【正文】 口令進(jìn)行破解嘗試，發(fā)現(xiàn)問題及時(shí)整改。 ⑤受感染系統(tǒng)上的可執(zhí)行程序：受感染系統(tǒng)上的可執(zhí)行程序，如文件傳輸?shù)瓤杀?蠕蟲作為自己組成部分。這是新歡樂時(shí)光病毒采用的一種比較有效的獲取控制權(quán)的方法。 VBS 腳本病毒原理分析 (1) VBS 腳本病毒如何感染文件 VBS 腳本病毒是直接通過自我復(fù)制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。 腳本文件的編寫十分方便，你可以選用任意一個(gè)文字編輯軟件進(jìn)行編寫。 更具體一點(diǎn)，編寫一個(gè)腳本文件，后綴為 .VBS或 .JS，然后在 Windows下雙擊執(zhí)行它，這時(shí)系統(tǒng)就會(huì)自動(dòng)調(diào)用一個(gè)適當(dāng)?shù)某绦騺韺?duì)它進(jìn)行解釋并執(zhí)行，而這個(gè)程序就是 Windows Scripting Host，程序執(zhí)行名為(若是在命令行下，則為 )。 WSH 介紹 WSH，是“ Windows Scripting Host” 的縮寫形式，其通用的中文譯名為“ Windows 腳本宿主 ” 。有些是潛伏在 Word文件中的宏病毒，因此對(duì) Word文件形式的附件，也要小心。 郵件病毒的工作流程一般可分為：自我復(fù)制、自我注冊(cè)、查找傳播條件、傳播、判斷發(fā)作條件、發(fā)作、退出等。郵件病毒產(chǎn)生的原因在于郵件系統(tǒng)的服務(wù)不能控制郵件的內(nèi)容和傳播的行為，使病毒寄身于信內(nèi)得以傳播。 (3)刪 除 VBS,VBE,JS,JSE 文件擴(kuò)展名與應(yīng)用程序的映射：點(diǎn)擊我的電腦 查看 文件夾選項(xiàng) 文件類型，然后刪除 VBS,VBE,JS,JSE 文件擴(kuò)展名與應(yīng)用程序的映射。在 Windows 的 SYSTEM 目錄下，保存有很多 Windows 提供的 ActiveX控件?，F(xiàn)在我們來分析一下其修改注冊(cè)表的代碼。采用 BFF格式的 Word文檔是立體結(jié)構(gòu)的，文檔中除了包括文本外，還包括字體、頁(yè)面布局、圖形、圖像等信息，這些信息相互鏈接，形成完整的 Word 文件。 宏病毒的防范 (1) 利用 Word 提供的“宏病毒防護(hù)”功能 防御宏病毒的一種比較簡(jiǎn)單的方法，就是在打開 Word 文檔時(shí)先禁止所有自動(dòng)執(zhí)行的宏 (以 Auto 開頭的宏 )的執(zhí)行。這些操作均可能系統(tǒng)直接構(gòu)成威脅，而 Word在指令安全性、完整性上檢測(cè)能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。此病毒在不同的 Windows 平臺(tái)上有不同的破壞性表現(xiàn)，輕則刪除幫助文件，重則刪除硬盤中的所有文件。當(dāng)某項(xiàng)功能被調(diào)用時(shí)，相應(yīng)的病毒宏就會(huì)篡奪控制權(quán)，實(shí)施病毒所定義的非法操作，包括傳 染操作、表現(xiàn)操作以及破壞操作等。其基本動(dòng)作為： ①調(diào)用感染模塊，進(jìn)行感染； ②調(diào)用觸發(fā)模塊，接收其返回值； ③如果返回真值，執(zhí)行破壞模塊； ④如果返回假值，執(zhí)行后續(xù)程序。病毒的觸發(fā)條件有多種形式，主要有 :日期和時(shí)間觸發(fā)、鍵盤觸發(fā)、啟動(dòng)觸發(fā)、磁盤訪問觸發(fā)和中斷訪問觸發(fā)、其他觸發(fā)方式。 計(jì)算機(jī)病毒是一種特殊程序，其最大特點(diǎn)是具有感染能力。 (4)轉(zhuǎn)儲(chǔ)式寄生病毒：該類病毒是改變其宿主程序代碼的存儲(chǔ)位置，使病毒自身的程序代碼侵占宿主程序的存儲(chǔ)空間。 按計(jì)算機(jī)病毒破壞情況分類 (1)良性病毒：是不包含有對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼的計(jì)算機(jī)病毒。 1997 年 2 月，出現(xiàn)了首例攻擊 Linux 系統(tǒng)的病毒 — Bliss(上天的賜福 )。盡管如此，病毒對(duì)大型計(jì)算機(jī)的攻擊威脅仍然存著。病毒的觸發(fā)條件越多，則傳染性越強(qiáng)。良性病毒多數(shù)都是編制者的惡作劇，它對(duì)文件、數(shù)據(jù)不具有破壞性，但會(huì)浪費(fèi)系統(tǒng)資源。 (2) 潛伏性 病毒程序進(jìn)入計(jì)算機(jī)之后，一般情況下除了傳染外，并不會(huì)立即發(fā)威，而是在系統(tǒng)中潛伏一段時(shí)間。和處于潛伏期的病毒一樣，觸發(fā)階段病毒的觸發(fā)條件是一些系統(tǒng)事件，包含病毒復(fù)制自身的次數(shù)。因此本論文選擇了 windows 病毒作為研究對(duì)象。 第四部分：病毒抗分析技術(shù)。當(dāng) 前 的計(jì)算機(jī)病毒廠 商在計(jì)算機(jī)病毒的消除方面，都是發(fā)現(xiàn)一個(gè)新病毒后，立即分析它的運(yùn)行機(jī)制，感染原理，編制程序進(jìn)行查、殺，最后加入到反病毒軟件中，或放在網(wǎng)上供用戶下載。 1998 年 6 月，首例能夠破壞 PC 機(jī)系統(tǒng)硬件的“ CIH”病毒在國(guó)內(nèi)被發(fā)現(xiàn)。 20 世紀(jì) 60 年代初，在美國(guó)貝爾實(shí)驗(yàn)里， 3 個(gè)年輕的程序員編寫了一個(gè)名為“磁芯大戰(zhàn)”的游戲，游戲中通過復(fù)制自身來擺脫對(duì)方的控制，這就是所謂“病毒”的第一個(gè)雛 形。本文還介紹了木馬的概念和危害、木馬的工作原理、木馬的預(yù)防和清除。 浙 江工業(yè)職業(yè)技術(shù)學(xué)院 畢業(yè)論文 （ 2021 屆） 淺談 windows 下的病毒隱藏技術(shù) 學(xué)生姓名 學(xué) 號(hào) 分 院 專 業(yè) 信 指導(dǎo)教師 完成日期 2021年 5月 19日 淺談 windows 下的病毒隱藏技術(shù) 摘 要 隨著人們對(duì)計(jì)算機(jī)安全要求的不斷提高，計(jì)算機(jī)病毒作為計(jì)算機(jī)安全的主要威脅，正在受到人們廣泛的關(guān)注。 當(dāng)前，病毒的傳播途徑主要依賴于網(wǎng)絡(luò)，網(wǎng)絡(luò)是主機(jī)感染病毒的主要來源，論文最后給出了常見的病毒檢測(cè)技術(shù)并簡(jiǎn)要介紹了防火墻的概念。 1983 年 11 月，在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上，美國(guó)計(jì)算機(jī)專家首次將病毒程序在 VAX/750計(jì)算上進(jìn)行了實(shí)驗(yàn)，世界上第一個(gè)計(jì)算機(jī)病毒就這樣出生在實(shí)驗(yàn)室里?！?CIH”病毒產(chǎn)自臺(tái)灣，最先通過盜版光盤在美國(guó)和歐洲等地廣泛流行，后通過 Inter 共享渠道在全球泛濫。不僅殺毒軟件滯后于病毒，而且由于多態(tài)性計(jì)算機(jī)病毒的出現(xiàn)，更增加了這種分析的難度，這也是當(dāng)前反病毒領(lǐng)域的瓶頸所在。介紹了病毒常用的抗分析技術(shù)，包括隱藏、花指令、變形、異常處理。 基本定義 計(jì)算機(jī)病毒 (puter virus)最早由美國(guó)計(jì)算機(jī)病毒研究專家 博士提出。 (4) 發(fā)作階段 病毒在觸發(fā)條件成熟時(shí)，即可 在系統(tǒng)在發(fā)作。只有當(dāng)其特定的觸發(fā)條件滿足時(shí)，才會(huì)激活病毒的表現(xiàn)模塊而出現(xiàn)中毒癥狀。如：GENP、 WBOOT 等。 自第一例計(jì) 算機(jī)病毒于 20 世紀(jì) 80 年代初面世以來，伴隨著計(jì)算機(jī)技術(shù)、信息技術(shù)及其應(yīng)用突飛猛進(jìn)，獲得令人矚目的空前的同時(shí)，也促進(jìn)了計(jì)算機(jī)病毒技術(shù)亦步亦趨的發(fā)展。 (4)攻擊計(jì)算機(jī)網(wǎng)絡(luò)的病毒：在計(jì)算機(jī)網(wǎng)絡(luò)得到了空前廣泛應(yīng)用的今天，攻擊計(jì)算機(jī)網(wǎng)絡(luò)的病毒的頻頻出現(xiàn)。 按計(jì)算機(jī)病毒的傳染方式分類 (1)引導(dǎo)型病毒：引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個(gè)固定區(qū)域，并且控制權(quán)的轉(zhuǎn)接方式是以物理地址為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)，因而病毒占據(jù)該物理位置即可以獲得控制權(quán)，這種類型的病毒以 DOS 系統(tǒng)下病毒為主。雖然它不直接破壞計(jì)算機(jī)內(nèi)部數(shù)據(jù)，但它會(huì)使系統(tǒng)資源急劇減少最終導(dǎo)致系統(tǒng)崩潰。 計(jì)算機(jī)病毒數(shù)量劇增，花樣更新，傳播迅速。病毒的感染動(dòng)作受到觸發(fā)機(jī)制的控制，病毒觸發(fā)機(jī)制還控制了病毒的破壞動(dòng)作。病毒觸發(fā)模塊的主要功能為： ①檢查預(yù)定觸發(fā)條件是否滿足； ②如果滿足，返回真值； ③如果不滿足，返回假值。 10 第三章 Windows 病毒分析 現(xiàn)在的用戶一般都安裝 Windows 操作系統(tǒng)，而 Windows 病毒種類繁多，下面主要研究宏病毒、網(wǎng)頁(yè)病毒、郵件病毒、及蠕蟲病毒等一些常見的病毒。宏病毒在感染一個(gè)文檔時(shí)，首先要把文檔轉(zhuǎn)換成模板格式，然后把所有病毒宏(包括自動(dòng)宏 )復(fù)制到該文檔中。宏病毒的破壞主要表現(xiàn)在兩方面： (1)對(duì) Word 和 Excel 運(yùn)行的破壞：不能正常打??；封閉或改變文件存儲(chǔ)路徑；將文件發(fā)展改名；亂復(fù)制文件；封閉有關(guān)菜單；文件無法正常編輯。宏病毒Nuclear 就是破壞操作系統(tǒng)的典型一例。由于宏病毒的肆虐，微軟公司在 Word97 版本中提供了“宏病毒防護(hù)”的功能選項(xiàng)。因此，要干凈、徹底地清除宏病毒，就必須對(duì) BFF格式有透徹地理解，否則就可能在殺除宏病毒時(shí)出現(xiàn)以下現(xiàn)象：文檔被殺“死”，用戶再也無法用Word 打開這份文件：殺毒不干凈，在文檔中殘留有宏病毒的結(jié)構(gòu)，因而在重新打開文檔時(shí)可能出現(xiàn)非法錯(cuò)誤或“內(nèi)存不足”等現(xiàn)象；清除了宏病毒本身，但殘留了病毒的“空殼”，使得 殺毒后的文檔仍然不能另存，并且在用 Office97 打開該文檔時(shí)， Word 總會(huì)提示用戶文檔中包含“可疑宏”。首先我們還得了解一下微軟的 ActiveX 技術(shù)。 請(qǐng)看下面程序： script // 初始化 activeX 控件 (“ applet height=0 width=0 code= /applet” ) //初始化 acitveX 控件結(jié)束 //定義結(jié)束 function f(){ try { // 設(shè)定 applet 為 0 a1=[0] // 初始化 Windows Script Host Shell Object (“ {f935dc221cf011d0adb900c04fd58a0b}” ) () sh1=() try { //開始定注冊(cè)表 //設(shè)定 IE的標(biāo)題為 Inter Explorer (“ HKEYCURRENTUSER\\Software\\Microsoft\\inter Explorer\\Main\\Window Title”，“ Inter Explorer” ) //設(shè)定 IE 的默認(rèn)首頁(yè)為我們自己 的主頁(yè) (“ HKEYCURRENTUSER\\Software\\Microsoft\\InterExplorer\\Main\\StartPage” , ) //設(shè)定首頁(yè)那項(xiàng)變灰 (“ HKEYUSERS\\DEFAULT\\SoftWare\\Policies\\Microsoft\\ 15 InterExplorer\\ControlPanel\\HomePage” ,0x1.“ REGDWORD” ) {catch(){} }catch(){} } function init() { //1000 毫秒后開始調(diào)用函數(shù) f() setTimeout(“ f()” ,1000) } init() /script 說明： try{語(yǔ)句體 1} catch(e){語(yǔ)句體 2} 其中語(yǔ)句體 2是異常處理程序：如果語(yǔ)句體 1 運(yùn)行中發(fā)生異常，則行語(yǔ)句體 2 這樣當(dāng)語(yǔ)句體 1運(yùn)行過程中發(fā)生錯(cuò)誤時(shí)，就不會(huì)直接彈出錯(cuò)誤提示窗口，而由語(yǔ)句 2 處理。 (4)在 Windows目錄中，找到 或 ，更改名稱或者刪除。郵件病毒并不是郵件系統(tǒng)的錯(cuò)，問題仍然出在操作系統(tǒng)和應(yīng)用系統(tǒng)上，這些系統(tǒng)才是病毒的溫床。首先病毒把自己拷貝到目標(biāo)計(jì)算機(jī)，進(jìn)入到目標(biāo)主機(jī)后，病毒去讀注冊(cè)表看有沒有感染標(biāo)志，有則刪除自身并退出。 對(duì)于另一種郵件病毒是不帶附件的 HTML 文件，它利用 Active X 在某些情況下?lián)碛袑?duì)硬盤的讀 /寫權(quán)來進(jìn)行破壞。對(duì)這個(gè)較為抽象的名詞，我們可以先作這樣一個(gè)籠統(tǒng)的理解：它是內(nèi)嵌于 Windows 操作系統(tǒng)中的腳本語(yǔ)言工作環(huán)境。 19 WSH 誕生后，在 Windows 系列產(chǎn)品中很快得到了推廣。寫完后，你只需將它存為 WSH所支持的文件名就行了。例如，新歡樂時(shí)光病毒可以將自己的代碼附加在 .htm文件的尾部，并在頂部加入一 條調(diào)用病毒 20 代碼的語(yǔ)句，而愛蟲病毒則是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴， vbs作為后綴。 蠕蟲從嚴(yán)格意義上來講，并不屬于病毒。 ⑥信息數(shù)據(jù)：包括已破解的口令、要攻擊的地址列表、蠕蟲自身的壓縮包等。 蠕蟲程序功能模型 基本功能模塊 擴(kuò)展功能模塊 搜索模塊 攻擊模塊 傳輸模塊 信息搜索模塊 繁殖模塊 通信模塊 隱藏模塊 破壞模塊 控制模塊 23 (3)針對(duì)通過系統(tǒng)漏洞傳播的病毒；配置 Windows Update 自動(dòng)升級(jí)功能，使主機(jī)能夠及時(shí)安裝系統(tǒng)補(bǔ)丁，防患于未然；定期通過漏洞掃描產(chǎn)品查找主機(jī)存在的漏洞，發(fā)現(xiàn)漏洞，及時(shí)升級(jí)。本章從最基本的隱藏技術(shù)開始，談到了花指令，加密等技術(shù)在病毒中的應(yīng)用。 引導(dǎo)型病毒為了隱藏自己，經(jīng)常采用更改活動(dòng)引導(dǎo)記錄、使病毒代碼看起來非常類似于正常啟動(dòng)代碼等方法，盡可能減少被殺毒軟件發(fā)現(xiàn)的可能性。這樣，被感染的文 件大小并不會(huì)增加，可以使中毒者放松警惕。 所謂花指令就是在程序之間加入一些似乎沒有什么意義的代碼，這些代碼不會(huì)妨礙程序的正常執(zhí)行，但是在靜態(tài)反匯編時(shí)，卻會(huì)讓原本正常的代碼解釋成難以讀懂、甚至有些怪異的匯編代碼。 密碼技術(shù)受到病毒設(shè)計(jì)者青睞的原因之一，是因?yàn)樗転閷?shí)現(xiàn)計(jì)算機(jī)病毒的隱藏性和抗分析性提供了一個(gè)較為容易實(shí)現(xiàn)的重 要途徑。 異常處理的方式 Windows下異常處理有兩 種方式：篩選器異常處理和 SHE 異常處理。 (3)SEH 使用了與硬件相關(guān)的數(shù)據(jù)指針，所以在不同的硬件平臺(tái)中使用 SEH 的方法會(huì)有所不同。 30 第五章 特洛伊木馬