病毒分析基础

Posted re-and-er

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了病毒分析基础相关的知识,希望对你有一定的参考价值。

  计算机病毒是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。

  计算机病毒特征:

     1. 计算机病毒的可执行性。

        计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上的一段程序,因此享有一切程序所能得到的权力。通过在运行宿主程序前首先运行自己来抢夺系统的控制权。进一步的说,计算机CPU的控制权是关键问题。

     2. 计算机病毒的传染性。

        计算机病毒一旦进入计算机并得以执行,就会搜寻符合其传染条件的其他程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。

     3. 计算机病毒的非授权性。

        病毒隐藏在正常程序中,对于用户来说是不可见、不可预知、非授权的,其在系统中的运行流程一般是:做初始化工作—>寻找传染目标—>窃取系统控制权—>完成传染、破坏行动。

        4. 计算机病毒的隐蔽性。

        病毒常附在正常程序中或是磁盘较隐蔽的地方,目的是不让用户发现它的存在。

        计算机病毒的隐蔽性表现在两个方面:

          1. 传染隐蔽性。大多的病毒的代码都很精小,由于PC机对文件的存取速度使病毒瞬间将病毒附着在正常程序上。
          2. 病毒程序存在的隐蔽性。正常程序被病毒感染后,其原有功能基本上不受影响,病毒附于其上以存活并不断地得到运行的机会去传染更多的复制体。

     5. 计算机病毒的潜伏性。

        计算机病毒的内部往往有一种触发机制,不满足条件时,计算机病毒除了传染外不做别的破坏,只有当触发条件满足时,才会激活病毒。

     6. 计算机病毒的可触发性。

        病毒因某个事件或数值的出现,诱使病毒进行感染或攻击。病毒的预定触发条件有:时间、日期、文件类型或某些特定数据。病毒的触发条件越多,则传染性越强。

     7. 计算机病毒的破坏性。

        所有的计算机病毒都对计算机系统造成不同程度的影响,轻者降低计算机系统工作效率、占用系统资源,重者导致数据丢失、系统崩溃。

     8. 计算机病毒攻击的主动性。

        病毒对系统的攻击时主动的,是不以人的意志为转移的,计算机系统不可能彻底排除病毒对系统的攻击。

     9. 计算机病毒的针对性。

        某一种病毒一般只能在某种特定的操作系统和硬件平台上运行。

     10. 计算机病毒的衍生性。

        病毒的传染、破坏部分反映了设计者的设计思想和设计目的,但是这可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出了一种不同于原来版本的新病毒。

     11. 计算机病毒的寄生性(依附性)。

        病毒程序嵌入宿主程序中,依赖于宿主程序的执行而生存,病毒程序在侵入宿主程序中后,会对宿主程序做一定修改,宿主程序一旦执行,病毒程序被激活,从而可以进行自我复制和繁衍或破坏。

     12. 计算机病毒的不可预见性。

        对病毒的检测方面来看,病毒具有不可预见性,不同种类的病毒,它们的代码千差万别,但有一些操作时共有的(驻内存、改中断)。甚至一些正常程序也使用了类似病毒的操作、借鉴了某些病毒技术,因此软件种类十分的丰富,这也导致了对病毒的检测势必会造成较多的误报,也就是说,反病毒软件预防措施和技术手段往往滞后于病毒的产生速度。

     13. 计算机病毒的诱惑欺骗性。

        以特殊的表现方式,引诱、欺骗用户不自觉地触发、激活病毒,从而实现其功能。

     14. 计算机病毒的持久性。

        在网络操作下,病毒程序通过一个受感染的拷贝通过网络传播,使得病毒程序的清除非常复杂。

计算机病毒的本质:

      无论是DOS病毒还是病毒,其本质是一致的,都是人为制造的程序,其本质特点时程序的无限重复执行和复制,因为病毒最大的特点是其传染性,而传染性的原理时自身程序不断复制到其他程序中或简单地在某一系统中不断地复制自己。计算机病毒通过利用计算机系统在使用过程中不断使用的中断或操作,修改中断向量地址,使病毒指令程序插入中断程序与正常程序中间。因此,感染计算机病毒后,计算机在每次运行正常程序前,均先运行一次病毒程序,将病毒循环往复地读入内存或执行病毒指令,从而使病毒不断被复制。

 


以上是关于病毒分析基础的主要内容,如果未能解决你的问题,请参考以下文章

[250分的问题]关于病毒样本和病毒分析和病毒分析工具、方法

病毒分析第二讲,分析病毒的主要功能

病毒木马防御与分析实战

熊猫烧香病毒分析

一个感染型木马病毒分析

病毒分析-利用Process Monitor对熊猫烧香病毒进行行为分析