计算机病毒——32位文件型病毒-CFANZ编程社区

实验目的：（1）了解文件型病毒制造基本原理；

（2）了解病毒的感染、破坏机制、进一步认识病毒程序；

（3）掌握文件型病毒的特征和内在机制；

实验环境：Win2000\Win9X\WinNT\WinXP

实验内容：用PE分析器对比分析文件感染病毒后的变化

病毒引导说明：

文件型病毒，没有引导部分演示

病毒传染说明：

传染范围：Virus.exe所在目录

传染目标：可执行文件(.exe)

传染过程：搜索目录内的可执行文件，逐个感染

病毒触发说明：

触发条件：运行Virus.exe程序或被Virus.exe感染的程序

病毒破坏说明：

破坏能力：无害型传染时减少磁盘的可用空间，在可执行文件上附加一个节(4K)

破坏方式：攻击文件在可执行文件上附加一个节(4K)，修改可执行文件的入口地址

破坏范围：Virus.exe所在目录

病毒查杀说明：

病毒危害等级：低，属于无害型病毒

病毒特征类型：Bloodhound.W32.1(Norton AntiVirus检测结果，这是Symantec软件来临时指代新病毒的文件）

病毒查杀方法：删除所有被感染的文件

实验步骤：

当防病毒程序如 Norton AntiVirus(注：此处的测试应以当前测试机器上安装杀毒软件为准，本示例运行时机器上安装的只有Norton AntiVirus，故以此为参照)自动防护功能打开时，鼠标光标位于病毒程序上时，会看到如下的图例：

图解说明：注解0-1表示Norton AntiVirus的自动防护功能打开着；注解0-2就是防病毒软件在用户鼠标置于图例0中注解0-3处的Virus.exe程序上时的报警提示。

演示说明：作为自己开发的病毒程序，为了能够更好的演示病毒的特征，在开发过程中我们没有采用病毒的保护机制，故而防病毒软件根据病毒程序的特征即可给出该程序为病毒程序的报警提示。

3、关闭防病毒软件的自动防护功能，点击病毒程序Virus.exe，运行该程序，参见下图：

图解说明：注解1-1表示Norton AntiVirus的自动防护功能被关闭；注解1-2为病毒程序运行主界面，本实验为了能够比较直观演示病毒程序，让用户知道正在运行某个程序，故而有此主界面；但实际的病毒在感染其他程序前不会让用户感觉到病毒程序正在运行的，往往都是隐藏运行，或者是寄生在宿主程序中，这方面可参照病毒的引导机制的介绍。

演示说明：详见备注

4、提示用户是否观看感染过程，如下图：

图解说明：注解2-1提示用户是否观看病毒的感染过程，选择“是”观看感染过程，选择“否”运行原程序，由于该病毒程序不具有其他功能，所以选“否”时就直接关闭程序。

演示说明：该文件型病毒侧重于病毒感染过程的演示，所以在感染部分的提示比较详细。

5、开始感染提示，如下图

图解说明：注解3-1提示用户病毒程序开始感染其他程序

演示说明：无

6、提示病毒感染范围，如下图：

图解说明：注解4-1提示用户病毒程序感染目标是病毒程序所在目录里的程序。

演示说明：为了减少病毒破坏的范围，在编写该病毒程序时，限定其感染范围为目录内感染，这也同时减少了病毒的破坏范围；但就病毒特征而言，它还是很好的体现了病毒程序自我复制的这一特征。

7、提示当前搜索到的合法的目标程序，如下图：

图解说明：注解5-1提示说明当前搜索的目标程序是ebookedit.exe可执行文件。

演示说明：无

8、判断目标程序是否是合法的可感染的程序，如下图：

图解说明：注解6-1提示目标程序是否为合法的可感染程序。

演示说明：Virus.exe可以感染的目标程序为PE文件中的可执行文件(.exe)，对于文件型病毒传染机理可参照病毒的传染机制。

9、感染情况说明提示，如下图：

图解说明：注解7-1提示对病毒的感染情况进行说明。

演示说明：Virus.exe感染方式是在宿主文件附加一个节(4K),被感染的宿主程序运行时先跳转到该节处，运行感染代码；感染结束后再返回宿主程序的入口地址执行宿主程序。这也体现了本病毒程序的破坏方式，作为一个演示的病毒程序，破坏程度应该在可控范围内，一些恶性的破坏方式可参照病毒的破坏机制说明。感染结果情况可参照步骤12的图例，Virus.exe被防病毒软件查出为病毒也正是因为该操作，具体参照步骤18的图例。

8、感染过程隐藏说明(小技巧)，如下图：

图解说明：注解8-1提示说明病毒程序加入中sleep的代码的目的。

演示说明：此处加入该说明是也是为了说明是否存在病毒运行的一种判断思路，在手工查毒时有时就是依照该手段来判断当前机器是否有异常程序在运行；如果机器没有明显的程序在运行，而硬盘的指示灯一直闪烁，在高速运转着，则可粗略判断机器有异常程序在运行。防病毒的相关技术可参照防病毒基础技术部分介绍。当然对于病毒程序本身而言，为了避免被发现，就需要通过sleep一段时间再进行感染来降低被发现的可能性。

9、提示是否观看其他程序感染过程，如下图：

图解说明：注解9-1提示是否观看其他程序感染过程。

演示说明：无

10、该图例与步骤6的图例同步，该图例是目标程序不合法或已被感染后的提示，如下图：

图解说明：注解11-1是目标程序不合法或已被感染的提示。

演示说明：Virus.exe可感染的目标为标准的可执行文件(绝大部分的.exe文件)，在感染过程中对已感染的程序会进行检查是否已被感染，若已经被感染则不再进行感染：一可以提高病毒感染的效率，二可以防止多次感染使文件增大而引起用户的察觉。

11、比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)：

图解说明：注解12-1是KeyMaker.exe程序感染前的大小298 KB(305,664 字节)；注解12-2是KeyMaker.exe程序感染后的大小302 KB(309,760)。

12、比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)：

图解说明：图例12A、12B、12C、12D是通过PE Viewer程序打开目标程序的图示。对照图例12A和12B的注解：注解1表示KeyMaker.exe程序的节数由感染前的9个增加到10个；注解2程序大小的变化由00043000增加到00044000；注解3是程序入口地址的变化由00043DE8变为00054B93;注解4是程序占用空间的变化由00054000增加到00055000；注解5是程序校验和的变化由0004C1FB变为0004C543。

图解说明：对照图例12C和12D的注解：注解1表示增加的一个节的具体内容。

演示说明：这就是程序被感染后的结果，目标程序被增加一个节(4 KB=4096字节)，程序入口地址被修改，程序大小和占有空间增加4K。

13、测试感染后程序是否为病毒携带程序的图示，如下图：

图解说明：注解13-1表示Norton AntiVirus的自动防护功能打开着；注解13-2就是防病毒软件在用户鼠标置于图例13中注解13-3处的KeyMaker.exe程序上时的报警提示。

演示说明：由此病毒报警提示可知KeyMaker.exe已被感染，成为病毒Virus.exe携带者，并已具有病毒程序Virus.exe的特征。此处为了防止Virus.exe影响测试结果，在测试时把Virus.exe放到临时目录temp中，主目录留下被Virus感染的程序。

14、病毒携带程序KeyMaker.exe的运行情况，如下图

图解说明：注解14-1表示Norton AntiVirus的自动防护功能被关闭；注解14-2为病毒携带程序KeyMaker.exe运行初始界面；注解14-3表示当前运行是KeyMaker.exe。

演示说明：运行KeyMaker.exe来检查程序被感染的情况以及该程序是否具有感染功能，在演示时为了能够测试效果，应该将其他的可执行文件换成未被感染的程序，只需从原先的测试包中将除KeyMaker.exe外的可执行文件拷贝过来复制即可。

15、是否观看病毒携带程序KeyMaker.exe的感染过程提示，如下图：

图解说明：注解15-1是否观看病毒携带程序KeyMaker.exe的感染过程提示。选择“是”观看感染过程，参照步骤16图示；选择“否”运行原程序，参照步骤17图示。

演示说明：无

16、病毒携带程序KeyMaker.exe的开始感染提示，如下图：

图解说明：注解16-1提示病毒携带程序KeyMaker.exe的开始感染其他程序，后面的步骤与步骤4开始类似。

演示说明：无

17、病毒携带程序KeyMaker.exe不进行感染运行主程序图示，如下图：

图解说明：注解17-1是病毒携带程序KeyMaker.exe的运行界面。

演示说明：无

18、病毒携带程序ebookedit.exe的感染过程被防病毒程序检测到的图示，如下图：

图解说明：注解18-1表示Norton AntiVirus的自动防护功能打开着；注解18-2是目标感染程序(此处是刚复制过来的未感染的测试程序)；注解18-3表示正在运行的是病毒携带程序ebookedit.exe；注解18-4提示当前感染过程结束，在宿主程序ebookcode.exe增加一个节，修改了文件头；注解18-5提示该过程被检测有病毒程序在运行，从而进行病毒预警提示。