第三章计算机病毒结构分析
第三章 计算机病毒结构分析
本章学习目标 掌握计算机病毒的结构 掌握计算机病毒的工作机制 了解引导型病毒原理 了解COM、EXE、NE、PE可执行文件格 式 掌握COM文件病毒原理及实验 掌握PE文件型病毒及实验
本章学习目标 • 掌握计算机病毒的结构 • 掌握计算机病毒的工作机制 • 了解引导型病毒原理 • 了解COM、EXE、NE、PE可执行文件格 式 • 掌握COM文件病毒原理及实验 • 掌握PE文件型病毒及实验
总体概念 DOS是Xer的乐园(Aver) 9x病毒ring3,ring0 2K病毒主要是rng3 Windows文件格式变迁: COM EXE: MZ->NE->PE Vxd: LE(16Bit, 32Bit)
总体概念 • DOS是VXer的乐园(Aver) • 9x病毒 ring3, ring0 • 2K病毒 主要是ring3 • Windows文件格式变迁: – COM – EXE:MZ->NE->PE – Vxd: LE(16Bit, 32Bit)
计算机病毒的结构和工作机制 四大模块: 感染模块 触发模块 破坏模块(表现模块) 引导模块(主控模块) 两个状态: 静态 动态
一、计算机病毒的结构和工作机制 • 四大模块: – 感染模块 – 触发模块 – 破坏模块(表现模块) – 引导模块(主控模块) • 两个状态: – 静态 – 动态
工作机制 动态 静态 引导模块 病毒破坏 触发模块 满足 足 满足破坏条件 病毒感染 满足触发条件 不满足 不满足 携毒潜伏或消散 携毒潜伏或消散
工作机制 动态 静态 引导模块 病毒感染 病毒破坏 触发模块 满足破坏条件 满足触发条件 携毒潜伏或消散 携毒潜伏或消散 满足 满足 不满足 不满足
引导模块 ·引导前—寄生 寄生位置 ·引导区 可执行文件 寄生手段: ·替代法(寄生在引导区中的病毒常用该法) 链接法(寄生在文件中的病毒常用该法)
引导模块 • 引导前——寄生 – 寄生位置: • 引导区 • 可执行文件 – 寄生手段: • 替代法(寄生在引导区中的病毒常用该法) • 链接法(寄生在文件中的病毒常用该法)
·引导过程 驻留内存 窃取系统控制权 恢复系统功能 引导区病毒引导过程 搬迁系统引导程序-〉替代为病毒引导程序 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块 到内存-〉使用常驻技术 最后,转向系统引导程序-〉引导系统
• 引导过程 – 驻留内存 – 窃取系统控制权 – 恢复系统功能 • 引导区病毒引导过程 – 搬迁系统引导程序-〉替代为病毒引导程序 – 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块 到内存-〉使用常驻技术 – 最后,转向系统引导程序-〉引导系统
·文件型病毒引导过程 修改入口指令-〉替代 为跳转到病毒模块的指 执行时-〉跳转到病毒 引导模块-〉病毒引导 模块-〉加载传染、破 坏和触发模块到内存-〉 使用常驻技术 最后,转向程序的正常 执行指令-〉执行程序
• 文件型病毒引导过程 – 修改入口指令-〉替代 为跳转到病毒模块的指 令 – 执行时-〉跳转到病毒 引导模块-〉病毒引导 模块-〉加载传染、破 坏和触发模块到内存-〉 使用常驻技术 – 最后,转向程序的正常 执行指令-〉执行程序
感染模块 ·病毒传染的条件 被动传染(静态时) 用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到 另一个载体上。或者是通过网络上的信息传递,把一个病毒程 序从一方传递到另一方。这种传染方式叫做计算机病毒的被动 传染。 主动传染(动态时) ·以计算机系统的运行以及病毒程序处于激活状态为先决条件。 在病毒处于激活的状态下,只要传染条件满足,病毒程序能主 动地把病毒自身传染给另一个载体或另一个系统。这种传染方 式叫做计算机病毒的主动传染
感染模块 • 病毒传染的条件 – 被动传染(静态时) • 用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到 另一个载体上。或者是通过网络上的信息传递,把一个病毒程 序从一方传递到另一方。这种传染方式叫做计算机病毒的被动 传染。 – 主动传染(动态时) • 以计算机系统的运行以及病毒程序处于激活状态为先决条件。 在病毒处于激活的状态下,只要传染条件满足,病毒程序能主 动地把病毒自身传染给另一个载体或另一个系统。这种传染方 式叫做计算机病毒的主动传染
传染过程 系统(程序)运行-〉各种模块进入内存-〉按多种传染 方式传染 传染方式 立即传染,即病毒在被执行的瞬间,抢在宿主程序开 始执行前,立即感染磁盘上的其他程序,然后再执行 宿主程序。 驻留内存并伺机传染,内存中的病毒检査当前系统环 境,在执行一个程序、浏览一个网页时传染磁盘上的 稈序,驻留在系统内存中的病毒程序在宿主程序运行 结束后,仍可活动,直至关闭计算机
• 传染过程 – 系统(程序)运行-〉各种模块进入内存-〉按多种传染 方式传染 • 传染方式 – 立即传染,即病毒在被执行的瞬间,抢在宿主程序开 始执行前,立即感染磁盘上的其他程序,然后再执行 宿主程序。 – 驻留内存并伺机传染,内存中的病毒检查当前系统环 境,在执行一个程序、浏览一个网页时传染磁盘上的 程序,驻留在系统内存中的病毒程序在宿主程序运行 结束后,仍可活动,直至关闭计算机