收藏
下载资源

第3章计算机病毒的逻辑结构与基本机制-read

上传人:101****457 文档编号:95442846 上传时间:2019-08-18 格式:PPT 页数:35 大小:186.50KB
返回 下载 相关 举报
第3章计算机病毒的逻辑结构与基本机制-read_第1页
第1页 / 共35页
第3章计算机病毒的逻辑结构与基本机制-read_第2页
第2页 / 共35页
第3章计算机病毒的逻辑结构与基本机制-read_第3页
第3页 / 共35页
第3章计算机病毒的逻辑结构与基本机制-read_第4页
第4页 / 共35页
第3章计算机病毒的逻辑结构与基本机制-read_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《第3章计算机病毒的逻辑结构与基本机制-read》由会员分享,可在线阅读,更多相关《第3章计算机病毒的逻辑结构与基本机制-read(35页珍藏版)》请在金锄头文库上搜索。

1、合肥工业大学计算机与信息学院 张仁斌,计算机病毒与反病毒技术,主要内容,病毒的状态 病毒的基本环节 病毒的逻辑结构 病毒的基本机制,第3章 病毒的逻辑结构与基本机制,3.1.1 计算机病毒的状态,计算机病毒在传播过程中存在两种状态,即静态和动态 静态病毒,是指存在于辅助存储介质中的计算机病毒,其传播只能通过文件下载(拷贝)实现 因为静态病毒尚未被加载、尚未进入内存,不可能获取系统的执行权限,也就不能执行病毒的破坏或表现功能 病毒之所以处于静态,有两种可能 没有用户启动该病毒或运行感染了该病毒的文件 该病毒存在于不可执行它的系统中 当病毒完成初始引导,进入内存后,便处于动态 动态病毒本身处于运行

2、状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权 病毒的主动传染和破坏作用,都是动态病毒的“杰作”,3.1 计算机病毒的基本环节,3.1.1 计算机病毒的状态,计算机病毒的基本流程与状态转换 病毒由静态转变为动态的过程,称为病毒的启动。实际上,病毒的启动过程就是病毒的首次激活过程 内存中的动态病毒又有两种状态:可激活态和激活态。 当内存中的病毒代码能够被系统的正常运行机制所执行时,动态病毒就处于可激活态 一般而言,动态病毒都是可激活的 系统正在执行病毒代码时,动态病毒就处于激活态 病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态,3.1 计算机病毒的基

3、本环节,3.1.1 计算机病毒的状态,3.1 计算机病毒的基本环节,计算机病毒的基本流程与状态转换,3.1.1 计算机病毒的状态,内存中的病毒还有一种较为特殊的状态失活态 一般情况下不会出现这种状态,它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法) 处于失活态的病毒不可能进行传染或破坏,它与静态病毒的不同仅在于病毒代码在内存中,但得不到执行 如果用户把中断向量表恢复成正确值,修改中断向量表的动态病毒就失活了 病毒能由激活态转变为失活态,也就是可激活态病毒的可触发性被破坏,处于激活态的病毒一般不会自己转变为失活态,失活态的出现必定是有外在干预 对于处于不同状态的病毒,应采用不同的分析、

4、清除手段,3.1 计算机病毒的基本环节,3.1.2 计算机病毒的基本环节,计算机病毒要完成一次完整的传播破坏过程,必须经过以下几个环节: 分发拷贝阶段 潜伏繁殖阶段 破坏表现阶段 在任何一个环节(阶段)都可以抑制病毒的传播、蔓延,或者清除病毒 我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延,3.1 计算机病毒的基本环节,3.2.1 一个简单的计算机病毒,一个简单的DOS批处理病毒源程序autoexec.bat(假设从A盘启动),3.2 计算机病毒的基本结构,3.2.2 计算机病毒的逻辑结构,计算机病毒是以现代计算机网络系统为环境而存在并发展的,即计算机系统的软、硬件

5、环境决定了计算机病毒的结构,而这种结构是能够充分利用系统资源进行活动的最合理体现 有时也把破坏表现模块中触发条件判断部分作为一个单独的模块,称作触发模块,3.2 计算机病毒的基本结构,3.2.2 计算机病毒的逻辑结构,感染标志 有的病毒有一个感染标志,又称病毒签名,但不是所有的病毒都有感染标志 感染标志是一些数字或字符串,它们以ASCII码方式存放在宿主程序程序里 病毒在感染程序之前,一般要查看其是否带有感染标志 感染标志不仅被病毒用来决定是否实施感染,还被病毒用来实施欺骗 不同病毒的感染标志的位置、内容都不同 杀毒软件可以将感染标志作为病毒的特征码之一 也可以利用病毒根据感染标志是否进行感染

6、这一特性,人为地、主动在文件中添加感染标志,从而在某种程度上达到病毒免疫的目的,3.2 计算机病毒的基本结构,3.2.2 计算机病毒的逻辑结构,引导模块 染毒程序运行时,首先运行的是病毒的引导模块 引导模块的基本动作是: 检查运行的环境,如确定操作系统类型、内存容量、现行区段、磁盘设置、显示器类型等参数 将病毒引入内存,使病毒处于动态,并保护内存中的病毒代码不被覆盖 设置病毒的激活条件和触发条件,使病毒处于可激活态,以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块,3.2 计算机病毒的基本结构,3.2.2 计算机病毒的逻辑结构,感染模块 是病毒实施感染动作的部分,负责实现病毒的感染机制

7、 感染模块的主要功能如下: 寻找感染目标 检查目标中是否存在感染标志或设定的感染条件是否满足 如果没有感染标志或条件满足,进行感染,将病毒代码放入宿主程序 无论是文件型病毒还是引导型病毒,其感染过程总的来说是相似的,分为三步:进驻内存、判断感染条件、实施感染 感染条件控制病毒的感染动作、控制病毒感染的频率:频繁感染,容易让用户发觉;苛刻的感染条件,又让病毒放弃了众多传播机会,3.2 计算机病毒的基本结构,3.2.2 计算机病毒的逻辑结构,破坏模块 负责实施病毒的破坏动作,其内部是实现病毒编写者预定破坏动作的代码 病毒的破坏力取决于破坏模块 破坏模块导致各种异常现象,因此,该模块又被称为病毒的表

8、现模块 计算机病毒的破坏现象和表现症状因具体病毒而异。计算机病毒的破坏行为和破坏程度,取决于病毒编写者的主观愿望和技术能力 触发条件控制病毒的破坏动作,控制病毒破坏的频率,使病毒在隐蔽的状态下实施感染 病毒的触发条件多种多样,例如,特定日期触发、特定键盘按键输入,等等,都可以作为触发条件,3.2 计算机病毒的基本结构,3.3.1 病毒实施感染的前提条件,病毒感染的必要条件是病毒代码在本次启动计算机后,至少被执行过一次 病毒感染还有一个必要条件,即必须要有传染目标病毒宿主 病毒在以下情况下有可能被首次执行 染有引导型病毒的磁盘在启动计算机时 文件型病毒的病毒代码在执行染毒文件时被执行 初始化批处

9、理启动病毒,或利用系统初始化配置文件的启动项启动病毒 Win32病毒借助Windows注册表的特殊键值,在启动Windows时随之启动,3.3 计算机病毒的传播机制,3.3.2 病毒的感染对象和感染过程,感染对象 寄生在磁盘引导扇区 寄生在可执行文件 宏病毒和脚本病毒是比较特殊的病毒,是通过打开Office文档或浏览网页等用户行为而获取执行权 某些广义下的病毒,如蠕虫,主要寄生在内存中,并不感染引导扇区和文件,3.3 计算机病毒的传播机制,3.3.2 病毒的感染对象和感染过程,传染方式 所谓传染,是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程 只有载体还不足以使病毒得

10、到传播。促成病毒的传染还有一个先决条件,可分为两种情况,或者称作两种方式 用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上;或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。这种传染方式称作计算机病毒的被动传染 计算机病毒是以计算机系统的运行以及病毒程序处于激活态为先决条件。当病毒处于激活态时,只要传染条件满足,病毒程序就能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式称作计算机病毒的主动传染,3.3 计算机病毒的传播机制,3.3.2 病毒的感染对象和感染过程,传染过程 对于病毒的被动传染而言,其传染过程是随着拷贝磁盘或文件工作的进行而进行的 对于计算

11、机病毒的主动传染而言,其传染过程一般是: 在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行 在病毒引导模块将病毒传染模块驻留内存的过程中,通常还要修改系统中断向量入口地址,使该中断向量指向病毒程序传染模块 一旦系统执行磁盘读写操作或系统功能调用,病毒传染模块就被激活,传染模块在判断传染条件满足的条件下,把病毒自身传染给被读写的磁盘或被加载的程序,3.3 计算机病毒的传播机制,3.3.2 病毒的感染对象和感染过程,计算机病毒实施感染的过程基本可分为两大类 立即传染 病毒在被执行到的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后

12、再执行宿主程序 驻留内存并伺机传染 内存中的病毒检查当前系统环境,在执行一个程序或DIR等操作时感染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后,仍可活动,直至关闭计算机 总之,计算机病毒感染的过程一般有三步: (1)当宿主程序运行时,截取控制权; (2)寻找感染的突破口; (3)将病毒代码放入宿主程序 病毒攻击的宿主程序是病毒的栖身地,宿主程序既是病毒传播的目的地,又是下一次感染的出发点,3.3 计算机病毒的传播机制,3.3.3 引导型病毒传染机理,引导型病毒针对软硬盘的不同特点采用了不同的传染方式 引导型病毒利用在开机引导时窃取的INT 13H控制权,在整个计算机运行过程中

13、随时监视软盘操作情况,趁读写软盘的时机读出软盘引导区,判断软盘是否染毒,如未感染就按病毒的寄生方式把原引导区写到软盘另一位置,把病毒写入软盘第一个扇区,从而完成对软盘的传染 染毒的软盘在软件交流中又会传染其他计算机 引导型病毒对硬盘的传染,往往是在计算机上第一次使用带毒软盘、优盘、移动硬盘时进行的,具体步骤与软盘传染相似,也是读出引导区判断后写入病毒,3.3 计算机病毒的传播机制,3.3.4 文件型病毒传染机理,当执行被传染的.COM或.EXE可执行文件时,病毒进驻内存,始监视系统的运行,当发现被传染的目标时,进行如下操作: 首先对运行的可执行文件特定地址的标识位信息进行判断,判断是否已感染了

14、病毒 当条件满足,利用INT 13H将病毒链接到可执行文件的首部、尾部或中间,并存盘 完成传染后,继续监视系统的运行,试图寻找新的攻击目标,3.3 计算机病毒的传播机制,3.3.4 文件型病毒传染机理,文件型病毒通过与磁盘文件有关的操作进行传染,主要传染途径有: 加载执行文件 列目录过程 创建文件过程,3.3 计算机病毒的传播机制,3.3.5 混合感染和交叉感染,混合感染 既感染引导扇区又感染文件 交叉感染 一台计算机中常常会同时染上多种病毒。当一个无毒的宿主程序在此计算机上运行时,便会在一个宿主程序上感染多种病毒,称为交叉感染。 当文件感染数种病毒,并且病毒代码在宿主程序头部和尾部都有的情况

15、下,必须分清各病毒的感染先后顺序,否则消毒后程序不能正常运行,3.3 计算机病毒的传播机制,3.4.1 寄生感染,文件头部寄生,3.4 文件型病毒的感染方式,病毒感染文件的头部,文件头部感染与文件还原,3.4.1 寄生感染,文件尾部寄生,3.4 文件型病毒的感染方式,感染.COM文件尾部,感染PE/NE文件尾部,3.4.1 寄生感染,插入感染,3.4 文件型病毒的感染方式,逆插入感染,插入感染PE/NE文件,3.4.1 寄生感染,利用空洞零长度感染,3.4 文件型病毒的感染方式,3.4.2 无入口点感染,无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscur

16、ing,EPO)技术,即病毒在不修改宿主原入口点的前提下,通过在宿主代码体内某处插入跳转指令来使病毒获得控制权,3.4 文件型病毒的感染方式,无入口点的感染方式一,无入口点的感染方式二,3.4.3 滋生感染,滋生感染(Companion Infection)是一种很特殊、罕见的感染方式 滋生感染式病毒又称作伴侣病毒或伴随型病毒 病毒不改变被感染的文件,而是为被感染的文件创建一个伴随文件(病毒文件),3.4 文件型病毒的感染方式,3.4.4 链式感染,病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作链式感染(Link Infection) 当宿主程序欲运行时,利用相关关系,使病毒部分首先运行,而后宿主程序才运行,3.4 文件型病毒的感染方式,3.4.5 OBJ、LIB和源码的感染,病毒感染编译器生成的中间对象文件(.OBJ文件),或者编译器使用的库文件(.LIB)文件,由于这些文件不是直接的可执行文件,所以病毒感染这些文件之后并不能直接的传染,必须使用被感染的.OBJ或者.LIB链接生成.EXE(.C

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号