计算机病毒 教学ppt课件 3-计算机病毒的基本机制.ppt

计算机病毒Computer Virus
汪洁
******@
1
计算机病毒的结构
ECHO ON
REM 文件名
REM 本病毒感染自动执行批处理文件
IF DRIVE块在总体上控制病毒程序的运行。其基本动作如下：
调用感染模块，进行感染。
调用触发模块，接受其返回值。
如果返回真值，执行破坏模块。
如果返回假值，执行后续程序。
14
病毒程序结构
Program Virus:= {
Subroutine infect_executable := {
loop: file=Random_executable;
if first_line of file = 1234567
then go loop;
append virus to file;
}
Subroutine Do_damage := {……}
/*whatever damage is desired*/
Subroutine trigger_pulled := {Return true on desired condition}
main_program := {
infect_executable;
if trigger_pulled then Do_Damage;
Goto next;
next:
}
}
15
计算机病毒的传播机制
病毒感染目标和过程
感染长度和感染次数
引导型病毒的感染
寄生感染
插入感染和逆插入感染
链式感染
破坏性感染
滋生感染
没有入口点的感染
OBJ、LIB和源码的感染
混合感染和交叉感染
零长度感染
16
病毒感染目标和过程
硬盘系统分配表扇区(主引导扇区)
硬盘BOOT扇区
软盘BOOT扇区
覆盖文件(OVL)
EXE文件
COM文件
COMMAND文件
IBMBIOS文件/IBMD0S文件
另外，eml,doc,dot,bvs,bat, pl,html,flash,dll,sys, asp
17
病毒感染目标和过程
病毒入侵宿主程序的基本方式有两种：替代方式和链接方式。染毒程序运行时，必须能使病毒代码得到系统的控制权。染毒程序运行时，首先运行病毒代码。而病毒的宿主程序可分为两类：操作系统和应用程序。
病毒代码替换磁盘的Boot扇区、主引导扇区。
COMMAND程序做宿主程序
应用程序做宿主程序
18
病毒感染目标和过程
19
病毒感染目标和过程
20
感染长度和感染次数
保持原长度。
增长长度为恒定值。
增长长度的单位为一基数，在1节(16字节)内浮动。
每次感染，宿主程序增长长度都在变化。
21
单次感染
单次感染病毒在每次感染宿主程序时，将病毒代码放入宿主程序的同时，还放置了感染标记。当病毒再次遇到已染毒程序时，当发现染毒程序中的感染标记时，便不会再进行感染。
22
重复感染
重复感染是指病毒遇到宿主文件时，不论宿主文件是否已感染过，都再次进行感染。重复感染的结果是病毒文件长度不断膨胀。病毒的重复感染可分如下几种。
简单的重复感染。
有限次数重复感染。
每次重复感染时，长度变化。
每次重复感染时，病毒代码的位置变化（变位重复感染）。
23
变位重复感染
24
引导型病毒的感染
25
引导型病毒的感染
隐藏方法
把FAT表中的簇标记为bad
改变BPB中的逻辑驱动器的容量
非常规格式化磁盘
26
寄生感染
病毒将其代码放入宿主程序中，不论放入宿主程序的头部、尾部还是中间部位，都称之为寄生感染。病毒放入宿主程序中部的感染方式称为插入感染，另外有插入感染和逆插入感染。
有两种方法把病毒放入文件的头部。第一种方法把目标文件的头部移到文件的尾部，然后拷贝病毒体到目标文件的头部的空间。第二种方法是病毒在RAM中创建其拷贝，然后追加目标文件，最后把连接结果存到磁盘。
27
寄生感染
28
寄生感染
29
寄生感染
30
插入感染和逆插入感染
一般病毒感染宿主程序时，病毒代码放在宿主程序头部或尾部。而插入感染病毒能够自动地将宿主程序拦腰截断，在宿主程序的中部插入病毒代码。