一種檔案捆綁型病毒研究
寧 軻
(廣西職業技術學院 廣西 南寧 530226)
摘 要: 檔案捆綁型計算機病毒具有隱蔽性高、傳播速度快和破壞力強等特點,早些年出現的威金病毒和熊貓燒香病毒都屬於檔案捆綁型病毒。本文對檔案捆綁型病毒的其中一種模式做了技術上的分析和研究,最後給出了一些識別和防範此類病毒的方法。
關鍵詞: 計算機病毒;檔案捆綁;傳播機制
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)0110227-01
檔案捆綁型病毒簡單說就是病毒感染了其它檔案,如可執行檔案、文字文件、圖片檔案等。並將自己內嵌其中,當使用者開啟這些檔案時,也就同時開啟了病毒本身,從而使計算機的所有類似檔案都感染了此類病毒。此類病毒隱蔽性高,破壞力極強。早些年肆虐中國網際網路的熊貓燒香病毒正因為有檔案捆綁這一特點,所以才具備了較強的傳播性和破壞力。此類病毒的實現模式眾多,本文針對其中的一種常見模式給出分析。
1 病毒的基本構架
此類病毒的基本構架中的主要三個物件為病毒本體、被感染檔案(即各種exe檔案、圖片檔案等)和合成的感染檔案三類。其中病毒本體的主要任務是感染使用者機子上的所有其備染檔案,以使得其本身與被感染檔案相結合從而形成合成的感染檔案,此類檔案與正常檔案從外觀上看毫無區別,也可以正常執行,但在每次執行時都會同時執行檔案本身所帶的病毒本體,執行病毒本體後,本體又會對機子上未感染的檔案繼續感染。由此可見,此類病毒的執行機制決定了其難以被清除,而其感染機制又決定了它的快速傳播性和破壞力(要刪除病毒就必須將正常檔案刪除)。合成的感染檔案內部結構如圖所示。
| 病毒本體 |
| 正常檔案 |
| 附件資訊 |
圖1 合成的感染檔案內部
在合成的感染檔案內部,病毒本體處於檔案的最上方,當使用者開啟此檔案時,最先被執行的實際上是病毒本體。病毒本體執行後將根據附加在病毒本體最末尾的附加資訊(此資訊由之前負責感染的病毒本體在感染時新增)釋放正常檔案並將其執行,在正常檔案執行後,病毒本體本身在將自己執行完畢。整個過程中,病毒本體本身都是隱蔽的在後臺執行,使用者看到的只有正常檔案被執行而已。所以,感染了此類病毒的使用者每次在開啟看似正常的檔案時,實際上都執行了一次病毒而毫不知情
2 病毒感染步驟
下面以一個例子來進一步說明整個感染過程。所涉及到的物件有病毒感染本體(將其命名為a.exe)和將被感染的一個正常可執行檔案( 將其命名為b.exe) 、一個正常文字文件( 將其命名為c.txt) 、一個正常圖片檔案( 將其命名為d.jpg)。
在病毒感染本體a,exe被執行後,其第一步將根據一定的遍歷規則,遍歷機器上的所有檔案,根據檔案字尾名判斷,對於不需要感染的檔案則跳過,對於已經被感染的檔案也跳過。就本實驗而言,exe檔案、文字文件和圖片jpg檔案為其需要感染的檔案。在找到b.exe檔案後,病毒本體首先會計算b.exe檔案的檔案長度(以位元組計,這裡設其長度為5k個位元組),記下b.exe的位置資訊(如在c盤的abc資料夾裡)和其圖示型別。然後再從自己本身釋放出一個病毒本體副本(設為ab.exe),此副本除了擁有本體感染其它檔案的功能外,還必須要有根據附加資訊計算截斷產生新檔案的功能。將之前b.exe檔案的長度資訊5k個位元組和位置資訊寫入ab.exe檔案的末尾中的附加資訊部位。最後,a.exe還會根據被感染檔案的檔案型別,修改ab.exe檔案的圖示資訊,如這裡就改成b.exe檔案的圖示型別,並將更改後的長度等資訊再寫入附加資訊部位。當所有步驟完成後,原有的b.exe檔案將被刪除,只留下ab.exe檔案。至此,感染b.exe檔案的過程就算完成了。
此時,ab.exe檔案裡就含有了a.exe檔案和b.exe檔案及末尾的附加資訊。從外觀上看,就跟原來的b.exe檔案沒有什麼區別。在使用者執行b.exe檔案(此時已被感染)時,ab.exe將最先執行,它會提取附加資訊部分封裝的資訊,如從後往前大概5k個位元組左右就是b.exe部分,從此處截斷將會提取出真正的b.exe檔案,從而將其釋放並在原來位置執行。另外它還會根據附加資訊,再釋放出原來的a.exe檔案(即病毒本體)在後臺隱蔽執行,從而又開始新一輪的遍歷感染。
另外的兩個檔案(一個txt檔案、一個jpg檔案)的感染與b.exe基本類似,但也有些不同之處。因為最終感染後的檔案ab.exe是一個可執行檔案,所以感染了c.txt檔案後,其外觀圖示雖然已經變為文字文件的樣子,但其字尾名依舊是exe。同樣的, 在感染了d.jpg後, 其外觀已經變為圖片檔案的樣子,但其字尾名依也依舊是exe。這一點是此型別病毒無法規避的缺陷,也是使用者識別此類病毒的一個重要手段。但此類病毒一般在執行時都會將系統始終選定在不顯示字尾名選項,所以使用者會發現不論怎麼選擇,檔案的字尾名就是無法顯示,如出現這種現象,很有可能感染了此類病毒。
3 病毒傳播機制
此類病毒的傳播機制比較單一,都是依靠使用者執行了感染檔案從而獲得傳播。其本身並不會隨系統啟動而啟動,都必須依靠使用者自己去執行看似正常的感染檔案。這些檔案可能會由使用者通過網際網路發給其它的機器,也有可能通過U盤等移動介質帶到其它機器上執行,從而使越來越多的機子感染。由於其感染時病毒遍歷感染本機所有其認可的檔案並刪除原有檔案,所以一旦一個感染檔案在本機被執行,機子上的所有其認可的檔案都會被感染,而原有檔案則不再存在,而是被嵌入到了病毒體本身。這樣一來,在某種情況下,使用者有時候不得不去開啟明知是病毒的感染檔案。如被感染檔案是使用者一個很重要的word文件,裡面有很重要的資料資訊,如用防毒軟體進行查殺,此文件很有可能會被識別為病毒從而被隔離甚至刪除,在這樣的情況下,不知情的使用者可能從此失去這個重要的文件,而知情的使用者就會出現明知是病毒也要開啟此文件的情況。所以此類病毒的傳播機制雖然很單一,但手段卻很高明。
4 病毒識別與防範、補救措施
此類病毒雖然破壞力強,手法也比較隱蔽,但還是有一些識別與防範的方法。首先,使用者在使用電腦時要養成開啟檔案字尾名顯示的習慣,這樣一來至少在感染非exe檔案時,都可以看得出來。因為所有的被感染檔案都是exe字尾的,這時候如果突然出現一個外觀是圖片檔案或者是word文件,而其字尾是exe檔案的,這種情況下百分之百是一個被感染的檔案。只要阻斷了病毒的第一次執行,要恢復一個被感染的檔案還是比較好辦的。其次就是不要隨意開啟陌生檔案,包括陌生的郵件附件,光碟、u盤或各種移動介質中的自己不認識的檔案,QQ好友發來的不明檔案等,尤其是可執行檔案就更加要注意。另外,要注意自己熟悉檔案的圖示樣式,一旦圖示外觀出現模糊和有異於平時時就應該引起注意。通常被感染的檔案的大小也會變大,所以如果發現某個檔案突然變得比平時要大,也是該檔案被感染的訊號。最後,如果真的被感染了,會發現感染瞬間, 機子突然變得很慢,CPU佔用率很高, 硬碟也在不停的轉,這個時候應該果斷重啟電腦,這樣可以挽救一些檔案不被感染。在機子重啟後,要及時用相關防毒軟體防毒查殺,對於暫時無法查殺的,可以隔離被感染的檔案,將正常檔案及時備份,這樣可以將損失降低到最小程度。
5 總結
檔案感染型計算機病毒種類多樣,本文介紹了其中一種以檔案合併形式完成感染的病毒模式並給出了一些防範措施,相信只要認清了此類病毒的傳染模式與特徵後,是可以降低感染此類病毒的概率的。
參考文獻:
[1] 王豔平.Windows程式設計[M].2版.北京:人民郵電出版社,2008.
作者:寧軻
作者單位:廣西職業技術學院 廣西 南寧 530226
刊名:矽谷
英文刊名:Silicon Valley
年,卷(期):2013(1)
參考文獻(1條)
1.王豔平Windows程式設計 2008
引用本文格式:寧軻一種檔案捆綁型病毒研究[期刊論文]-矽谷 2013(1)
出處:http://wenku.baidu.com/view/95e8f97e3169a4517623a308.html