第2章 计算机病毒的工作机制.ppt

任课教师：乔奎贤,E-mail：cren616@,计算机病毒原理与防范,第2章 计算机病毒的工作机制,,2.1 计算机病毒的工作步骤分析,本质上看，病毒程序可以执行其他程序所能执行的一切功能与普通程序又不同的是病毒必须将自身附着在其他程序上病毒程序所依附的其他程序称为宿主程序当用户运行宿主程序时，病毒程序被激活，并开始执行一旦病毒程序被执行，它就能执行一切意想不到的功能（如感染其他程序、删除文件等）,2.1 计算机病毒的工作步骤分析,从病毒的生命周期来看，病毒一般经历4个阶段：1．潜伏阶段：病毒程序处于休眠状态2．传染阶段：感染其他程序——将自身程序复制到其他程序或者磁盘的某个区域3．触发阶段：病毒执行某种特定功能从而达到既定目标4．发作阶段：病毒为了既定目标而运行（如破坏文件、感染其他程序等）为了实现病毒生命周期的转换，病毒程序必须具有相应的功能模块：引导模块、感染模块、表现模块,2.1 计算机病毒的工作步骤分析,在潜伏阶段，病毒程序处于休眠状态，用户根本感觉不到病毒的存在，但并非所有病毒均会经历潜伏阶段如果某些事件发生（如特定的日期、某个特定的程序被执行等），病毒就会被激活，并从而进入传染阶段。

处于传染阶段的病毒，将感染其他程序——将自身程序复制到其他程序或者磁盘的某个区域上经过传染阶段，病毒程序已经具备运行的条件，一旦病毒被激活，则进入触发阶段,2.1 计算机病毒的工作步骤分析,2.1 计算机病毒的工作步骤分析,计算机病毒组成模块：引导模块感染模块感染条件判断模块传染功能实现模块表现模块表现条件判断模块表现功能实现模块,2.1 计算机病毒的工作步骤分析,计算机病毒的组成模块：1．引导模块： 实现将计算机病毒程序引入计算机内存，并使得传染和表现模块处于活动状态引导模块必须具备的功能：引导模块需要提供自我保护功能，避免在内存中的自身代码不被覆盖或清除计算机病毒程序引入内存后为传染模块和表现模块设置相应的启动条件，以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块,2.1 计算机病毒的工作步骤分析,计算机病毒的组成模块：1．引导模块2．感染模块： 感染条件判断子模块：依据引导模块设置的传染条件，判断当前系统环境是否满足传染条件 传染功能实现子模块：如果传染条件满足，则启动传染功能，将计算机病毒程序附加在其他宿主程序上3．表现模块：,2.1 计算机病毒的工作步骤分析,计算机病毒的组成模块：1．引导模块：2．感染模块：3．表现模块： 表现条件判断子模块：依据引导模块设置的触发条件，判断当前系统环境是否满足触发条件 表现功能实现子模块：如果触发条件满足，则启动计算机病毒程序，按照预定的计划执行计算机病毒程序典型组成的伪代码描述：P21,2.1 计算机病毒的工作步骤分析,计算机病毒程序典型组成的伪代码描述：BootingModel（） /* 引导模块 */{将计算机病毒程序寄生于宿主程序中；启动自保护功能；设置传染条件；设置激活条件；加载计算机程序；计算机病毒程序随宿主程序地运行进入系统；},2.1 计算机病毒的工作步骤分析,计算机病毒程序典型组成的伪代码描述：InfectingModel（） /* 传染模块*/{按照计算机病毒目标实现传染功能；}BehavingModel（） /*表现模块*/{按照计算机病毒目标实现表现功能；},2.1 计算机病毒的工作步骤分析,计算机病毒程序典型组成的伪代码描述：main ( ) /*计算机病毒主程序*/{ BootingModel ( ) ；while ( 1 ){ 寻找感染对象； if ( 如果感染条件不满足 ) continue ； InfectingModel ( ) ； if ( 激活条件不满足 ) continue ； behavingModel ( ) ； 运行宿主程序 ； if ( 计算机病毒程序需要退出 ) exit ( ) ；}},2.2 计算机病毒的引导机制,2.2.1 计算机病毒的寄生对象：1．寄生在计算机硬盘的主引导扇区中2．寄生在计算机磁盘逻辑分区的引导扇区中3．寄生在可执行程序中,2.2 计算机病毒的引导机制,2.2.2 计算机病毒的寄生方式替代法：指计算机病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。

——寄生在磁盘引导扇区的病毒链接法：指计算机病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，链接位置可能在正常程序的首部、尾部或中间 ——寄生在可执行程序中的病毒,2.2 计算机病毒的引导机制,2.2.2 计算机病毒的寄生方式,,2.2 计算机病毒的引导机制,2.2.3 计算机病毒的引导过程1．驻留内存 计算机病毒若要发挥其破坏作用，一般要驻留内存要开辟内存空间或覆盖系统占用的部分内存空间2．获取系统控制权 必须使用有关代码取代或扩充系统原有功能，并窃取系统控制权之后隐蔽自己，伺机进行传染和破坏3．恢复系统功能 病毒为隐蔽自己，驻留内存后要恢复系统，使系统不出现异常表现2.2 计算机病毒的引导机制,2.2.3 计算机病毒的引导过程引导区病毒引导过程搬迁系统引导程序→替代为病毒引导程序启动时→病毒引导模块→加载传染、破坏和触发模块到内存→使用常驻内存技术转向系统引导程序→引导系统文件型病毒引导过程修改入口指令→替代为跳转到病毒模块的指令执行时→跳转到病毒引导模块→病毒引导模块→加载传染、破坏和触发模块到内存→使用常驻技术转向程序的正常执行指令→执行程序,2.3 计算机病毒的传染机制,2.3.1 计算机病毒的传染方式计算机病毒传染：指计算机病毒程序由一个信息载体传播到另一个信息载体，或由一个系统传播到另一个系统的过程计算机病毒传播的方式：被动传染：用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体，也可能通过网络传播主动传染：在计算机病毒处于激活状态下，只要传染条件满足，计算机病毒能主动将病毒自身传染给另一个载体或系统,2.3 计算机病毒的传染机制,2.3.1 计算机病毒的传染方式计算机病毒传染：指计算机病毒程序由一个信息载体传播到另一个信息载体，或由一个系统传播到另一个系统的过程。

按照病毒传染的时间性分为：立即传染：计算机病毒在被执行的瞬间，抢在宿主程序执行之前，立即感染磁盘上的其它程序，然后再执行宿主程序伺机传染：计算机病毒驻留内存后当满足传染条件时传染磁盘上的程序,2.3 计算机病毒的传染机制,2.3.2 计算机病毒的传染过程被动传染：随着复制磁盘或文件工作的进行而进行的主动传染： 1. 在系统运行时，计算机病毒通过计算机病毒载体，即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行； 2. 病毒程序的引导模块，修改中断向量的入口地址，使之指向病毒程序的传染模块； 3. 一旦系统执行磁盘读写操作或系统功能调用，病毒传染模块就被激活，当传染条件满足时，利用INT 13H将病毒自身传染给被读写的磁盘或被加载的程序2.3 计算机病毒的传染机制,2.3.2 计算机病毒的传染过程文件型病毒传染机理系统（程序）运行各种模块进入内存按多种传染方式传染操作系统型计算机病毒的传染过程（P26）,2.3 计算机病毒的传染机制,2.3.3 系统型计算机病毒传染机理系统型计算机病毒针对软硬盘不同特点采用不同的传染方式：系统型计算机病毒对软盘的传染：利用在开机引导时窃取INT 13H控制权，系统运行过程中随时监视软盘操作情况，在系统读写软盘时读出磁盘引导区，若未感染病毒就按病毒的寄生方式将原引导区写到磁盘的另一位置，将病毒写入磁盘第一扇区，从而完成传染。

系统型计算机病毒对硬盘的传染：通过第一次使用带毒软盘进行的，具体步骤与软盘传染相似，读出引导区判断后写入计算机病毒2.3 计算机病毒的传染机制,2.3.4 文件型计算机病毒传染机理文件型计算机病毒传染过程： 1．根据可执行程序文件的特点地址的标识符信息，判断是否已感染病毒 2．条件满足时，利用INT 13H将病毒链接到可执行程序文件的首部、尾部或中间； 3．完成传染后，继续监视系统的运行，试图寻找新的攻击目标文件型计算机病毒传染途径： 1．加载执行文件：通过截获INT 21中断检查每一个加载运行的可执行文件进行传染每次只传染一个文件，不会感染用户为执行的文件 2．列目录过程：在用户列硬盘目录时，病毒检查每个文件的扩展名，对可执行文件进行传染 3．创建文件过程：在创建文件过程中，病毒将其附加在新文件上,2.4 计算机病毒的触发机制,可触发性：是计算机病毒的攻击性和潜伏性之间的调整杠杆，可控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性目前常见的病毒触发条件种类：1．日期触发2．时间触发3．键盘触发4．感染触发5．启动触发6．访问磁盘次数触发7．调用中断功能触发8．CPU型号/主板型号触发,2.5 计算机病毒的破坏机制,通过修改某一中断向量入口地址实现，使中断向量入口地址指向病毒的破坏模块，当系统或被加载程序访问该中断向量时，病毒的破坏模块被激活，满足一定条件时实施破坏活动。

2.6 计算机病毒的传播机制,计算机病毒的传播方式：计算机病毒直接从有盘站复制到服务器中计算机病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器计算机病毒先传染工作站，在工作站内存驻留，在计算机病毒运行时直接通过映像路径传染到服务器中如果远程工作站被计算机病毒侵入，计算机病毒也可以通过通信中数据交换进入网络服务器中 在网络环境下，网络计算机病毒除了具有可传播性、可执行性、破坏性和可触发性等计算机病毒的共性外，还具有一些新的特点1）感染速度快2）扩散面广,本章课后作业,教材：P30第 1、2、4、7、8 题,,。