本文格式為Word版，下載可任意編輯——病毒與計(jì)算機(jī)安全

鄭州輕工業(yè)學(xué)院

本科

設(shè)計(jì)題目：學(xué)生姓名：系別：專業(yè)：班級：學(xué)號：指導(dǎo)教師：病毒與計(jì)算機(jī)安全＿張波＿＿計(jì)算機(jī)與通信工程學(xué)院網(wǎng)絡(luò)運(yùn)維＿＿＿＿13—02＿＿＿＿541307110250吉星、程立輝＿2023年

摘要：

計(jì)算機(jī)技術(shù)不斷進(jìn)化創(chuàng)新，病毒技術(shù)也與時(shí)俱進(jìn)。病毒己經(jīng)成為一種社會現(xiàn)象，影響力與日俱增。

現(xiàn)在的視窗操作系統(tǒng)下的病毒己經(jīng)十分完善了，它們使用匯編、高級和腳本語言編寫，利用了系統(tǒng)的種種漏洞,使用先進(jìn)的加密和隱蔽算法，可以對殺毒軟件進(jìn)行攻擊。全世界每年因病毒造成的損失不可估量。

在反病毒行業(yè)中，殺毒軟件廠商迫于商業(yè)性的目的，不得不將一些很簡單的問題隱蔽在廣告和宣傳的迷霧之中。從Win32病毒所需基礎(chǔ)知識開始，詳細(xì)闡述了PE格式、重定位、API地址獲取、遍歷網(wǎng)絡(luò)與硬盤、利用IRC,P2P,E-Mail傳播病毒的原理與細(xì)節(jié)。

最終，本文探討了反病毒的一些關(guān)鍵技術(shù):樣本的截獲、特征碼提取、特征字原理以及當(dāng)前最流行的對抗變形和未知病毒的啟發(fā)式掃描技術(shù)。

義。

3.病毒傳播途徑3.1通過1PC傳播

1.相關(guān)命令1)建立非空連接:

NeuseWP\\ipc\用戶名\密碼\，2)拷貝文件

Copyvirus.exe\\\\remoteip\\admin

admin就是c:\\winnt或c:\\Windows目錄，使用c,d就是C盤D盤。

3)查看時(shí)間

Nettime\\\\remoteip

4)at\\\\remoteiptimevirus.exe

用at命令啟動(dòng)virus.exe(這里設(shè)置的時(shí)間要比主機(jī)時(shí)間)2.程序?qū)崿F(xiàn)

NET.IPRemoteName=(char*)\WNetAddConnection2(CopyFile(LocalViursFile,\\\\\\\\RemotelP\\\\admin);

7

這種方法依靠于密碼.3.2通過電子郵件傳播3.2.1原理

編寫電子郵件客戶端程序，把病毒作為附件發(fā)送過去。可是，發(fā)送給誰呢？這就要獲得電子郵件地址。3.2.2SMTP協(xié)議框架

我們先來看看SMTP的發(fā)送協(xié)議，在rfc821(smtp)和rfc1521(mime)里面寫得十明顯了，SMTP的整個(gè)發(fā)送過程如下:

Socket連接后，按SMTP協(xié)議通訊(注意每條命令結(jié)尾符〞回車\\換行\(zhòng)\、回車、換行，終止):1、HELO\\r\\n

Example:HELO\\r\\n2、MAILFROM:\\r\\n

發(fā)送者的Email地址。

xample:MAILFROM:src@163.net\\r\\n3.3利用Sniffer來建立信任關(guān)系

從Win2000開始，WinSock2的wsaloctl可以給一個(gè)SOCK_RAW類型的socket設(shè)置SIORCVALL屬性，這樣該socket就可以收到所有

8

經(jīng)過本機(jī)的所有數(shù)據(jù)。因此無需自己編寫驅(qū)動(dòng)程序就可以截獲流經(jīng)本機(jī)的數(shù)據(jù)了。

下面將利用這個(gè)原理，獲得郵件地址及信任關(guān)系。步驟如下:1.創(chuàng)立RawSocket,設(shè)置SIO_RCVALL,截獲所有流經(jīng)本網(wǎng)卡的數(shù)據(jù)包。2.分析收到的PE包頭，假使DestPort是25轉(zhuǎn)3，否則拋棄，繼續(xù)執(zhí)行2

3.取出數(shù)據(jù)，尋覓Heloh\\r\\n、From:flan、to:t\\r\\n、MailFrommf\\r\\n.、RctpTort\\r\\n、忽略，取出h,f,t,mf,rt這些有用數(shù)據(jù)。

4.如果ip包的SrcIP為本機(jī)ip,則保存mf,作為本機(jī)發(fā)送郵件的可選發(fā)件人，收件人為本機(jī)發(fā)現(xiàn)的郵件地址。5.向rt發(fā)送郵件，病毒為附件，發(fā)件人為f.標(biāo)題為Re:h至于是否從ip包中收集SMTPServer的信息以及用戶的Q令，做為未來發(fā)送郵件只用是一種選擇。由于可以查詢DNS的MX記錄來獲MTP信息，因此可以不選擇。

3.4通過IRC閑聊通道傳播一SCRIPT.NII

SCRIPT.NII自身是一個(gè)mIRC腳本語言，它內(nèi)部的命令允許其他

9

人控制你的IRC對話，使得mIRC客戶端產(chǎn)生兩個(gè)安全漏洞，一個(gè)是auto-DCC-get,一個(gè)是mIRC目錄下的CRIPTINI會自動(dòng)執(zhí)行。它本身不是一個(gè)病毒，但病毒可以修改SCRIPT.NII，使mIRC用戶在閑聊時(shí)傳播自身。

二.通過mIRC閑聊通道傳播

這段代碼在OMIRC、下創(chuàng)立script.ini文件，寫入的命令使得任何人在參與你閑聊的通道時(shí)，將病毒發(fā)送給他。命令在mIRC的幫助文件中有詳細(xì)講解。

[Script]

n0=on1:join:*.*:[if($nick==$me)(halt)n1=/descend串nickVirusPathn3=14.病毒的攻與防4.l樣本截獲技術(shù)

經(jīng)?？吹紸V軟件的廣告上說XX公司率先截獲了XX病毒，這種截獲的方法尋常給人以過分繁雜的感覺，其實(shí)并不巧妙，這就是蜜罐系統(tǒng)(這種蜜罐與分析Hacker行為的那個(gè)不一樣!)可以如下構(gòu)造:準(zhǔn)備一臺上網(wǎng)機(jī)器，安裝Win2k+Spl(不裝SPl可能受到無數(shù)初級菜鳥的Scan)，再安裝IIS6.0和SQLServer2023,能開的服務(wù)都開啟，最好再裝上NAV(防止重復(fù)獲得已知病毒的樣本)，并裝上ISAFireWall來監(jiān)控網(wǎng)絡(luò)流，也裝上SnifferXP來做底層包截獲，最終裝上文件變化記錄敬監(jiān)視文件可以只有幾種類型的幾個(gè)文件就行了)，

10

再用Ghost備份這臺機(jī)器的硬盤。

現(xiàn)在己經(jīng)準(zhǔn)備了一臺這樣的DIY型蜜罐了，到HotMail注冊一個(gè)E-mail,然后參與多個(gè)國外的新聞組等喧嚷的地方(這樣子才有可能得到樣本！)。接下來就是等待了，查Outlook的Mails，等到SnifferXP的監(jiān)視出現(xiàn)流量異常或NAV被關(guān)閉或NAV失效，此時(shí)應(yīng)當(dāng)多開啟幾次一些Program目錄下的程序以確保病毒的感染，然后一IPCS和US進(jìn)來的病毒或蠕蟲會開一些新進(jìn)程，用Ctrl+Alt+Del把他們查出來，找到那些文件—復(fù)制到存樣本的小盤里(推薦USB移動(dòng)硬盤)，然后把文件變化記錄器中變化的文件拷出來。這樣子就得到了疑似樣本了。4.2提取樣本技術(shù)

樣本有Office文檔，腳本，PE文件，網(wǎng)絡(luò)數(shù)據(jù)包等形式，在準(zhǔn)備分析前，需要一些基本工具:一臺性能不錯(cuò)的機(jī)器(能運(yùn)行VMWare就行了)，夠大的內(nèi)存和硬盤。安裝Win2k,最新的SoBIce,IDApro,PEDump,Language沒有特別之處，假使沒采用EPO，和簡單病毒一樣，采用EPO則和EPO病毒一樣，只是分析病毒代碼和變形算法具有相當(dāng)?shù)碾y度。

得到樣本后，接下來的工作就是分析病毒，對于普通病毒，要提取特征碼，加到特征數(shù)據(jù)庫;對于變形病毒，要分析其特征，升級殺毒程序。

4.3如何發(fā)現(xiàn)普通病毒

特征碼和特征字掃描仍舊是行之有效的方法。4.3.1特征碼掃描簡介

特征碼就是某個(gè)病毒所具有的與其它病毒不