病毒初识-认知、工具与简单分析

最新推荐文章于 2024-04-29 02:33:20 发布

Fasthand_

最新推荐文章于 2024-04-29 02:33:20 发布

阅读量1.8k

点赞数

分类专栏：其他文章标签：安全

本文链接：https://blog.youkuaiyun.com/qq_43390703/article/details/108546644

版权

其他专栏收录该内容

13 篇文章

订阅专栏

病毒初识-认知、工具与简单分析

发展阶段

DOS引导阶段

1987年计算机病毒主要是引导型病毒，具有代表性的是“小球”、2708病毒和“石头”病毒。引导病毒利用了软盘的启动原理工作、修改系统引导扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，在系统存取磁盘时进行传播。

DOS可执行阶段

1989年可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶鲁撒冷”、“星期天”等病毒，可执行病毒的代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并且附在可执行文件中。

伴随型阶段

伴随型的病毒会利用DOS加载文件的优先顺序进行工作，其中最具有代表性的病毒是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE文件同名的EXE文件，再产生一个原名的伴随体，文件扩展名为COM，所以，DOS在加载文件时，总是会加载扩展名为COM的文件，即病毒会获取控制权，优先执行自己的代码。病毒的接触也只需要删除其伴随体即可。

变形阶段

1994年，汇编语言得到了快速的发展。要实现一种功能，通过汇编语言可以用不同的方式来实现，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的变形病毒“幽灵病毒”就是利用了这个特点，每感染一次就产生不同的代码。如，“一
半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码，因此加大了查毒的难度。变形病毒是- -种综合性病毒，它既能感染引导区，又能感染程序区，多数具有解码算法，- -种病毒往往要两段以上的子程序方能解除。

变种阶段

1995年，在汇编语言中,一些数据的运算放在不同的通用寄存器中可运算出同样的结果，随机插人一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表一“病毒制造机” VCL，它可以在瞬间制造出成千上万种不同的病毒,查解时不能使用传统的特征码识别法，而需要在宏观上分析命令,解码后方可查解病毒，大大提高了复杂程度。

蠕虫阶段

蠕虫是无需计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行蠕动。1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一个地址进行传播，有时也存在网络服务器和启动文件中。

PE文件病毒

从1996年开始，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改LE, PE 文件，典型的代表是1999 年出现的CIH,这类病毒利用保护模式和API调用接口工作。

宏病毒阶段

1996年以后，随着MS Office 功能的增强及流行，使用Word宏语言也可以编制病毒，这种病毒使用VBasic Script 语言，编写容易，感染Word文件和模板。同时也出现了针对Excel和Lotus中的宏的宏病毒。

互联网病毒阶段

1997年以后，因特网发展迅速，各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件或登录了带有病毒的网页,计算机就有可能中毒。典型代表有“尼姆达”、“欢乐时光”和“欢乐谷”等病毒。以2003年出现的“冲击波”病毒为代表，出现了以利用系统或应用程序漏洞，采用类似黑客手段进行感染的病毒。

病毒命名

卡巴斯基（俄罗斯）中命名

一般情况下，卡巴斯基中的病毒名分为四个部分，依次用.分割。

第一部分表示计算机病毒的主类型名和子类型名

第二部分表示计算机病毒运行的平台

第三部分表示计算机病毒所属的家族名

第四部分是变种名。

示例：

1.Trojan-Downloader.Win32.Agent.blm

Trojan-Downloader字段表示病毒所属类型以及子类型，这个命名指的是此病毒属于木马类，而Downloader的意思是木马中的下载者病毒。

Win32指的是此病毒的运行平台是32位的Windows系统

Agent是指病毒的家族名，家族是指同一个组织，或同一个人缩写的功能相近、编译语言相同的一类病毒

blm指该家族名下的变种名。因为同一个家族下会有很多功能相近但不完全相同的病毒，就用变种名区分。

2.Backdoor.Win32.Hupigon.zqf

这个命名是指该病毒属于后门（Blacdoor）类，运行于32位的Windows平台下，是灰鸽子家族（Hupigon）家族，变种名位zqf

3.Worm.Win32.Delf.bd

该病毒属于蠕虫病毒，运行于32位windows平台下，属于Delf家族（Delf家族通常指由Delphi语言编写的病毒，变种名为bd）

4.Worm.Win32.Delf.be

说明与上面各方面相似，但是不是同一个病毒

瑞星（中国）的命名

一般情况下瑞星病毒的命名分为五个部分，依次采用.分割，第一部分是病毒的主类名，第二部分是子类型名，第三部分是病毒运行的平台，第四部分是病毒所属的家族名，第五部分是变种名。

1.Trojan.PSW.Win32.OnlineGames.GEN

和卡巴斯基命名相似，此病毒名表示该病毒属于木马类，并且是木马中的盗密码类，运行于32位的win平台，家族名是OnLineGames（表示盗窃网络银行、在线游戏密码的病毒），变种名为GEN。

2.Worm.Win32.VB.zbn

此命名表示该病毒属于蠕虫类，运行于32位的Windows平台，家族名是VB（VB编写），变种名是zbn

工具

ProcessMonitor

整合了以前老旧的工具Filemon和Regmon功能更加齐全。在机器上第一次运行时可能会报错，显示没有驱动（Unable to load Process Monitor device drive），其实是因为操作系统的更新没全，我们需要手动下载安装KB3033929更新，就可以解决这个问题。

ProcessMonitor增加过滤规则：

过滤规则中增加以下规则
Process Name is KeyLog.exe then Include:	监控 KeyLog.exe进程;
Process Name is Explorer.exe then Include:	监控Explorer.exe进程;
Operation is WriteFile then Include:		监控写人文件操作;
Operation is RegSetValue then Include:		监控写人注册表操作; .
Operation is RegDeleteValue then Include:	监控删除注册表值操作;
Operation is RegDeleteKey then Include:		监控删除注册 表项操作;
Operation is Process Create then Include: 	监控创建进程操作;
Operation is Process Start then Include:	监控进程启动操作;
Operation is Process Exit then Include:		监控进程退出操作。
在高亮过滤规则中添加如下规则:
Process Name is KeyLog.exe then Include:	高亮 KeyLog.exe进程;
Operation is Process Create then Include:	高亮 显示创建进程操作。

process-explorer

查看后台隐藏进程使用情况，以及通过句柄快速查看。

这个软件如果比较新和系统配不上则会报错，建议按照旧版本，例如process-explorer-14-12-en-win。

netstat

系统自带工具，显示协议统计信息和当前TCP/IP网络连接情况，可以显示路由表、实际网络连接以及每一个网络接口设备的状态信息，一般用于校验本机各端口的网络连接情况。

TCPview

完成实时监控系统中所有进程的网络操作可以用TcpView工具。

在这里插入图片描述

其他概念

浏览器劫持：是一种不同于普通病毒木马感染途径的网络攻击手段，它是利用各种技术（如DLL插件等）对用户的浏览器进行篡改，改装后，它们会成为浏览器的一部分，可以直接控制浏览器进行指定的操作，根据需要，可以打开指定的操作，甚至是搜集系统中各种私密信息。而其就是通过BHO技术进入系统的，并且这种技术是合法的。