計算機病毒分析-簡單了解計算機病毒

計算機病毒是什么

定義

計算機病毒(Computer Virus)指"編制者在計算機程式中插入的破壞計算機功能或者破壞資料，影響計算機使用并且能夠自我復制的一組計算機指令或者程式代碼"，

廣義

因計算機中病毒后，輕則影響機器運行速度，重則死機系統破壞，所以，病毒給用戶帶來很大的損失，通常在這種情況下，我們稱這種具有破壞作用的程式為計算機病毒，也可就是任何以某種方式對用戶、計算機網路造成破壞的惡意程式，例如：木馬、蠕蟲、Rootkit、廣告軟體、捆綁軟體、間諜軟體、勒索病毒等等，

總結

可以帶來危害的程式

部分著名的計算機病毒案例

• CIH病毒” 爆發年限:1998年6月
  損失估計：全球約5億美元
• “梅利莎(Melissa)” 爆發年限:1999年3月
  損失估計：全球約3億——6億美元
• “愛蟲(Iloveyou)” 爆發年限:2000年
  損失估計：全球超過100億美元
• “紅色代碼(CodeRed)” 爆發年限:2001年7月
  損失估計：全球約26億美元
• “沖擊波(Blaster)” 爆發年限:2003年夏季
  損失估計：數百億美元
• “巨無霸(Sobig)” 爆發年限:2003年8月
  損失估計：50億——100億美元
• “MyDoom” 爆發年限:2004年1月
  損失估計：百億美元
• “震蕩波(Sasser)” 爆發年限:2004年4月
  損失估計：5億——10億美元
• “熊貓燒香(Nimaya)” 爆發年限:2006年
  損失估計：上億美元
• “網游大盜” 爆發年限:2007年
  損失估計：千萬美元
• "想哭"勒索病毒爆發年限:2017年
  損失估計：暫時無法估價，但它襲擊全球150多個國家和地區，影響領域包括政府部門、醫療服務、公共交通、郵政、通信和汽車制造業，

那計算機病毒如何分類呢

為了更好的了解計算機病毒，常從一下幾點進行分類：

媒體分類

• 引導型病毒：指寄生在磁盤引導區或主引導區的計算機病毒，此種病毒利用系統引導時，不對主引導區的內容正確與否進行判別的缺點，在引導型系統的程序中侵入系統，駐留記憶體，監視系統運行，待機傳染和破壞，
• 檔案型病毒：主要通過感染計算機中的可執行檔案（.exe）和命令檔案(.com)，檔案型病毒是對計算機的源檔案進行修改，使其成為新的帶毒檔案，一旦計算機運行該檔案就會被感染，從而達到傳播的目的，
• 混合型病毒：指具有引導型病毒和檔案型病毒寄生方式的計算機病毒

鏈接方式

• 原始碼型病毒：攻擊高級語言撰寫的程式，病毒在高級語言撰寫的程式編譯之前插入到源程式中，經編譯成功后成為合法程式的一部分，
• 嵌入型病毒：指病毒是將自身嵌入到現有程式中，把計算機病毒的主體程式與其攻擊的物件以插入的方式鏈接，
• 作業系統型病毒：用它自己的程式加入作業系統或者取代部分作業系統進行作業，具有很強的破壞力，會導致整個系統癱瘓，而且由于感染了作業系統，這種病毒在運行時，會用自己的程式片斷取代作業系統的合法程式模塊，

攻擊的系統

• DOS病毒：只能在DOS環境下運行（引導型病毒不局限于DOS作業系統而存在，早期的某些單純占用引導記錄來作為病毒體的病毒，至今仍可破壞計算機硬碟引導記錄），傳染的計算機病毒，是最早出現的計算機病毒，
• Windows病毒：指能感染Windows可執行程式并可在Windows下運行的一類病毒，
• UNIX、Linux病毒：只感染Unix、Linux作業系統的病毒，
• 物聯網病毒：針對硬體進行感染，
• APP病毒：對移動APP進行感染，

功能分類

• 蠕蟲：可以自我復制并感染其它計算機病毒，
• 后門：攻擊者可以繞過安全認證，遠程控制受感染的計算機，
• 僵尸網路：由大量被感染的計算機組成的網路，可以發起大規模的網路攻擊，例如DDOS攻擊，
• 木馬：通過特定的程式木馬程式來控制另一臺計算機，木馬通常有兩個可執行程式，一個是控制端，另一個是被控制端，與一般的病毒不同，它不會自我繁殖，也并不刻意地去感染其他檔案，它通過將自身偽裝吸參考戶下載執行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的檔案，甚至遠程操控被種主機，
• 下載器、啟動器：用來下載和執行其它病毒的惡意代碼，
• 間諜軟體：從受害者計算機上收集資訊并發送給攻擊者的惡意代碼，
• 廣告軟體：附帶廣告的電腦程式，以廣告作為盈利來源的軟體，此類軟體往往會強制安裝并無法卸載;在后臺收集用戶資訊牟利，危及用戶隱私;頻繁彈出廣告，消耗系統資源，使其運行變慢等，
• 捆綁軟體：捆綁軟體是指用戶安裝一個軟體時，該軟體會自動安裝單個或多個軟體，安裝時它是在靜默安裝，并沒有告訴用戶是否要安裝這個軟體，
• Rootkit:獲得計算機root權限的工具，可以用來隱藏其它計算機病毒，
• 勒索軟體：通過加密受感染用戶的檔案或硬碟，索要贖金的病毒，
• 垃圾郵件發送病毒：感染用戶計算機之后，使用系統與網路資源來發送大量的垃圾郵件，例如廣告郵件、釣魚郵件等，

攻擊目標

• 大眾型的計算機病毒：比如勒索軟體，采用的是一種撒網撈魚的方法，設計目標是感染盡可能多的機器，這類惡意代碼比較普遍，惡意行為比較明顯，容易被檢測和防御，
• 針對型的計算機病毒：比如特質的后門病毒，是針對特定組織而研制的，不是廣泛傳播的，樣本收集難度大，代碼非常復雜，病毒分析往往要借助于一些高分析技巧，例如震網病毒，定向攻擊工業系統，

那什么是計算機病毒分析呢

計算機病毒分析，通常是為一起計算機病毒事件的應急回應提供所需資訊，包括以下的分析內容：

• 系統到底發生了什么？
• 定位被感染的計算機和可疑的程式，
• 對可疑檔案進行分析，
• 提取出可以在系統和網路上檢測病毒的特征碼，
• 衡量并消除計算機病毒所帶來的損害，

那計算機病毒分析的目標是什么

• 分析出是如何感染的
• 分析出病毒運行流程
• 分析出病毒運行危害
• 分析出如何識別此病毒
• 分析出如何消除此病毒

那如何第一時間找到計算機病毒呢

可以從計算機病毒特征碼入手，可用于查殺病毒檔案、阻止病毒傳播，可以按照以下分類進行細分：

主機特征碼

主機特征碼關注的是病毒對系統做了什么，而不是病毒本身的檔案特征，它對比反病毒軟體特征碼(備注:可通過技術手段修改檔案資訊，導致特征碼失效，例如：程式加殼、使用花指令等)反而更加有效，
例如：

• 特定的檔案創建、讀取、修改行為
• 特定的注冊表創建、讀取、修改行為
• 特定的開機啟動項創建、讀取、修改行為
• 特殊的行為，如自洗掉

網路特征碼

通過分析計算機病毒的網路通信資料提取出的特征碼，其包括惡意的IP地址、URL、郵件、攻擊資料包、計算機病毒間的通信協議等，也可以和主機特征碼想結合，提供更高的檢測率和更少的誤報，
例如：與公布出的釣魚網站、放馬平臺進行資料互動，

說了這么多，那常見的計算機病毒技術都有那些呢

為了更好的了解，從一下方面進行分類講解：

靜態分析：靜態分析方法是在沒有計算機病毒時，對其進行分析的相關技術,其包括分析病毒可執行檔案，但不查看具體CPU指令的分析技術，

常見的分析工具有CoBOT、Coverity、Klocwork、Checkmarx、Fortify、Testbed、PinPoint、C++ test、VirusTotal、strings、PC-Lint、QAC、IDA pro、cutter、GDA等等，

優點：非常快速、簡單、可深入分析計算機病毒

缺點：難以分析復雜的計算機病毒，而且可能會漏掉一些重要的行為，并易受代碼混淆技術的干擾，例如加殼、花指令等

動態分析：動態分析方法則需要運行計算機病毒，使用除錯器來分析一個病毒運行時刻的內部狀態，動態執行每一條指令驗證靜態高級分析的結果

常見的分析工具有RegShot、Process Mointor、ApateDNS、Netcat、Wireshark、INetSim、OllyDbg、x64dbg、dnspy、Sysinternals工具集等等，

優點：簡單、可以緩解代碼混淆的干擾

缺點：可能會漏洞一些重要病毒功能，并只能覆寫一條計算機病毒的執行軌跡，

那有什么分析經驗可以分享嗎

首先：先做好分析前的防護作業，避免病毒使用某些途徑進行擴散傳播在進行靜態分析、在進行動態分析，互相彌補，多方面思考，也不要過于陷入細節，關注其主要的危害、在后期深入分析之前做好有一個概要性的理解，

其次：可以嘗試從不同角度、不同工具、不同方法來分析計算機病毒，不要被局限

最后：計算機實在與時俱進的，分析也要與時俱進，不要停止前行的步伐，也要走在病毒發布者的前沿，先發現危害，著手進行防御以及分析，

標籤：其他

上一篇：維吉尼亞密碼-攻防世界(shanghai)

下一篇：使用Zolom記憶體決議運行python腳本（不落地）