没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
脚本病毒技术综述
摘要:
本文结合脚本病毒源代码,详述了脚本病毒的破坏、传播、系统控制以及免杀的
机制,然后给出了基于以上原理的病毒实例,最后讨论了当前脚本病毒的检测的几种
方法,针对用户的实际给出了防范脚本病毒的若干意见。
关键词:
脚本病毒;样本分析;攻击树模型;脚本宿主
目录
引言
脚本语言与脚本病毒
脚本语言简介
脚本病毒的定义
脚本病毒的运行环境
脚本病毒分类
脚本病毒特点
脚本病毒的破坏机制
文件感染
注册表破坏
进程关闭
系统炸弹
与木马蠕虫的配合
脚本病毒的系统控制机制
映射文件执行
自动播放
注册表自动运行
通过活动桌面运行
欺骗用户运行
直接关闭杀毒软件
脚本病毒的传播机制
复制自身
通过感染 、、、 网页文件传播
局域网传播
传播
会话传播
脚本病毒的免杀机制
自加密
脚本加密、加壳与变形
关键词隐藏
脚本病毒的实例
脚本病毒的检测与防范
脚本病毒的检测
静态检测
基于攻击树的脚本病毒检测
基于免疫原理的脚本病毒检测方法
行为检测
脚本病毒的防范
参考文献
1.引言
在信息社会的时代里,信息主权是一个国家继政治主权和经济主权之后的新主权。在
人类社会的三个要素中,物质在工业社会其关键作用,能量在工业社会社会中起核心作用
信息则在当今社会中叱咤风云。信息工业在一个国家的国民经济中所占的比例反映了这个
国家的经济水平和工业发展水平。对信息安全的认识和掌控程度不及影响到一个国家的根
本利益,影响企业和个人的利益,同时也反映了一个国家的现代化程度。而病毒则是信息
安全的一个重要的分支,也是当今信息安全领域里人们耗费精力和财力最多领域,据测算
人类每年要在病毒防治中耗费数千亿美元的资金,而这场战斗至今仍在继续!
脚本病毒是用脚本语言编写而成的病毒,这一类型的病毒功能非常强大,它们利用
Windows 系统的开放性特点,通过调用一些现成的 !" 对象、组件,可以直接对文件
系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用
脚本语言实现时变得极其容易。由于脚本病毒实现简单, 入门容易使得这种病毒成为
#$%$# 世界里最为流行的病毒之一。
&'
2.脚本语言与脚本病毒
2.1 脚本语言简介
脚本语言是指介于 和 (、))和 *"+,"-之类的高级编程语言之间的语言。
语言通常用于格式化文本和链接网页,基本上没有什么处理功能,编程语言则通常
用于表示一系列复杂指令和逻辑。相较于这两者,脚本语言也可用来向计算机发送指令,
又没有可编译的编程语言那样严格和复杂。各种动态语言,如 、、.、 等,都
是 脚 本 语 言 。 一 般 都 是 有 应 用 程 序 提 供 的 编 程 语 言 。 应 用 程 序 包 括 浏 览 器
/0("-%1#、*,-%1#2、多媒体创作工具等。应用程序的宏和创作系统的批处理语言也可以
归入脚本语言之类。总体来看,脚本语言同平时使用的 (、*,、 等语言的区别主要是:
、脚本语法比较简单,比较容易掌握; 、脚本与应用程序密切相关,所以包括相对应
用程序自身的功能; 、脚本一般不具备通用性,所能处理的问题范围有限。
2.2 脚本病毒的定义
使用脚本语言编写的病毒程序被称为脚本病毒。不同于引导区病毒、蠕虫病毒等有功
能命名的病毒,脚本病毒的命名起始于其编写的语言是脚本语言,而在常用的脚本语言中
由于语言之间的差异,使得现在的脚本病毒以 *, 脚本病毒、 脚本病毒、 脚本病毒
和 34-$ 宏病毒最为常见,其他脚本语言编写的病毒相较于这几种来说比较少见。而在以
上的几种病毒中, 脚本病毒和 脚本病毒主要包含在网页文件中,通过用户浏览网页
运行和传播,宏病毒则主要是包含在各类 34-$ 文档中,通过用户阅读文档来运行,而
*, 病毒既可通过网页文件进行传播也可在系统中直接运行。
2.3 脚本病毒的运行环境
通过上面的介绍我们知道有些脚本病毒是通过用户浏览包含脚本病毒的网页来运行的,
相比于在本地运行的脚本病毒,根据这些病毒进行破坏的方式又可以将他们分为两种,一
种是通过在浏览器中执行脚本程序对客户端系统进行破坏,网页挂马就属于这种情况。第
二种情况是通过包含脚本病毒的网页从客户端向服务器提交一些恶意构造的请求或参数来
对服务器进行破坏。对于第一种情况脚本病毒主要在客户端浏览器运行,而第二种情况脚
本病毒则主要在服务器端的服务程序上运行。不过不论是上述两种情况还是单机的脚本病
毒,他们的运行都必须通过脚本语言的解释器来执行,不同的只是是在客户端还是服务器
端。对于不同的系统不同的脚本语言可能解释器有所不同,下面我们着重对 !" 下的
脚本解释器来进行介绍,它是 !" 系统中脚本病毒运行所赖以运行的必须条件。
是 !"-%156 "#( !" 脚本宿主)地缩略形式。 这个概念最早
出现于 !" 操作系统中,是一个基于 位地 !" 平台并独立于语言地脚本运
行环境,是一个批次语言7自动执行工具。比如,我们编写了一个脚本文件,后缀名为(8"
或 0",然后在 !" 下双击并运行它,这个时候,系统就会自动调用一个适当地程序对
它进行解释执行,而这个程序就是 -%1#$9$(如果是在 :3 环境下,则为 -%1#$9$,
命令格式为:"-%1#;$<$(8")。
-%1#$9$ 使得脚本可以被执行,就像执行批处理一样。在 脚本环境里预定了一
些对象,通过这些内置对象,可以实现获取环境变量、创建快睫方式、加载程序、读写注
册表等功能。
&'
2.4 脚本病毒分类
对于脚本病毒,除了可以根据脚本语言对其进行分类外,还可以根据其破坏性分为纯
脚本病毒和混合脚本病毒,还可以根据其运行在客户端或者服务器端分为客户端脚本病毒
和服务器端脚本病毒。对于纯脚本病毒来说,现在大多数的脚本病毒呈现融合的趋势,即
与其他类型的病毒配合混合工作,当前的纯脚本病毒一般来说主要是指宏病毒,而其他的
大部分脚本病毒都可以视为混合型脚本病毒。
2.5 脚本病毒特点
要了解脚本病毒,其特点是首先要掌握地,理解了它特点就可以对脚本病毒从整体上
有一个把握了。我们就以 *, 脚本病毒为例子进行说明。
*, 脚本病毒利用 !" 系统地开放性特点,通过调用一些现成地 !" 对象、
组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思
想,但是这种思想在用 *, 实现时变得极其容易。*, 脚本病毒具有如下几个特点:
.编写简单,一个以前对病毒一无所知地病毒爱好者可以在很短地时间里编出一个新
型病毒来。
.破坏力大。其破坏力不仅表现在对用户系统文件及性能地破坏。他还可以使邮件服
务器崩溃,网络发生严重阻塞。
.感染力强。由于脚本是直接解释执行,并且它不需要像 病毒那样,需要做复杂
地 文件格式处理,因此这类病毒可以直接通过自我复制地方式感染其他同类文件,并且
自我地异常处理变得非常容易。
.传播范围大。这类病毒通过 =# 文档, 附件或其它方式,可以在很短时间内
传遍世界各地。
.病毒源码容易被获取,变种多。由于 *, 病毒解释执行,其源代码可读性非常强,
即使病毒源码经过加密处理后,其源代码地获取还是比较简单。因此,这类病毒变种比较
多,稍微改变一下病毒地结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意地手段,
譬如,邮件地附件名采用双后缀,如016(8",由于系统默认不显示后缀,这样,用户看到
这个文件地时候,就会认为它是一个 016 图片文件。
.使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户地意愿,
生产病毒地机器(当然,这里指地是程序),目前地病毒生产机,之所以大多数都为脚本
病毒生产机,其中最重要地一点还是因为脚本是解释执行地,实现起来非常容易,具体将
在我们后面谈及。
&'
3.脚本病毒的破坏机制
3.1 文件感染
大部分的脚本病毒可以通过 ;$>"#$380$-# 访问文件系统,;$>"#$380$-# 简称
;3,是微软 地一个对文件操作地控件,该控件可以对服务器进行读取、新建、修改、
删除目录以及文件地操作。是 编程中非常有用地一个控件。但是因为权限控制地问题,
很多虚拟主机服务器地 ;3 反而成为这台服务器地一个公开地后门,因为客户可以在自己
地 网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上地文件。同时
剩余25页未读,继续阅读
资源评论
- 自由鸟0072014-01-26有点复杂,得学学
kill_to_none
- 粉丝: 0
- 资源: 10
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功