1、瑞星病毒防范技能工程師培訓(xùn),什么是計算機病毒,計算機病毒的定義 為達到特殊目的而制作和傳播的計算機代碼或程序”，或者被稱為“惡意代碼”,計算機病毒的特征 非法性 隱蔽性 一些蠕蟲病毒非常注重隱藏和偽裝自己 兄弟病毒 （play.exe ） 潛伏性 長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊 觸發(fā)性 滿足其觸發(fā)條件或者激活病毒的傳染機制就會使之進行傳染或者激活病毒的表現(xiàn)部分或破壞部分 表現(xiàn)性,破壞性 傳染性 計算機病毒最重要的特征 針對性 變異性 不可預(yù)見性,計算機病毒的結(jié)構(gòu) 引導(dǎo)部分 將病毒主體加載到內(nèi)存，為傳染部分做準備 傳染部分 將病毒代碼復(fù)制到傳染目標上去。 表現(xiàn)或

2、破壞部分 病毒間差異最大的部分，前兩個部分也是為這部分服務(wù)的,計算機病毒的存儲結(jié)構(gòu) 磁盤分區(qū)包括（FDISK可創(chuàng)建硬盤分區(qū)表） 主引導(dǎo)記錄區(qū)（只有硬盤有） 引導(dǎo)記錄區(qū) 文件分配表（FAT） 目錄區(qū)和數(shù)據(jù)區(qū),計算機病毒的分類 根據(jù)寄生的數(shù)據(jù)存儲方式劃分 引導(dǎo)區(qū)型 文件型 混合型 混合型病毒同時具備引導(dǎo)型和文件型兩類病毒特征，又稱綜合型或復(fù)合型病毒。這類病毒既感染磁盤引導(dǎo)區(qū)，又感染可執(zhí)行文件,根據(jù)病毒的破壞情況劃分 良性病毒 惡性病毒 在代碼中包含損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用 根據(jù)運行的連續(xù)性分類 駐留內(nèi)存型 應(yīng)用程序把要執(zhí)行的部分在內(nèi)存中駐留一份，這樣就

3、可不必在每次要執(zhí)行它的時候都到硬盤中搜尋，從而可以提高效率 非駐留內(nèi)存型,幾種具有代表性的病毒類型 宏病毒 蠕蟲病毒 特洛伊木馬病毒 變形型病毒和生成機病毒 （病毒大面積爆發(fā)） 計算機病毒的入侵方式 源代碼嵌入攻擊 代碼取代攻擊 外殼寄生入侵 系統(tǒng)修改入侵 （病毒目前的主流入侵方式 ）,病毒發(fā)展史（五代病毒） 單機，單一 混合 變形 網(wǎng)絡(luò) 傳播途徑 CIH病毒 （損壞電腦的硬件 ） “歡樂時光”病毒（蠕蟲類病毒）,計算機病毒的發(fā)展趨勢 智能化 人性化 人性化稱為誘惑性。現(xiàn)在的計算機病毒越來越注重利用人們的心理因素，如好奇、貪婪等 隱蔽化 多樣化 專用病毒生成工具 攻擊反病毒軟件,計算機病毒的危

4、害 絕大部分病毒都存在不同程度的錯誤。錯誤病毒的另一個主要來源是變種病毒。有些計算機新手尚不具備獨立編制軟件的能力，只是出于好奇或其他原因修改別人的病毒，從而造成錯誤,計算機病毒介紹,DOS病毒介紹 DOS操作系統(tǒng) 具有文件管理方便、外設(shè)支持良好、兼容性好和小巧穩(wěn)定等優(yōu)點。但與此同時，DOS是一個單用戶、單任務(wù)的操作系統(tǒng)，因此使用起來有很大的局限性 DOS病毒 針對DOS操作系統(tǒng)開發(fā)的病毒，是出現(xiàn)最早、數(shù)量最多、變種也最多的計算機病毒 通常在特定條件下發(fā)作,文件型病毒 絕大多數(shù)文件型病毒屬于外殼病毒（軟件層次結(jié)構(gòu)） 感染.COM和.EXE等可執(zhí)行文件 （Portable Executable

5、） 文件病毒不但可以感染DOS系統(tǒng)文件，還可以感染W(wǎng)indows系統(tǒng)、Linux 、UNIX系統(tǒng),宏病毒 利用Word VBA 進行編寫的一些宏（早期的宏病毒都是用Word VBA語言編寫的 寄存于文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，宏病毒就會被激活并轉(zhuǎn)移到計算機上，然后駐留在Normal模板上 (*.dot),引導(dǎo)型病毒（大麻，小球，WYX） 改寫磁盤上的引導(dǎo)扇區(qū)的內(nèi)容， 軟盤或硬盤都有可能感染病毒，改寫硬盤上的分區(qū)表（FAT），使所有的硬盤分區(qū)及數(shù)據(jù)丟失 WYX病毒（移動0，63到60，61 可恢復(fù)）,蠕蟲病毒 傳播速度最快、傳播范圍最廣 利用微軟的系統(tǒng)漏洞 “紅色代碼”、“

6、尼姆達”、“sql蠕蟲王” ，“SCO炸彈” 利用Email郵件迅速傳播 “愛蟲病毒”和“求職信病毒” 郵件都會帶有“自動啟動漏洞”功能，即當(dāng)用戶打開郵件的時候其附件就會自動啟動 獨立的程序，避免了受宿主程序的牽制，可以不依賴于宿主程序而獨立運行，從而主動地實施攻擊。 利用系統(tǒng)提供的應(yīng)用編程接口（API）,木馬病毒 自動運行 利用Autoexec.bat和Config.sys進行加載； 修改注冊表（*.reg）； 修改win.ini文件； 感染W(wǎng)indows系統(tǒng)文件，以便進行自動啟動并達到自動隱藏的目的 盜號 在后臺運行，往往能夠?qū)⒂脩羟脫翩I盤的動作記錄下來，再發(fā)送給欺詐者,木馬的隱藏性(灰鴿

7、子) 將自己偽裝成系統(tǒng)文件 將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù) 將木馬程序加載到系統(tǒng)文件中 Windows啟動都會啟動木馬 充分利用端口隱藏 默認有65536個端口，一般是1024以上的高端口 自動備份 為了避免在被發(fā)現(xiàn)之后清除，有些木馬會自動進行備份。這些備份的文件在木馬被清除之后激活，并再次感染系統(tǒng) 通過攔截系統(tǒng)功能調(diào)用的方式來隱藏自己,網(wǎng)頁腳本病毒 通常與網(wǎng)頁相結(jié)合，將惡意的破壞性代碼內(nèi)嵌在網(wǎng)頁中，一旦有用戶瀏覽帶毒網(wǎng)頁，病毒就會立即發(fā)作 WSH （wscript.exe cscript.exe） Windows Scripting Host（Windows腳本宿主）它內(nèi)嵌于Windows

8、操作系統(tǒng)中的腳本語言工作環(huán)境，主要負責(zé)腳本的解釋和執(zhí)行 隱藏性強 傳統(tǒng)認識里，只要不下載應(yīng)用程序，從網(wǎng)上感染病毒的幾率就會減少。腳本病毒的出現(xiàn)徹底改變了人們的這種看法,即時通訊病毒 QQ尾巴 利用系統(tǒng)提供的API向OICQ按鈕發(fā)送“點擊”命令 隱蔽性 對方接收到“好友”發(fā)送過來的信息時，往往會不假思索地接受，從而很快受到病毒的感染。利用人們心理上的疏忽達到更好地隱蔽自己 攻擊更加便利 大多數(shù)即時通訊軟件都可以繞過防火墻,操作系統(tǒng)漏洞攻擊病毒 緩沖區(qū)溢出 緩沖區(qū)被填滿后用病毒代碼覆蓋內(nèi)存數(shù)據(jù) Linux、UNIX、MAC OS以及一些主流的路由器防火墻軟件都存在著安全漏洞,緩沖區(qū)溢出原理,啤酒和

9、杯子 數(shù)據(jù)通常存放在一個臨時空間，此空間稱為緩沖區(qū) 向緩沖區(qū)填充數(shù)據(jù)如果過長，超過本身容量，溢出的數(shù)據(jù)會覆蓋掉正常的數(shù)據(jù) 溢出后的數(shù)據(jù)經(jīng)過精心構(gòu)造可使計算機執(zhí)行我們想要的命令,內(nèi)存管理,計算機不能正確區(qū)分指令與數(shù)據(jù)，當(dāng)把數(shù)據(jù)作為指令提交給處理器時，它會執(zhí)行這些“指令” 我們做這些的目的只有一個：控制目標程序的執(zhí)行流程,棧（LIFO）向低地址增長，保存本地變量、函數(shù)調(diào)用 堆（FIFO）向高地址增長， 保存程序信息和動態(tài)分配變量,.text段只讀 ，包含程序指令 .data和.bss可寫，保存全局變量；.data段包含已初始化的靜態(tài)變量；.bss段包含未初始化的變量,寄存器,通用寄存器 EAX、E

10、BX、ECX等用來保存數(shù)據(jù)、地址、偏移量、計數(shù)和其它數(shù)據(jù)。 段寄存器 CS、DS和SS一般用作段基址寄存器 控制寄存器 EIP保存著下一條即將執(zhí)行的機器指令的地址 其它寄存器 ESP、EBP,一個簡單例子,查看代碼（over） #include #include char name = “abcdefgh; int main() char output8; strcpy(output, name); for (int i = 0; i 8 ,覆蓋方法,NNNNNSSSSSRRRRR型 適合大緩沖區(qū) RRRRRSSSSSNNNNN型 R中含有0，適合*nix NNNNNRSSSSS R=jmp

11、esp,溢出點的定位,二次報錯定位 1、填充字符為”aaaaaaaaaabbbbbbbbbb.” 2、填充字符 為”abcdefghij abcdefghij.”,Shellcode 編寫,Windows下函數(shù)調(diào)用原理 各參數(shù)壓棧 Call函數(shù)地址（push eip+jmp func）,Shellcode 編寫,寫出C語言code,寫出匯編代碼 確定函數(shù)調(diào)用地址 逐個完成函數(shù)調(diào)用,獲取shellcode 匯編模式下復(fù)制出機器碼 整理,利用shellcode,使用shellcode獲取權(quán)限,網(wǎng)絡(luò)釣魚 欺詐行為，或者說是利用互聯(lián)網(wǎng)實施的網(wǎng)絡(luò)詐騙 建立一個與真實網(wǎng)站相類似的詐騙網(wǎng)站，對真實網(wǎng)站的欄目

12、設(shè)置、標題、新聞、圖片及頁面設(shè)計風(fēng)格進行完全克隆 ,流氓軟件 利用“COOKIE”在后臺秘密收集用戶上網(wǎng)習(xí)慣、瀏覽順序、所關(guān)心的話題、經(jīng)常訪問和搜索的網(wǎng)站等信息，為制作者的商業(yè)計劃提供必要的信息 最關(guān)鍵的惡劣之處在于用戶不能通過正常渠道進行卸載 頻繁出現(xiàn)的廣告會消耗用戶的系統(tǒng)資源，影響頁面刷新速度 自動轉(zhuǎn)到某些商業(yè)網(wǎng)站或惡意網(wǎng)頁,病毒分析,虛擬機 VMware Workstation和VirtualPC 病毒分析軟件 Process Explorer FileMon Regmon Tcpview Autoruns IceSword,靜態(tài)分析 W32Dasm IDA Pro 動態(tài)分析 SoftICE TRW2000 OllyDBG,病毒慣用技術(shù) 在已發(fā)現(xiàn)的各種PC機病毒中，有近十分之一的病毒使用了自加密技術(shù)