病毒与计算机安全

郑州轻工业学院

本科

设计题目：病毒与计算机安全＿学生姓名：张波＿＿系别：计算机与通信工程学院专业：网络运维＿＿＿＿班级：13—02＿＿＿＿

学号：************

指导教师：吉星、程立辉＿

2016 年

摘要：

计算机技术不断进化创新，病毒技术也与时俱进。病毒己经成为一种社会现象，影响力与日俱增。

现在的视窗操作系统下的病毒己经非常完善了，它们使用汇编、高级和脚本语言编写，利用了系统的种种漏洞,使用先进的加密和隐藏算法，可以对杀毒软件进行攻击。全世界每年因病毒造成的损失不可估量。

在反病毒行业中，杀毒软件厂商迫于商业性的目的，不得不将一些很简单的问题隐藏在广告和宣传的迷雾之中。从Win32病毒所需基础知识开始，详细阐述了PE格式、重定位、API地址获取、遍历网络与硬盘、利用IRC,P2P,E-Mail传播病毒的原理与细节。

最后，本文讨论了反病毒的一些关键技术:样本的截获、特征码提取、特征字原理以及当前最流行的对抗变形和未知病毒的启发式扫描技术。

关键词：病毒;多态;变形;扫描;启发式

1.绪论 (1)

1.1 课题背景 (1)

1.1.1 什么是计算机病毒 (1)

1.1.2 目的与意义 (2)

2. 病毒基础知识 (2)

2.1 PE文件格式与计算机病毒 (2)

2.1.1 PE文件格式与Win32病毒的关系 (2)

2.1.2 PE文件格式介绍 (3)

2.2 地址与汇编指令的本质 (4)

2.2.1 地址的基本概念 (4)

2.2.2 映射的本质 (4)

2.2.3 重要汇编指令的含义与技巧 (5)

2.3 方汇编技术 (6)

2.4 小结 (6)

3. 病毒传播途径 (7)

3.1 通过1PC传播 (7)

3.2 通过电子邮件传播 (8)

3.2.1 原理 (8)

3.2.2 SMTP协议框架 (8)

3.3 利用Sniffer来建立信任关系 (8)

3.4 通过IRC聊天通道传播 (9)

4. 病毒的攻与防 (10)

4.l样本截获技术 (10)

4.2提取样本技术 (11)

4.3如何发现普通病毒 (11)

4.3.1 特征码扫描简介 (11)

4.3.2 特征字扫描 (12)

4.4如何发现变形病毒和未知病毒 (13)

4.4.1简单变形 (13)

4.4.2模拟器 (Emulator)原理 (13)

4.4.3传统扫描技术与启发式代码分析扫描技术的结合运用

(15)

4.5小结 (17)

5. 病毒预测 (17)

6. 结论 (18)

1. 绪论

1.1 课题背景

人类进入了信息社会创造了电子计算机，同时也创造了计算机病毒。由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝着能够迅速传播、更好的隐蔽自己并对抗反病毒手段的方向发展。同时，病毒己被人们利用其特有的性质与其他功能相结合进行有目的的活动。

病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫传播更快更广，Windows病毒更加复杂，网络蠕虫成为病毒设计者的首选(也有人认为蠕虫并不是病毒，蠕虫和病毒是有分别的，见Internet标准RFC2828).

目前，计算机病毒之所以到处不断的泛滥，其一方面的原因就是查解病毒的手段总是跟在一些新病毒的后面发展，所以新病毒就能跳过传统的病毒特征代码分析、动态仿真跟踪、实时监控程序、自动解压缩技术等常用反病毒手段的监视而到处传染。

1.1.1 什么是计算机病毒

计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:11指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

简单精确的说，能够主动复制自身的一组指令就是病毒。这包含了两个要素，一个是主动，这是病毒传播特性的体现，如果可以四处传播但却是被动进的，就不是病毒，比如QQ，大家从腾讯网站上下载，QQ.exe得到四处传播，但因为是被动进行，所以不是病毒;另一个是一段指令，这体现了病毒的寄生性，也就是病毒这个名称的来历，因为生物界中的病毒都是寄生在细胞内，它不是细胞，不能单独生存，却可以在不同细胞中复制自身。病毒也一样，它的寄生体就是程序(文

件)。那么，作为一个完整的文件来传播的，就类似于生物界中的细菌(细菌是细胞)，那就是蠕虫，现在也被广义地看作病毒。随着互联网的普及和迅猛发展，病毒也向着多元化方向发展，很多病毒都具有病毒和蠕虫等的多重特性。

1.1.2 目的与意义

计算机病毒破坏硬盘上的数据，拥塞网络，干扰人们的正常生活，每年的直接和间接经济损失都数以百亿计。防治病毒的重要性不言而喻。

2. 病毒基础知识

2.1 PE文件格式与计算机病毒

在编写Dos文件型病毒时，不可避免我们要非常了解MZ文件格式。同样如果想在Windows环境下编写感染EXE的文件型病毒，我们不得不先在PE文件格式上下一番功夫。

2.1.1 PE文件格式与Win32病毒的关系

Win32病毒感染文件时，一般都是针对EXE,SCR文件，而这些文件都是PE格式，所以，只有了解PE格式的规范和细节，才能编写PE 文件型病毒。一般来说，Win32病毒是这样被运行的:

1.用户点击 (或者系统自动运行)一个染毒程序

2.PE装载器(系统程序)通过PE文件中的Address Of Entry Point 和

Image Base之和来定位第一条语句在内存的偏移。

3.从第一条语句开始执行 (这时其实执行的是病毒代码)

4.病毒主体代码执行完毕，将控制权交给染毒程序。

5.染毒程序继续执行。

可见，Win32病毒要想对.EXE文件进行传染，了解PE文件格式确