摘要
在计算机病毒和反病毒激烈博弈的今天,病毒技术复杂高深,而且发展迅猛,给反病毒技术带来巨大挑战,同时也威胁到了计算机用户的信息安全。本文详细剖析了在Windows操作系统上较为常见的文件型病毒,使用MASM汇编,开发了可以重定位并具有感染能力的传播模块,攻击模块对MBR进行剖析,实现对MBR的修改和加密;同时也对此类文件型病毒的启动和传播进行研究,发现此类病毒总会修改原程序的入口点,结合对文件和进程的监控,实现了检测防护程序。从测试结果看来,防护程序能有效检测出此类文件型病毒。
关键词:文件型病毒;PE病毒;MBR修改;病毒防护;
Today, computer virus technology and computer anti-virus technology fight each other. Computer virus technology is complex and profound, as well as develops rapidly. It is not only a huge challenge to anti-virus technology, but also a thread to the computer user’s information security. This paper analyses the common file virus in the Windows operating system, using the MASM assembly to develop infected module which can relocation and infect other normal portable executable files and attacked module which analyses the MBR and implements the modification and encryption of MBR. At the same time, the paper also researches the characteristics of file virus and finds that the file viruses always modify the host file entry point. So combining the result and file monitory and process monitor, implement the protection program. According to the result of test, the protection program can detect validly.
Key Words: File Virus, PE Virus, Modification of MBR, Prevention of Virus.
随着互联网技术和计算机技术的快速发展,计算机正在影响着社会的各个领域,走进社会的千家万户。计算机的便捷、高效已经融入了生活、管理、办公等等,成为社会的不可缺少的重要的一部分。正如目前正在大力倡导的“互联网+”,新兴的互联网正在成为社会发展、国家经济增长的新的动力引擎。然而,即是计算机有这么多好处,也免不了被不法分子利用破坏。所以,计算机系统并不是绝对的安全,安全的因素有人为,也有是计算机系统自身的设计缺陷等。其中,计算机病毒就是最不安全的因素之一。
计算机病毒是计算机技术发展到一定阶段的必然产物,是计算机违法犯罪的一种全新的衍化方式。从发现的第一例计算机病毒以来,随着计算机的软件技术、网络技术等的迅速发展和更新,计算机病毒也日益变化,更新换代,严重威胁到了计算机的网络安全和信息安全等。各类计算机病毒的散播和蔓延,给计算机系统安全带来威胁和损害,造成的资源损失和财富的巨大损失和浪费,而且有可能会给社会带来灾难性的破坏,因此,因为热爱计算机,热爱和平的生活,我们应该坚决反病毒。我们研究病毒,最终目的是了解“敌人”,从而消灭,就是所谓的“知己知彼,百战不殆”。计算机病毒横行霸道的一个重要因素,是由于计算机用户对计算机的防护不够重视,缺乏对计算机病毒的了解和防护知识。所以说,安全不应该是单单靠我们安全人员,凡是使用计算机的每一个人,都参与到建设绿色健康的计算机世界。
文件型病毒,虽然是一个过时的老病毒,但,确是在所有的病毒中数量较多,破坏性较大,技巧性要求较高的一类病毒。比如:CIH、FuncLove等早期病毒。本文就是以此类文件型病毒作为突破口,剖析文件型病毒的编写原理和编程实现,测试并给出防护程序的防护思路和防护程序的实现。完成一个基本的文件型病毒的模型和防护,目的为了更加了解文件型病毒,这样才能更好地防护病毒,为创造安全的计算机世界出一份力。
本文的第一第二节是介绍Windows上的PE文件结构和硬盘MBR等基础知识;第三节介绍文件型病毒的原理和防护原理;第四节是结合第三节所介绍的知识,详细介绍每个病毒模块和防护模块的实现;第五节是对实现后的病毒和防护程序进行测试,给出测试步骤和测试结果;最后一节是对本文的一个总结和对计算机病毒的一个展望。
PE文件(Protable Executable File),即可移植的执行文件。Windows操作系统(包括Windows XP、Windows 7、Windows 8等)下的可执行文件(包括dll、exe、sys、com等)均为PE结构文件。
对于一个普通的应用程序员来说,掌握PE结构没有什么必要,因为PE结构对于他们做的编程是透明的。然而,对于一名安全人员,PE结构的学习必不可少。
PE结构其实是有若干个规则有序的结构体构成的,按地址从低到高依次包括:Dos头、PE头标识、PE文件头、PE选项头、目录结构、节表头、节表区块和附加数据等;
如下图图2-1 所示,这是一张宏观的PE结构图,可以从上面大致了解PE结构的各个结构的关系和顺序,接下来对各个结构体的部分做个大概的介绍。
源码下载地址:https://www.write-bug.com/article/1716.html
9548
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
