【正文】 病毒具有把自身復制到其他程序中的能力。 計算機病毒可通過各種可能的渠道，如軟盤、光盤、移動存儲器、計算機網(wǎng)絡(luò)去傳染其他的計算機。輕者會降低計算機工作效率、占用系統(tǒng)資源； 根據(jù)計算機病毒的破壞性程度可粗略地將病毒分為良性病毒和惡性病毒。惡性病毒在代碼中包含有損傷、破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)直接造成嚴重損壞。它通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件的形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。計算機病毒的隱蔽性表現(xiàn)在傳染的隱蔽性和病毒程序 第 13章 計算機病毒 一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序，而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，不會感到任何異常。病毒的潛伏性越好，它在系統(tǒng)中的存在時間就會越長， 第 13章 計算機病毒 計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。 第 13章 計算機病毒 5. 不同種類的病毒，它們的代碼千差萬別，但有些操作技術(shù)是共同的 (如駐內(nèi)存、改中斷 )。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，有些正常程序也使用了類似病毒的操作，甚至借鑒了某些病毒的技術(shù)。病毒的感染動作受到觸發(fā)機制的控制，同樣受病毒觸發(fā)機制控制的還有病毒的破壞動作。 第 13章 計算機病毒 1. 主控模塊在總體上控制病毒程序的運行，協(xié)調(diào)其他模塊的運作。 (1) (2) (3) (4) 第 13章 計算機病毒 一般來說，主控模塊除完成上述動作外，還要執(zhí)行下述動作 : (1) 調(diào)查運行的環(huán)境，如確定系統(tǒng)內(nèi)存容量、磁盤設(shè)置 (2) 常駐內(nèi)存的病毒還要請求內(nèi)存區(qū)、傳送病毒代碼、 (3) 處理病毒運行時的意外情況，防止病毒自身信息的 第 13章 計算機病毒 2. 感染模塊的作用是將病毒代碼傳染到其他對象上去，負責實現(xiàn)感染機制。感染標志是一些數(shù)字或字符串，它們以 ASCII碼方式存放在宿主程序里。不同病毒的感染標志的位置、內(nèi)容都不同。同時，人們也可以利用病毒根據(jù)有無感染標志感染這一特性，人為地、主動地在文件中添加感染標志，從而在某種程度上 第 13章 計算機病毒 3. 觸發(fā)模塊根據(jù)預(yù)定條件滿足與否，控制病毒的感染或破壞動作。 病毒觸發(fā)模塊的主要功能如下 : (1) (2) (3) 第 13章 計算機病毒 4. 破壞模塊負責實施病毒的破壞工作，其內(nèi)部是實現(xiàn)病毒編寫者預(yù)定破壞動作的代碼。 計算機病毒的破壞現(xiàn)象和表現(xiàn)癥狀因具體病毒而異 。 第 13章 計算機病毒 有些病毒的該模塊并沒有明顯的惡意破壞行為，僅在被感染的系統(tǒng)設(shè)備上表現(xiàn)出特定的現(xiàn)象，該模塊有時又被稱為表現(xiàn)模塊。 第 13章 計算機病毒 病毒在 DOS時代就非常瘋狂，雖然現(xiàn)在 DOS病毒已經(jīng)沒有容身之所，但對 DOS病毒的機理進行研究還是具有相當大的意義的。 由于篇幅的限制，本節(jié)對 Windows 下的 PE病毒沒有進行專門的闡述，而是介紹了 DOS時代、 Windows時代、互聯(lián)網(wǎng) 計算機病毒的基本原理 第 13章 計算機病毒 引導型病毒 引導型病毒是一種在 ROM BIOS之后，系統(tǒng)引導時出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是 BIOS中斷服務(wù)程序。簡單地說，引導型病毒就是改寫磁盤上的引導扇區(qū) (Boot Sector)信息的病毒。 引導型病毒的主要特點如下 : (1) 引導型病毒是在操作系統(tǒng)之前進入內(nèi)存的，寄生的對象又相對固定，因此該類型病毒基本上不得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量的方法來駐留內(nèi)存高端。因此，引導型病毒一般都是在軟盤啟動過程中把病毒傳染給硬盤的。 第 13章 計算機病毒 引導型病毒按其寄生對象的不同分為 MBR(主引導區(qū) )病毒和 BR(引導區(qū) )病毒兩類。 BR病毒是將病毒寄生在軟盤或硬盤邏輯 0扇區(qū)中，典型的病毒有小球病毒、 Brain 第 13章 計算機病毒 文件型病毒 文件型病毒是在其他文件中插入自身指令，將自身代碼通過編碼、加密或使用其他技術(shù)附在文件中，當文件被執(zhí)行時，將會調(diào)用病毒的代碼。 第 13章 計算機病毒 一旦運行被感染了病毒的程序文件，病毒便被激發(fā)，從此，病毒便開始時刻監(jiān)視著系統(tǒng)的運行，等待時機。文件型病毒感染文件后留下標記，以后不再重復感染。在感染的過程中，病毒將COM文件的開始 3字節(jié)改寫為跳轉(zhuǎn)到病毒代碼的指令。一旦病毒奪取了系統(tǒng)控制權(quán)，就開始進行其自身的引導工作。完成了這些工作之后，病毒才會將系統(tǒng)控制權(quán)交還給用戶執(zhí)行的可執(zhí)行文件。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在 Normal 模板上。 Word宏病毒是利用 Microsoft Word的開放性專門制作的具有病毒特點的宏的集合。 Word宏病毒在傳染時，會使原有文件屬性和類型發(fā)生改變，或 Word自動對磁盤進行操作等。宏病毒的工作原理如圖 1333所示。已感染的文檔傳染其他的文檔，并且執(zhí)行下次啟動時打開它們。第 1行的 ′APMP是病毒的感染標志 。 第 4行，不顯示狀態(tài)欄，以免顯示宏的運行狀態(tài) 。 第 6行，如果公用模塊被修改，不彈出提示窗口而直接保存 。 第 8行，對象 Host 作為感染目標取代默認模板的 VB代碼塊 。 第 12行，刪除目標文件中的所有代碼 。 第 1 16行，自動保存被感染的文檔，以免再次提示用戶保存修改過的文檔，引起用戶的懷疑 。 第 13章 計算機病毒 Word文件通過模板來創(chuàng)建，一般情況下， Word缺省的公用模板為 ，感染 最常用的傳染方式。如果某個 DOC 文件感染了這類 Word 宏病毒，則當 Word運行這類宏時，實際上就是運行了病毒代碼。 第 13章 計算機病毒 當 Word系統(tǒng)退出時，它會自動地把所有通用宏 (當然也包括傳染進來的病毒宏 )保存到模板文件 (即 *.DOT文件，通常為 )中，當 Word系統(tǒng)再次啟動時，它又會自動地把所有通用宏 (包括病毒宏 )從模板中裝入。當含有自動宏的宏病毒染毒文檔被其他計算機的 Word 系統(tǒng)打開時，便會自動感染該計算機的 Word 第 13章 計算機病毒 腳本病毒是以腳本程序語言 (如 VB Script、 JavaScript、PHP)編寫而成的病毒。與宏相同，腳本也是嵌入到一個靜止的文件中的，它們的指令是由一個應(yīng)用程序而不是由計算機的處理器運行的。 WSH是微軟提供的一種基于 32位 Windows平臺、與語言無關(guān)的腳本解釋機制，它使得腳本能夠直接在 Windows桌面或命令提示符下運行。腳本病毒可以使用 Windows中預(yù)先定義的對象來更容易地訪問被感染系統(tǒng)的其他部分。腳本病毒都是使用應(yīng)用程序和操作系統(tǒng)中的自動腳本功能來復制和傳播惡意腳本的。 第 13章 計算機病毒 目前，網(wǎng)絡(luò)中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)的安全，一般分為如下幾種 : (1) 消耗系統(tǒng)資源。這類病毒大多是利用 JavaScript產(chǎn)生一個死循環(huán)，它可以在有惡意的網(wǎng)站中出現(xiàn)，也可以被當做郵件的附件發(fā)給用戶，當用戶打開 .htm、 .vbs附件時，屏幕出現(xiàn)無數(shù)個瀏覽器窗口，使系 統(tǒng)資源耗盡，最后不得不重新啟動主機。這類主要是在網(wǎng)頁或 (3) IE 下面用 VB Script實例來說明腳本病毒的編寫方法。在命令行下用 eventlog是不能停止日志服務(wù)的，所以在命令行下刪除日志是很困難的。 第 13章 計算機病毒 源代碼如下 : strComputer= . Set objWMIService = GetObject(winmgmts: _ {impersonationLevel=impersonate， (Backup)}!＼＼ _strComputer ＼ root＼ cimv2) dim mylogs(3) mylogs(1)=application 第 13章 計算機病毒 mylogs(2)=system mylogs(3)=security for Each logs in mylogs Set colLogFiles=(Select * from Win32_NTEventLogFile where LogFileName=′logs′) For Each objLogfile in colLogFiles () Next Next 第 13章 計算機病毒 在上面的代碼中，首先獲得 object對象，然后利用其ClearEventLog ( )方法刪除日志。假設(shè)該程序在 C: ＼ xxdk 第 13章 計算機病毒 源代碼如下 : Dim 56Program Set AutoRunProgram=() RegPath=HKLM＼ Software＼ Mcirosoft＼ Windows＼CurrentVersion＼ Run＼ Type_Name=REG_SZ Key_Name=56 Key_Data=C: ＼ xxdk＼ //該自啟動程序的全路徑 RegPathKey_Name， Key_Data，Type_Name //在啟動組中添加自啟動 程序 MsgBox(success!) 第 13章 計算機病毒 蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等。蠕蟲病毒自身副本具有完整性和獨立性，不利用文件寄生 。 對網(wǎng)絡(luò)產(chǎn)生拒 絕服務(wù)，以及和黑客技術(shù)相結(jié)合等 。傳播模塊負責蠕蟲病毒的傳播 。 目的功能 第 13章 計算機病毒 2. 蠕蟲病毒的一般傳播過程分為掃描、攻擊和復制幾個階 (1) 掃描 : 由蠕蟲病毒的掃描功能模塊負責探測存在漏洞的主機。 第 13章 計算機病毒 現(xiàn)在流行的蠕蟲病毒采用的傳播技術(shù)的目標一般是盡快地傳播到盡量多的計算機中，于是掃描模塊采用的掃描策略是這樣的 : 隨機選取某一段 IP地址，然后對這一地址段上的主機進行掃描。于是蠕蟲病毒傳播得越廣，網(wǎng)絡(luò)上的掃描包就越多。比如，針對遠程緩沖區(qū)的溢出漏洞可以發(fā)送溢出代碼來探測，針對Web的 CGI漏洞就需要發(fā)送一個特殊的 請求來探測。一旦確認漏洞存在后就可以進行 相應(yīng)的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白 第 13章 計算機病毒 攻擊成功后，一般是獲得一個遠程主機的 shell，對Windows 2023 , shell后就擁有了對整個系統(tǒng)的控制權(quán)。復制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網(wǎng)絡(luò)文 件傳輸很簡單。 set self=(， 1) 。讀取病毒全部代碼到字符串變量 vbscopy 第 13章 計算機病毒 set ap=(， 2， ture) 。 set cop=() 。創(chuàng)建另一個病毒文件 (以 .vbs為后綴 ) (ture) 。scan on error resume next 。 for each file in filesext=(file) 。 第 13章 計算機病毒 if ext=“ ***” then 。搜索其他目錄 : 遞歸調(diào)用 scan( ) scan(subfolder) next end sub 第 13章 計算機病毒 病毒的出現(xiàn)是