计算机病*是一种特殊的程序或代码段,它寄生在一个合法的程序或环境中,并以某种方式潜伏下来,伺机进行感染和破坏。
计算机系统的软硬件环境决定了计算机病*的结构,而这种结构是能够充分利用系统资源进行活动的最合理体现。
计算病*的组成:
引导模块(主控模块)
触发模块
感染模块
破坏模块(表现模块)
两个状态:
静态
动态
根据是否被加载到内存,计算机病*又分为静态和动态。处于静态的病*存于存储介质中,一般不能执行感染和破坏模块,其传播只能借助第三方活动(例如:复制、下载和邮件传输等)实现。当病*经过引导功能开始进入内存后,便处于活动状态(动态),满足一定触发条件后就开始进行传染和破坏,从而构成对计算机系统和资源的威胁。
工作机制
各个模块的作用
引导模块
引导前——寄生
寄生位置:
引导区
可执行文件
寄生手段:
替代法(寄生在引导区中的病*常用该法)
链接法(寄生在文件中的病*常用该法)
引导过程
驻留内存
窃取系统控制权
恢复系统功能
引导区病*引导过程
搬迁系统引导程序-〉替代为病*引导程序
启动时-〉病*引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术
最后,转向系统引导程序-〉引导系统
文件型病*引导过程
修改入口指令-〉替代为跳转到病*模块的指令
执行时-〉跳转到病*引导模块-〉病*引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术
最后,转向程序的正常执行指令-〉执行程序
触发模块
触发条件
计算机病*在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染或不发作或只传染不发作,这个条件就是计算机病*的触发条件。
触发模块的目的是调节病*的攻击性和潜伏性之间的平衡
大范围的感染行为、频繁的破坏行为可能给用户以重创,但是,它们总是使系统或多或少地出现异常,容易使病*暴露。
而不破坏、不感染又会使病*失去其特性。
可触发性是病*的攻击性和潜伏性之间的调整杠杆,可以控制病*感染和破坏的频度,兼顾杀伤力和潜伏性。
病*常用的触发条件
日期触发
时间触发
键盘触发
感染触发
例如,运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
启动触发
访问磁盘次数触发
CPU型号/主板型号触发
感染模块
病*传染的条件
被动传染(静态时)
用户在进行拷贝磁盘或文件时,把一个病*由一个载体复制到另一个载体上。或者是通过网络上的信息传递,把一个病*程序从一方传递到另一方。这种传染方式叫做计算机病*的被动传染。
主动传染(动态时)
以计算机系统的运行以及病*程序处于激活状态为先决条件。在病*处于激活的状态下,只要传染条件满足,病*程序能主动地把病*自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病*的主动传染。
传染过程
系统(程序)运行-〉各种模块进入内存-〉按多种传染方式传染
传染方式
立即传染,即病*在被执行的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序。
驻留内存并伺机传染,内存中的病*检查当前系统环境,在执行一个程序、浏览一个网页时传染磁盘上的程序,驻留在系统内存中的病*程序在宿主程序运行结束后,仍可活动,直至关闭计算机。
文件型病*传染机理
首先根据病*自己的特定标识来判断该文件是否已感染了该病*;
当条件满足时,将病*链接到文件的特定部位,并存入磁盘中;
完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
文件型病*传染途径
加载执行文件
浏览目录过程
创建文件过程
破坏模块
破坏对象
系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。
计算机病*的技术特征
常见计算机病*的技术特征
驻留内存
病*变种
EPO(EntryPointObscuring)技术
抗分析技术(加密、反跟踪)
隐蔽性病*技术
多态性病*技术
插入型病*技术
超级病*技术
破坏性感染技术
病*自动生产技术
网络病*技术
驻留内存:引导区病*的内存驻留
大小在1K或者几K
为了避免用户可以很容易的觉察到系统可用内存的减少,一些病*会等待DOS完全启动成功,然后使用DOS自己的功能分配内存。
不用考虑重载。
驻留内存:Windows环境下病*的内存驻留
三种驻留内存的方法
由于Windows操作系统本身就是多任务的,所以最简单的内存驻留方法是将病*作为一个应用程序,病*拥有自己的窗口(可能是隐藏的)、拥有自己的消息处理函数;
另外一种方法是使用DPMI申请一块系统内存,然后将病*代码放到这块内存中;
第三种方法是将病*作为一个VXD(Win3.x或者Win9x环境下的设备驱动程序)或者在WinNT/Win下的设备驱动程序WDM加载到内存中运行。
驻留内存:宏病*的内存驻留方法
病*随着宿主程序而被加载并且一直存在于系统中,所以从某种意义上,宏病*都是内存驻留病*。
宏病*通过检测自己的特征防止重入。
(原文出此网络,如有侵权请联系)
中国信息协会信息服务网络委员会于年3月25日-3月28日在成都市召开网络安全技术分析与安全防护实践培训班,欢迎致电-索取文件了解详情。
预览时标签不可点收录于话题#个上一篇下一篇