第3 章 病毒分析 本章介绍病毒的原理与所使用的技术,以及防止病毒的方法: ● 常见病毒的原理; ● 可执行文件病毒修改文件的方法; ● 可执行文件病毒使用的常用技术; ● 优化可执行文件防病毒; ● 文件过滤驱动在反病毒上的应用。 这是本章涉及的问题。 1 .1 病 毒 概述 “计算机病毒”最早是由美国计算机病毒研究专家 F.Cohen 博士提出的。“计算机病毒”有很多种定义,国外流行的定义为:是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 世界上第一例被证实的计算机病毒是在 1983 年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;1984 年,美国人 Thompson 开发出了针对UNIX操作系统的病毒程序。1988 年11 月2 日晚,美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。 计算机病毒是人为编写的,具有自我复制能力,是未经用户允许执行的代码。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的和未经用户允许的。它的主要特征有传染性、隐蔽性、潜伏性、破坏性和不可预见性。传染性是病毒最重要的一条特性。 按照计算机病毒侵入的系统分类,分为 DOS系统下的病毒、Windows系统下的病毒、UNIX系统下的病毒和 OS/2系统下的病毒。按照计算机病毒的链接方式分类可分为源码型病毒、嵌入型病毒、外壳型病毒。按照传播介质分类,可以分为可分为单机病毒和网络病毒。 随着 Windows系统的发展,引导型病毒已经不再,宏病毒也少见。目前见得多的是感第 3 章 病毒分析 • 277 • 染本机可执行文件的 PE病毒和通过网络在计算机之间传播的蠕虫病毒比较常见。 1.2 PE 病 毒 分析 Windows 下常见的可执行文件,一种是二进制文件,就是扩展名为 exe、dll、src 和 sys等的文件,它们的执行是由 explorer.exe(资源管理器)、cmd.exe(控制台...
