网络安全技术及应用(第五章).

2018/9/27
5
5.1计算机病毒概述

5.1.3 计算机病毒特征




破坏性 计算机所有资源包括硬件资源和软件资源， 软件所能接触的地方均可能受到计算机病毒的破坏 隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变， 以至于很难被发现。 潜伏性 长期隐藏在系统中，只有在满足特定条件时， 才启动其破坏模块。 传染性 指病毒具有把自身复制到其它程序中的特性
2018/9/27
4
5.1.2计算机病毒历史



DOS病毒,破坏表现：唱歌、删除文件、格式化硬 盘、屏幕上显出各式各样的图形与音效。主要病毒 如耶路撒冷、米开朗基罗、猴子病毒等 。 基于Windows运行环境的病毒，随着微软Office 软件的普及，出现了宏病毒，各种脚本病毒也日益 增多著名病毒如 CIH病毒等。 网络时代病毒已经突破了传统病毒的技术，融合许 多网络攻击技术，如蠕虫技术、木马技术、流氓软 件、网络钓鱼等，。

病毒进行各种操作时需调用API函数 ，有两种解决方案。

2018/9/27
12
5.2.2 病毒分析

宏病毒

就是使用宏语言编写的程序，可以在一些数据处 理系统中运行，存在于字处理文档、数据表格、 数据库、演示文档等数据文件中 改写Word宏


感染过程

改写文档自动执行宏，如AutoOpen、FileSave FilePrint等等
2018/9/27
6
5.1.3 计算机病毒特征

网络病毒又增加很多新的特点



主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多，容易编写，并且很容易被修改，生成很多 病毒变种 融合多种网络技术，并被黑客所使用
2018/9/27
7
5.2 传统的计算机病毒
5.2.1 计算机病毒的基本机制 分为三大模块：传染机制、破坏机制、触发机制。
11
ቤተ መጻሕፍቲ ባይዱ
2018/9/27
5.2.2 病毒分析

感染PE文件，必须满足两个基本条件：

是能够在宿主程序中被调用，获得运行权限；主要采用重定 位的方法，改PE文件在系统运行PE文件时，病毒代码可以获 取控制权，在执行完感染或破坏代码后，再将控制权转移给 正常的程序代码。方法有：

可以修改文件头中代码开始执行位置（AddressOfEntryPoint） 在PE文件中添加一个新节 在感染PE文件的时候，可以搜索宿主的引入函数节的相关地址。 解析导出函数节，尤其是Kernel32.DLL
Excel Auto_Open Auto_Close

感染其它Word文档

Auto_Activate Auto_Deactivate
2018/9/27
14
5.2.2 病毒分析

宏病毒具有如下特点

传播快

Word文档是交流最广的文件类型。人们大多对外来的文 档文件基本是直接浏览使用，这给Word宏病毒传播带来 很多便利。 Word使用宏语言WordBasic来编写宏指令。用户很方 便就可以看到这种宏病毒的全部面目。把宏病毒稍微加 以改变，立即就生产出了一种新的宏病毒.


计算机病毒的传染机制

指计算机病毒由一个宿主传播到另一个宿主程序，由一个 系统进入另一个系统的过程。
计算机病毒在传染和发作之前，要判断某些特定条件是否 满足，这个条件就是计算机病毒的触发条件。 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目 标主机系统或信息产生严重破坏。

触发机制


3、破坏机制

当运行一个PE可执行文件时




当PE文件被执行，PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到，则 跳转到 PE header。 PE装载器检查 PE header 的有效性。如果有效， 就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中 的节信息，并采用文件映射方法将这些节映射到 内存，同时附上节表里指定的节属性。 PE文件映射入内存后，PE装载器将处理PE文件中 类似 import table（引入表）逻辑部分。
9
5.2.2 病毒分析

PE文件结构如图5-1所示
MS-DOS头部 MS-DOS实模式残余程序 PE文件标志”PE\0\0” (4字节) PE文件头(14H字节) PE文件可选头 Section table（节表） Section1 Section2 Section3
……
2018/9/27 10
5.2.2 病毒分析

2018/9/27
8
5.2 传统的计算机病毒
5.2.2 病毒分析 Windows环境下，主要病毒有文件型病毒、引 导性病毒和宏病毒等 文件型病毒



文件型病毒主要感染可执行文件，Windows环境 下主要为.EXE文件，为PE格式文件 PE是 Win32环境自身所带的执行体文件格式。
2018/9/27
2018/9/27
2
5.1计算机病毒概述
5.1.1 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入 的破坏计算机功能或者毁坏数据，影响计算机 使用，并能自我复制的一组计算机指令或者程 序代码。”

2018/9/27
3
5.1计算机病毒概述

5.1.2计算机病毒历史


1977年，美国著名的贝尔实验室中设计磁芯大战 （Core War）的游戏，第一步将计算机病毒感染 性的概念体现出来 第一个具备完整特征的计算机病毒出现于1987年， 病毒C-BRAIN,由一对巴基斯坦兄弟：Basit和 Amjad所写。目的是防止他们的软件被任意盗拷。 只要有人盗拷他们的软件，C-BRAIN就会发作，将 盗拷者的硬盘剩余空间给吃掉。
2018/9/27
13
5.2.2 病毒分析

转换成文档模板的宏

当宏病毒获得运行权限之后，把所关 联的宿主文档转换成模板格式，然后 把所有宏病毒复制到该模板之中 当其它的Word文件打开时，由于自 动调用该模板因而会自动运行宏病毒
Word AutoOpen AutoClose AutoExec AutoExit AutoNew
第五章 计算机病毒及恶意代码
本章学习重点掌握内容： 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络
2018/9/27
1
第五章 计算机病毒及恶意代码





5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件