病毒的發(fā)展與技術(shù)計算機病毒的特點傳染性破壞性寄生性隱蔽性程序性（可執(zhí)行性）潛伏性可觸發(fā)性衍生性欺騙性不可預(yù)見性什么是計算機病毒？一組具有能夠進行自我傳播的破壞性代碼或程序。計算機病毒的發(fā)展過程到了20世紀(jì)80年代后期，巴基斯坦有兩個以編軟件為生的兄弟（也就是現(xiàn)在的程序員），他們?yōu)榱舜驌裟切┍I版軟件的使用者，設(shè)計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導(dǎo)區(qū)。這就是最早在世界上流行的第一個真正的病毒。1988年至1989年，我國也相繼出現(xiàn)了能感染硬盤和軟盤引導(dǎo)區(qū)的Stoned（石頭）病毒，該病毒替代碼中有明顯的標(biāo)志“YourPcisnowStoned！”。20世紀(jì)90年代以前病毒的弱點被感染的文件大小明顯增加病毒代碼主體沒有加密。訪問文件的日期得到更新。很容易被debug工具跟蹤這些病毒中，稍微有點對抗反病毒手段的只有YankeeDoole病毒，當(dāng)它發(fā)現(xiàn)你用Debug工具跟蹤它的時候，它會自動從文件中消失。計算機病毒的發(fā)展過程接著，就出現(xiàn)了一些能對自身進行簡單加密的病毒，譬如當(dāng)內(nèi)存有1741病毒，用DIR列目錄表的時候，這個病毒就會掩蓋被感染文件后增加的字節(jié)數(shù)，使人看起來文件的大小沒有什么變化。1992年以后，出現(xiàn)了是一種叫做DIR2的病毒，這種病毒非常典型，并且其整個程序大小只有263個字節(jié)。計算機病毒的發(fā)展過程20世紀(jì)內(nèi)，絕大多數(shù)病毒是基于DOS系統(tǒng)的，有80%的病毒能在Windows中傳染。宏病毒的出現(xiàn)，代表有美麗莎,臺灣一號等病毒生產(chǎn)機現(xiàn)身，1996年下半年在國內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產(chǎn)機軟件”

CIH介紹陳盈豪：當(dāng)時臺灣的一個大學(xué)生1998年2月，1.2版1998年4月26日，臺灣少量發(fā)作1999年4月26日，全球發(fā)作破壞主板BIOS計算機病毒的發(fā)展過程1999年2月，“美麗莎”病毒席卷了整個歐美大陸這是世界上最大的一次病毒浩劫，也是最大的一次網(wǎng)絡(luò)蠕蟲大泛濫。計算機病毒的發(fā)展過程2000年5月，在歐美又爆發(fā)了“愛蟲”網(wǎng)絡(luò)蠕蟲病毒，造成了比“美麗莎”病毒破壞性更大的經(jīng)濟損失。這個病毒屬于vbs腳本病毒，可以通過html，irc，email進行大量的傳播。愛蟲病毒介紹菲律賓“AMA”電腦大學(xué)計算機系的學(xué)生一個星期內(nèi)就傳遍5大洲微軟、Intel等在內(nèi)的大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓全球經(jīng)濟損失達幾十億美元愛蟲病毒特點通過電子郵件傳播，向地址本中所有用戶發(fā)帶毒郵件通過聊天通道IRC、VBS、網(wǎng)頁傳播能刪除計算機內(nèi)的部分文件制造大量新的電子郵件，使用戶文件泄密、網(wǎng)絡(luò)負荷劇增。一年后出現(xiàn)的愛蟲變種VBS／LoveLetter．CM它還會在Windows目錄下駐留一個染有CIH病毒的文件，并將其激活。計算機病毒的發(fā)展過程再后來就出現(xiàn)有更多的網(wǎng)絡(luò)蠕蟲。譬如，紅色代碼，藍色代碼、求職者病毒、尼姆達（Nimda）、FUN_LOVE，最近還在流行的新歡樂時光等等。計算機病毒的發(fā)展過程7月18日午夜，紅色代碼大面積暴發(fā)，被攻擊的電腦數(shù)量達到35.9萬臺。被攻擊的電腦中44%位于美國，11%在韓國，5%在中國，其余分散在世界各地。7月19日，“紅色代碼”病毒開始瘋狂攻擊美國白宮網(wǎng)站，白宮網(wǎng)站管理員將白宮網(wǎng)站從原來的IP地址轉(zhuǎn)移到另外一個地址，才幸免于難。

計算機病毒的發(fā)展過程7月31日，格林尼治時間午夜整點，“紅色代碼II”爆發(fā)，在全球大面積蔓延。據(jù)統(tǒng)計：紅色代碼發(fā)作的行業(yè)集中在計算機信息行業(yè)和網(wǎng)站，約占70-80%其次就是企事業(yè)單位，包括學(xué)校，政府機構(gòu)等，約占20%-30%。其中北京地區(qū)發(fā)作最為嚴(yán)重，約占80%。紅色代碼II特點具有紅色代碼的特點可以攻擊任何語言的系統(tǒng)。在遭到攻擊的機器上植入“特洛伊木馬”，擁有極強的可擴充性。未感染則注冊Atom并創(chuàng)建300個病毒線程。當(dāng)判斷到系統(tǒng)默認(rèn)的語言ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個。IP隨機數(shù)發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)電腦IP地址。(40萬/天）當(dāng)病毒在判斷日期大于2002年10月時，會立刻強行重啟計算機計算機病毒的發(fā)展過程2001年9月18日出現(xiàn)的尼姆達病毒2001年最為兇猛的惡意蠕蟲病毒，豈今為止已給全球帶來不可估量的經(jīng)濟損失。該病毒不僅傳播速度快、危害性強，而且自我繁殖能力更是位居各大病毒之首。已有五種新變種相繼粉墨登場，作惡不可謂不大。

利用unicode漏洞，與黑客技術(shù)相結(jié)合。尼姆達病毒的傳播過程2001年9月18日，首先在美國出現(xiàn)，當(dāng)天下午，有超過130，000臺服務(wù)器和個人電腦受到感染。（北美洲）2001年9月18日晚上，在日本、香港、南韓、新加坡和中國都收到了受到感染的報告。（亞洲）2001年9月19日，有超過150000個公司被感染，西門子在他的網(wǎng)絡(luò)受到滲透之后，被迫關(guān)掉服務(wù)器。（歐洲）尼姆達的四種傳播方式文件感染：尼姆達在本地機器上尋找系統(tǒng)中的EXE文件，并將病毒代碼置入原文件體內(nèi)，從而達到對文件的感染。當(dāng)用戶執(zhí)行像游戲一類的受感染的程序文件時，病毒就開始傳播。郵件感染：尼姆達通過MAPI從郵件的客戶端及本地的HTML文件中搜索郵件地址，然后將病毒發(fā)送給這些地址。這些郵件都包含一個名為README.EXE的附件，在某些系統(tǒng)中該附件能夠自動執(zhí)行，從而感染整個系統(tǒng)。網(wǎng)絡(luò)蠕蟲：它還會通過掃描internet，來試圖尋找www服務(wù)器，一旦找到WEB服務(wù)器，該病毒便會利用已知的安全漏洞來感染該服務(wù)器，若感染成功，就會任意修改該站點的WEB頁，當(dāng)在WEB上沖浪的用戶瀏覽該站點時，不知不覺中便會被自動感染。通過局域網(wǎng)：查找.doc文件，找到就會把自身復(fù)制到目錄中命名為riched20.dll（word,notepad打開時會調(diào)用文件riched20.dll)。SirCam網(wǎng)絡(luò)蠕蟲病毒

首發(fā)于英國的惡性網(wǎng)絡(luò)蠕蟲病毒觸發(fā)日期：10月16日病毒行為：蠕蟲將染毒機器中產(chǎn)生的隨機文檔隱藏到自身代碼中；蠕蟲將刪除C盤上的所有文件及文件夾，僅當(dāng)系統(tǒng)日期格式為D/M/Y（日/月/年）；每次啟動時蠕蟲通過向c:\recycled\sircam.sys文件中添加文本使硬盤上的空余空間被充滿當(dāng)蠕蟲執(zhí)行8000次后，會停止執(zhí)行。直接經(jīng)濟損失：11.5億美元SirCam病毒的傳播途徑病毒傳播：1）郵件：從兩種渠道獲取郵件地址：搜索下列文件：sho*.,get*.,hot*.,*.htm并將郵件地址拷貝到%Windows%\sc??.dll(其中？代表隨機的數(shù)字或字母)

搜索所有驅(qū)動器，尋找*.wab文件（Windows地址簿）并拷貝其中的郵件地址。2）共享驅(qū)動器：搜索所有共享驅(qū)動器將蠕蟲復(fù)制到該驅(qū)動器中。并：將自身拷貝到\recycled\sirc32.exe在\autoexec.bat文件中添加一行：

"@win\recycled\sirc32.exe“復(fù)制文件\Windows\rundll32.exe到\Windows\run32.exe用本地文件c:\recycled\sirc32.exe替換\Windows\rundll32.exe

求職信病毒特征

能夠繞開一些流行殺毒軟件的監(jiān)控，甚至專門針對一些殺毒軟件進行攻擊。

利用局域網(wǎng)上的共享文件夾進行傳染，其傳播特點類似“尼姆達”病毒。在網(wǎng)絡(luò)上出現(xiàn)的一些“求職信”變種的專殺工具，由于無法適用于所有的變種，因此在殺除一些變種病毒時，會連病毒帶文件一同刪除，結(jié)果造成殺病毒把電腦一起“殺死”的情況?！爸袊诳汀苯榻B2002年6月6日，“中國黑客”病毒出現(xiàn)，它發(fā)明了全球首創(chuàng)的“三線程”技術(shù)。主線程：往硬盤寫入病毒文件或感染其他執(zhí)行文件。分線程1：監(jiān)視主線程并保證主線程的運行，一旦主線程被清除，這個監(jiān)視器就將主病毒體再次調(diào)入。分線程2：不斷監(jiān)視注冊表的某個值（run項），一旦被人工或反病毒軟件修改，他立即重新寫入這個值，保證自己下次啟動時拿到控制權(quán)?！爸袊诳汀辈《镜奶攸c很多反病毒軟件一般都是直接修改會引起病毒自動加載的注冊表選項，但是它沒有注意到這個病毒馬上又將這個值改回去了。在傳播方式上，“中國黑客”尋找用戶郵件地址薄來向外發(fā)病毒郵件傳播，或通過局域網(wǎng)傳播，這一點與求職信病毒非常相似。另外，在Windows95/98/Me系統(tǒng)下，“中國黑客”病毒學(xué)習(xí)了CIH病毒，它取得了系統(tǒng)的最高權(quán)限。此外，“中國黑客”病毒還預(yù)留了接口，只要作者愿意的話很多破壞功能與傳播方式很快就可以加上。還有，病毒體內(nèi)的感染開關(guān)沒有打開，所以目前此病毒還不能感染文件，但實際上病毒體內(nèi)的感染代碼已經(jīng)比較完整，加上幾行代碼就可以實現(xiàn)感染W(wǎng)indows下的.EXE、.DLL、.SCR等文件。

病毒的發(fā)展趨勢從以上病毒的發(fā)展過程我們可以看出病毒有如下的發(fā)展趨勢：病毒向有智能和有目的的方向發(fā)展未來凡能造成重大危害的，一定是“蠕蟲”?！叭湎x”的特征是快速地不斷復(fù)制自身，以求在最短的時間內(nèi)傳播到最大范圍。病毒開始與黑客技術(shù)結(jié)合，他們的結(jié)合將會為世界帶來無可估量的損失病毒的發(fā)展趨勢從Sircam、“尼姆達”、“求職信”、“中文求職信”到“中國黑客”，這類病毒越來越向輕感染文件、重復(fù)制自身的方向發(fā)展。病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分基于分布式通信的病毒很可能在不久即將出現(xiàn)未來病毒與反病毒之間比的就是速度，而增強對新病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心競爭力之一。計算機病毒的種類和數(shù)量Dos病毒40000多種

Win9x病毒600多種

winnt/win2000病毒200多種Word宏病毒7500多種excel宏病毒1500多種

（2000年12月統(tǒng)計數(shù)據(jù)）powerpoint病毒100多種Script腳本病毒500多種macintos蘋果機病毒50種

linux病毒5種手機病毒2種

合計550000多種病毒所采用的技術(shù)花指令防止靜態(tài)反匯編簡單自加密對抗特征值查毒法多態(tài)poly一般就是用randomkey加密相同的vir主體代碼,解碼部分是變化的,存儲在磁盤上的代碼因此是各不相同，AVER因而就無法簡單地根據(jù)特征值掃描.變形（變態(tài)）每傳染一次加密算法變化，原病毒體也發(fā)生變化meta就更深入一步,使每次infect后的代碼主體都不相同,這樣顯然使查殺的難度增加.效果比poly好.

一個通俗的比喻poly就是象給相同的芯加了不同的外殼,從外表看來是不一樣,但是芯的內(nèi)容并沒有變化,只要擊破外殼里面都是一樣的,但meta是使整體發(fā)生變化,沒有完全相同的芯或外殼.當(dāng)今的幾種典型反病毒技術(shù)

特征值技術(shù)虛擬機技術(shù)啟發(fā)式掃描技術(shù)計算機病毒疫苗編寫Win32病毒的幾個關(guān)鍵Api函數(shù)的獲取不能直接引用動態(tài)鏈接庫需要自己尋找api函數(shù)的地址，然后直接調(diào)用該地址一點背景:在PELoader裝入我們的程序啟動后堆棧頂?shù)牡刂肥鞘浅绦虻姆祷氐刂?肯定在Kernel中!因此我們可以得到這個地址,然后向低地址縮減驗證一直到找到模塊的起始地址,驗證條件為PE頭不能大于4096bytes,PEheader的ImageBase值應(yīng)該和當(dāng)前指針相等.病毒沒有.data段，變量和數(shù)據(jù)全部放在.code段

編寫Win32病毒的幾個關(guān)鍵偏移地址的重定位

Calldeltadelta:popebpsubebp,offsetdelta那么變量var1的真正偏移地址為：var1+ebp對PE文件格式的了解PE文件格式一覽

DOSMZheaderDOSstubPEheaderSectiontableSection1Section2Section...SectionnPEheaderPeheader由三部分組成字串“PE\0\0”（Signature）映像文件頭（FileHeader）可選映像頭（OptionalHeader）字串“PE\0\0”Signature

一dword類型，值為50h,45h,00h,00h（PE\0\0）。

本域為PE標(biāo)記，我們可以此識別給定文件是否為有效PE文件。這個字串在文件中的位置（e_lfanew），可以在DOS程序頭中找到它的指針，它占用四個字節(jié)，位于文件開始偏移3CH字節(jié)中。

映像文件頭該結(jié)構(gòu)域包含了關(guān)于PE文件物理分布的信息，

比如節(jié)數(shù)目、文件執(zhí)行機器等。

它實際上是結(jié)構(gòu)IMAGE_FILE_HEADER的簡稱。映像文件頭結(jié)構(gòu)

IMAGE_FILE_HEADERSTRUCT

MachineWORD?

NumberOfSectionsWORD?

TimeDateStampdd?

PointerToSymbolTabledd?

NumberOfSymbolsdd?

SizeOfOptionalHeaderWORD?

CharacteristicsWORD?

IMAGE_FILE_HEADERENDS映像文件頭的基本信息順序名字

大?。ㄗ止?jié)）描述1Machine*2機器類型，x86為14ch2NumberOfSection**2文件中節(jié)的個數(shù)3TimeDataStamp4生成該文件的時間4PointerToSymbleTable4COFF符號表的偏移5NumberOfSymbols4符號數(shù)目6SizeOfOptionalHeader2可選頭的大小7Characteristics*2關(guān)于文件信息的標(biāo)記，比如文件是exe還是dll可選映像頭optionalheader結(jié)構(gòu)是

IMAGE_NT_HEADERS

中的最后成員。包含了PE文件的邏輯分布信息。該結(jié)構(gòu)共有31個域，一些是很關(guān)鍵，另一些不太常用。這里只介紹那些真正有用的域。這兒有個關(guān)于PE文件格式的常用術(shù)語:RVA

RVA代表相對虛擬地址。它是相對虛擬空間里的一個地址。舉例說明，如果PE文件裝入虛擬地址(VA)空間的400000h處，且進程從虛址401000h開始執(zhí)行，我們可以說進程執(zhí)行起始地址在RVA1000h。每個RVA都是相對于模塊的起始VA的。

可選映像頭名字描述AddressOfEntryPoint*PE裝載器準(zhǔn)備運行的PE文件的第一個指令的RVA。若要改變整個執(zhí)行的流程，可以將該值指定到新的RVA，這樣新RVA處的指令首先被執(zhí)行。ImageBasePE文件的優(yōu)先裝載地址。比如，如果該值是400000h，PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處。若該地址區(qū)域已被其他模塊占用，那PE裝載器會選用其他空閑地址。SectionAlignment內(nèi)存中節(jié)對齊的粒度。FileAlignment文件中節(jié)對齊的粒度?？蛇x映像頭名字描述MajorSubsystemVersion

MinorSubsystemVersionwin32子系統(tǒng)版本。若PE文件是專門為Win32設(shè)計的，該子系統(tǒng)版本必定是4.0否則對話框不會有3維立體感。SizeOfImage內(nèi)存中整個PE映像體的尺寸。SizeOfHeaders所有頭+節(jié)表的大小，也就等于文件尺寸減去文件中所有節(jié)的尺寸?？梢砸源酥底鳛镻E文件第一節(jié)的文件偏移量。SubsystemNT用來識別PE文件屬于哪個子系統(tǒng)。DataDirectory一IMAGE_DATA_DIRECTORY結(jié)構(gòu)數(shù)組。每個結(jié)構(gòu)給出一個重要數(shù)據(jù)結(jié)構(gòu)的RVA，比如引入地址表等。DataDirectory數(shù)據(jù)目錄一個IMAGE_DATA_DIRECTORY數(shù)組，里面放的是這個可執(zhí)行文件的一些重要部分的RVA和尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組的項數(shù)由上一個域給出。IMAGE_DATA_DIRECTORY包含有兩個域，如下：

IMAGE_DATA_DIRECTORYVitualAddressDD?SizeDD?IMAGE_DATA_DIRECTORYENDS節(jié)表節(jié)表其實就是緊挨著PEheader的一結(jié)構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由fileheader(IMAGE_FILE_HEADER)結(jié)構(gòu)中NumberOfSections

域的域值來決定。節(jié)表結(jié)構(gòu)又命名為IMAGE_SECTION_HEADER。結(jié)構(gòu)中放的是一個節(jié)的信息，如名字、地址、長度、屬性等。IMAGE_SECTION_HEADER順序名字大小（字節(jié)）描述1Name*8節(jié)名2PhysicalAddress或VirtualSize4OBJ文件用作表示本節(jié)物理地址EXE文件中表示節(jié)的真實尺寸3Virtual*4這個值+映像基地址=本節(jié)在內(nèi)存中的真正地址。OBJ中無意義。4SizeOfRawData*4本節(jié)的原始尺寸5PointerToRawData*4本節(jié)原始數(shù)據(jù)在文件中的位置IMAGE_SECTION_HEADER順序名字大?。ㄗ止?jié)）描述6PointerToRelocations4OBJ中表示該節(jié)重定位信息的偏移EXE文件中無意義7PointerToLinenumbers4行號偏移8NumberOfRelocations2本節(jié)要重定位的數(shù)目9NumberOfLinenumbers2本節(jié)在行號表中的行號數(shù)目10Characteristics*4節(jié)屬性節(jié)

“節(jié)（Section)”跟在節(jié)表之后，一般PE文件都有幾個“節(jié)”。比較常見的有：代碼節(jié)已初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)資源節(jié)引入函數(shù)節(jié)引出函數(shù)節(jié)代碼節(jié)代碼節(jié)一般