計算機病毒（1）

U盤傳播病毒原理---利用U盤自動播放的功能  
 雙擊U盤盤符時不是打開U盤，而是直接運行U盤中的程序。 
 原理：當咱們雙擊計算機某個分區或者對某個分區選擇右鍵彈出菜單的打開項時，系統將搜索該分區根目錄下是否存在Autorun.inf文件，若存在，則根據其中內容執行相應操做。
 Autorun.inf生效的條件：必須放在驅動器根目錄下，具備必定格式，文件名必須爲 Autorun.inf。
 方法一：關閉系統自動播放功能。
        三個途徑：（1）服務禁用ShellHardware 服務
                 （2）使用組策略
                 （3）使用註冊表
    方法2、阻止Autorun.inf文件的建立。
        怎麼阻止？
         在磁盤根目錄、U盤根目錄、移動硬盤根目錄下（也就是病毒可能寫入Autorun.inf 文件的地方）新建一個Autorun.inf文件夾。
        被病毒刪了呢？
         建立一個沒法刪除的Autorun.inf文件夾

病毒要作一件壞事，必須委派線程來作，線程又必須存在於一個進程空間中，因此病毒要運行，必須先有進程，纔有線程完成任務。
 兩個選擇：（1）本身建立進程------隱藏
          （2）借用其它進程空間-----遠程注入代碼
 遠程注入：由本地進程向其餘進程寫入執行代碼，或者令其餘進程加載模塊的過程。

DLL是做爲共享函數庫的可執行文件（PE格式），但它不能獨立運行，只能經過其餘可運行的程序加載到內存中執行功能。

病毒注入技術有兩種：
 （1）寫內存----直接向對方進程空間中寫入代碼
    （2）將病毒代碼寫到一個DLL文件中，而後令

服務：在後臺完成系統任務的程序，如獲取自動更新或者管理打印任務等等；
    服務有關聯的程序，以及啓動方式；
    服務與系統的核心相關，擁有各類權限。
    （1）將病毒自己建立爲服務
        病毒運行後在系統中建立一個服務，服務關聯的程序是病毒自己，設置啓動方式爲自啓動；
  經過服務方式啓動的程序難於分析調試，也不容易監控。
 （2）利用系統服務漏洞進行攻擊。

病毒對註冊表的利用
 利用註冊表實現程序自啓動
 利用註冊表改變文本文件所關聯的程序
  (1) Image File Execution Options\路徑下，新建一個「項」，項的名稱是notepad.exe（要禁止的程序名稱）
  (2) 再右邊的窗口中單擊右鍵選擇「新建」，「字符串值」取名爲Debugger，雙擊Debugger，在「編輯字符串」對話框中，輸入一個無心義的字符串，如abc……，這樣就實現了對notepad.exe的禁用，運行時會顯示找不到文件。

硬盤的3D參數： CHS(Cylinder/Head/Sector)
    磁頭數(Heads) 最大爲 255 (用 8 個二進制存儲)
    柱面數(Cylinders) 最大爲 1023(用 10 個二進制存儲)
    扇區數(Sectors) 最大爲 63(用 6個二進制位存儲)
    每一個扇區通常是 512個字節

病毒的定義：
 計算機病毒是一段附着在其它程序上的、能夠自我繁殖的程序代碼，複製後生成的新病毒一樣具備感染其它程序的功能。
 在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我複製的一組計算機指令或者程序代碼」。

病毒特性：
1) 傳染性:  病毒把自身複製到其餘程序、中間存儲介質或主機的性質。區別於正常程序。
2) 破壞性：良性病毒-下降計算機工做效率，佔用系統資源，如內存空間、磁盤存儲空間以及系統運行時間等；
   惡性病毒-破壞數據、刪除文件、格式化磁盤、系統崩潰，硬件損壞。
3）隱蔽性： 在生命週期中，病毒通常會經歷三個階段：潛伏階段、傳播階段、發做階段。
4）程序性（可執行性）：只有運行了才能達到目的
5）可觸發性：觸發條件
     如：黑色星期五：13日又是星期五發做
         PETER-2：每一年2月27日提出問題，答錯3次後將硬盤加密
         上海一號：每一年的三、六、9月的13號發做
6）衍生性：演變或釋放出新病毒
7）不可預見性：代碼千差萬別，製做技術不斷提升，針對反病毒軟件的對抗永遠是超前的。
8）欺騙性

病毒的命名：
前綴 + 病毒名 + 後綴
 前綴表示該病毒發做的操做平臺或者病毒的類型，如:Trojan（ Trojan-Downloader 、 Trojan.PSW），Worm，Macro，PE，VBS，BackDoor，Win32，Win95，…
 後綴是爲了區別在該病毒家族中各病毒的不一樣，能夠爲字母，表示病毒是某一個家族的第幾種變種，或者爲數字（數字通常是病毒的大小，以病毒的大小來區分同一家族的不一樣病毒變種）。
 病毒名爲該病毒的名稱及其家族。

查毒 -> 殺毒
    殺毒：肯定相應的殺毒方法
    感染型病毒-清除被感染程序中的病毒代碼
    獨立程序的病毒-直接刪除病毒文件
 （1）特徵碼查毒
  利用留在被感染文件中的病毒特徵值（即每種病毒所獨有的十六進制代碼串）進行檢測。
   優勢：
    速度快，誤報率低，是檢測已知病毒最簡單、開銷最小的方法。
   缺點：
    沒法檢測新病毒
    變形病毒增多，特徵庫體積龐大，速度降低

 （2）啓發式查毒
       經過對有關指令序列的提取和分析逐步理解並肯定其蘊藏的真正動機。
   優勢：
        可能檢測到未知病毒
   缺點：
        誤報。 
          針對PE病毒：根據PE文件在格式上的特徵制定啓發式 分析方法，如代碼是否從最後一節開始執行、是否重定位。

 （3）基於虛擬機技術的行爲斷定
  在掃描器中實現了一個虛擬機來仿真CPU、內存管理系統等系統組件，進而模擬代碼執行過程，這樣病毒就是在虛擬機中模擬執行，而不是被真實的CPU執行。
   優勢：檢測加密和多態病毒、動態解密程序。

計算機病毒自我保護技術
（1）花指令--在指令流中插入不少的「垃圾數據」，干擾反彙編軟件的判斷。     
（2）加密--對病毒的某些主體代碼採用固定的密鑰進行加密，對抗靜態反彙編。
（3）多態--病毒加密後的每一個樣本的代碼都不相同，表現爲多種狀態，對抗靜態掃描特徵碼的殺毒軟件
（4）變形--與多態技術不一樣的是每次加密的原始病毒代碼是變化的。
（5）加殼
（6）直接對抗殺毒軟件，終結反病毒軟件或其部分功能

待發展的計算機病毒對抗技術

（1）未知病毒查殺技術--虛擬CPU
       要求：智能性和執行效率
（2）流掃描技術--在網絡入口處對進出內部網絡的數據和行爲進行監控
       要求：查殺效率要高，防止明顯的網絡延遲
（3）雲安全
        經過網狀的大量客戶端對網絡中軟件行爲進行異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每個客戶端。

在生命週期中，病毒通常會經歷以下三個階段：
 潛伏階段：病毒處於休眠狀態，最終會被某些條件激活（日期、某特定程序或特定文件的出現，內存容量超過必定範圍等等）
 傳播階段：將自身複製到其餘程序或磁盤的某個區域上。
 發做階段：病毒被激活，在系統中發做，會執行某一特定功能從而達到某種既定的目的。

病毒發做體現出來的破壞程度是不一樣的：
   表現本身
   破壞程序和文件中的數據，甚至毀壞硬件

病毒程序通常由觸發模塊、傳播模塊、破壞模塊、主控模塊組成，相應爲觸發機制、傳染機制和破壞機制三種。

系統啓動過程
（1）計算機啓動
（2）將硬盤MBR讀入內存地址0000:7c00處
（3）檢查0000:7dfe是否等於0xaa55，若不等於則轉去其它介質啓動，若是沒有其它介質則顯示「No ROM BASIC」而後死機。
（4）跳轉到0000:7c00處執行MBR中的程序
（5）MBR首先將本身複製到0000:0600處，繼續執行
（6）檢查分區表是否無缺，並在主分區表中搜索標誌爲活動的分區。若是沒有或不止一個，則顯示Invalid partition table ，並掛起系統
（7）將活動分區的第一個扇區讀入0000:7c00
（8）檢查0000:7dfe是否等於0xaa55，若不等於則顯示「Missing Operating System」，而後中止，或嘗試軟盤啓動
（9）跳轉到0000:7c00處繼續執行特定系統的啓動程序（分區引導記錄）
（10）分區引導記錄將負責讀取並執行系統文件IO.SYS，
（11）IO.SYS首先初始化一些重要的系統數據，而後就顯示出藍天白雲，Windows將繼續進行引導和初始化工做
（1）……（4）由BIOS引導程序完成
（5）……（9）由MBR的引導程序完成
（10）（11）由分區引導程序完成（啓動系統）

DOS病毒的加載過程
 3種加載方式：
     1）參與系統的啓動過程
     2）依附正常文件加載
     3）直接運行病毒程序
 加載步驟：
  1）開闢內存空間（臨時空間）
     2）病毒體定位和駐留（常駐空間）
     3）恢復系統功能

引導型病毒的主要特色
 一、引導型病毒是在操做系統以前進入內存，寄生對象又相對固定，所以該類型病毒大多會採用減小操做系統所掌管的內存容量方法來駐留內存高端。 而正常的系統引導過程是不減小系統內存的。
 二、引導型病毒須要把病毒傳染給軟盤，通常是經過修改INT 13H的中斷向量，而新INT 13H中斷向量段址一定指向內存高端的病毒程序。
 三、引導型病毒感染硬盤時，一定駐留硬盤的主引導扇區或引導扇區。（正常狀況下是不對硬盤主引導區或引導區進行寫盤操做的）
 四、引導型病毒的寄生對象相對固定，把當前的系統主引導扇區和引導扇區與乾淨的主引導扇區和引導扇區進行比較，若是內容不一致，可認定系統引導區異常。

PE病毒的運行過程   雙擊運行HOST程序，裝載HOST程序到內存   經過PE文件中的Address Of Entry Point和Image Base之和來定位第一條語句的位置   從第一條語句開始執行，實際執行的可能就是病毒代碼  病毒主體代碼執行完畢，將控制權交給HOST程序原來入口代碼  HOST程序繼續執行。