上海交通大学：《恶意代码与计算机病毒（原理、技术和实践）》课程教学资源（PPT课件）第03章 计算机病毒结构及技术分析

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY 第三章计算机病毒结构分析 上海交通大学网络空间安全学院 刘功申 网络空间安全学院

第三章 计算机病毒结构分析 上海交通大学 网络空间安全学院 刘功申

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY 本章学习目标 ©掌握计算机病毒的结构 掌握计算机病毒的工作机制 ©了解各种计算机病毒技术 网络空间安全学院

本章学习目标 掌握计算机病毒的结构 掌握计算机病毒的工作机制 了解各种计算机病毒技术

上海充通大学 一、计算机病毒的结构和工作机制 SHANGHAI JIAO TONG UNIVERSITY 四大模块： 感染模块 触发模块 破坏模块( 表现模块) ·引导模块 （主控模块) 两个状态： · 静态 动态 网络空间安全学院

一、计算机病毒的结构和工作机制 四大模块： • 感染模块 • 触发模块 • 破坏模块（表现模块） • 引导模块（主控模块） 两个状态： • 静态 • 动态

上潘充通大警 工作机制 SHANGHAI JIAO TONG UNIVERSITY 静态 引导模块 病毒破坏 触发模块 满足 满足 满足破坏条作 病毒感染 满足触发条件 不满足 不满足 携毒潜伏或消散 携毒潜伏或消散 网络空间安全学院

工作机制 动态 静态 引导模块 病毒感染 病毒破坏 触发模块 满足破坏条件 满足触发条件 携毒潜伏或消散 携毒潜伏或消散 满足 满足 不满足 不满足

上游充通大学 引导模块 SHANGHAI JIAO TONG UNIVERSITY 引导前—寄生 ·寄生位置： ·引导区 ·可执行文件 ·寄生手段： ·替代法（寄生在引导区中的病毒常用该法） ·链接法（寄生在文件中的病毒常用该法） 网络空间安全学院

引导模块 引导前——寄生 • 寄生位置： • 引导区 • 可执行文件 • 寄生手段： • 替代法（寄生在引导区中的病毒常用该法） • 链接法（寄生在文件中的病毒常用该法）

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY ©引导过程 ·驻留内存 ·窃取系统控制权 ·恢复系统功能 引导区病毒引导过程 ·搬迁系统引导程序-〉替代为病毒引导程序 ·启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-) 使用常驻技术 ·最后，转向系统引导程序-〉引导系统 网络空间安全学院

引导过程 • 驻留内存 • 窃取系统控制权 • 恢复系统功能 引导区病毒引导过程 • 搬迁系统引导程序-〉替代为病毒引导程序 • 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉 使用常驻技术 • 最后，转向系统引导程序-〉引导系统

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY 文件型病毒引导过程 修改入口指令-〉替代为跳 转到病毒模块的指令 0 执行时-〉跳转到病毒引导 模块-〉病毒引导模块-〉 加载传染、破坏和触发模 块到内存-〉使用常驻技术 最后，转向程序的正常执 行指令-〉执行程序 网络空间安全学院

文件型病毒引导过程 • 修改入口指令-〉替代为跳 转到病毒模块的指令 • 执行时-〉跳转到病毒引导 模块-〉病毒引导模块-〉 加载传染、破坏和触发模 块到内存-〉使用常驻技术 • 最后，转向程序的正常执 行指令-〉执行程序

上游充通大学 感染模块 SHANGHAI JIAO TONG UNIVERSITY 病毒传染的条件 ·被动传染（静态时) ·用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制 到另一个载体上。或者是通过网络上的信息传递，把一个病 毒程序从一方传递到另一方。这种传染方式叫做计算机病毒 的被动传染。 ·主动传染（动态时) ·以计算机系统的运行以及病毒程序处于激活状态为先决条件。 在病毒处于激活的状态下，只要传染条件满足，病毒程序能 主动地把病毒自身传染给另一个载体或另一个系统。这种传 染方式叫做计算机病毒的主动传染。 网络空间安全学院

感染模块 病毒传染的条件 • 被动传染（静态时） • 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制 到另一个载体上。或者是通过网络上的信息传递，把一个病 毒程序从一方传递到另一方。这种传染方式叫做计算机病毒 的被动传染。 • 主动传染（动态时） • 以计算机系统的运行以及病毒程序处于激活状态为先决条件。 在病毒处于激活的状态下，只要传染条件满足，病毒程序能 主动地把病毒自身传染给另一个载体或另一个系统。这种传 染方式叫做计算机病毒的主动传染

上游充通大学 SHANGHAI JIAO TONG UNIVERSITY 传染过程 ·系统 (程序)运行-〉各种模块进入内存-〉按多种传染方式传染 传染方式 立即传染，，即病毒在被执行的瞬间，抢在宿主程序开始执行前， 立即感染磁盘上的其他程序，然后再执行主椁序。“ 。 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行 二入程序、浏览二个网页时传染磁盘上的程序，驻留在系统内存 中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算 机。 网络空间安全学院

传染过程 • 系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染 传染方式 • 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前， 立即感染磁盘上的其他程序，然后再执行宿主程序。 • 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行 一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存 中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算 机

上潘充通大警 SHANGHAI JIAO TONG UNIVERSITY 文件型病毒传染机理 首先根据病毒自己的特定标识来判断该文件是否已感 染了该病毒； 当条件满足时，将病毒链接到文件的特定部位，并存 入磁盘中； ·完成传染后，继续监视系统的运行，试图寻找新的攻 击目标。 文件型病毒传染途径 ·加载执行文件 浏览目录过程 ·创建文件过程 网络空间安全学院

文件型病毒传染机理 • 首先根据病毒自己的特定标识来判断该文件是否已感 染了该病毒； • 当条件满足时，将病毒链接到文件的特定部位，并存 入磁盘中； • 完成传染后，继续监视系统的运行，试图寻找新的攻 击目标。 文件型病毒传染途径 • 加载执行文件 • 浏览目录过程 • 创建文件过程