對Ｗｉｎ３２病毒的分析與處理

摘 要： 本文對Win32病毒的原理、傳播途徑、危害與癥狀進行了分析，并提出了查殺Win32病毒的幾種方法。

關鍵詞： Win32病毒 病毒原理 反病毒技術

1.前言

從1987年美國F.Cohe提出計算機病毒的概念到現在，計算機病毒的研究已經形成一門屬于計算機領域中新興的學科，即計算機病毒學。計算機病毒學是一門專門研究計算機病毒的產生、活動機制、傳染機制，以及計算機病毒免疫和防治的科學。研究計算機病毒學的目的，在于研究如何防止和抑制計算機病毒，計算機病毒學作為一門新興的學科，它是計算機程序設計技術發展與計算機技術發展極不平衡及當今操作系統開放性與折中性和傾斜性的產物。

正當計算機以日新月異的速度迅猛發展、廣泛地深入到社會生活的各個方面的時候，以計算機為核心的信息產業成為一個國家現代化水平的一個標志。在這種情況下，計算機病毒的出現和廣泛傳播正成為各國政府關注的一個問題。本文以Win32病毒為例，對其病毒原理和反病毒技術進行分析。

2.Win32病毒的原理

2.1病毒的重定位

病毒不可避免要用到變量（常量），當病毒感染HOST程序后，由于其依附到HOST程序中的位置各有不同，病毒隨著HOST載入內存后，病毒中的各個變量（常量）在內存中的位置自然也會隨著發生變化。

call delta；執行后，堆棧頂端為delta在內存中的真正地址。

delta：pop ebp；這條語句將delta在內存中的真正地址存放在ebp寄存器中。

……

lea eax，［ebp+（offset var1-offset delta）］；這時eax中存放著var1在內存中的真實地址。

當pop語句執行完之后，ebp中放的是什么值呢？很明顯是病毒程序中標號delta處在內存中的真正地址。如果病毒程序中有一個變量var1，那么該變量實際在內存中的地址應該是ebp+（offset var1-offset delta），即參考量delta在內存中的地址+其它變量與參考量之間的距離=其它變量在內存中的真正地址。有時候我們也采用（ebp-offset delta）+offset var1的形式進行變量var1的重定位。當然還有其它重定位的方法，但是它們的原理基本上都是一樣的。

2.2獲取API函數地址

2.2.1為什么要獲取API函數地址

Win32 PE病毒和普通Win32 PE程序一樣需要調用函數，但是普通的Win32 PE程序里面有一個引入函數表，該函數表對應了代碼段中所用到的API函數在動態連接庫中的真實地址。這樣，調用API函數時就可以通過該引入函數表找到相應API函數的真正執行地址。

Win32 PE病毒只有一個代碼段，并不存在引入函數段。既然如此，病毒就無法像普通PE程序那樣直接調用相關API函數，而應該先找出這些API函數在相應動態鏈接庫中的地址。

2.2.2如何獲取API函數地址

如何獲取API函數地址一直是病毒技術的一個非常重要的話題。要獲得API函數地址，我們首先需要獲得Kernel32的基地址。

下面介紹幾種獲得Kernel32基地址的方法：

2.2.2.1利用程序的返回地址，在其附近搜索Kernel32模塊基地址。

我們知道，當系統打開一個可執行文件的時候，它會調用Kernel32.dll中的CreateProcess函數；CreateProcess函數在完成裝載應用程序后，會先將一個返回地址壓入到堆棧頂端，然后轉向執行剛才裝載的應用程序。當該應用程序結束后，會將堆棧頂端數據彈出放到IP中，繼續執行。剛才堆棧頂端保存的數據是什么呢？仔細想想，我們不難明白，這個數據其實就是在Kernal32.dll中的返回地址。其實這個過程跟同我們的應用程序用call指令調用子程序類似。

2.2.2.2對相應操作系統分別給出固定的Kernel32模塊的基地址。

對于不同的Windows操作系統來說，Kernel32模塊的地址是固定的，甚至一些API函數的大概位置都是固定的。譬如，Windows 98為BFF70000，Windows 2000為77E80000，Windows XP為77E60000。

在得到了Kernel32的模塊地址以后，我們就可以在該模塊中搜索我們所需要的API地址。對于給定的API，搜索其地址可以直接通過Kernel32.dll的引出表信息搜索，同樣我們也可以先搜索出GetProcAddress和LoadLibrary兩個API函數的地址，然后利用這兩個API函數得到我們所需要的API函數地址。

解決了以上問題之后，我們就知道如何從引出表結構查找我們需要函數的地址了。那我們怎樣獲取引出表結構的地址呢？很簡單，PE文件頭中的可選文件頭中有一個數據目錄表，該目錄表的第一個數據目錄中就放導出表結構的地址。

3.Win32病毒的傳播途徑

Win32病毒感染Windows系統下的EXE文件，當一個染毒的EXE文件被執行，病毒駐留內存，當其它程序被訪問時對它們進行感染。

Win32病毒一般通過以下途徑傳播：

3.1U盤/移動硬盤/數碼存儲卡傳播。

3.2各種木馬下載器之間相互傳播。

3.3通過惡意網站下載。

3.4通過感染文件傳播。

3.5通過內網ARP攻擊傳播。

4.Win32病毒的危害與癥狀

系統只要運行這個被感染的文件，首先執行的就是病毒的引導代碼，病毒會申請足夠的內存空間，再將自己的所有數據從該文件中復制到獨立的空間中去，然后創建進程，運行自己。成功之后，系統再跳轉回被感染程序原先的入口，執行原程序。由于現在計算機的速度很快，因此多數情況下用戶感覺不到病毒的這一附加的過程。

在殺毒過程中，我們一旦漏掉了一個被感染的文件，下次一運行這個文件，又會重新激活病毒。如果Win32病毒感染的對象是Windows自己的文件，而且一旦機器啟動，這個程序就會運行的話，并受到Windows文件保護機制的保護，那么殺毒軟件將很難恢復這個文件，也就一直無法殺掉病毒。更為嚴重的是，被感染者甚至可能是殺毒軟件本身，那就更無法清除病毒了。

5.Win32病毒處理

殺毒的確要借助殺毒軟件，但殺毒也要講技巧。

5.1未被激活的非系統文件內的病毒

殺這種病毒很簡單，只需要在一般的Windows環境下殺就行了。一般都能將其殲滅。

5.2已經被激活或發作的非系統文件內的病毒

如果在一般Windows環境下殺毒，效果可能會大打折扣。雖然現在的反病毒軟件都能查殺內存病毒，但是此技術畢竟還未成熟，不一定能殲滅病毒。因此，殺此類病毒應在Windows安全模式下進行。在Windows安全模式下，這些病毒都不會在啟動時被激活。因此，我們就能放心地殺毒了。

5.3系統文件內病毒

這類病毒比較難纏，所以在操作前請先備份。殺此類病毒一定要在干凈的DOS環境下進行。有時候還要反復查殺才能徹底清除。

5.4網絡病毒（特別是通過局域網傳播的病毒）

此類病毒必須在斷網的情況下才能清除，而且清除后很容易重新被感染。要根除此類病毒必需靠網絡管理員的努力。

5.5感染殺毒廠家有提供專用殺毒工具的病毒

殺滅此類病毒好辦，只需下載免費的專用殺毒工具就行了。專用殺毒工具殺毒精確性相對較高，因此推薦在條件許可的情況下使用專用殺毒工具。

6.結語

計算機病毒表現出的眾多新特征和發展趨勢表明，目前我國計算機網絡安全形勢仍然十分嚴峻，反病毒業者面臨的挑戰十分艱巨，需要不斷地研發推出更加先進的計算機反病毒技術，才能應對和超越計算機病毒的發展，為電腦和網絡用戶提供切實的安全保障。電腦用戶更應當增強安全意識，多學習和了解基本的計算機和網絡安全防范知識和技術，做到不登陸和點擊不明網站和鏈接，每日升級殺毒軟件病毒庫和修復操作系統漏洞，盡量使用最新版本的應用軟件等安全防范。

參考文獻：

［1］［美］Stanley B著.Lippman，Josée LaJoie，Barbara E.Moo，李師賢譯.C++Primer中文版（第4版）［M］.人民郵電出版社，2006.3.

［2］［美］Mark Allen Weiss.數據結構與算法分析——C語言描述［M］.機械工業出版社，2004.1.

［3］丁秀峰.間諜軟件之危害及其防范對策［J］.期刊大眾科技，2005.7.

［4］楊珂，房鼎益，陳曉江.間諜軟件和反間諜軟件的分析與研究［J］.微電子學與計算機，2006.8.

［5］［美］Jeffrey Richter，Christophe Nasarre.Windows核心編程（第5版）［M］.清華大學出版社，2008.9.

［6］張銀奎.軟件調試［M］.電子工業出版社，2008.6.

［7］［美］Mark E著.Russinovich，David A.Solomon，潘愛民譯.深入解析Windows操作系統（第4版）［M］.電子工業出版社，2007.4.