典型病毒分析报告

各种典型病毒分析

典型病毒的分析

班级：

姓名：

学号：

各种典型病毒分析

一、计算机病毒

1.1、简介

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其他一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存储空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制，具有传染性。 所以，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

1.2、计算机病毒的引导过程

一般包括以下三方面。

（1）驻留内存病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。

（2）窃取系统控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。

（3）恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。

有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系统一启动，病毒引导模块就会自动地装入内存并获得执行权，然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带毒状态下运行。 对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件一执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。

1.3、常见病毒发作症状

（1）屏幕异常滚动，和行同步无关。

（2）系统文件长度发生变化。

（3）出现异常信息、异常图形。

（4）运行速度减慢，系统引导、打印速度变慢。

（5）存储容量异常减少。

（6）系统不能由硬盘引导。

各种典型病毒分析

（7）系统出现异常死机。

（8）数据丢失。

（9）执行异常操作。

（10） 绑架安全软件，杀毒软件、系统管理工具、反间谍软件不能正常启动。

二、典型病毒分析（包括特征、原理及清除办法）

2.1、特洛伊木马——NetBus

NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”，使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器，然后控制者可以恶作剧地随意控制你的鼠标，在你机器上播放声音文件，或者打开你的光驱等，更危险的当然是删除你的文件，让你的机器彻底崩溃。

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上（如：通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序）。

特别是NetBus 1.70，它在以前的版本上增加了许多“新功能”，从而使它更具危险性，如NetBus 1.60只能使用固定的服务器端TCP/UDP端口：12345，而在1.70版本中则允许任意改变端口号，从而减少了被发现的可能性；重定向功能（Redirection）更使攻击者可以通过被控制机控制其网络中的第三台机器，从而伪装成内部客户机。这样，即使路由器拒绝外部地址，只允许内部地址相互通信，攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。

通常，NetBus服务器端程序 …… 此处隐藏：6128字，全部文档内容请下载后查看。喜欢就下载吧 ……