病毒分上析与防御考试重点.doc

《病毒分上析与防御考试重点.doc》由会员分享，可在线阅读，更多相关《病毒分上析与防御考试重点.doc（6页珍藏版）》请在三一办公上搜索。

1、1. 病毒的对抗和检测方式病毒的检测方式：1、特征码扫描（缺点：几乎不能检测新的病毒种类）2、 启发式扫描（缺点：误报）3、 虚拟机技术4、 主动防御技术5、 自免疫技术（完整性检查、审计分析）病毒的对抗方式：1、未知病毒查杀技术2、 防病毒立体化技术3、 流扫描技术4、 云安全技术2. 硬盘寻址方式，病毒的CHS到线性地址的转换公式（P22）C为当前柱面号，H为当前磁头号，Cs表示起始柱面号，Hs表示起始磁头号，Ss表示起始扇区号，PS表示每磁道有多少个扇区，PH表示每柱面有多少个磁道LBA=(C-Cs)*PH*PS+(H-Hs)*PS+(S-Ss)C=LBA/(PH*PS)+CsH=(LB

2、A/PS)modPH+HsS=LBA mod PS+Ss注：CHS扇区编号是从1-63 ,LBA扇区编号是从0开始3. 主引导扇区结构，扩展分区的概念作用，主分区的字段表项引导扇区在每个分区里都存在，但是我们常说的*主引导扇区*是硬盘的第一物理扇区。它由两个部分组成：即主引导记录MBR和硬盘分区表DPT。在总共512字节的主引导分区里其中MBR占446个字节(偏移0-偏移1BDH)，DPT占64个字节(偏移1BEH-偏移1FDH),最后两个字节“55，AA”(偏移1FEH偏移1FFH)是分区的结束标志。大致的结构如下图： 扩展分区的概念，作用主引导记录中的分区表最多只能包含4个分区记录，为了有

3、效地解决这个问题，DOS的分区命令FDISK允许用户创建一个扩展分区，并且在扩展分区内在建立最多23个逻辑分区，其中的每个分区都单独分配一个盘符，可以被计算机作为独立的物理设备使用。关于逻辑分区的信息都被保存在扩展分区内，而主分区和扩展分区的信息被保存在硬盘的MBR内。这也就是说无论硬盘有多少个分区，其主启动记录中只包含主分区(也就是启动分区)和扩展分区两个分区的信息。主分区表的字段表项分区表由四个分区项构成，每一项结构如下：BYTE State：分区状态，0=未激活，0x80=激活（注意此项）；BYTE StartHead：分区起始磁头号；WORD StartSC：分区起始扇区和柱面号，底字

4、节的底6位为扇区号，高2位为柱面号的第9，10位，高字节为柱面号的低8位；BYTE Type：分区类型，如0x0B=FAT32，0x83=Linux等，00表示此项未用；BYTE EndHead：分区结束磁头号；WORD EndSC：分区结束扇区和柱面号，定义同前；DWORD Relative：在线性寻址方式下的分区相对扇区地址（对于基本分区即为绝对地址）；DWORD Sectors：分区大小（总扇区数）。在DOS或Windows系统下，基本分区必须以柱面为单位划分（Sectors*Heads个扇区），如对于CHS为764/256/63的硬盘，分区的最小尺寸为256*63*512/104857

5、6=7.875MB.由于硬盘的第一个扇区已经被引导扇区占用，所以一般来说，硬盘的第一个磁道（0头0道）的其余62个扇区是不会被分区占用的。某些分区软件甚至将第一个柱面全部空出来。4. PE文件节和节表，引入表和引出表 【重点】5.病毒重定位技术病毒不可避免也要用到变量，在病毒感染HOST程序后，由于依附到HOST程序中的位置各不相同，因此病毒随着HOST载入内存后，病毒中的各个变量在内存中的位置会随着HOST程序的位置而发生变化，因此，病毒程序需要正常使用变量就需要采用重定位技术。重定位过程的一般步骤：1、 用CALL指令跳转到下一条指令，使下一条指令感染后在内存中的实际地址进栈。2、 用PO

6、P或MOV EXX，ESP指令取出栈顶的内存，这样就得到了感染后下一条指令在内存中的实际地址。3、 领V_start为感染前call指令的下一条执行的地址，Var_Lable为感染前变量的地址，则感染后该变量Var的实际地址为Base+（OffSet Var_Lable -OffSet V_start）6.Dos下的.com文件的格式和特点.com文件中的程序代码只在一个段内运行，文件长度不超过64k字节，.com文件调入时dos将全部可用内存分配给用户程序，四个寄存器DS数据段、CS代码段、ES附加段、SS堆栈段。全部指向程序段前缀PSP的段地址。PSP程序代码数据堆栈.com文件型病毒比较

7、简单，病毒要感染.com文件一般采用两种方式：一种是将病毒加在COM文件前部，一种是加在文件尾部。7. 缓冲区溢出shellcode的特点？ Shellcode:能完成特殊任务的自包含的二进制代码，根据不同任务发出系统调用或建立一个高权限的shell,目的是获取目标机器的控制权。Shellcode是作为数据形式发送给服务器，制造溢出得以执行代码并获取控制权。特点：1.长度受限 2.不能使用特殊符号，例如xoo,xff 3.具有重定位能力（没有PE头，使用的API和数据必须由自己进行重定位） 4.一定的兼容性8. 病毒程序模块的基本结构。包含哪些模块、功能？逻辑结构：触发模块：根据预定条件满足与

8、否，控制病毒的传播或破坏动作。1）检查预定触发条件是否满足 2）如果满足返回真值 3）如果不满足返回假值传播模块：负责实现传播机制。1）寻找一个感染目标2）检查该目标中是否有感染标记3）如果没有感染标记，进行感染，讲病毒代码传播到目标破坏模块（表现模块）：负责实施病毒的破坏动作1）判断破坏的条件2）执行破坏的功能主控模块：总体上控制病毒的运行。1）调用感染模块进行感染2）调用触发模块，接受其值返回3）如果返回真值，执行破坏模块4）如果返回假值，执行后续程序磁盘储存结构：主引导记录区，引导记录区，文件分配表，目录区，数据区9. 病毒、蠕虫、木马多方面的对比、区别和联系1.蠕虫和病毒都具有传播性和

9、破坏性。木马不具有传染性，无复制机制。2.病毒的存在形式：寄生，复制机制：插入到宿主文件中，传染机制：宿主程序运行，传染目标：针对本地文件，触发传染：计算机使用者，影响重点：文件系统，计算机使用角色：传播的关键，防止措施：从宿主文件中摘除，对抗主体：计算机使用者和反病毒厂商3.蠕虫的存在形式：独立个体，复制机制：自身的拷贝，传染机制：系统存在漏洞，传染目标：针对网络上其他计算机，触发传染：程序自身，影响重点：网络性能系统性能，计算机使用角色：无关，防止措施：为系统打补丁，对抗主体：网管和系统提供商4.木马主要是通过自身伪装起来吸引用户下载执行，以窃取用户相关信息为目的，而病毒是以破坏为目的10

10、.缓冲区溢出中栈溢出的C语言编程、堆栈过程中溢出的变化修改邻接变量：#include#includeChar shellcode=”xebx1fx”;Char large_string128;Int main(int argc,char*argv)Char buffer96;Int i;Long*long_ptr=(long*)large_string;For(i=0;i32;i+)*(long_ptr+i)=（int）buffer;For(i=0;i(int)strlen(shellcode);i+)Large_stringi=shellcodei;Strcpy(buffer,large_s

11、tring)Return 0;简单密码验证程序，构造了栈溢出漏洞#include#define PASSWORD “1234567”Int verify_password(char*password)Int authenticated;Char buffer8;Authenticated=strcmp(password,PASSWORD);Strcpy(buffer,password);Return authenticatedMain()int valid_flag=0;Char password1024;While(1)Printf(“please input password:”);Sca

12、nf(“%s,password”);Valid_flag=verify_password(password);If(valid_flag)Printf(“incorrect password!nn”);ElsePrintf(“congratulation! You have passed the verification!n”);Break;11. 病毒的感染标记有什么作用？病毒程序进行感染时要写入感染标记作为被感染程序已被感染的标记，用来判断程序是否已被感染。13.PE文件的DOC头、NT映像头、文件头MZ文件头和DOS插桩程序实际上就是一个在DOS环境下显示信息的程序，MZ文件格式中，开始

13、两个字节是4D5A，计算机病毒判断PE文件的第一步就是判断文件前两个字节是否是4D5A，第二步是判断DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置，然后查看偏移位置的四字节是否是50450000。NT映像头分为：1.字串PE00(4H)，它标志着NT映像头的开始，也是PE文件中与WINDOWS有关内容的开始，可以再DOS程序头中偏移3CH处的四个字节找到给该字符串的偏移位置。2.映像文件头(14H)是映像头的主要部分，它包含PE文件的最基本信息。Numberofsections文件中节表个数，sizeofoptionalheader可选头的大小，这两个对计算机病毒来说非常重要，知

14、道可选文件头的大小就可以知道节表的开始位置，通过节表的开始位置和节表的个数就可以确定节表的末尾地址(每个节是28H个字节)，这样在添加新节时我们就可以找到新节表应该所在的位置。3.可选映像头包含了PE文件的逻辑分布信息，该结构共有31个域。Sizeofcode代码总尺寸，是所有代码加起来的总和，并且这个值是向上对齐某个值的整数倍；addressofentrypoint程序开始执行的地方，是一个RVA；baseofcode代码节开始的RVA一般为1000H；imagebase可执行文件的默认装入基地址，如果程序装入时这个值做基地址则装入时不需要重定位，对于EXE文件，这个值一般是400000H；filealignment文件中节的对齐值；sizeofimage映像装入内存后的总尺寸，这是一个对齐到sectionalignment的整数倍尺寸；sizeofheaders头尺寸，这是NT映像头与节表的大小和；DIRECTORY数据目录。3.节表实际上是一个结构数组，其中每个结构包含了节的具体信息，每个结构占用28H字节，该数组成员由numberofsections决定。Virtualsize该节的实际字节数，文件对齐后的节尺寸由它计算出来；virtualaddress本节的相对虚地址。