1、病毒的發(fā)展與技術(shù),主講人：彭國軍,計算機病毒的特點,傳染性 破壞性 寄生性 隱蔽性 程序性（可執(zhí)行性）,潛伏性 可觸發(fā)性 衍生性 欺騙性 不可預(yù)見性,什么是計算機病毒？,一組具有能夠進行自我傳播的破壞性代碼或程序。,計算機病毒的發(fā)展過程,20世紀60年代初，美國貝爾實驗室三個年輕的程序員編寫了一個名為“磁芯大戰(zhàn)”的游戲，游戲中的一方通過復(fù)制自身來擺脫對方的控制，這就是所謂“計算機病毒第一個雛形。 20世紀70年代，美國作家雷恩在其出版的P1的青春一書中構(gòu)思了一種能夠自我復(fù)制的計算機程序，并第一次稱之為“計算機病毒”。,計算機病毒的發(fā)展過程,到了20世紀80年代后期，巴基斯坦有兩個以編軟件為生的

2、兄弟（也就是現(xiàn)在的程序員），他們?yōu)榱舜驌裟切┍I版軟件的使用者，設(shè)計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導(dǎo)區(qū)。這就是最早在世界上流行的第一個真正的病毒。 1988年至1989年，我國也相繼出現(xiàn)了能感染硬盤和軟盤引導(dǎo)區(qū)的Stoned（石頭）病毒，該病毒替代碼中有明顯的標志“Your Pc is now Stoned！”。,20世紀90年代以前病毒的弱點,被感染的文件大小明顯增加 病毒代碼主體沒有加密。 訪問文件的日期得到更新。 很容易被debug工具跟蹤 這些病毒中，稍微有點對抗反病毒手段的只有Yankee Doole病毒，當它發(fā)現(xiàn)你用Debug工具跟蹤它的時候，它會自動從文件中

3、消失。,計算機病毒的發(fā)展過程,接著，就出現(xiàn)了一些能對自身進行簡單加密的病毒，譬如當內(nèi)存有1741病毒，用DIR列目錄表的時候，這個病毒就會掩蓋被感染文件后增加的字節(jié)數(shù)，使人看起來文件的大小沒有什么變化。 1992年以后，出現(xiàn)了是一種叫做DIR2的病毒，這種病毒非常典型，并且其整個程序大小只有263個字節(jié)。,計算機病毒的發(fā)展過程,20世紀內(nèi)，絕大多數(shù)病毒是基于DOS系統(tǒng)的，有80%的病毒能在Windows中傳染。 宏病毒的出現(xiàn)，代表有美麗莎,臺灣一號等 病毒生產(chǎn)機現(xiàn)身，1996年下半年在國內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產(chǎn)機軟件”,計算機病毒的發(fā)展過程,Internet的廣泛應(yīng)用

4、，激發(fā)了病毒的活力。病毒通過網(wǎng)絡(luò)的快速傳播和破壞，為世界帶來了一次一次的巨大災(zāi)難。 1998年2月，臺灣省的陳盈豪，編寫出了破壞性極大的惡性病毒CIH-1.2版，并定于每年的4月26日發(fā)作破壞,CIH介紹,陳盈豪：當時臺灣的一個大學(xué)生 1998年2月，1.2版 1998年4月26日，臺灣少量發(fā)作 1999年4月26日，全球發(fā)作 破壞主板BIOS,CIH特點,通過網(wǎng)絡(luò)（軟件下載）傳播 全球有超過6000萬臺的機器被感染 第一個能夠破壞計算機硬件的病毒 全球直接經(jīng)濟損失超過10億美元,計算機病毒的發(fā)展過程,1999年2月，“美麗莎”病毒席卷了整個歐美大陸 這是世界上最大的一次病毒浩劫，也是最大的一

5、次網(wǎng)絡(luò)蠕蟲大泛濫。,“美麗莎” 介紹,大衛(wèi).史密斯，美國新澤西州工程師 在16小時內(nèi)席卷全球互聯(lián)網(wǎng) 至少造成10億美元的損失！ 通過email傳播 傳播規(guī)模（50的n次方，n為傳播的次數(shù)）,計算機病毒的發(fā)展過程,2000年5月，在歐美又爆發(fā)了“愛蟲”網(wǎng)絡(luò)蠕蟲病毒，造成了比“美麗莎”病毒破壞性更大的經(jīng)濟損失。這個病毒屬于vbs腳本病毒，可以通過html，irc，email進行大量的傳播。,愛蟲病毒介紹,菲律賓“AMA”電腦大學(xué)計算機系的學(xué)生 一個星期內(nèi)就傳遍5大洲 微軟、Intel等在內(nèi)的大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓 全球經(jīng)濟損失達幾十億美元,愛蟲病毒特點,通過電子郵件傳播，向地址本中所有用戶發(fā)帶毒郵件

6、 通過聊天通道IRC、VBS、網(wǎng)頁傳播 能刪除計算機內(nèi)的部分文件 制造大量新的電子郵件，使用戶文件泄密、網(wǎng)絡(luò)負荷劇增。 一年后出現(xiàn)的愛蟲變種VBSLoveLetterCM它還會在Windows目錄下駐留一個染有CIH病毒的文件，并將其激活。,計算機病毒的發(fā)展過程,再后來就出現(xiàn)有更多的網(wǎng)絡(luò)蠕蟲。譬如，紅色代碼，藍色代碼、求職者病毒、尼姆達（Nimda）、FUN_LOVE，最近還在流行的新歡樂時光等等。,計算機病毒的發(fā)展過程,7月18日午夜，紅色代碼大面積暴發(fā)，被攻擊的電腦數(shù)量達到35.9萬臺。被攻擊的電腦中44%位于美國，11%在韓國，5%在中國，其余分散在世界各地。 7月19日， “紅色代碼”

7、病毒開始瘋狂攻擊美國白宮網(wǎng)站，白宮網(wǎng)站管理員將白宮網(wǎng)站從原來的IP地址轉(zhuǎn)移到另外一個地址，才幸免于難。,紅色代碼的特點,該病毒通過微軟公司IIS系統(tǒng)漏洞進行感染，它使IIS服務(wù)程序處理請求數(shù)據(jù)包時溢出，導(dǎo)致把此“數(shù)據(jù)包”當作代碼運行，病毒駐留后再次通過此漏洞感染其它服務(wù)器。 它只存在于內(nèi)存，傳染時借助這個服務(wù)器的網(wǎng)絡(luò)連接攻擊其它的服務(wù)器，直接從一臺電腦內(nèi)存?zhèn)鞯搅硪慌_電腦內(nèi)存。 它所造成的破壞主要是涂改網(wǎng)頁,對網(wǎng)絡(luò)上的其它服務(wù)器進行攻擊，被攻擊的服務(wù)器又可以繼續(xù)攻擊其它服務(wù)器。 在每月的20-27日，向美國白宮網(wǎng)站發(fā)動攻擊。 將WWW英文站點改寫為“Hello! Welcome to www.W

8、! Hacked by Chinese!”。,計算機病毒的發(fā)展過程,7月31日，格林尼治時間午夜整點，“紅色代碼II ”爆發(fā)，在全球大面積蔓延 。 據(jù)統(tǒng)計： 紅色代碼發(fā)作的行業(yè)集中在計算機信息行業(yè)和網(wǎng)站，約占70-80% 其次就是企事業(yè)單位，包括學(xué)校，政府機構(gòu)等，約占20%-30%。 其中北京地區(qū)發(fā)作最為嚴重，約占80%。,紅色代碼II 特點,具有紅色代碼的特點 可以攻擊任何語言的系統(tǒng)。 在遭到攻擊的機器上植入“特洛伊木馬”，擁有極強的可擴充性。 未感染則注冊Atom并創(chuàng)建300個病毒線程。 當判斷到系統(tǒng)默認的語言ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個 。 IP隨機數(shù)發(fā)生器產(chǎn)生

9、用于病毒感染的目標電腦IP地址。(40萬/天） 當病毒在判斷日期大于2002年10月時，會立刻強行重啟計算機,紅色代碼造成的危害,網(wǎng)絡(luò)性能急劇下降，路由器、交換機等網(wǎng)絡(luò)設(shè)備負載加重，甚至崩潰等。 硬盤數(shù)據(jù)能夠被遠程讀寫 直接經(jīng)濟損失：26億美元,計算機病毒的發(fā)展過程,2001年9月18日出現(xiàn)的尼姆達病毒 2001年最為兇猛的惡意蠕蟲病毒，豈今為止已給全球帶來不可估量的經(jīng)濟損失。 該病毒不僅傳播速度快、危害性強，而且自我繁殖能力更是位居各大病毒之首。 已有五種新變種相繼粉墨登場，作惡不可謂不大。 利用unicode漏洞，與黑客技術(shù)相結(jié)合。,尼姆達病毒的傳播過程,2001年9月18日，首先在美國出

10、現(xiàn)，當天下午，有超過130，000臺服務(wù)器和個人電腦受到感染。（北美洲） 2001年9月18日晚上，在日本、香港、南韓、新加坡和中國都收到了受到感染的報告。（亞洲） 2001年9月19日，有超過150000個公司被感染，西門子在他的網(wǎng)絡(luò)受到滲透之后，被迫關(guān)掉服務(wù)器。（歐洲）,尼姆達的四種傳播方式,文件感染 Email WWW 局域網(wǎng),尼姆達的四種傳播方式,文件感染 ：尼姆達在本地機器上尋找系統(tǒng)中的EXE文件，并將病毒代碼置入原文件體內(nèi)，從而達到對文件的感染。當用戶執(zhí)行像游戲一類的受感染的程序文件時，病毒就開始傳播。 郵件感染 ：尼姆達通過MAPI從郵件的客戶端及本地的HTML文件中搜索郵件地址

11、，然后將病毒發(fā)送給這些地址。這些郵件都包含一個名為README.EXE的附件，在某些系統(tǒng)中該附件能夠自動執(zhí)行，從而感染整個系統(tǒng)。 網(wǎng)絡(luò)蠕蟲 ：它還會通過掃描internet，來試圖尋找www服務(wù)器，一旦找到WEB服務(wù)器，該病毒便會利用已知的安全漏洞來感染該服務(wù)器，若感染成功，就會任意修改該站點的WEB頁，當在WEB上沖浪的用戶瀏覽該站點時，不知不覺中便會被自動感染。 通過局域網(wǎng)：查找.doc文件，找到就會把自身復(fù)制到目錄中命名為riched20.dll（word,notepad打開時會調(diào)用文件riched20.dll)。,SirCam 網(wǎng)絡(luò)蠕蟲病毒,首發(fā)于英國的惡性網(wǎng)絡(luò)蠕蟲病毒 觸發(fā)日期：10

12、月16日 病毒行為： 蠕蟲將染毒機器中產(chǎn)生的隨機文檔隱藏到自身代碼中； 蠕蟲將刪除C盤上的所有文件及文件夾，僅當系統(tǒng)日期格式為 D/M/Y（日/月/年）； 每次啟動時蠕蟲通過向c:recycledsircam.sys文件中添加文本使硬盤上的空余空間被充滿 當蠕蟲執(zhí)行8000次后，會停止執(zhí)行。 直接經(jīng)濟損失：11.5億美元,SirCam 病毒的傳播途徑,病毒傳播： 1）郵件：從兩種渠道獲取郵件地址： 搜索下列文件：sho*., get*., hot*., *.htm并將郵件地址拷貝到%Windows%sc?.dll (其中？代表隨機的數(shù)字或字母) 搜索所有驅(qū)動器，尋找*.wab文件（ Windo

13、ws地址簿）并拷貝其中的郵件地址。 2）共享驅(qū)動器：搜索所有共享驅(qū)動器將蠕蟲復(fù)制到該驅(qū)動器中。并： 將自身拷貝到recycledsirc32.exe 在autoexec.bat文件中添加一行： win recycledsirc32.exe“ 復(fù)制文件Windowsrundll32.exe到Windowsrun32.exe 用本地文件 c:recycledsirc32.exe替換Windowsrundll32.exe,求職信病毒特征,“求職信”系列變種病毒利用微軟系統(tǒng)的漏洞，可以自動感染，無須打開附件，因此危害性很大。 其變種具有很強的隱蔽性，可以“隨機應(yīng)變”地自動改換不同的郵件主題和內(nèi)容，瓦解

14、郵件接收者的警惕性。 在郵件內(nèi)部存放發(fā)送信息的一部分，這些變種病毒會偽造虛假信息，掩蓋病毒的真實來源。,求職信病毒特征,能夠繞開一些流行殺毒軟件的監(jiān)控，甚至專門針對一些殺毒軟件進行攻擊。 利用局域網(wǎng)上的共享文件夾進行傳染，其傳播特點類似“尼姆達”病毒。 在網(wǎng)絡(luò)上出現(xiàn)的一些“求職信”變種的專殺工具，由于無法適用于所有的變種，因此在殺除一些變種病毒時，會連病毒帶文件一同刪除，結(jié)果造成殺病毒把電腦一起“殺死”的情況。,“中國黑客”介紹,2002年6月6日，“中國黑客”病毒出現(xiàn)，它發(fā)明了全球首創(chuàng)的“三線程”技術(shù)。 主線程：往硬盤寫入病毒文件或感染其他執(zhí)行文件。 分線程1：監(jiān)視主線程并保證主線程的運行，

15、一旦主線程被清除，這個監(jiān)視器就將主病毒體再次調(diào)入。 分線程2：不斷監(jiān)視注冊表的某個值（run項），一旦被人工或反病毒軟件修改，他立即重新寫入這個值，保證自己下次啟動時拿到控制權(quán)。,“中國黑客”病毒的特點,很多反病毒軟件一般都是直接修改會引起病毒自動加載的注冊表選項，但是它沒有注意到這個病毒馬上又將這個值改回去了。 在傳播方式上，“中國黑客”尋找用戶郵件地址薄來向外發(fā)病毒郵件傳播，或通過局域網(wǎng)傳播，這一點與求職信病毒非常相似。 另外，在Windows 95/98/Me系統(tǒng)下，“中國黑客”病毒學(xué)習(xí)了CIH病毒，它取得了系統(tǒng)的最高權(quán)限。 此外，“中國黑客”病毒還預(yù)留了接口，只要作者愿意的話很多破壞功

16、能與傳播方式很快就可以加上。 還有，病毒體內(nèi)的感染開關(guān)沒有打開，所以目前此病毒還不能感染文件，但實際上病毒體內(nèi)的感染代碼已經(jīng)比較完整，加上幾行代碼就可以實現(xiàn)感染W(wǎng)indows下的.EXE、.DLL、.SCR等文件。,病毒的發(fā)展趨勢,從以上病毒的發(fā)展過程我們可以看出病毒有如下的發(fā)展趨勢： 病毒向有智能和有目的的方向發(fā)展 未來凡能造成重大危害的，一定是“蠕蟲”?！叭湎x”的特征是快速地不斷復(fù)制自身，以求在最短的時間內(nèi)傳播到最大范圍。 病毒開始與黑客技術(shù)結(jié)合，他們的結(jié)合將會為世界帶來無可估量的損失,病毒的發(fā)展趨勢,從Sircam、“尼姆達”、“求職信”、“中文求職信”到“中國黑客”，這類病毒越來越向輕

17、感染文件、重復(fù)制自身的方向發(fā)展。 病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分 基于分布式通信的病毒很可能在不久即將出現(xiàn) 未來病毒與反病毒之間比的就是速度，而增強對新病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心競爭力之一。,計算機病毒的種類和數(shù)量,Dos病毒 40000多種 Win9x病毒 600多種 winnt/win2000病毒 200多種 Word宏病毒 7500多種 excel宏病毒 1500多種 （ 2000年12月統(tǒng)計數(shù)據(jù)）,powerpoint 病毒 100多種 Script腳本病毒 500多種 macintos蘋果機病毒 50種 linux 病毒 5種 手機病毒 2種 合計 55000

18、0多種,病毒所采用的技術(shù),花指令 防止靜態(tài)反匯編 簡單自加密 對抗特征值查毒法 多態(tài) poly一般就是用random key加密相同的vir主體代碼,解碼部分是變化的,存儲在磁盤上的代碼因此是各不相同，AVER因而就無法簡單地根據(jù)特征值掃描. 變形（變態(tài)） 每傳染一次加密算法變化，原病毒體也發(fā)生變化 meta就更深入一步,使每次infect后的代碼主體都不相同,這樣顯然使查殺的難度增加.效果比poly好. 一個通俗的比喻poly就是象給相同的芯加了不同的外殼,從外表看來是不一樣,但是芯的內(nèi)容并沒有變化,只要擊破外殼里面都是一樣的,但meta是使整體發(fā)生變化,沒有完全相同的芯或外殼.,當今的幾種

19、典型反病毒技術(shù),特征值技術(shù) 虛擬機技術(shù) 啟發(fā)式掃描技術(shù) 計算機病毒疫苗,編寫Win32病毒的幾個關(guān)鍵,Api函數(shù)的獲取 不能直接引用動態(tài)鏈接庫 需要自己尋找api函數(shù)的地址，然后直接調(diào)用該地址 一點背景:在PE Loader裝入我們的程序啟動后堆棧頂?shù)牡刂肥鞘浅绦虻姆祷氐刂?肯定在Kernel中! 因此我們可以得到這個地址,然后向低地址縮減驗證一直到找到模塊的起始地址,驗證條件為PE頭不能大于4096bytes,PE header的ImageBase值應(yīng)該和當前指針相等. 病毒沒有.data段，變量和數(shù)據(jù)全部放在.code段,編寫Win32病毒的幾個關(guān)鍵,偏移地址的重定位 Call delta

20、 delta: pop ebp sub ebp,offset delta 那么變量var1的真正偏移地址為：var1+ebp 對PE文件格式的了解,PE文件格式一覽,PE header,Pe header 由三部分組成 字串 “PE00”（Signature） 映像文件頭（FileHeader） 可選映像頭（OptionalHeader）,字串 “PE00”,Signature 一dword類型，值為50h, 45h, 00h, 00h（PE00）。 本域為PE標記，我們可以此識別給定文件是否為有效PE文件。 這個字串在文件中的位置（e_lfanew），可以在DOS程序頭中找到它的指針，它占用

21、四個字節(jié)，位于文件開始偏移3CH字節(jié)中。,映像文件頭,該結(jié)構(gòu)域包含了關(guān)于PE文件物理分布的信息， 比如節(jié)數(shù)目、文件執(zhí)行機器等。 它實際上是結(jié)構(gòu)IMAGE_FILE_HEADER的簡稱。,映像文件頭結(jié)構(gòu),IMAGE_FILE_HEADER STRUCT Machine WORD ? NumberOfSections WORD ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader WORD ? Characteristics WORD ? IMAGE_FILE_HEADER

22、ENDS,映像文件頭的基本信息,可選映像頭,optional header 結(jié)構(gòu)是 IMAGE_NT_HEADERS 中的最后成員。包含了PE文件的邏輯分布信息。該結(jié)構(gòu)共有31個域，一些是很關(guān)鍵，另一些不太常用。這里只介紹那些真正有用的域。 這兒有個關(guān)于PE文件格式的常用術(shù)語: RVA RVA 代表相對虛擬地址。它是相對虛擬空間里的一個地址 。 舉例說明，如果PE文件裝入虛擬地址(VA)空間的400000h處，且進程從虛址401000h開始執(zhí)行，我們可以說進程執(zhí)行起始地址在RVA 1000h。每個RVA都是相對于模塊的起始VA的。,可選映像頭,可選映像頭,DataDirectory數(shù)據(jù)目錄,一

23、個IMAGE_DATA_DIRECTORY數(shù)組，里面放的是這個可執(zhí)行文件的一些重要部分的RVA和尺寸，目的是使可執(zhí)行文件的裝入更快，數(shù)組的項數(shù)由上一個域給出。IMAGE_DATA_DIRECTORY包含有兩個域，如下： IMAGE_DATA_DIRECTORY VitualAddress DD? Size DD? IMAGE_DATA_DIRECTORY ENDS,節(jié)表,節(jié)表其實就是緊挨著 PE header 的一結(jié)構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由 file header (IMAGE_FILE_HEADER) 結(jié)構(gòu)中 NumberOfSections 域的域值來決定。節(jié)表結(jié)構(gòu)又命名為 IMAGE_SECTION_HEADER。 結(jié)構(gòu)中放的是一個節(jié)的信息，如名字、地址、長度、屬性等。,IMAGE_SECTION_HEADER,IMAGE_SECTION_HEADER,