1、.1. 病毒的對(duì)抗和檢測方式病毒的檢測方式：1、特征碼掃描（缺點(diǎn)：幾乎不能檢測新的病毒種類）2、 啟發(fā)式掃描（缺點(diǎn)：誤報(bào)）3、 虛擬機(jī)技術(shù)4、 主動(dòng)防御技術(shù)5、 自免疫技術(shù)（完整性檢查、審計(jì)分析）病毒的對(duì)抗方式：1、未知病毒查殺技術(shù)2、 防病毒立體化技術(shù)3、 流掃描技術(shù)4、 云安全技術(shù)2. 硬盤尋址方式，病毒的CHS到線性地址的轉(zhuǎn)換公式（P22）C為當(dāng)前柱面號(hào)，H為當(dāng)前磁頭號(hào)，Cs表示起始柱面號(hào)，Hs表示起始磁頭號(hào)，Ss表示起始扇區(qū)號(hào)，PS表示每磁道有多少個(gè)扇區(qū)，PH表示每柱面有多少個(gè)磁道LBA=(C-Cs)*PH*PS+(H-Hs)*PS+(S-Ss)C=LBA/(PH*PS)+CsH=(L

2、BA/PS)modPH+HsS=LBA mod PS+Ss注：CHS扇區(qū)編號(hào)是從1-63 ,LBA扇區(qū)編號(hào)是從0開始3. 主引導(dǎo)扇區(qū)結(jié)構(gòu)，擴(kuò)展分區(qū)的概念作用，主分區(qū)的字段表項(xiàng)引導(dǎo)扇區(qū)在每個(gè)分區(qū)里都存在，但是我們常說的*主引導(dǎo)扇區(qū)*是硬盤的第一物理扇區(qū)。它由兩個(gè)部分組成：即主引導(dǎo)記錄MBR和硬盤分區(qū)表DPT。在總共512字節(jié)的主引導(dǎo)分區(qū)里其中MBR占446個(gè)字節(jié)(偏移0-偏移1BDH)，DPT占64個(gè)字節(jié)(偏移1BEH-偏移1FDH),最后兩個(gè)字節(jié)“55，AA”(偏移1FEH偏移1FFH)是分區(qū)的結(jié)束標(biāo)志。大致的結(jié)構(gòu)如下圖： 擴(kuò)展分區(qū)的概念，作用主引導(dǎo)記錄中的分區(qū)表最多只能包含4個(gè)分區(qū)記錄，為了

3、有效地解決這個(gè)問題，DOS的分區(qū)命令FDISK允許用戶創(chuàng)建一個(gè)擴(kuò)展分區(qū)，并且在擴(kuò)展分區(qū)內(nèi)在建立最多23個(gè)邏輯分區(qū)，其中的每個(gè)分區(qū)都單獨(dú)分配一個(gè)盤符，可以被計(jì)算機(jī)作為獨(dú)立的物理設(shè)備使用。關(guān)于邏輯分區(qū)的信息都被保存在擴(kuò)展分區(qū)內(nèi)，而主分區(qū)和擴(kuò)展分區(qū)的信息被保存在硬盤的MBR內(nèi)。這也就是說無論硬盤有多少個(gè)分區(qū)，其主啟動(dòng)記錄中只包含主分區(qū)(也就是啟動(dòng)分區(qū))和擴(kuò)展分區(qū)兩個(gè)分區(qū)的信息。主分區(qū)表的字段表項(xiàng)分區(qū)表由四個(gè)分區(qū)項(xiàng)構(gòu)成，每一項(xiàng)結(jié)構(gòu)如下：BYTE State：分區(qū)狀態(tài)，0=未激活，0x80=激活（注意此項(xiàng)）；BYTE StartHead：分區(qū)起始磁頭號(hào)；WORD StartSC：分區(qū)起始扇區(qū)和柱面號(hào)，底

4、字節(jié)的底6位為扇區(qū)號(hào)，高2位為柱面號(hào)的第9，10位，高字節(jié)為柱面號(hào)的低8位；BYTE Type：分區(qū)類型，如0x0B=FAT32，0x83=Linux等，00表示此項(xiàng)未用；BYTE EndHead：分區(qū)結(jié)束磁頭號(hào)；WORD EndSC：分區(qū)結(jié)束扇區(qū)和柱面號(hào)，定義同前；DWORD Relative：在線性尋址方式下的分區(qū)相對(duì)扇區(qū)地址（對(duì)于基本分區(qū)即為絕對(duì)地址）；DWORD Sectors：分區(qū)大小（總扇區(qū)數(shù)）。在DOS或Windows系統(tǒng)下，基本分區(qū)必須以柱面為單位劃分（Sectors*Heads個(gè)扇區(qū)），如對(duì)于CHS為764/256/63的硬盤，分區(qū)的最小尺寸為256*63*512/10485

5、76=7.875MB.由于硬盤的第一個(gè)扇區(qū)已經(jīng)被引導(dǎo)扇區(qū)占用，所以一般來說，硬盤的第一個(gè)磁道（0頭0道）的其余62個(gè)扇區(qū)是不會(huì)被分區(qū)占用的。某些分區(qū)軟件甚至將第一個(gè)柱面全部空出來。4. PE文件節(jié)和節(jié)表，引入表和引出表 【重點(diǎn)】5.病毒重定位技術(shù)病毒不可避免也要用到變量，在病毒感染HOST程序后，由于依附到HOST程序中的位置各不相同，因此病毒隨著HOST載入內(nèi)存后，病毒中的各個(gè)變量在內(nèi)存中的位置會(huì)隨著HOST程序的位置而發(fā)生變化，因此，病毒程序需要正常使用變量就需要采用重定位技術(shù)。重定位過程的一般步驟：1、 用CALL指令跳轉(zhuǎn)到下一條指令，使下一條指令感染后在內(nèi)存中的實(shí)際地址進(jìn)棧。2、 用P

6、OP或MOV EXX，ESP指令取出棧頂?shù)膬?nèi)存，這樣就得到了感染后下一條指令在內(nèi)存中的實(shí)際地址。3、 領(lǐng)V_start為感染前call指令的下一條執(zhí)行的地址，Var_Lable為感染前變量的地址，則感染后該變量Var的實(shí)際地址為Base+（OffSet Var_Lable -OffSet V_start）6.Dos下的.com文件的格式和特點(diǎn).com文件中的程序代碼只在一個(gè)段內(nèi)運(yùn)行，文件長度不超過64k字節(jié)，.com文件調(diào)入時(shí)dos將全部可用內(nèi)存分配給用戶程序，四個(gè)寄存器DS數(shù)據(jù)段、CS代碼段、ES附加段、SS堆棧段。全部指向程序段前綴PSP的段地址。PSP程序代碼數(shù)據(jù)堆棧.com文件型病毒比

7、較簡單，病毒要感染.com文件一般采用兩種方式：一種是將病毒加在COM文件前部，一種是加在文件尾部。7. 緩沖區(qū)溢出shellcode的特點(diǎn)？ Shellcode:能完成特殊任務(wù)的自包含的二進(jìn)制代碼，根據(jù)不同任務(wù)發(fā)出系統(tǒng)調(diào)用或建立一個(gè)高權(quán)限的shell,目的是獲取目標(biāo)機(jī)器的控制權(quán)。Shellcode是作為數(shù)據(jù)形式發(fā)送給服務(wù)器，制造溢出得以執(zhí)行代碼并獲取控制權(quán)。特點(diǎn)：1.長度受限 2.不能使用特殊符號(hào)，例如xoo,xff 3.具有重定位能力（沒有PE頭，使用的API和數(shù)據(jù)必須由自己進(jìn)行重定位） 4.一定的兼容性8. 病毒程序模塊的基本結(jié)構(gòu)。包含哪些模塊、功能？邏輯結(jié)構(gòu)：觸發(fā)模塊：根據(jù)預(yù)定條件滿足

8、與否，控制病毒的傳播或破壞動(dòng)作。1）檢查預(yù)定觸發(fā)條件是否滿足 2）如果滿足返回真值 3）如果不滿足返回假值傳播模塊：負(fù)責(zé)實(shí)現(xiàn)傳播機(jī)制。1）尋找一個(gè)感染目標(biāo)2）檢查該目標(biāo)中是否有感染標(biāo)記3）如果沒有感染標(biāo)記，進(jìn)行感染，講病毒代碼傳播到目標(biāo)破壞模塊（表現(xiàn)模塊）：負(fù)責(zé)實(shí)施病毒的破壞動(dòng)作1）判斷破壞的條件2）執(zhí)行破壞的功能主控模塊：總體上控制病毒的運(yùn)行。1）調(diào)用感染模塊進(jìn)行感染2）調(diào)用觸發(fā)模塊，接受其值返回3）如果返回真值，執(zhí)行破壞模塊4）如果返回假值，執(zhí)行后續(xù)程序磁盤儲(chǔ)存結(jié)構(gòu)：主引導(dǎo)記錄區(qū)，引導(dǎo)記錄區(qū)，文件分配表，目錄區(qū)，數(shù)據(jù)區(qū)9. 病毒、蠕蟲、木馬多方面的對(duì)比、區(qū)別和聯(lián)系1.蠕蟲和病毒都具有傳播性

9、和破壞性。木馬不具有傳染性，無復(fù)制機(jī)制。2.病毒的存在形式：寄生，復(fù)制機(jī)制：插入到宿主文件中，傳染機(jī)制：宿主程序運(yùn)行，傳染目標(biāo)：針對(duì)本地文件，觸發(fā)傳染：計(jì)算機(jī)使用者，影響重點(diǎn)：文件系統(tǒng)，計(jì)算機(jī)使用角色：傳播的關(guān)鍵，防止措施：從宿主文件中摘除，對(duì)抗主體：計(jì)算機(jī)使用者和反病毒廠商3.蠕蟲的存在形式：獨(dú)立個(gè)體，復(fù)制機(jī)制：自身的拷貝，傳染機(jī)制：系統(tǒng)存在漏洞，傳染目標(biāo)：針對(duì)網(wǎng)絡(luò)上其他計(jì)算機(jī)，觸發(fā)傳染：程序自身，影響重點(diǎn)：網(wǎng)絡(luò)性能系統(tǒng)性能，計(jì)算機(jī)使用角色：無關(guān)，防止措施：為系統(tǒng)打補(bǔ)丁，對(duì)抗主體：網(wǎng)管和系統(tǒng)提供商4.木馬主要是通過自身偽裝起來吸引用戶下載執(zhí)行，以竊取用戶相關(guān)信息為目的，而病毒是以破壞為目的1

10、0.緩沖區(qū)溢出中棧溢出的C語言編程、堆棧過程中溢出的變化修改鄰接變量：#include<stdio.h>#include<string.h>Char shellcode=”xebx1fx”;Char large_string128;Int main(int argc,char*argv)Char buffer96;Int i;Long*long_ptr=(long*)large_string;For(i=0;i<32;i+)*(long_ptr+i)=（int）buffer;For(i=0;i<(int)strlen(shellcode);i+)Large_

11、stringi=shellcodei;Strcpy(buffer,large_string)Return 0;簡單密碼驗(yàn)證程序，構(gòu)造了棧溢出漏洞#include<stdio.h>#define PASSWORD “1234567”Int verify_password(char*password)Int authenticated;Char buffer8;Authenticated=strcmp(password,PASSWORD);Strcpy(buffer,password);Return authenticatedMain()int valid_flag=0;Char pa

12、ssword1024;While(1)Printf(“please input password:”);Scanf(“%s,password”);Valid_flag=verify_password(password);If(valid_flag)Printf(“incorrect password!nn”);ElsePrintf(“congratulation! You have passed the verification!n”);Break;11. 病毒的感染標(biāo)記有什么作用？病毒程序進(jìn)行感染時(shí)要寫入感染標(biāo)記作為被感染程序已被感染的標(biāo)記，用來判斷程序是否已被感染。13.PE文件的DOC頭

13、、NT映像頭、文件頭MZ文件頭和DOS插樁程序?qū)嶋H上就是一個(gè)在DOS環(huán)境下顯示信息的程序，MZ文件格式中，開始兩個(gè)字節(jié)是4D5A，計(jì)算機(jī)病毒判斷PE文件的第一步就是判斷文件前兩個(gè)字節(jié)是否是4D5A，第二步是判斷DOS程序頭中的偏移3CH處的四個(gè)字節(jié)找到PE字串的偏移位置，然后查看偏移位置的四字節(jié)是否是50450000。NT映像頭分為：1.字串PE00(4H)，它標(biāo)志著NT映像頭的開始，也是PE文件中與WINDOWS有關(guān)內(nèi)容的開始，可以再DOS程序頭中偏移3CH處的四個(gè)字節(jié)找到給該字符串的偏移位置。2.映像文件頭(14H)是映像頭的主要部分，它包含PE文件的最基本信息。Numberofsecti

14、ons文件中節(jié)表個(gè)數(shù)，sizeofoptionalheader可選頭的大小，這兩個(gè)對(duì)計(jì)算機(jī)病毒來說非常重要，知道可選文件頭的大小就可以知道節(jié)表的開始位置，通過節(jié)表的開始位置和節(jié)表的個(gè)數(shù)就可以確定節(jié)表的末尾地址(每個(gè)節(jié)是28H個(gè)字節(jié))，這樣在添加新節(jié)時(shí)我們就可以找到新節(jié)表應(yīng)該所在的位置。3.可選映像頭包含了PE文件的邏輯分布信息，該結(jié)構(gòu)共有31個(gè)域。Sizeofcode代碼總尺寸，是所有代碼加起來的總和，并且這個(gè)值是向上對(duì)齊某個(gè)值的整數(shù)倍；addressofentrypoint程序開始執(zhí)行的地方，是一個(gè)RVA；baseofcode代碼節(jié)開始的RVA一般為1000H；imagebase可執(zhí)行文件的默認(rèn)裝入基地址，如果程序裝入時(shí)這個(gè)值做基地址則裝入時(shí)不需要重定位，對(duì)于EXE文件，這個(gè)值一般是400000H；filealignment文件中節(jié)的對(duì)齊值；siz