Win32平台下的PE文件病毒的研究及实现

摘要 在计算机病毒技术与反病毒技术激烈斗争的今天，病毒技术的复杂多变，发展迅速给计算机用户同时也给反病毒技术带了巨大的挑战。本文详细剖析了时下较流行的Windows 32位操作系统平台下最为常见的PE病毒机制，配合以代码实现的方式，从一个病毒编写者的角度展示病毒基本原理，并以此为契机从而做到更好的防范病毒。第一部分分别介绍了Windows病毒的基本原理、分类，并着重介绍PE病毒基本原理，基本机制；第二部分则根据PE病毒原理用编写实际代码的方式实现一个感染正常EXE文件(如WinRAR.exe)、关机并通过U盘传播等功能的病毒程序；第三部分则通过功能测试(白盒测试)、杀毒软件测试，总结并展望病毒技术；最后通过此次课题的研究成果，结合当今主流反病毒技术，总结Windows PE病毒防范技术。 关键字：Windows病毒；PE病毒；反病毒技术；PE文件格式；PE病毒实现 1引言 随着计算机和互联网技术的快速发展，计算机正走进社会的各个领域，走进千家万户，计算机系统已经能够实现生活、管理、办公的自动化，成为人类社会不可或缺的一部分。然而，计算机系统并不安全，其不安的因素有计算机系统自身的、自然不可抗拒的，也有人为的。计算机病毒就是最不安全因素之一。 计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物，是计算机犯罪的一种的新的衍化形式。自从第一例计算机病毒出现以来，随着计算机技术、网络技术的迅猛发展，计算机病毒也日益猖獗，成为了计算机网络安全、信息安全最大公害。各种计算机病毒的产生和蔓延，已经给计算机系统安全造成了巨大的威胁和损害，其造成的计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，正因为如此，我们就应坚决地走到反病毒的行列中来。我们研究病毒，最终目的是为了消灭病毒。大多数计算机用户对病毒不了解才会造成病毒的横行，对于精通病毒原理的人来说，病毒是毫无攻击力的。我们要做到彻底地消灭病毒，那么就不能全依靠少数编写杀毒软件的人，而是要做到了解病毒基本原理，了解病毒只是为了认识病毒，消除对病毒的恐惧心理，最终达到能够防毒、清除病毒的目的。所以对于病毒基本原理的学习，对计算机病毒编写的学习是非常有意义的。 Windows PE病毒是所有病毒中数量极多、破坏性极大的、技巧性最强的一类病毒。譬如CIH、FunLove、中国黑客等。本文就以此类病毒为突破口，从基本原理到病毒代码的编写测试，完成一个基本的Windows PE病毒模型，从而更加了解PE病毒，更好的防治病毒。 本文第一部分介绍计算机基本知识；第二部分着重介绍计算机病毒中的Windows病毒，从内核级学习PE文件格式，PE病毒原理；第三部分结合第二部分的准备知识，分别介绍每个代码模块功能及实现；第四部分则介绍了针对PE病毒的一些解决方案；最后一部分对计算机的防治做了展望。 2计算机病毒概述 2.1计算机病毒的定义 计算机病毒(Computer Virus)是一种人为的制造的、能够进行自我复制的、具有对计算机资源破坏作用的一组程序或指令的集合。这是计算机病毒的广义定义。类似生物病毒，它能把自身附着在各种类型的文件上或寄生在存储媒介中，能对付计算机系统和网络进行各种破坏，同时有独特的复制能力和传染性，能够自我复制——主动传染；另一方面，当文件被复制或在网络中从一个用户送到另一个用户时——被动传染，他们就随同文件一起蔓延开来。 在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够字我复制的一组计算机指令或者程序代码”。这一定义具有一定的法律性和权威性。是对计算机病毒的狭义定义。 2.2计算机病毒的基本性质与本质 计算机病毒种类繁多，特征各异，其中主要的有：自我复制能力；很强的感染性；一定的潜伏性；特定的触发性；很大的破坏性。 1．计算机病毒的可执行性(程序性) 程序性是计算机病毒的基本特征，也是计算机病毒最基本的一种表现形式。程序性也就决定了计算机病毒的可防治性、可清除性。计算机病毒程序与其他合法程序一样，是一段可执行的程序，但他不是一个完整的程序，而是寄生在其他可执行程序上的一段程序，因此他享有一切可执行程序所能得到的权力。计算机的控制权是关键问题。反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止起取得系统控制权，并及时将其清除。 2．计算机病毒的传染性 病毒一次源于生物学，传染也相应成了计算机病毒最基本的特性。计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。 在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，他可得到大量的繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道通过已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。 是否具有传染性，是判断一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。 3．计算机病毒的非授权性 计算机病毒未经授权而执行。正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的、透明的。而病毒隐藏在正常程序中，窃取正常程序的系统控制权，其目的对用户是未知的，是未经用户允许的。 4．计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件的形式出现，目的是不让用户发现他的存在。如果不经过代码分析，病毒程序与正常程序是不容易区分开来的，而一旦病毒发作表现出来，往往已经给计算机系统造成了不同程度破坏。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散并游离与世界上的百万台计算机中。 计算机病毒的隐蔽性通常表现在以下两个方面： ① 传染的隐蔽性。大多数病毒的代码设计得非常精巧而又短小，一般只有几百字节到几K，而PC对文件的存取速度非常快，所以病毒会在转瞬之间便可将这些病毒程序附着在正常文件之上，一般不具有外部表象，不易被人发现。 ② 病毒程序存在的隐蔽性。病毒程序通常以隐蔽的方式存在，且被病毒感染的计算机在多数情况下仍能维持起部分功能，不回因为感染上病毒而使整台计算机不能使用。计算机病毒设计的精巧之处也在这里。 5．计算机病毒的潜伏性 一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大。潜伏性通常表现以下两个方面： ① 病毒程序不用专门的检测程序是检查不出来的，一旦得到运行机会就繁殖、扩散，继续为害。 ② 计算机病毒中往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做其他的破坏，只有当触发条件满足时，才会激活病毒的发作模块而出现中毒的症状。 6．计算机病毒的可触发性 计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性，称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不做动作，病毒既不能感染也不能进行破坏，失去杀伤力。病毒既要隐蔽又要维持杀伤力，就必须具有可触发性。病毒的触发机制是用来控制感染和破坏动作的频率的。病毒的触发机制越多，则传染性越强。 7．计算机病毒的破坏性 所有的计算机病毒都是一种可执行的程序，而这一可执行程序又必然要运行，因此，所有的计算机病毒都对计算机系统造成不同程度的影响，轻这降低计算机系统工作效率、占用系统资源，重者导致数据丢失、系统崩溃。计算机病毒的破坏性，决定了病毒的危害性。 8．计算机病毒的寄生性 病毒程序嵌入到宿主程序中，依赖与宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。 9、计算机病毒的诱惑欺骗性 某些病毒常以某种特殊的表现方式，引诱、欺骗用户不自觉的触发、激活病毒，从而实施起感染、破坏功能。如情书变种病毒之一VBS.LoveLetter.F，传播自身的电子邮件附件名为“Virus Warning.jpg.vbs”，主题为“Dangerous virus warning”，其内容是“There is a dangerous virus circulating.Please click attached picture to view it and learn to avoid it”。