脚本病毒原理与检测方法综述资源-CSDN文库

3星 · 超过75%的资源需积分: 11 182 浏览量 2010-12-19 15:45:32 上传评论收藏 700KB DOCX 举报

资源推荐

资源详情

资源评论

脚本病毒技术综述

摘要：

本文结合脚本病毒源代码，详述了脚本病毒的破坏、传播、系统控制以及免杀的

机制，然后给出了基于以上原理的病毒实例，最后讨论了当前脚本病毒的检测的几种

方法，针对用户的实际给出了防范脚本病毒的若干意见。

关键词：

脚本病毒；样本分析；攻击树模型；脚本宿主

目录
引言 
脚本语言与脚本病毒 
 脚本语言简介 
 脚本病毒的定义 
 脚本病毒的运行环境 
 脚本病毒分类 
 脚本病毒特点 
脚本病毒的破坏机制 
 文件感染 
 注册表破坏 
进程关闭 
 系统炸弹 
 与木马蠕虫的配合 
脚本病毒的系统控制机制 
 映射文件执行 
 自动播放 
 注册表自动运行 
 通过活动桌面运行 
 欺骗用户运行 
 直接关闭杀毒软件 
脚本病毒的传播机制 
 复制自身 
 通过感染 、、、 网页文件传播
 局域网传播 
 传播 
 会话传播 
脚本病毒的免杀机制 
 自加密 
 脚本加密、加壳与变形 
 关键词隐藏 
脚本病毒的实例 
脚本病毒的检测与防范 
 脚本病毒的检测 
 静态检测 
 基于攻击树的脚本病毒检测
基于免疫原理的脚本病毒检测方法
 行为检测 
 脚本病毒的防范 
参考文献 

1.引言

在信息社会的时代里，信息主权是一个国家继政治主权和经济主权之后的新主权。在

人类社会的三个要素中，物质在工业社会其关键作用，能量在工业社会社会中起核心作用

信息则在当今社会中叱咤风云。信息工业在一个国家的国民经济中所占的比例反映了这个

国家的经济水平和工业发展水平。对信息安全的认识和掌控程度不及影响到一个国家的根

本利益，影响企业和个人的利益，同时也反映了一个国家的现代化程度。而病毒则是信息

安全的一个重要的分支，也是当今信息安全领域里人们耗费精力和财力最多领域，据测算

人类每年要在病毒防治中耗费数千亿美元的资金，而这场战斗至今仍在继续！

 脚本病毒是用脚本语言编写而成的病毒，这一类型的病毒功能非常强大，它们利用

Windows 系统的开放性特点，通过调用一些现成的  !" 对象、组件，可以直接对文件

系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思想，但是这种思想在用

脚本语言实现时变得极其容易。由于脚本病毒实现简单，入门容易使得这种病毒成为

#$%$# 世界里最为流行的病毒之一。

&'

2.脚本语言与脚本病毒

2.1 脚本语言简介

脚本语言是指介于 和 (、))和 *"+,"-之类的高级编程语言之间的语言。

语言通常用于格式化文本和链接网页，基本上没有什么处理功能，编程语言则通常

用于表示一系列复杂指令和逻辑。相较于这两者，脚本语言也可用来向计算机发送指令，

又没有可编译的编程语言那样严格和复杂。各种动态语言，如 、、.、 等，都

是脚本语言。一般都是有应用程序提供的编程语言。应用程序包括浏览器

/0("-%1#、*,-%1#2、多媒体创作工具等。应用程序的宏和创作系统的批处理语言也可以

归入脚本语言之类。总体来看，脚本语言同平时使用的 (、*,、 等语言的区别主要是：

、脚本语法比较简单，比较容易掌握； 、脚本与应用程序密切相关，所以包括相对应

用程序自身的功能； 、脚本一般不具备通用性，所能处理的问题范围有限。

2.2 脚本病毒的定义

使用脚本语言编写的病毒程序被称为脚本病毒。不同于引导区病毒、蠕虫病毒等有功

能命名的病毒，脚本病毒的命名起始于其编写的语言是脚本语言，而在常用的脚本语言中

由于语言之间的差异，使得现在的脚本病毒以 *, 脚本病毒、 脚本病毒、 脚本病毒

和 34-$ 宏病毒最为常见，其他脚本语言编写的病毒相较于这几种来说比较少见。而在以

上的几种病毒中， 脚本病毒和  脚本病毒主要包含在网页文件中，通过用户浏览网页

运行和传播，宏病毒则主要是包含在各类 34-$ 文档中，通过用户阅读文档来运行，而

*, 病毒既可通过网页文件进行传播也可在系统中直接运行。

2.3 脚本病毒的运行环境

通过上面的介绍我们知道有些脚本病毒是通过用户浏览包含脚本病毒的网页来运行的，

相比于在本地运行的脚本病毒，根据这些病毒进行破坏的方式又可以将他们分为两种，一

种是通过在浏览器中执行脚本程序对客户端系统进行破坏，网页挂马就属于这种情况。第

二种情况是通过包含脚本病毒的网页从客户端向服务器提交一些恶意构造的请求或参数来

对服务器进行破坏。对于第一种情况脚本病毒主要在客户端浏览器运行，而第二种情况脚

本病毒则主要在服务器端的服务程序上运行。不过不论是上述两种情况还是单机的脚本病

毒，他们的运行都必须通过脚本语言的解释器来执行，不同的只是是在客户端还是服务器

端。对于不同的系统不同的脚本语言可能解释器有所不同，下面我们着重对  !" 下的

脚本解释器来进行介绍，它是  !" 系统中脚本病毒运行所赖以运行的必须条件。

 是  !"-%156 "#（ !" 脚本宿主）地缩略形式。 这个概念最早

出现于  !" 操作系统中，是一个基于  位地  !" 平台并独立于语言地脚本运

行环境，是一个批次语言7自动执行工具。比如，我们编写了一个脚本文件，后缀名为(8"

或 0"，然后在  !" 下双击并运行它，这个时候，系统就会自动调用一个适当地程序对

它进行解释执行，而这个程序就是 -%1#$9$（如果是在 :3 环境下，则为 -%1#$9$，

命令格式为："-%1#;$<$(8"）。

-%1#$9$ 使得脚本可以被执行，就像执行批处理一样。在  脚本环境里预定了一

些对象，通过这些内置对象，可以实现获取环境变量、创建快睫方式、加载程序、读写注

册表等功能。

&'

2.4 脚本病毒分类

对于脚本病毒，除了可以根据脚本语言对其进行分类外，还可以根据其破坏性分为纯

脚本病毒和混合脚本病毒，还可以根据其运行在客户端或者服务器端分为客户端脚本病毒

和服务器端脚本病毒。对于纯脚本病毒来说，现在大多数的脚本病毒呈现融合的趋势，即

与其他类型的病毒配合混合工作，当前的纯脚本病毒一般来说主要是指宏病毒，而其他的

大部分脚本病毒都可以视为混合型脚本病毒。

2.5 脚本病毒特点

要了解脚本病毒，其特点是首先要掌握地，理解了它特点就可以对脚本病毒从整体上

有一个把握了。我们就以 *, 脚本病毒为例子进行说明。

*, 脚本病毒利用  !" 系统地开放性特点，通过调用一些现成地  !" 对象、

组件，可以直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思

想，但是这种思想在用 *, 实现时变得极其容易。*, 脚本病毒具有如下几个特点：

．编写简单，一个以前对病毒一无所知地病毒爱好者可以在很短地时间里编出一个新

型病毒来。

．破坏力大。其破坏力不仅表现在对用户系统文件及性能地破坏。他还可以使邮件服

务器崩溃，网络发生严重阻塞。

．感染力强。由于脚本是直接解释执行，并且它不需要像  病毒那样，需要做复杂

地  文件格式处理，因此这类病毒可以直接通过自我复制地方式感染其他同类文件，并且

自我地异常处理变得非常容易。

．传播范围大。这类病毒通过 =# 文档， 附件或其它方式，可以在很短时间内

传遍世界各地。

．病毒源码容易被获取，变种多。由于 *, 病毒解释执行，其源代码可读性非常强，

即使病毒源码经过加密处理后，其源代码地获取还是比较简单。因此，这类病毒变种比较

多，稍微改变一下病毒地结构，或者修改一下特征值，很多杀毒软件可能就无能为力。

．欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意地手段，

譬如，邮件地附件名采用双后缀，如016(8"，由于系统默认不显示后缀，这样，用户看到

这个文件地时候，就会认为它是一个 016 图片文件。

．使得病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户地意愿，

生产病毒地机器（当然，这里指地是程序），目前地病毒生产机，之所以大多数都为脚本

病毒生产机，其中最重要地一点还是因为脚本是解释执行地，实现起来非常容易，具体将

在我们后面谈及。

&'

3.脚本病毒的破坏机制

3.1 文件感染

　大部分的脚本病毒可以通过 ;$>"#$380$-# 访问文件系统，;$>"#$380$-# 简称

;3，是微软  地一个对文件操作地控件，该控件可以对服务器进行读取、新建、修改、

删除目录以及文件地操作。是  编程中非常有用地一个控件。但是因为权限控制地问题，

很多虚拟主机服务器地 ;3 反而成为这台服务器地一个公开地后门，因为客户可以在自己

地  网页里面直接就对该控件编程，从而控制该服务器甚至删除服务器上地文件。同时

剩余25页未读，继续阅读

评论收藏

内容反馈

自由鸟007

2014-01-26

有点复杂，得学学

kill_to_none

粉丝: 0
资源: 10

脚本病毒原理与检测方法综述

VBS脚本病毒原理分析及防范

论文研究-基于攻击树的脚本病毒样本分析方法.pdf

U.bat和u.vbe 脚本病毒处理方法

对一个vbs脚本病毒的病毒原理分析

新型PLC病毒特征分析与检测方法研究.pdf

鸡传染性贫血病毒、网状内皮增生症病毒与禽白血病病毒基因芯片检测方法的建立.pdf

winfile.exe病毒原理及解决方法

局域网病毒入侵原理及防范方法借鉴.pdf

存储设备脚本病毒免疫工具存储设备脚本病毒免疫工具

网络安全之变形脚本病毒的“照妖镜”--病毒反制

javascript脚本病毒的编写与防范方法研究.doc

论文研究-一种基于模糊模式的脚本病毒检测方法 .pdf

局域网病毒入侵原理及防范方法参照.pdf

虾桃拉病毒、黄头病毒和白斑病毒液相芯片快速检测方法的建立.pdf

猪瘟病毒4种检测方法的比较 (2007年)

局域网病毒入侵原理及防范方法.pdf

猪细小病毒和猪圆环病毒2型二重液相芯片检测方法的建立.pdf

恶意脚本病毒清除器

性能测试移动端脚本开发原理及方法介绍

毕业论文Javascript脚本病毒的编写与防范方法研究.doc

javascript脚本病毒的编写与防范方法研究-学位论文.doc

检测猪圆环病毒2型的一种PCR方法 (2003年)

病毒的检测(病毒感染微生物的方法)ch.ppt

鸡六种病毒多重PCR检测方法的建立和应用

五种马病毒基因芯片检测方法的建立.pdf

皮毛中5种病毒基因芯片检测方法的研究.pdf

测试病毒专用脚本文件

测试脚本 测试脚本 测试脚本

最新资源

测试脚本测试脚本测试脚本