【正文】 45 1 第一章 緒論 人 類進(jìn)入了信息社會，創(chuàng)造了計算機(jī)，計算機(jī)雖然給人們的工作和生活帶來了便利和效率，然而計算機(jī)系統(tǒng)并不安全。目前由于計算機(jī)軟件的脆弱性與互聯(lián)網(wǎng)的開放性，我們將與病毒長期共存。 自 1949 年計算機(jī)剛剛誕生，就有了計算機(jī)病毒的概念。 20 世紀(jì) 60 年代初，在美國貝爾實(shí)驗(yàn)里， 3 個年輕的程序員編寫了一個名為“磁芯大戰(zhàn)”的游戲，游戲中通過復(fù)制自身來擺脫對方的控制，這就是所謂“病毒”的第一個雛 形。 80 年代后期，微機(jī)的普及和Inter 的應(yīng)用，計算機(jī)病毒的發(fā)展步伐大大加快。從此，以 PC 為主要傳播對象的計算機(jī)病毒開始瘋狂傳播大肆泛濫。如果某月 13 日正巧又是星期五，“黑色星期五”就會立即爆發(fā)，對硬盤進(jìn)行格式化 ,這時用戶唯一可以做的，就是坐在計算機(jī)面前看著自己多年的心血付之東流。 1998 年 6 月，首例能夠破壞 PC 機(jī)系統(tǒng)硬件的“ CIH”病毒在國內(nèi)被發(fā)現(xiàn)。 2 隨著 Inter 的發(fā)展，病毒的發(fā)展也出現(xiàn)了一些新的苗頭： (1) 基于“視窗”的計算機(jī)病毒越來越多； (2) 新病毒層出不窮，感染發(fā)作有增無減； (3) 網(wǎng)絡(luò)成為計算機(jī)病毒傳播的主要媒介； (4) 病毒的破壞性不斷增加。據(jù)信息產(chǎn)業(yè)部統(tǒng)計， 1999年中國計算機(jī)病毒的感染率高達(dá) 55%；到了 2021年下半年，已達(dá)到 73%。計算機(jī)病毒在不斷發(fā)展，手段越來越高明，結(jié)構(gòu)越來越特別。當(dāng) 前 的計算機(jī)病毒廠 商在計算機(jī)病毒的消除方面，都是發(fā)現(xiàn)一個新病毒后，立即分析它的運(yùn)行機(jī)制，感染原理，編制程序進(jìn)行查、殺，最后加入到反病毒軟件中，或放在網(wǎng)上供用戶下載。 第一部分：緒論。 第二部分： Windows 病毒的基本特征。 第三部分： Windows 病毒分析。 第四部分：病毒抗分析技術(shù)。 第五部分：特洛伊木馬。 第六部分：病毒的檢測技術(shù)。 3 第二章 計算機(jī)病毒特征 由于 DOS系統(tǒng)的源碼是對外開放的，而且作為單機(jī)系統(tǒng)在安全性方面也未做充分的考慮，所以在 DOS時代，病毒數(shù)量多，技巧性強(qiáng)。因此本論文選擇了 windows 病毒作為研究對象。計算機(jī)病毒的定義有多種，目前流行的定義為：計算機(jī)病毒是一段附著在其他程序上的、可以自我繁殖的程序代碼。 在其生命周期中，病毒一般會經(jīng)歷如下四個階段： (1) 潛伏階段 這一階段的病毒處于休眠狀態(tài)，這些病毒最終會被某些 (如日期、 某些特定程序或特定文件的出現(xiàn)、內(nèi)存的容量超過一定范圍 )所激活。 (2) 傳染階段 病毒程序?qū)⒆陨韽?fù)制到其它程序或磁盤的某個區(qū)域上，每個被感染的程序又因此包含了病毒的復(fù)制品，從而也就進(jìn)入了傳染階段。和處于潛伏期的病毒一樣，觸發(fā)階段病毒的觸發(fā)條件是一些系統(tǒng)事件，包含病毒復(fù)制自身的次數(shù)。由病毒發(fā)作體現(xiàn)出來的破壞程度是不同的：有些無害的，如在屏幕上顯示一些干擾信息；有 4 些則會給系統(tǒng)帶來巨大的危害，破壞程序以及文件中的數(shù)據(jù)。因此，攻擊者們經(jīng)常利用某特定的細(xì)節(jié)和弱點(diǎn)來設(shè)計病毒程序。計算機(jī)病毒是一段人為編制的計算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計 算機(jī)并得以執(zhí)行，它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。 (2) 潛伏性 病毒程序進(jìn)入計算機(jī)之后，一般情況下除了傳染外，并不會立即發(fā)威，而是在系統(tǒng)中潛伏一段時間。 病毒的潛伏性越長，用戶就越是意識不到、發(fā)現(xiàn)不了病毒的存在而去清除它，使得病毒向外傳染的機(jī)會就越多，病毒傳染的范圍就越廣。 (4) 隱蔽性 病毒一般是具有很高編程技巧、短小精悍的程序，它們一般附著到正常程序之中，也有個別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。 (5) 破壞性 無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運(yùn)行造成不同 5 程度的影響。良性病毒多數(shù)都是編制者的惡作劇，它對文件、數(shù)據(jù)不具有破壞性，但會浪費(fèi)系統(tǒng)資源。而惡性病毒則會破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤等，如“紅色代碼”和“尼姆達(dá)”病毒等。不同種類的病毒，它們的代碼千差萬別。 (7) 可觸發(fā)性 計算機(jī)病毒一般都有一個或者幾個觸發(fā)條件。病毒的觸發(fā)條件越多，則傳染性越強(qiáng)。面對這種紛繁雜亂的表面現(xiàn)象，針對如此眾多的計算機(jī)病毒進(jìn)行科學(xué)系統(tǒng)的分類既有學(xué)術(shù)研究方面的重要意義，又有防止計算機(jī)病毒的現(xiàn)實(shí)應(yīng)用意義。例如攻擊 Commodore公司生產(chǎn)的微型計算機(jī)的病毒，如 Amiga病毒；攻擊 IBM 公司和其他公司的微型計算機(jī)及其兼容機(jī)的病毒，如Brain(大腦 )病毒、 Lehign(里海 )、 Jreusalem(耶路撒冷 )病毒及其變種(亦稱黑色星期五病毒 )等。由于小型計算機(jī)既可以作為網(wǎng)絡(luò)的結(jié)點(diǎn)機(jī)，又可作為小型計算機(jī)網(wǎng)絡(luò)主機(jī)，使得小型計算機(jī)亦成為了病毒攻擊的目 6 標(biāo)。盡管如此，病毒對大型計算機(jī)的攻擊威脅仍然存著。當(dāng)前在因特網(wǎng)上出現(xiàn)的網(wǎng)絡(luò)病毒已經(jīng)是屢見不鮮。 按病毒攻擊計算機(jī)的操作系統(tǒng)分類 (1)攻擊 DOS 系統(tǒng)的病毒：這類病毒的種類及其變種極多，盡管 DOS病毒技術(shù)在 1995 在基本上處于停滯狀態(tài)，但是 DOS 系統(tǒng)類病毒的數(shù)量和傳播仍然在發(fā)展。 (3)攻擊 UNIX 系統(tǒng)的病毒：起初人們認(rèn)為 UNIX 系統(tǒng)各 Linux 系 統(tǒng)是免遭病毒侵襲的樂土。 1997 年 2 月，出現(xiàn)了首例攻擊 Linux 系統(tǒng)的病毒 — Bliss(上天的賜福 )。因?yàn)槲④泴?Windows系統(tǒng)源碼的保密，所以 Windows 系統(tǒng)下這種病毒比 較少見。 (2)文件型病毒：文件型病毒主要以感染文件擴(kuò)展名為 .COM 文件、 7 和 .EXE 文件；也可以感染 obj、 doc、 dot 等文件。 (4)網(wǎng)絡(luò)型病毒：主要通過網(wǎng)絡(luò)來進(jìn)行傳播的病毒，如蠕蟲病毒和網(wǎng)頁病毒。 按計算機(jī)病毒破壞情況分類 (1)良性病毒：是不包含有對計算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼的計算機(jī)病毒。良性病毒又可分為無危害病毒和無危險病毒。惡性病毒又可分為危險型病毒和非常危險型病毒。 (2)鏈接式寄生病毒：該類病毒將自身程序代碼依附于其宿主程序的尾部，首部或中間，而不破壞宿主程序。 (4)轉(zhuǎn)儲式寄生病毒：該類病毒是改變其宿主程序代碼的存儲位置，使病毒自身的程序代碼侵占宿主程序的存儲空間。根據(jù)其不同的特征進(jìn)行分類，以掌握各種類型病毒的工作原理，是防范、遏制病毒蔓延的前提。 8 (2) 病毒程序的宿主一般是計算機(jī)系統(tǒng)的可執(zhí)行部分。 (4) 如果病毒要存活、繁衍，其程序代碼就必須能夠被執(zhí)行。 計算機(jī)病毒是一種特殊程序，其最大特點(diǎn)是具有感染能力。病毒程序一般由 感染模塊、觸發(fā)模塊、破壞模塊、主控模塊組成，相應(yīng)為感染機(jī)制、觸發(fā)機(jī)制和破壞機(jī)制三種。 (1) 感染模塊 該模塊的作用是將病毒代碼傳染到其他對象上去，負(fù)責(zé)實(shí)現(xiàn)感染機(jī)制。具體為： ①尋找一個可執(zhí)行文件； ②檢查該文件中是否有感染標(biāo)記； ③如果沒有感染標(biāo)記，則進(jìn)行感染，將病毒代碼放入宿主程序。病毒的觸發(fā)條件有多種形式，主要有 :日期和時間觸發(fā)、鍵盤觸發(fā)、啟動觸發(fā)、磁盤訪問觸發(fā)和中斷訪問觸發(fā)、其他觸發(fā)方式。 (3) 破壞模塊 破壞模塊負(fù)責(zé)實(shí)施病毒的破壞工作。這些破壞動作可能是破壞文件、數(shù)據(jù)，也可能是破壞計算機(jī)的空間效率和時間效率或使計算機(jī)運(yùn)行崩潰。在結(jié)構(gòu)上，破壞模塊一般分為兩部分，一部分判斷破壞的條件，另一部分執(zhí)行破壞的功能。其基本動作為： ①調(diào)用感染模塊，進(jìn)行感染； ②調(diào)用觸發(fā)模塊，接收其返回值； ③如果返回真值，執(zhí)行破壞模塊； ④如果返回假值，執(zhí)行后續(xù)程序。 宏病毒是一些制作病毒的專業(yè)人利用 MS Office 的開放性即 Word和 Excel中提供的 Word Basic/ Excel Basic 編程接口，專門制作的一個或多個具有病毒特點(diǎn)的宏的集合，這種病毒宏的集合影響到計算機(jī)的使用，并能通過 doc 文檔及 dot模板進(jìn)行自我復(fù)制及傳播。這些數(shù)據(jù)處理系統(tǒng)內(nèi)置宏編程語言的存在使得宏病毒有機(jī)可乘，病毒可以把特定的宏命令代碼附加在指定文件上，通過文件的打開或關(guān)閉來 獲取控制權(quán)，實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞，從而在未經(jīng)使用者許可的情況下獲取控制權(quán)，達(dá)到傳染目的。 Word 宏病毒與 Excel 宏病毒的特性較為相似，因此僅以 Word 宏病毒為例，說明宏病毒的作用、傳染以及發(fā)作的機(jī)理和特性。當(dāng)某項(xiàng)功能被調(diào)用時，相應(yīng)的病毒宏就會篡奪控制權(quán)，實(shí)施病毒所定義的非法操作，包括傳 染操作、表現(xiàn)操作以及破壞操作等。被轉(zhuǎn)換成模板格式后的染毒文件無法轉(zhuǎn)存為任何其他格式。例如，如果病毒捕獲并修改了 FileOpen，那么，它將感染每一個被打開的 Word 文件。 宏病毒的 破壞表現(xiàn) 有些病毒對用戶進(jìn)行騷擾，但不破壞系統(tǒng)。此病毒在不同的 Windows 平臺上有不同的破壞性表現(xiàn)，輕則刪除幫助文件，重則刪除硬盤中的所有文件。 (2)對系統(tǒng)的破壞： Word Basic和 Excel Basic 語言能夠調(diào)用系 統(tǒng)命令，造成破壞。多年來，人們大多重視保護(hù)自己計算機(jī)的引導(dǎo)部分和可執(zhí)行文件不被病毒感染，而對外來的文檔文件基本是直接瀏覽使用，這給宏病毒傳播帶來很多便利。 (2) 制作、變種方便 以往病毒是以二進(jìn)制的計算機(jī)機(jī)器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的源代碼宏語言 Word Basic 形式出現(xiàn)，所以編寫和修 改宏病毒比以往病毒容易。這些操作均可能系統(tǒng)直接構(gòu)成威脅，而 Word在指令安全性、完整性上檢測能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。 12 (4) 多平臺交叉感染 宏病毒沖破了以往病毒在單一平臺上傳播的局限，當(dāng) Word或 Excel這類著名應(yīng)用軟件在不同平臺上運(yùn)行時，會被宏病毒交叉 感染。 宏病毒的檢測 (1)在自己使用的 Word 中打開工具中的宏菜單，點(diǎn)中通用 Normal模板，若發(fā)現(xiàn)有“ AutoOpen”等自動宏，“ FileSave”等文件操作宏或一些怪名字的宏，而自己又沒有加載特殊模板，這就有可能有病毒了。 (2)如發(fā)現(xiàn)打開一個文檔，它未經(jīng)任何改動，立即就有存盤操作，也有可能是 Word 帶有病毒。 宏病毒的防范 (1) 利用 Word 提供的“宏病毒防護(hù)”功能 防御宏病毒的一種比較簡單的方法，就是在打開 Word 文檔時先禁止所有自動執(zhí)行的宏 (以 Auto 開頭的宏 )的執(zhí)行。如果打開的文件帶有“自動宏”， Word 97 將自動彈出警告對話框，來讓用戶選擇是否執(zhí)行宏，如果選擇了“取消宏”，那么這個 Word 文檔將用只讀形式打開，其包含 的所有宏都沒有執(zhí)行。所以“宏病毒防護(hù)”并不能徹底解決“宏病毒”的問題。普通文檔通常是平面結(jié)構(gòu)的，由文件頭、正文內(nèi)容和控制符組成，不存在與其它信息的鏈接，其文件頭和控 13 制符本身都不具備自動執(zhí)行能力。采用 BFF格式的 Word文檔是立體結(jié)構(gòu)的，文檔中除了包括文本外，還包括字體、頁面布局、圖形、圖像等信息，這些信息相互鏈接，形成完整的 Word 文件。 根據(jù) Word 文件的結(jié)構(gòu)，清除宏病毒的首要任務(wù)是斷開宏結(jié)構(gòu)鏈表，使病毒無法被讀出。 隨著網(wǎng)絡(luò)的發(fā)展與普及，互聯(lián)網(wǎng)對我們來說起到了越來越重要的作用，但是與此 同時，惡意網(wǎng)頁代碼的出現(xiàn)，給廣大網(wǎng)絡(luò)用戶帶來了一些災(zāi)難。 修改注冊表是網(wǎng)頁惡意代碼采用的最常見的一種方法?，F(xiàn)在我們來分析一下其修改注冊表的代碼。 ActiveX 是 Microsoft 提出的一組使用 COM 使得軟件部件在網(wǎng)絡(luò)環(huán)境中進(jìn)行交互的技術(shù)集。作為針對 Inter應(yīng)用開發(fā)技術(shù)， ActiveX 被廣泛應(yīng)用于 Web 服務(wù)器以及客戶端的各個方面。目前，很多第三方開發(fā)商編 14 制了各式各樣的 ActiveX控制。在 Windows 的 SYSTEM 目錄下，保存有很多 Windows 提供的 ActiveX控件。 以上網(wǎng)頁代碼修改了注冊表的 IE 標(biāo)題、首頁，并使用戶無法在 IE的“工具 Inter 選項(xiàng) 常規(guī) ” 中恢復(fù)首頁的默認(rèn)網(wǎng)頁，用戶無法設(shè)定分級審查。如果再加入幾條，就可以修改、鎖定更多的功能了，其他功能這里就不一一列出對應(yīng)的注冊表子鍵了。 網(wǎng)頁病毒的防范 (1)禁用文件系統(tǒng)對象 FileSystemObject：用 regsvr32 /u 命令禁止文件系統(tǒng)對象，或者直接查找 文件將其刪除或 16 者改名。 (3)刪 除 VBS,VBE,JS,JSE 文件擴(kuò)展名與應(yīng)用程序的映射：點(diǎn)擊我的電腦 查看 文件夾選項(xiàng) 文件類型，然后刪除 VBS,VBE,JS,JSE 文件擴(kuò)展名與應(yīng)用程序的映射。 (5)點(diǎn)擊 IE 的“ Inter 選項(xiàng)”安全選項(xiàng)卡里的“自定義級別”按鈕，把 ActiveX 控件及插件設(shè)置為禁用。 (7)修改 Windows“隱藏已知文件類型的擴(kuò)展名稱”的默認(rèn)設(shè)置，使其顯示所有文件類型的 擴(kuò)展名稱。 (9)安裝病毒防火墻，定期升級殺毒程序。郵件病毒產(chǎn)生的原因在于郵件系統(tǒng)的服務(wù)不能控制郵件的內(nèi)容和傳播的行為，使病毒寄身于信內(nèi)得以傳播。病毒攻擊的目標(biāo)主要仍是 微軟系統(tǒng)平臺，主要通過兩種借助郵件的形式進(jìn)行傳播，一是附件，二是直接采用 H