顺利运行的最基本条件。似乎没有人在编写普通程序时会考虑程序中代码在以后运行时在内存中的具体地址。那是因为有编译程序做这些事情。病毒的情况比较特殊，它不是独立存在的，而是需要寄生在一个宿主中。但病毒也是程序，又有
程序的共同性，同样也要引用一些数据来帮助运行。但病毒植入
地址是0x7EE63260，则在病毒代码中需要用到CreateFileA时用call
[7EE63260h]语句来实现调用。这么做有两个缺陷：第一就是不同Windows的 API地址不尽相同，直接写绝对地址的方法使得病毒通用性和兼容性很低；第二就是需要内置大量API地址，造成病毒长度不可容忍。
5.1 Win 32 PE 病毒原理（续）
获取所需API函数在动态链接库中的真正地址。
Windows操作系统的成功在很大程度上要归功于不论是Windows 2000还是 Windows XP都有一套自己Win32 API，且在不同Windows上的兼容性极高。最早的Win32 PE病毒的思路是预编码，比如Windows 2000 中CreateFileA 的
第二种方法——利用PE结构的特殊性来实现API函数地址获取。系统加载 PE 文件时，会解析引入函数所在DLL 的导出函数表，根据名字或序号
搜索相应引出函数的RVA（Related Virtual Address，相对虚拟地
址），最后与模块在内存中的实际地址相加，就可以得到API函数在运行时的真正地址。这样就又有了两种不同的获取方法：
• Call指令是汇编跳转指令，用于调用子程序。这个指令的特点是先将返回地址压栈（即将Call后的第一条指令地址压栈，这就是保护现场），再将EIP置为需要调用的地址。如果子程序中有ret指令就会弹栈，且弹出目标就是EIP。这样，程序就会正常运行下去。如果有一个变量地址和编译时预定义地址之间有一个偏差，一般将这个差称为delta offset，则运行时只需要将该差值加到原编译时预定的地址上，得到的就是运行时数据的正确地址。这样一来，可以通过将 delta offset 放在某个寄存器中，然后变址寻址引用变量就可以解决引用数据重定位的难题。
• 感染前遍历宿主的函数引入表。函数引入表中记载着一个程序中使用的所有 API函数及其相对应的地址。如果病毒发现自己所需的API已经存在于函数引入表，则可以顺利使用；如果没有则将所需API添加进函数引入表再使用。 • 解析DLL 的导出表，从DLL 中获取所需要的API地址。这种做法就需要获取 DLL 在内存中的真实加载地址。但是DLL有上千个，如果为了运行顺利，全
宿主的位置内存是宿主或病毒在编译时无法预知的：病毒要感染千千万万不同的具体宿主；每个宿主又可以被千千万万个不同的
病毒感染，再加上各台计算机特殊的运行环境，使得病毒在感染
宿主时在宿主中的准确位置千差万别，由于编译后的宿主变量会直接引用变量名（运行时则是偏移地址）来访问，所以如果横加插入则在引用数据时肯定会发生错误。
进行了。重定位表项由PE 文件头的DataDirectory数据中的第6 个成员IMAGE_DIRECTORY_ENTRY_BASE定位表项，
则需要创建添加，手续较多。
5.1 Win 32 PE 病毒原理（续）
获取API地址问题
Win32 PE程序需要调用API函数才能实现很多在DOS下所不能想象的功能， Win32 PE病毒也是一样，它们都需要通过引用程序一开始的引用函数节来得到 API函数在动态链接库中的真正地址。可是由于Win32 PE病毒程序是非法的，它只有一个代码节，不可能像合法Win32 PE程序那样拥有引入函数节，所以直接调用API函数的想法就落空了。因此，Win32 PE病毒要解决的第二个问题就是如何