复旦大学信息安全课件第7章新一代计算机病毒

第七章 新一代计算机病毒第七章 新一代计算机病毒 计算机病毒的发展从九十年代中期进入了快速发展，攻击目标以计算机病毒的发展从九十年代中期进入了快速发展，攻击目标以Windows为主，出现了双料双重，攻击杀毒软件的，具有黑客性质的病毒为主，出现了双料双重，攻击杀毒软件的，具有黑客性质的病毒 7.1 变形多态病毒变形多态病毒 从从1992年以来，出现了能在传播过程中自动修改病毒代码，改变加解密例程的变形多态病毒，给病毒的检测和清除带来新的问题。年以来，出现了能在传播过程中自动修改病毒代码，改变加解密例程的变形多态病毒，给病毒的检测和清除带来新的问题。 变形多态病毒一般有一个变异引擎，它是一种简单的机器代码生成器，它可以根据不同机器配置、所攻击的文件情况、传染次数等修改病毒程序体代码。变形多态病毒一般有一个变异引擎，它是一种简单的机器代码生成器，它可以根据不同机器配置、所攻击的文件情况、传染次数等修改病毒程序体代码。 在带毒载体被运行后，病毒程序首先被执行，掌握系统控制权，变异引擎被启动，会根据变异引擎的功能读取有关信息，遇到传染对象后生成变形病毒程序，把变形病毒体和变异引擎一起附加到传染目标上，完成一次传染。在带毒载体被运行后，病毒程序首先被执行，掌握系统控制权，变异引擎被启动，会根据变异引擎的功能读取有关信息，遇到传染对象后生成变形病毒程序，把变形病毒体和变异引擎一起附加到传染目标上，完成一次传染。 如果是具有对病毒程序体加密能力的病毒，则在被加载后先进行自我解密，根据变异引擎的功能读取有关信息，在把病毒程序附加到新的目标之前，采用一个互补的加密例程来加密病毒程序，然后把新产生的解密例程与加密的病毒程序体（包括变异引擎）一起附加到传染对象上。如果是具有对病毒程序体加密能力的病毒，则在被加载后先进行自我解密，根据变异引擎的功能读取有关信息，在把病毒程序附加到新的目标之前，采用一个互补的加密例程来加密病毒程序，然后把新产生的解密例程与加密的病毒程序体（包括变异引擎）一起附加到传染对象上。 这类病毒每传染一个对象就变化一种样子，变形能力可达上千亿甚至无限，给病毒检测和清除带来一定困难。这类病毒每传染一个对象就变化一种样子，变形能力可达上千亿甚至无限，给病毒检测和清除带来一定困难。 这类病毒有：这类病毒有：NATAS/4744/4746病毒，病毒，HYY/3522（福州（福州1号变形王）、变形大玩笑号变形王）、变形大玩笑JOKE和和CONNIE2-台湾台湾2号变形王等。号变形王等。 7.2 Retro病毒病毒 在生物学中，在生物学中，Retro病毒（逆转录酶病毒）能破坏抑制细胞变异的酶，导致肿瘤产生，病毒（逆转录酶病毒）能破坏抑制细胞变异的酶，导致肿瘤产生， 因此从某种程度上讲，一方面是酶要防止肿瘤产生，而另一方面则是要产生肿瘤，而其手段则是攻击它的攻击者。因此从某种程度上讲，一方面是酶要防止肿瘤产生，而另一方面则是要产生肿瘤，而其手段则是攻击它的攻击者。 计算机中的计算机中的Retro病毒的目标也是如此，它的任务就是寻找反病毒程序并试图删除一些关键文件，使得反病毒程序无法检测病毒。病毒的目标也是如此，它的任务就是寻找反病毒程序并试图删除一些关键文件，使得反病毒程序无法检测病毒。 一些反病毒程序会包括一个数据文件，这个文件中存放病毒的特征标记。一些反病毒程序会包括一个数据文件，这个文件中存放病毒的特征标记。Retro病毒的攻击手段就是删除这种病毒定义文件，从而破坏了扫描程序检测病毒的能力。病毒的攻击手段就是删除这种病毒定义文件，从而破坏了扫描程序检测病毒的能力。 有些反病毒产品使用完整性检查方法来检测病毒。把完整性信息存放到数据库中，标识每个未感染文件的关键特征，然后把当前文件与存储在数据库中原来文件的信息核对以验证文件的完整性。有些反病毒产品使用完整性检查方法来检测病毒。把完整性信息存放到数据库中，标识每个未感染文件的关键特征，然后把当前文件与存储在数据库中原来文件的信息核对以验证文件的完整性。Retro病毒就会寻找这个数据库并删除它。病毒就会寻找这个数据库并删除它。 其作用机理是：当用户配置反病毒程序来创建、维护文件数据库时，该病毒被激活，其作用机理是：当用户配置反病毒程序来创建、维护文件数据库时，该病毒被激活， 当用户释放磁盘空间时即删除该数据库，而反病毒程序并不知道数据库被病毒删除。当用户释放磁盘空间时即删除该数据库，而反病毒程序并不知道数据库被病毒删除。 因此当用完整性检查技术检测病毒时，由于发现数据库不存在，就会根据当前文件产生新的数据库，而收录的则是已感染病毒的程序的完整性信息。因此当用完整性检查技术检测病毒时，由于发现数据库不存在，就会根据当前文件产生新的数据库，而收录的则是已感染病毒的程序的完整性信息。 此外还有一类病毒具有惰化反病毒软件的功能。此外还有一类病毒具有惰化反病毒软件的功能。 这类病毒的作用就是阻止反病毒软件更新病毒数据库。这类病毒的作用就是阻止反病毒软件更新病毒数据库。 MTX病毒在感染了系统之后，会监视其对互联网的访问，并阻塞对可能是对反病毒服务商网站的访问，从而阻止更新病毒数据库。病毒在感染了系统之后，会监视其对互联网的访问，并阻塞对可能是对反病毒服务商网站的访问，从而阻止更新病毒数据库。 如果原来系统中反病毒软件没有该病毒信息，那么由于无法更新反病毒软件，就不能清除该病毒。如果原来系统中反病毒软件没有该病毒信息，那么由于无法更新反病毒软件，就不能清除该病毒。 还有一类病毒能够取消还有一类病毒能够取消Office所提供的防范措施。所提供的防范措施。 如，只要选择安全级别为中等，当文档带有宏，就会发出警告。如，只要选择安全级别为中等，当文档带有宏，就会发出警告。 而有一类病毒则能够使得此警告功能失效，即虽然设置的是中等安全级别，但当带有宏的文档被打开时却不会发出警告，而直接打开并激活宏而有一类病毒则能够使得此警告功能失效，即虽然设置的是中等安全级别，但当带有宏的文档被打开时却不会发出警告，而直接打开并激活宏(病毒病毒) 其原理是病毒会修改注册表其原理是病毒会修改注册表 Office对宏的访问限制及警告发出是通过注册表设置控制的。一旦病毒具有修改注册表功能，就可删除对宏访问的限制。对宏的访问限制及警告发出是通过注册表设置控制的。一旦病毒具有修改注册表功能，就可删除对宏访问的限制。 Listi(Killisti)病毒就具有这样的功能。它能检查注册表的病毒就具有这样的功能。它能检查注册表的AccessVBOM键值，如果键值设置为键值，如果键值设置为1，表明没有限制宏的访问，病毒可以继续感染。，表明没有限制宏的访问，病毒可以继续感染。 如果限制了访问，则键值大于或小于如果限制了访问，则键值大于或小于1，此时该病 毒 将 把 键 值 修 改 为，此时该病 毒 将 把 键 值 修 改 为 1 ， 然 后 调 用， 然 后 调 用WordBasic.FileExit命令退出命令退出Word，这是因为，这是因为AccessVBOM键值修改生效必须在重启键值修改生效必须在重启Word之后。之后。 再打开带有宏的文档时，原来设定的安全级别就失效了。再打开带有宏的文档时，原来设定的安全级别就失效了。 7.3“双料”、“双重”病毒双料”、“双重”病毒 所谓“双料”是指病毒既能象系统引导型病毒感染软硬盘引导区，又能象文件型病毒那样感染可执行文件。所谓“双料”是指病毒既能象系统引导型病毒感染软硬盘引导区，又能象文件型病毒那样感染可执行文件。 所谓“双重”病毒就是指即是所谓“双重”病毒就是指即是DOS系统病毒，又是系统病毒，又是Windows系统病毒。系统病毒。3783（TPVO）病毒就是这类病毒的代表。）病毒就是这类病毒的代表。 3783病毒在进入内存后，病毒利用自身的反串功能，给检测病毒带来困难。病毒在进入内存后，病毒利用自身的反串功能，给检测病毒带来困难。 该病毒对软硬盘引导区的感染方式类似于系统引导型病毒的传染方式。该病毒对软硬盘引导区的感染方式类似于系统引导型病毒的传染方式。 它对可执行文件的传染方式是，当目标文件头两个字节是它对可执行文件的传染方式是，当目标文件头两个字节是4D5A时，则判断是时，则判断是DOS系统运行下的文件还是系统运行下的文件还是Windows系统下运行的文件？系统下运行的文件？ 并根据不同文件结构实施传染，把病毒主体链接在文件尾部，使之增加并根据不同文件结构实施传染，把病毒主体链接在文件尾部，使之增加3783个字节，该病毒名由此而来。个字节，该病毒名由此而来。 3783病毒对网络系统破坏极大，会使网络系统工作不正常或瘫痪。病毒对网络系统破坏极大，会使网络系统工作不正常或瘫痪。 在检测和清除病毒时，要清除引导区和文件中的病毒在检测和清除病毒时，要清除引导区和文件中的病毒 7.4 PE病毒原理病毒原理 Win32 PE病毒标志令病毒极度疯狂的病毒标志令病毒极度疯狂的DOS时代已经过去。时代已经过去。 病毒技术的精髓是病毒技术的精髓是Win32汇编汇编 Win32病毒同时也是所有病毒中数量极多，破坏性极大，技巧性最强的一类病毒。譬如病毒同时也是所有病毒中数量极多，破坏性极大，技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这个范畴。、中国黑客等病毒都是属于这个范畴。 7.4.1病毒的重定位病毒的重定位 1.为什么要重定位为什么要重定位 写正常程序的时候不用去关心变量写正常程序的时候不用去关心变量(常量常量)的位置，的位置， 源程序在编译的时候它的内存中位置计算好了。程序装入内存时，系统不会为它重定位。需要用到变量源程序在编译的时候它的内存中位置计算好了。程序装入内存时，系统不会为它重定位。需要用到变量(常量常量)的时候直接用变量名访问的时候直接用变量名访问(编译后就是通过偏移地址访问编译后就是通过偏移地址访问)就可以。就可以。 病毒也要用到变量病毒也要用到变量(常量常量)，当病毒感染，当病毒感染HOST程序后程序后，由于依附到由于依附到HOST程序中的位置不同，病毒随着程序中的位置不同，病毒随着HOST载入内存后，病毒中各变量载入内存后，病毒中各变量(常量常量)在内存中的位置自然也会随着发生变化。在内存中的位置自然也会随着发生变化。 需要重定位需要重定位 2.如何重定位如何重定位 call指令用来调用一个子程序或用来进行跳转，指令用来调用一个子程序或用来进行跳转， 执行时，会先将返回地址执行时，会先将返回地址(即紧接着即紧接着call语句之后的那条语句在内存中的真正地址语句之后的那条语句在内存中的真正地址)压入堆栈，然后将压入堆栈，然后将IP置为置为call语句所指向的地址。语句所指向的地址。 子程序碰到子程序碰到ret命令后，就会将堆栈顶端的地址弹出来，并将该地址存放在命令后，就会将堆栈顶端的地址弹出来，并将该地址存放在IP中，中， 主程序就可以继续执行主程序就可以继续执行call delta;执行后，堆栈顶端为执行后，堆栈顶端为delta在内存中的真正地址在内存中的真正地址delta: pop ebp ;将将delta在内存中的真正地址存放在在内存中的真正地址存放在ebp寄存器中寄存器中lea eax,ebp+(offset var1-offset delta) ;eax中存放着中存放着var1在内存中的真实地址在内存中的真实地址pop语句执行后，语句执行后，ebp中放的是什么？病毒程序中标号中放的是什么？病毒程序中标号delta处在内存中的真正地址。如果病毒程序中有变量处在内存中的真正地址。如果病毒程序中有变量var1，那么该变量实际在内存中的地址是，那么该变量实际在内存中的地址是ebp+(offset var1-offset delta)，即参考量，即参考量delta在内存中的地址在内存中的地址+其它变量与参考量之间的距离其它变量与参考量之间的距离=其它变量在内存中的真正地址其它变量在内存中的真正地址。 7.4. 2.获取获取API函数地址函数地址 1.为什么要获