1、計算機病毒分析計算機病毒分析 彭國軍彭國軍 2003.3.292003.3.29將要介紹的幾種病毒類型vDOS病毒v引導區病毒v文件型病毒v混合型病毒vWindows病毒vVBS腳本病毒v宏病毒v網頁病毒vWin32 PE病毒引導區病毒v什么是主引導記錄？v硬盤的主引導記錄在硬盤的0磁頭0柱面1扇區。主引導記錄由三部分組成：v主引導程序；v四個分區表；v主引導記錄有效標志字。DOS引導區病毒v引導區病毒v所謂引導區病毒是指一類專門感染軟盤引導扇區和硬盤主引導扇區的計算機病毒程序。v如果被感染的磁盤被作為系統啟動盤使用，則在啟動系統時，病毒程序即被自動裝入內存，從而使現行系統感染上病毒。v在系統

2、帶毒的情況下，如果進行了磁盤IO操作，則病毒程序就會主動地進行傳染，從而使其它的磁盤感染上病毒。 DOS的正常啟動過程 v加電開機后進入系統的檢測程序并執行該程序對系統的基本設備進行檢測； v檢測正常后從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000: 7C00處； v轉入Boot執行之；vBoot判斷是否為系統盤, 如果不是系統盤則提示: non-system disk or disk error Replace and strike any key when ready 否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件； DOS的正常啟動過程v執

3、行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入內存； v系統正常運行, DOS啟動成功。v引導區病毒實際上就是先保存軟盤的引導記錄或者硬盤的主引導記錄，然后用病毒程序替換原來的引導記錄，這樣，當系統引導時，便先執行病毒程序，然后將控制權轉交給正常的引導程序。帶毒盤引導的啟動過程v將Boot區中病毒代碼首先讀入內存的0000: 7C00處； v病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視系統的運行；v修改INT 13H中斷服務處理程序的入口地址, 使之指向病毒控制模塊并執行之。因為任何一種病毒要感染軟盤或者硬盤,都離不開對磁盤的讀寫操作

4、, 修改INT13H中斷服務程序的入口地址是一項少不了的操作；v病毒程序全部被讀入內存后才讀入正常的Boot內容到內存的0000: 7C00處, 進行正常的啟動過程；v病毒程序伺機等待隨時準備感染新的系統盤或非系統盤。 感染過程v是否在讀寫軟盤？v是，則將目標盤的引導扇區讀入內存, 對該盤進行判別是否傳染了病毒；v當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁盤的引導區程序寫入磁盤特寫位置；v返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染。感染過程引導型病毒的主要特點 v引導型病毒是在安裝操作系統之前進入內存，寄生對象又相對固定，因此該類型病毒基本上

5、不得不采用減少操作系統所掌管的內存容量方法來駐留內存高端。而正常的系統引導過程一般是不減少系統內存的。v引導型病毒需要把病毒傳染給軟盤，一般是通過修改INT 13H的中斷向量，而新INT 13H中斷向量段址必定指向內存高端的病毒程序。v引導型病毒感染硬盤時，必定駐留硬盤的主引導扇區或引導扇區，并且只駐留一次，因此引導型病毒一般都是在軟盤啟動過程中把病毒傳染給硬盤的。 文件型病毒v什么是文件型病毒？v所有通過操作系統的文件系統進行感染的病毒都稱作文件病毒 。v我們將會介紹的兩種病毒vCOM文件型病毒vEXE文件型病毒COM文件型病毒vCOM文件被載入內存后的格式COM文件型病毒v病毒要感染COM

6、文件一般采用兩種方法：v加在文件尾部COM文件型病毒v加在文件頭部EXE文件型病毒vMZ文件頭格式v偏移 大 小 描述v00 2 bytes .EXE 文件類型標記：4d5ahv02 2 bytes 文件的最后一個扇區的字節數v04 2 bytes 文件的總扇區數 文件大小=（總扇區數-1）*512+最后一頁字節數v06 2 bytes 重定位項的個數v08 2 bytesexe文件頭的大小 (16 bytes*this value)v0a2 bytes最小分配數(16 bytes*this value)v0c2 bytes最大分配數(16 bytes*this value)v0e2 byte

7、s堆棧初始段址(SS)v102 bytes堆棧初始指針(SP)v122 bytes補碼校驗和v142 bytes初始代碼段指針(IP)v162 bytes初始代碼段段址（CS）v182 bytes定位表的偏移地址v1a2 bytes覆蓋號The overlay number make by linkEXE文件型病毒的感染v頭寄生EXE文件型病毒的感染v尾寄生EXE文件型病毒的感染v插入寄生 EXE文件型病毒的感染v伴隨型EXE文件型病毒的感染v病毒感染的方式還有很多，譬如DIRII屬于一種鏈接型鏈接型的病毒，還有無入口點的病毒，沒有任何美感的覆蓋型病毒等。v病毒如何感染，一直是病毒研究的話題，

8、這并不存在非常固定的模式。病毒作者完全可以任意發揮自己的想象。混合型病毒v什么是混合型病毒？v所謂混合型病毒，就是指既可以感染引導區又可以感染文件的病毒。v但是這種病毒絕對不是引導區病毒和文件型病毒的簡單相加。v文件型病毒大多采用INT 21H，但是引導型病毒是在引導階段進行感染駐留，這時DOS系統還沒有啟動，因此混合型病毒此時無法采用21號中斷。如何解決這個問題？VBS腳本病毒如何感染vVBS腳本病毒是直接通過自我復制來感染文件的病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間.v新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調用病毒代碼的語句.v愛蟲病毒則是

9、直接生成一個文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，vbs作為后綴。VBS腳本病毒如何感染v文件感染的部分關鍵代碼 set fso=createobject(“scripting.filesystemobject”) 創建一個文件系統對象set self=fso.opentextfile(wscript.scriptfullname,1) 讀打開當前文件（即病毒本身)vbscopy=self.readall 讀取病毒全部代碼到字符串變量vbscopy set ap=fso.opentextfile(目標文件.path,2,true) 寫打開目標文件，準備寫入病毒代碼a

10、p.write vbscopy 將病毒代碼覆蓋目標文件ap.closeset cop=fso.getfile(目標文件.path) 得到目標文件路徑cop.copy(目標文件.path & .vbs) 創建另外一個病毒文件（以.vbs為后綴）目標文件.delete(true) 刪除目標文件 VBS腳本病毒如何搜索文件 該函數主要用來尋找滿足條件的文件，并生成對應文件的一個病毒副本sub scan(folder_) scan函數定義， on error resume next 如果出現錯誤，直接跳過，防止彈出錯誤窗口 set folder_=fso.getfolder(folder_)

11、set files=folder_.files 當前目錄的所有文件集合 for each file in files ext=fso.GetExtensionName(file) 獲取文件后綴 ext=lcase(ext) 后綴名轉換成小寫字母 if ext=“mp5” then 如果后綴名是mp5，則進行感染。 Wscript.echo (file) end if next set subfolders=folder_.subfolders for each subfolder in subfolders 搜索其他目錄；遞歸調用scan( ) scan(subfolder) next end

12、 sub VBS腳本病毒如何獲得控制權1)1)修改注冊表項修改注冊表項vwindows在啟動的時候，會自動加載HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項下的各鍵值所執向的程序。腳本病毒可以在此項下加入一個鍵值指向病毒程序，這樣就可以保證每次機器啟動的時候拿到控制權。vbs修改貯冊表的方法比較簡單，直接調用下面語句即可。wsh.RegWrite(strName, anyValue ,strType)2 2）通過映射文件執行方式）通過映射文件執行方式v譬如，新歡樂時光將dll的執行方式修改為wscript.exe。甚至可

13、以將exe文件的映射指向病毒代碼。VBS腳本病毒如何獲得控制權3)3)欺騙用戶，讓用戶自己執行欺騙用戶，讓用戶自己執行這種方式其實和用戶的心理有關。譬如，病毒在發送附件時，采用雙后綴的文件名，由于默認情況下，后綴并不顯示，舉個例子，文件名為beauty.jpg.vbs的vbs程序顯示為beauty.jpg，這時用戶往往會把它當成一張圖片去點擊。同樣，對于用戶自己磁盤中的文件，病毒在感染它們的時候，將原有文件的文件名作為前綴，vbs作為后綴產生一個病毒文件，并刪除原來文件，這樣，用戶就有可能將這個vbs文件看作自己原來的文件運行。4)4)desktop.inidesktop.ini和和folde

14、r.httfolder.htt互相配合互相配合這兩個文件可以用來配置活動桌面，也可以用來自定義文件夾。如果用戶的目錄中含有這兩個文件，當用戶進入該目錄時，就會觸發folder.htt中的病毒代碼。這是新歡樂時光病毒采用的一種比較有效的獲取控制權的方法。VBS腳本病毒的網上傳播1）通過）通過Email附件傳播附件傳播 設置 Outlook對象 = 腳本引擎.創建對象(Outlook.Application) 設置 MAPI對象 = Outlook對象.獲取名字空間(MAPI)For i=1 to MAPI對象.地址表.地址表的條目數 /兩個for語句用來遍歷整個地址簿 設置 地址對象 = MAP

15、I對象.地址表(i) For j=1 To地址對象.地址欄目.地址欄目數 設置 郵件對象 = Outlook對象.創建項目(0) 設置 地址入口 地址對象.地址欄目(j) 郵件對象.收件人地址入口.郵件地址 郵件對象.主題 = “你好！” 郵件對象.附件標題 = “好看的東東，請打開” 郵件對象.附件.增加(“test.jpg.vbs“) 郵件對象.發送 郵件對象.發送后刪除真 Next Next VBS腳本病毒的網上傳播2 2）通過局域網共享傳播）通過局域網共享傳播在局域網中，用戶之間為了方便文件交流，通常會設置共享目錄，并且通常具有可寫權限。病毒可以利用共享目錄，進行病毒傳播擴散。3 3）

16、通過感染）通過感染htmhtm、aspasp、jspjsp、phpphp等網頁文件傳等網頁文件傳播播如今，WWW服務已經變得非常普遍，病毒通過感染htm等文件，勢必會導致所有訪問過該網頁的用戶機器感染病毒。 VBS腳本病毒的網上傳播4 4）通過）通過IRCIRC聊天通道傳播聊天通道傳播隨著即時聊天系統的普及和基于瀏覽的瀏覽逐漸成為交流的主要方式，這種方式病毒采用的機會相對比較小，譬如叛逃者病毒就采用了這種傳播方式。 5 5）通過）通過P2PP2P共享工具進行傳播共享工具進行傳播病毒也可以通過現在廣泛流行的KaZaA等點對點共享軟件進行傳播。病毒將病毒文件拷貝到KaZaA的默認共享目錄中，這樣，

17、當其他用戶訪問這臺機器時，就有可能下載該病毒文件并執行。這種傳播方法可能會隨著KaZaA這種點對點共享工具的流行而發生作用。 VBS腳本病毒的弱點 1）絕大部分VBS腳本病毒運行的時候需要用到一個對象：FileSystemObject。2）VBScript代碼是通過Windows Script Host來解釋執行的。3）VBS腳本病毒的運行需要其關聯程序Wscript.exe的支持。4）通過網頁傳播的病毒需要ActiveX的支持。5）通過Email傳播的病毒需要OE的自動發送郵件功能支持，但是絕大部分病毒都是以Email為主要傳播方式的。如何防范如何防范vbsvbs腳本病毒腳本病毒 1） 禁用

18、文件系統對象FileSystemObject方法：用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。其中regsvr32是WindowsSystem下的可執行文件。或者直接查找scrrun.dll文件刪除或者改名。還有一種方法就是在注冊表中HKEY_CLASSES_ROOTCLSID下找到一個主鍵0D43FE01-F093-11CF-8940-00A0C9054228的項，咔嚓即可。2） 卸載Windows Scripting Host在Windows 98中（NT 4.0以上同理），打開控制面板添加/刪除程序Windows安裝程序附件，取消“Windows Scr

19、ipting Host”一項。和上面的方法一樣，在注冊表中HKEY_CLASSES_ROOTCLSID下找到一個主鍵F935DC22-1CF0-11D0-ADB9-00C04FD58A0B的項。3） 刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射點擊我的電腦查看文件夾選項文件類型，然后刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射。如何防范如何防范vbsvbs腳本病毒腳本病毒4）在Windows目錄中，找到WScript.exe，更改名稱或者刪除，如果你覺得以后有機會用到的話，最好更改名稱好了，當然以后也可以重新裝上。5）要徹底防治VBS網絡蠕蟲病毒，還需設置一下你的瀏

20、覽器。我們首先打開瀏覽器，單擊菜單欄里“Internet 選項”安全選項卡里的自定義級別按鈕。把“ActiveX控件及插件”的一切設為禁用，這樣就不怕了。呵呵，譬如新歡樂時光的那個ActiveX組件如果不能運行，網絡傳播這項功能就玩完了。6） 禁止OE的自動收發郵件功能如何防范如何防范vbsvbs腳本病毒腳本病毒7）由于蠕蟲病毒大多利用文件擴展名作文章，所以要防范它就不要隱藏系統中已知文件類型的擴展名。Windows默認的是“隱藏已知文件類型的擴展名稱”，將其修改為顯示所有文件類型的擴展名稱。8）將系統的網絡連接的安全級別設置至少為“中等”，它可以在一定程度上預防某些有害的Java程序或者某些

21、ActiveX組件對計算機的侵害。9）最后一項：殺毒軟件確實很必要，盡管有些殺毒軟件挺讓廣大用戶失望，不過。宏病毒宏病毒v什么是宏病毒？v宏病毒是使用宏語言編寫的程序，可以在一些數據處理系統中運行（主要是微軟的辦公軟件系統，字處理、電子數據表和其他Office程序中），存在于字處理文檔、數據表格、數據庫、演示文檔等數據文件中，利用宏語言的功能將自己復制并且繁殖到其他數據文檔里。 宏病毒宏病毒v宏病毒在某種系統中能否存在，首先需要這種系統具有足夠強大的宏語言，這種宏語言至少要有下面幾個功能：一段宏程序可以附著在一個文檔文件后面。宏程序可以從一個文件拷貝到另外一個文件。存在這樣一種機制，宏程序可以

22、不需要用戶的干預自動執行。 病毒如何拿到控制權病毒如何拿到控制權 v利用如下自動執行宏，將病毒代碼寫在如下宏中，由于這些宏會自動執行，因此獲取控制權。宏病毒如何傳染宏病毒如何傳染 v絕大多數病毒采用如下語句ActiveDocument.VBProject.VBComponents(guojpeng).Exportc:guojpeng.sys /將文檔中的病毒代碼導出到c:guojpeng.sysNormalTemplate.VBProject.VBComponents.Import c:guojpeng.sys /將病毒代碼從文件導入導通用模板 v也可能采用如下方式：ActiveDocumen

23、t.VBProject.VBComponents.Item(1).Export c:guojpeng.sys NormalTemplate.VBProject.VBComponents(1).CodeModule.AddFromFile c:guojpeng.sys宏病毒的自我隱藏宏病毒的自我隱藏 vOn Error Resume Next /如果發生錯誤，不彈出出錯窗口，繼續執行下面語句vApplication.DisplayAlerts = wdAlertsNone /不彈出警告窗口vApplication.EnableCancelKey = wdCancelDisabled /不允許通過

24、ESC鍵結束正在運行的宏vApplication.DisplayStatusBar = False /不顯示狀態欄，以免顯示宏的運行狀態Options.VirusProtection = False v /關閉病毒保護功能，運行前如果包含宏，不提示vOptions.SaveNormalPrompt = False /如果公用模塊被修改，不給用戶提示窗口而直接保存vApplication.ScreenUpdating = False /不讓刷新屏幕，以免病毒運行引起速度變慢 網頁病毒網頁病毒v我們這里所指的網頁病毒是指在html文件中用于非法修改用戶機器配置的html文件。有別于一般通過網頁傳染

25、的病毒。 v這種病毒嚴格意義上講不屬于病毒，它們只是網頁惡意代碼，這些代碼主要用來修改用戶的注冊表。網頁病毒中常見的代碼網頁病毒中常見的代碼function runcmd()a=document.applets0;a.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B);a.createInstance();wsh=a.GetObject();wsh.Run(cmd.exe);/改為wsh.Run(cmd.exe,false,1);則程序在后臺隱藏運行setT imeout(runcmd(),10);網頁病毒主要癥狀網頁病毒主要癥狀v在用戶IE瀏覽器的標

26、題欄打廣告v修改IE的默認網址，并且不可以修改v鎖定用戶的注冊表編輯程序v禁止使用“運行”選項v有時候也可能對硬盤進行格式化，在用戶機器上創建一些文件Win32 PEWin32 PE病毒病毒v什么是PE病毒？vPE病毒是指所有感染Windows下PE文件格式文件的病毒。vPE病毒大多數采用Win32匯編編寫。vPE病毒對于一個熱衷于病毒技術的人來說，是必須掌握的。v只有在PE病毒中，我們才能真正感受到高超的病毒技術。編寫Win32病毒的幾個關鍵vApi函數的獲取v不能直接引用動態鏈接庫v需要自己尋找api函數的地址，然后直接調用該地址v一點背景:在PE Loader裝入我們的程序啟動后堆棧頂的

27、地址是是程序的返回地址,肯定在Kernel中! 因此我們可以得到這個地址,然后向低地址縮減驗證一直到找到模塊的起始地址,驗證條件為PE頭不能大于4096bytes,PE header的ImageBase值應該和當前指針相等.v病毒沒有.data段，變量和數據全部放在.code段 編寫Win32病毒的幾個關鍵v偏移地址的重定位 Call deltadelta: pop ebp sub ebp,offset delta那么變量var1的真正偏移地址為：var1+ebpv對PE文件格式的了解編寫Win32病毒的幾個關鍵v病毒如何感染其他文件病毒如何感染其他文件 v在文件中添加一個新節v該新節中添加病

28、毒代碼和病毒執行后的返回Host程序的代嗎v修改文件頭中代碼開始執行位置（AddressOfEntryPoint）指向新添加的節，以便程序運行后先執行病毒代碼。PE病毒感染其他文件的方法還有很多，譬如PE病毒還可以將自己分散插入到每個節的空隙中等等，這里不在一一敘述。PE文件格式一覽文件格式一覽DOS MZ headerDOS stubPE headerSection tableSection 1Section 2Section .Section nPE headerPe header 由三部分組成v 字串 “PE00”（Signature）v 映像文件頭（FileHeader）v 可選映像頭

29、（OptionalHeader）字串 “PE00”vSignature 一dword類型，值為50h, 45h, 00h, 00h（PE00）。 本域為PE標記，我們可以此識別給定文件是否為有效PE文件。v這個字串在文件中的位置（e_lfanew），可以在DOS程序頭中找到它的指針，它占用四個字節，位于文件開始偏移3CH字節中。 映像文件頭v該結構域包含了關于PE文件物理分布的信息， 比如節數目、文件執行機器等。v它實際上是結構IMAGE_FILE_HEADER的簡的簡稱。稱。映像文件頭結構 IMAGE_FILE_HEADER STRUCT Machine WORD ? NumberOfSec

30、tions WORD ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader WORD ? Characteristics WORD ? IMAGE_FILE_HEADER ENDS映像文件頭的基本信息順序名字 大小（字節）描述1Machine *2機器類型，x86為14ch2NumberOfSection *2文件中節的個數3TimeDataStamp4生成該文件的時間4PointerToSymbleTable4COFF符號表的偏移5NumberOfSymbols4符號數

31、目6SizeOfOptionalHeader2可選頭的大小7Characteristics *2關于文件信息的標記，比如文件是exe還是dll可選映像頭voptional header 結構是 IMAGE_NT_HEADERS 中的最后成員。包含了PE文件的邏輯分布信息。該結構共有31個域，一些是很關鍵，另一些不太常用。這里只介紹那些真正有用的域。v這兒有個關于PE文件格式的常用術語: RVA RVA 代表相對虛擬地址。它是相對虛擬空間里的一個地址 。v舉例說明，如果PE文件裝入虛擬地址(VA)空間的400000h處，且進程從虛址401000h開始執行，我們可以說進程執行起始地址在RVA 10

32、00h。每個RVA都是相對于模塊的起始VA的。可選映像頭名字描述AddressOfEntryPoint *PE裝載器準備運行的PE文件的第一個指令的RVA。若要改變整個執行的流程，可以將該值指定到新的RVA，這樣新RVA處的指令首先被執行。ImageBasePE文件的優先裝載地址。比如，如果該值是400000h，PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處。若該地址區域已被其他模塊占用，那PE裝載器會選用其他空閑地址。SectionAlignment內存中節對齊的粒度。FileAlignment文件中節對齊的粒度。可選映像頭名字描述MajorSubsystemVersionMino

33、rSubsystemVersion win32子系統版本。若PE文件是專門為Win32設計的，該子系統版本必定是4.0否則對話框不會有3維立體感。SizeOfImage內存中整個PE映像體的尺寸。SizeOfHeaders所有頭+節表的大小，也就等于文件尺寸減去文件中所有節的尺寸。可以以此值作為PE文件第一節的文件偏移量。SubsystemNT用來識別PE文件屬于哪個子系統。DataDirectory一IMAGE_DATA_DIRECTORY 結構數組。每個結構給出一個重要數據結構的RVA，比如引入地址表等。DataDirectory數據目錄v一個IMAGE_DATA_DIRECTORY數組，

34、里面放的是這個可執行文件的一些重要部分的RVA和尺寸，目的是使可執行文件的裝入更快，數組的項數由上一個域給出。IMAGE_DATA_DIRECTORY包含有兩個域，如下： IMAGE_DATA_DIRECTORY VitualAddress DD? Size DD? IMAGE_DATA_DIRECTORY ENDS節表v節表其實就是緊挨著 PE header 的一結構數組。該數組成員的數目由 file header (IMAGE_FILE_HEADER) 結構中 NumberOfSections 域的域值來決定。節表結構又命名為 IMAGE_SECTION_HEADER。v結構中放的是一個節

35、的信息，如名字、地址、長度、屬性等。IMAGE_SECTION_HEADER順序名字大小（字節）描述1Name *8節名2PhysicalAddress或VirtualSize4OBJ文件用作表示本節物理地址EXE文件中表示節的真實尺寸3Virtual *4這個值+映像基地址=本節在內存中的真正地址。OBJ中無意義。4SizeOfRawData *4本節的原始尺寸5PointerToRawData *4本節原始數據在文件中的位置IMAGE_SECTION_HEADER順序名字大小（字節）描述6PointerToRelocations4OBJ中表示該節重定位信息的偏移EXE文件中無意義7Poin

36、terToLinenumbers4行號偏移8NumberOfRelocations2本節要重定位的數目9NumberOfLinenumbers2本節在行號表中的行號數目10Characteristics *4節屬性節 “節（Section)”跟在節表之后，一般PE文件都有幾個“節”。比較常見的有：v代碼節v已初始化的數據節v未初始化的數據節v資源節v引入函數節v引出函數節代碼節v代碼節一般名為.text或CODE，該節含有程序的可執行代碼。v每個PE文件都有代碼節v在代碼節中，還有一些特別的數據，是作為調用映入函數之用。如： Call MessageBoxA的調用，反匯編后該指令被換為call 0040101A,而地址0040101A仍在.text中，它放有一個跳轉指令jmp dword ptr0040304c,即這條跳轉指令的目的地址處于.idata節中的0040304C處，其中放的才