第三章 計算機病毒結構分析 上海交通大學信息安全工程學院 劉功申 信息安全工程學院 本章學習目標 了解 掌握引導型病毒原理及實驗 掌握 掌握 信息安全工程學院 總體概念 000多種 9主要是 E 632信息安全工程學院 章節(jié)主要內(nèi)容 一、引導型病毒編制原理及實驗 二、 16位 三、 32位 信息安全工程學院 一、引導型病毒編制原理及實驗 加電 始化 引導區(qū)、分 區(qū)表檢查 發(fā)現(xiàn)操作系統(tǒng) 執(zhí)行引導程序 信息安全工程學院 引導區(qū)病毒取得控制權的過程： 區(qū)表裝載 運行 導程序 加載 載 1 正常的引導過程 引導型病毒 從軟盤加載 到內(nèi)存 尋找 導區(qū)的 位置 將引導 區(qū)移動到別的 位置 病毒將自己寫入 原引導區(qū) 的位置 用被感染的軟盤啟動 將病毒的引導 程序加載入內(nèi)存 運行病毒 引導程序 病毒駐留 內(nèi)存 原引導 程序執(zhí)行并加 載系統(tǒng) 病毒在啟動時獲得控制權 信息安全工程學院 引導區(qū)病毒實驗 【 實驗目的 】 通過實驗，了解引導區(qū)病毒的感染對象和感染特征，重點學習引導病毒的感染機制和恢復感染染毒文件的方法，提高匯編語言的使用能力。 【 實驗內(nèi)容 】 本實驗需要完成的內(nèi)容如下： 引導階段病毒由軟盤感染硬盤實驗。通過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學習病毒的感染機制；閱讀和分析病毒的代碼。 過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學習病毒的感染機制；閱讀和分析病毒的代碼。 信息安全工程學院 【 實驗環(huán)境 】 實驗素材 】 附書資源 信息安全工程學院 實驗過程 第一步：環(huán)境安裝 安裝虛擬機 虛擬機環(huán)境內(nèi)安裝 裝步驟參考附書資源。 信息安全工程學院 第二步：軟盤感染硬盤 1、運行虛擬機，檢查目前虛擬硬盤是否含有病毒。如圖表示沒有病毒正常啟動硬盤的狀態(tài)。 2、 信息安全工程學院 3、將含有病毒的軟盤插入虛擬機引導，可以看到閃動的字符 *_*，如左圖 4。按任意鍵進入右圖畫面。 信息安全工程學院 第三步：驗證硬盤已經(jīng)被感染 1、取出虛擬軟盤，通過硬盤引導，再次出現(xiàn)了病毒的畫面。 信息安全工程學院 2、按任意鍵后正常引導了 見，硬盤已經(jīng)被感染。 信息安全工程學院 第四步：硬盤感染軟盤 1、下載 且將它插入虛擬機，啟動電腦，由于該盤為空，如圖顯示。 信息安全工程學院 2、取出虛擬軟盤，從硬盤啟動，通過命令 : /能提示出錯，這時只要按 圖所示。 信息安全工程學院 3、成功格式化后的結果如圖所示。 信息安全工程學院 4、不要取出虛擬軟盤，重新啟動虛擬機，這時是從 以看到病毒的畫面，如左圖所示。按任意鍵進入如右圖畫面。可見，病毒已經(jīng)成功由硬盤傳染給了軟盤。 信息安全工程學院 二、 16位 最簡單的可執(zhí)行文件就是 f 件。 4含 16位程序的二進制代碼映像，沒有重定位信息。 就是說，為了運行程序準確的處理器指令和內(nèi)存中的數(shù)據(jù)， 統(tǒng)不需要作重定位工作。 信息安全工程學院 加載 為 4以 5,024（ 6456字節(jié)和用于一個起始堆棧的至少 256字節(jié)）。 如果 個 個起始堆棧分配足夠內(nèi)存，則分配嘗試失敗。 否則， 至所有保留內(nèi)存），即使4K。 在試圖運行另一個程序或分配另外的內(nèi)存之前，大部分 分配內(nèi)存后， 56字節(jié)建立一個 序段前綴）。 信息安全工程學院 創(chuàng)建 移 100H）加載 置 著創(chuàng)建一個堆棧。 00序設計者必須保證 因為程序是在偏移 100此所有代碼和數(shù)據(jù)偏移也必須相對于 100H。匯編語言程序設計者可通過置程序的初值為100如，通過在源代碼的開始使用語句 00H）。 信息安全工程學院 偏移大小 長度（ 說 明 0000h 02 中斷 20H 0002h 02 以節(jié)計算的內(nèi)存大小（利用它可看出是否感染引導型病毒） 0004h 01 保留 0005h 05 至 000 02 2H 入口 00 02 2H 入口 00 02 3H 入口 010h 02 3H 入口 012h 02 4H 入口 014h 02 4H 入口 016h 02 父進程的 測知是否被跟蹤） 0018h 14 存放 20個 002 02 環(huán)境塊段地址（從中可獲知執(zhí)行的程序名） 002 04 存放用戶棧地址指針 0032h 1E 保留 0050h 03 1H / 0053h 02 保留 0055h 07 擴展的 005 10 格式化的 06 10 格式化的 07 04 保留 0080h 80 命令行參數(shù)長度 0081h 127 命令行參數(shù) 信息安全工程學院 是 6位代碼，在這些代碼之前加了一個文件頭，文件頭中包括各種說明數(shù)據(jù)，例如，第一句可執(zhí)行代碼執(zhí)行指令時所需要的文件入口點、堆棧的位置、重定位表等。 裝載過程： 操作系統(tǒng)根據(jù)文件頭的信息將代碼部分裝入內(nèi)存， 然后根據(jù)重定位表修正代碼， 最后在設置好堆棧后從文件頭中指定的入口開始執(zhí)行。 信息安全工程學院 其它信息 重定位表的字節(jié)偏移量 重定位表 重定位表 可重定位程序映像 二進制代碼 信息安全工程學院 / ; / 02H 最后扇區(qū)被使用的大小 ; / 06H 重定位項數(shù) ; / 0小所需內(nèi)存 ; / 0; / 12H 校驗和 ; / 16H ; / 1; / 3; 信息安全工程學院 為了保持對 時 后才是可執(zhí)行文件的可執(zhí)行代碼。 把程序代碼、數(shù)據(jù)、資源隔離在不同的可加載區(qū)中；藉由符號輸入和輸出，實現(xiàn)所謂的運行時動態(tài)鏈接。 信息安全工程學院 16位的 取部分磁盤文件，并生成一個完全不同的數(shù)據(jù)結構，在內(nèi)存中建立模塊。 當代碼或數(shù)據(jù)需要裝入時，裝載程序必須從全局內(nèi)存中分配出一塊，查找原始數(shù)據(jù)在文件的位置，找到位置后再讀取原始的數(shù)據(jù)，最后再進行一些修正。 每一個 16位的模塊（ 負責記住現(xiàn)在使用的所有段選擇符，該選擇符表示該段是否已經(jīng)被拋棄等信息。 信息安全工程學院 保留區(qū)域 信息塊 段表 資源表 駐留名表 模塊引用表 引入名字表 入口表 非駐留名表 代碼段和數(shù)據(jù)段 程序區(qū) 重定位表 信息安全工程學院 3 感染過程： 將開始的 3個字節(jié)保存在 將這 3個字節(jié)更改為 0 將病毒寫入原 在病毒的返回部分，將 3個字節(jié)改為 0前地址 毒代碼大小）的二進制編碼，以便在執(zhí)行完病毒后轉向執(zhí)行原程序。 信息安全工程學院 ： 源代碼： 代碼示例講解 演示 信息安全工程學院 驗二） 【 實驗目的 】 掌握 【 實驗平臺 】 信息安全工程學院 實驗步驟 (1) 安裝虛擬機 裝步驟參考網(wǎng)上下載的實驗配套資料“解壓縮目錄檔。 (2) 在虛擬機環(huán)境內(nèi)安裝 (3) 在 :后將 (4) 從附書資源“ 復制病毒程序 信息安全工程學院 (5) 編譯鏈接 成 (6) 編譯鏈接 成病毒程序 (7) 在 C: (8) 執(zhí)行 察未感染前的運行結果。 (9) 執(zhí)行 (10) 執(zhí)行 信息安全工程學院 【 程序源碼 】 本實驗以尾部感染 中待感染 毒源文件源代碼 信息安全工程學院 三、 32位操作系統(tǒng)病毒示例分析 從 信息安全工程學院 (1) 移植的執(zhí)行體） 是 它的一些特性繼承自 件格式。 可移植的執(zhí)行體意味著此文件格式是跨 使 何 當然，移植到不同的 除 6位的 有 此，研究 信息安全工程學院 Z 式頭 PE 表 第 1個節(jié) 第 2個節(jié) n 第 信息安全工程學院 公開的 未公開的 技術包括： 信息安全工程學院 為什么需要重定位？ 正常程序的變量和函數(shù)的相對地址都是預先計算好的。 病毒是附加在宿主程序中的程序段，其問題在于：病毒變量和病毒函數(shù)的相對地址很難計算。 解決方法：動態(tài)找一個參照點，然后再根據(jù)參照點的地址確定病毒函數(shù)和病毒變量的地址。 信息安全工程學院 參照量 + 變量 = 變量 信息安全工程學院 舉例介紹 ? F : B 信息安全工程學院 編譯文件 (假設 ) 00401000 00000000 ) 00401004 0401009 00401009 5B ; 00401009 0040100A 8100401009 ; 0 00401010 8 00401000 ;00401000 ; 信息安全工程學院 如果被定位到 00801000處 00801000 00000000 ) 00801004 0801009 00801009 5B ; 00801009 0080100A 8100401009 ; 00400000 00801010 8 00401000 ;00801000 ;息安全工程學院 為什么要獲得 正常程序用引入表獲得 病毒只是一個依附在正常程序中的代碼段，沒有自己的引入表 思路：去動態(tài)連接庫中尋找 找相應連接庫(在執(zhí)行時的基地址。 尋找基地址的方法包括（以 信息安全工程學院 a） 利用程序的返回地址，在其附近搜索 應用程序中用 回地址 用程序 序入口 S 應用程序 信息安全工程學院 為什么能夠從 4內(nèi)存中得到 基地址呢？其實是這樣的， 一個非常特殊的特性：當有別的程序調用它的時候，它的文件映象就會動態(tài)地映射到調用進程的內(nèi)存地址空間。一般情況下，一個程序在運行的時候， 個 會被映射到該程序的內(nèi)存地址空間，成為它的一部分 這樣一來，我們就可以在宿主的內(nèi)存地址空間中搜索到 基地址了 . 信息安全工程學院 例子 4h ;這里的 4要看從程序第一條指令執(zhí)行到這里有多少 操作，如果設為 N個 這里的指令就是 *4h = 判斷是否 MZ 3 ;=否有 果有跳出循環(huán) 010000h ;分配粒度是 10000h， 0000000H 0如果上面沒有找到，則使用 把找到的 信息安全工程學院 b）對相應操作系統(tǒng)分別給出固定的 對于不同的 至一些 8為 000為 77 7點是兼容性差 信息安全工程學院 得到了 們就可以在該模塊中搜索我們所需要的 對于給定的 以通過直接搜索 同樣我們也可以先搜索出 后利用這兩個 信息安全工程學院 件搜索 該函數(shù)根據(jù)文件名查找文件； 該函數(shù)根據(jù)調用 該函數(shù)用來關閉由 該結構中存放著找到文件的詳細信息。 信息安全工程學院 a） 指定找到的目錄為當前工作目錄 b） 開始搜索文件 (*.*) c） 該目錄搜索完畢？是則返回，否則繼續(xù) d） 找到文件還是目錄？是目錄則調用自身函數(shù) 則繼續(xù) e） 是文件，如符合感染條件，則調用感染模塊，否則繼續(xù) f） 搜索下一個文件 (轉到 信息安全工程學院 內(nèi)存映射文件提供了一組獨立的函數(shù)，這些函數(shù)使應用程序能夠像訪問內(nèi)存一樣對磁盤上的文件進行訪問。這組內(nèi)存映射文件函數(shù)將磁盤上的文件的全部或者部分映射到進程虛擬地址空間的某個位置，以后對文件內(nèi)容的訪問就如同在該地址區(qū)域內(nèi)直接對內(nèi)存訪問一樣簡單。這樣，對文件中數(shù)據(jù)的操作便是直接對內(nèi)存進行操作，大大地提高了訪問的速度，這對于計算機病毒來說，對減少資源占有是非常重要的。 信息安全工程學院 應用步驟 a）調用 回文件句柄 b）調用 回內(nèi)存映射對象句柄 c）調用 般還要加上病毒體的大小）映射到內(nèi)存中。得到指向映射到內(nèi)存的第一個字節(jié)的指針 ( d）用剛才得到的指針 e）調用 入?yún)?shù)是 f）調用 入?yún)?shù)是 g）調用 入?yún)?shù)是 信息安全工程學院 后，把病毒代碼和病毒執(zhí)行后返回宿主程序的代碼寫入新添加的節(jié)中，同時修改 使其指向新添加的病毒代碼入口。這樣，當程序運行時，首先執(zhí)行病毒代碼，當病毒代碼執(zhí)行完成后才轉向執(zhí)行宿主程序。 信息安全工程學院 病毒感染其他文件的步驟 1判斷目標文件開始的兩個字節(jié)是否為“ 2判斷 3判斷感染標記，如果已被感染過則跳出繼續(xù)執(zhí)行宿主程序，否則繼續(xù)。 4獲得 據(jù)目錄）的個數(shù)，（每個數(shù)據(jù)目錄信息占 8個字節(jié)）。 5得到節(jié)表起始位置。 (數(shù)據(jù)目錄的偏移地址 +數(shù)據(jù)目錄占用的字節(jié)數(shù) =節(jié)表起始位置 ) 6得到節(jié)表的末尾偏移（緊接其后用于寫入一個新的病毒節(jié)信息） 節(jié)表起始位置 +節(jié)的個數(shù) *(每個節(jié)表占用的字節(jié)數(shù) 28H)=節(jié)表的末尾偏移。 信息安全工程學院 7開始寫入節(jié)表 a）寫入節(jié)名（ 8字節(jié)）。 b）寫入節(jié)的實際字節(jié)數(shù)（ 4字節(jié)）。 c）寫入新節(jié)在內(nèi)存中的開始偏移地址（ 4字節(jié)），同時可以計算出病毒入口位置。 上一個節(jié)在內(nèi)存中的開始偏移地址 +（上一個節(jié)的大小 /節(jié)對齊 +1） *節(jié)對齊 =本節(jié)在內(nèi)存中的開始偏移地址。 d）寫入本節(jié)（即病毒節(jié)）在文件中對齊后的大小。 e）寫入本節(jié)在文件中的開始位置。 上節(jié)在文件中的開始位置 +上節(jié)對齊后的大小 =本節(jié)（即病毒）在文件中的開始位置。 f）修改映像文件頭中的節(jié)表數(shù)目。 g）修改 程序入口點指向病毒入口位置），同時保存舊的 便返回宿主并繼續(xù)執(zhí)行。 h）更新 存中整個 原 毒節(jié)經(jīng)過內(nèi)存節(jié)對齊后的大?。?。 i）寫入感染標記（后面例子中是放在 j）在新添加的節(jié)中寫入病毒代碼。 病毒長度 病毒代碼位置（并不一定等于病毒執(zhí)行代碼開始位置） 病毒節(jié)寫入位置 k）將當前文件位置設為文件末尾。 信息安全工程學院 毒演示 病毒示例代碼 信息安全工程學院 驗三） 本實驗是根據(jù) 過該實驗，讀者可以了解 進一步學習 【 實驗目的 】 了解 【 實驗環(huán)境 】 運行環(huán)境： 000、 x、P。 編譯環(huán)境： 息安全工程學院 【 實驗步驟 】 文件位置：附書資源目錄 使用編譯環(huán)境打開源代碼工程，編譯后可以生成可執(zhí)行文件 預備步驟：找任意一個 實驗內(nèi)容：運行 打開任一 擇不同的菜單，可以查看到 驗具體步驟可以參考本教材 信息安全工程學院 看器演示 代碼級 信息安全工程學院 信息安全工程學院 信息安全工程學院 信息安全工程學院 信息安全工程學院 信息安全工程學院 32位文件型病毒實驗（實驗四） 本實驗是根據(jù) 所以設計成原型病毒，是因為考慮到信息安全課程的特殊性。學習病毒原理的目的是為了更好地防治病毒，而不是教各位讀者編寫能運行于實際環(huán)境的病毒。 【 實驗目的 】 了解文件型病毒的基本制造原理。 了解病毒的感染、破壞機制，進一步認識病毒程序。 掌握文件型病毒的特征和內(nèi)在機制。 信息安全工程學院 【 實驗環(huán)境 】 運行環(huán)境 000、 x、 P。 【 實驗步驟 】 文件位置：附書資源目錄 目錄中的 譯的病毒程序 )、軟件使用說明書 仔細閱讀 )、源代碼詳解 代碼部分加入了部分注釋 )以及 序源代碼 )。裝后的安裝目錄下的程序，用于測試病毒程序。 信息安全工程學院 預備步驟：將 如 D:壓完畢后，應該在該目錄下有 后把 實驗內(nèi)容：通過運行病毒程序觀看各步的提示以了解病毒的內(nèi)在機制。詳細的演示步驟參見教學 信息安全工程學院 【 實驗注意事項 】 本病毒程序用于實驗目的，請妥善使用。 在測試病毒程序前，請先關閉殺毒軟件的自動防護功能或直接關閉殺毒軟件。 本程序是在開發(fā)時面向實驗演示用的，側重于演示和說明病毒的內(nèi)在原理，破壞功能有限；而且前流行的病毒破壞方式比較嚴重，而且發(fā)作方式非常隱蔽，千萬不要把其他病毒程序采用本例的方式來進行直接運行測試。 測試完畢后，請注意病毒程序的清除，以免誤操作破壞計算機上的其他程序。 信息安全工程學院 32位 病毒引導說明： 文件型病毒，沒有引導部分演示 病毒傳染說明： 傳染范圍： 傳染目標：可執(zhí)行文件 (傳染過程：搜索目錄內(nèi)的可執(zhí)行文件，逐個感染 病毒觸發(fā)說明： 觸發(fā)條件：運行 信息安全工程學院 文件型病毒功能說明 : 病毒破壞說明： 破壞能力：無害型 傳染時減少磁盤的可用空間，在可執(zhí)行文件上附加一個節(jié) (4K) 破壞方式：攻擊文件 在可執(zhí)行文件上附加一個節(jié) (4K)，修改可執(zhí)行文件的入口地址 破壞范圍： 病毒查殺說明： 病毒危害等級：低，屬于無害型病毒 病毒特征類型： 是 病毒查殺方法：刪除所有被感染的文件 信息安全工程學院 步驟 0(預備 )： 當防病毒程序如 ：此處的測試應以當前測試機器上安裝殺毒軟件為準，本示例運行時機器上安裝的只有 以此為參照 )自動防護功能打開 時，鼠標光標位于病毒程序上時，會看到如下的圖例： 圖例 0 圖解說明：注解 0解 0 演示說明：作為自己開發(fā)的病毒程序，為了能夠更好的演示病毒的特征，在開發(fā)過程中我們沒有采用病毒的保護機制，故而防病毒軟件根據(jù)病毒程序的特征即可給出該程序為病毒程序的報警提示。 信息安全工程學院 步驟 1(運行預備 )： 關閉防病毒軟件的自動防護功能，點擊病毒程序 行該程序，參見下圖： 圖例 1 圖解說明：注解 1解 1實驗為了能夠比較直觀演示病毒程序，讓用戶知道正在運行某個程序，故而有此主界面；但實際的病毒在感染其他程序前不會讓用戶感覺到病毒程序正在運行的，往往都是隱藏運行，或者是寄生在宿主程序中，這方面可參照病毒的引導機制的介紹。 演示說明：詳見備注 信息安全工程學院 提示用戶是否觀看感染過程，如下圖： 圖例 2 圖解說明：注解 2擇“是”觀看感染過程，選擇“否”運行原程序，由于該病毒程序不具有其他功能，所以選“否”時就直接關閉程序。 演示說明：該文件型病毒側重于病毒感染過程的演示，所以在感染部分的提示比較詳細。 步驟 2 信息安全工程學院 步驟 3： 開始感染提示，如下圖： 圖例 3 圖解說明：注解 3 演示說明：無 信息安全工程學院 步驟 4： 提示病毒感染范圍，如下圖： 圖例 4 圖解說明：注解 4 演示說明：為了減少病毒破壞的范圍，在編寫該病毒程序時，限定其感染范圍為目錄內(nèi)感染，這也同時減少了病毒的破壞范圍；但就病毒特征而言，它還是很好的體現(xiàn)了病毒程序自我復制的這一特征。 信息安全工程學院 步驟 5： 提示當前搜索到的合法的目標程序，如下圖： 圖例 5 圖解說明：注解 5 演示說明：無 信息安全工程學院 步驟 6： 判斷目標程序是否是合法的可感染的程序，如下圖： 圖例 6 圖解說明：注解 6 演示說明：對于文件型病毒傳染機理可參照病毒的傳染機制。 信息安全工程學院 步驟 7： 感染情況說明提示，如下圖： 圖例 7 圖解說明：注解 7 演示說明：K),被感染的宿主程序運行時先跳轉到該節(jié)處，運行感染代碼；感染結束后再返回宿主程序的入口地址執(zhí)行宿主程序。這也體現(xiàn)了本病毒程序的破壞方式，作為一個演示的病毒程序，破壞程度應該在可控范圍內(nèi)，一些惡性的破壞方式可參照病毒的破壞機制說明。感染結果情況可參照 步驟 12的圖例，體參照 步驟18的圖例。 信息安全工程學院 步驟 8： 感染過程隱藏說明 (小技巧 )，如下圖： 圖例 8 圖解說明：注解 8 演示說明：此處加入該說明是也是為了說明是否存在病毒運行的一種判斷思路，在手工查毒時有時就是依照該手段來判斷當前機器是否有異常程序在運行；如果機器沒有明顯的程序在運行，而硬盤的指示燈一直閃爍，在高速運轉著，則可粗略判斷機器有異常程序在運行。防病毒的相關技術可參照防病毒基礎技術部分介紹。當然對于病毒程序本身而言，為了避免被發(fā)現(xiàn)，就需要通過 信息安全工程學院 步驟 9： 提示是否觀看其他程序感染過程，如下圖： 圖例 9 圖解說明：注解 9 演示說明：無 信息安全工程學院 步驟 10： 病毒感染結束或用戶取消操作的提示，如下圖： 圖例 10 圖解說明：注解 10 演示說明：感染結束或用戶取消后就會運行宿主程序。如果我們隱藏前面介紹的這些步驟的對話框和主界面，則給用戶的感覺就是運行了一個正常的程序，只是程序啟動運行的時間相對慢了一點，這也就體現(xiàn)了病毒程序的潛伏性這一特征。 信息安全工程學院 步驟 11： 該圖例與步驟 6的圖例同步，該圖例是目標程序不合法或已被感染后的提示，如下圖： 圖例 11 圖解說明：注解 11 演示說明：大部分的 ，在感染過程中對已感染的程序會進行檢查是否已被感染，若已經(jīng)被感染則不再進行感染：一可以提高病毒感染的效率，二可以防止多次感染使文件增大而引起用戶的察覺。 信息安全工程學院 步驟 12： 比較目標程序感染前后的變化 (注要指程序大小 )，如下圖 (圖例 12；圖例 122B；圖例 122D)： 圖例 12 圖解說明：注解 1298 05,664 字節(jié) )；注解 02 09,760)。 信息安全工程學院 步驟 12： 比較目標程序感染前后的變化 (注要指程序大小 )，如下圖 (圖例 12；圖例 122B；圖例 122D)： 圖例 12A 信息安全工程學院 步驟 12： 比較目標程序感染前后的變化 (注要指程序大小 )，如下圖 (圖例 12；圖例 122B；圖例 122D)： 圖例 12B 圖解說明：圖例12A、 12B、 12C、 12E 照圖例 122解 個增加到 10個；注解 2程序大小的變化由00043000增加到00044000；注解 3是程序入口地址的變化由00043解 4是程序占用空間的變化由000