病毒是腳本嗎
A. 腳本、文件感染和宏病毒之間的區別
腳本病毒:腳本病毒通常是javaScript代碼編寫的惡意代碼, 一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
木馬病毒:「木馬」程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不「刻意」地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。
宏病毒:宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存的文檔都會「感染」上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
B. 什麼叫腳本病毒
腳本病毒通常是JavaScript代碼編寫的惡意代碼,
一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
http://tech.163.com/04/1125/10/161E2F1L000915E9.html
這個上很詳細。
C. 計算機病毒實質上是一種腳本語言嗎
計算機病毒
說白了和普通程序一樣
只不過他實現的功能
對一般人而言都是惡意的
和語言無關
D. 什麼是腳本病毒
腳本病毒通常是JavaScript代碼編寫的惡意代碼,
一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
E. 網頁病毒和腳本病毒一樣嗎
不一樣。網頁病毒有可能是附帶在該網頁上的一些外掛木馬,腳本病毒是在寫程序時裡面加入的代碼。
F. 腳本病毒什麼意思
腳本病毒,其前綴是Script,其共有特性是使用腳本語言編寫,通過網頁進行傳播,如紅色代碼(Script.Redlof)。
G. 什麼叫腳本病毒又何危害
腳本病毒
這類病毒編寫最為簡單,但造成的危害非常大。我們常見的瀏覽了xx站點就被改了主頁,在收藏夾里被添加上很多無謂的東西,就是拜這類病毒所賜。
病毒描述:這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶許可權設置不當進行感染傳播;病毒本身是ascii碼或者加密的ascii碼,通過特定的腳本解釋器執行產生規定行為,因其行為對計算機用戶造成傷害,因此被定性為惡意程序。最常見的行為就是修改用戶主頁,搜索頁,修改用戶收藏夾,在每個文件夾下放置自動執行文件拖慢系統速度等;比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬於這類。
病毒淺析:為了完成一些自動化的任務,需要用程序方式來實現。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率,方便用戶操作,加強系統特性,於是許多軟體/操作系統都預留了介面給用戶,用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的,不編譯,直接解釋執行,在調試/修改使用上相當簡便,雖然犧牲一定效率,但是換來了易用性。這本是一個良好的願望,但太多的時候,這沒有起到積極的作用,反而為腳本病毒編寫者提供了良機。
以web病毒為例,由於用戶缺乏安全意識用錯誤的許可權登陸,導致ie中的解釋器使用wsh可以操作硬碟上的文件和注冊表,而javascript和vbscript調用wsh是很容易的事情——於是惡意腳本的作者只需要讓你訪問該頁面,就能在你本地寫上一些惡意的腳本,在注冊表裡修改你的主頁/搜索項了。而利用ie的activex檢查漏洞,則可以在不提示地情況下從網路上下載文件並自動執行——這就成了木馬攻擊的前奏曲;利用mime頭漏洞,則可以用一個以jpg結尾的url中,指向一個事實上的web頁,然後在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶;利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼;利用本地硬碟上有執行autorun.inf的特性(這功能本來是光碟機用的,我們的光碟之所以放進去就能自動讀出程序,就是光碟上有個名為autorun.inf文件起的作用,它是個文本文件,各位可以看看)把一些需要載入的程序寫到該文件下導致每次訪問該分區的時候就會自動運行;利用windows下會優先讀取folder.htt和desktop.ini的特性,將惡意代碼寫入其中,導致訪問任何一個文件夾的時候都會啟動該病毒,再配合上鎖定注冊表的功能,殺除起來異常麻煩——不復雜,但是相當煩瑣,一不留意沒殺干凈一處,又導致死灰復燃,前功盡棄。
病毒自查:上面有提到,這類病毒一般以搗亂居多,所以特別容易發現。而其另一個作用是作為木馬進駐系統的先遣部隊,利用瀏覽器漏洞等達到下載木馬文件到本地硬碟,並修改啟動項,達到下次啟機運行的目的。因此一旦發現木馬的同時,也可以檢查一下是不是有些可疑的腳本文件。
病毒查殺:這類病毒一般來說由於其編寫靈活,源代碼公開,所以衍生版本格外地多;殺毒軟體/木馬殺除軟體對待這類病毒大多沒用。而由於腳本病毒(除宏病毒外)大多是獨立文件,只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是,利用微軟的瀏覽器的漏洞,在點擊選擇某些文件的同時就自動執行了,甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。
正確的做法是使用其他第三方的資源瀏覽器,例如Total Command就是一個非常不錯的選擇。查殺大致過程如下:首先,在資源瀏覽器——工具——文件夾選項中,將「使用Windows傳統風格的桌面」取消掉,在桌面上點右鍵,點「屬性」——「桌面設置」,將使用活動桌面取消,接著查殺可疑對象;常見查殺對象:各個根分區下的autorun.inf,各個目錄下的desktop.ini和folder.htt(有幾個是系統自帶的,不過刪除了也無關系的),這一步最好採用第三方的資源瀏覽器,例如前面介紹的Total Command來完成。在這一步,最忌諱查殺不凈,即使有一個病毒遺漏,很快就又遍布各個文件夾內了。關於郵件病毒的殺除使用專殺工具就行了。
病毒殘留:純粹腳本病毒在殺除後不會有任何殘留,但由於目前的病毒大都採用復合形態,捆綁多種傳染方式和多種特性,因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其後進入系統,因此在殺除掉腳本病毒後,非常有必要連帶著檢查系統中是否已經有了木馬和蠕蟲病毒。
病毒防禦:腳本病毒的特性之一就是被動觸發——因此防禦腳本病毒最好的方法是不訪問帶毒的文件/web網頁,在網路時代,腳本病毒更以欺騙的方式引誘人運行居多。由於ie本身存在多個漏洞,特別是執行activex的功能存在相當大的弊端,最近爆出的重大漏洞都和它有關,包括mozilla的windows版本也未能倖免。因此個人推薦使用myie2軟體代替ie作為默認瀏覽器,因為myie2中有個方便的功能是啟用/禁用web頁面的activex控制項,在默認的時候,可以將頁面中的activex控制項全部禁用,待訪問在線電影類等情況下根據自己的需要再啟用。關於郵件病毒,大多以eml作為文件後綴的,如果您單機有用outlook取信的習慣,最好准備一個能檢測郵件病毒的殺毒軟體並及時升級。如果非必要,將word等office軟體中的宏選項設置為禁用。腳本病毒是目前網路上最為常見的一類病毒,它編寫容易,源代碼公開,修改起來相當容易和方便,而且往往給用戶造成的巨大危害。
以上4類程序的介紹,為了降低學習難度,我是單態方式來介紹的。事實上目前的病毒大多以具有上面4類程序中的2到3類的特徵,因此無論感染,傳播,殺除的困難都大大增加。例如發文前夕的mydoom新變種病毒的分析中:它利用系統漏洞/郵件群發/共享漏洞方式傳播(具備了蠕蟲、腳本病毒和新型病毒的傳播特性),進駐用戶系統後上載自身並運行(木馬特性),獲取用戶本地outlook中的地址本(木馬特性),通過調用google等搜索引擎獲取用戶email地址本中同後綴的相關選項(調用系統程序,木馬功能),再主動給地址本中的每個程序發出email(木馬特性)。對待這樣一個病毒,無論是系統存在漏洞、共享安全設置不當、或者隨意地打開了「朋友」發來的email,都可能導致中毒。關於中毒途徑的分析,留待下一站《攻擊防禦之旅》內一並介紹。
在從第一個病毒出現到現在,已經有整整半個世紀了,病毒的發展日新月異,令查殺的困難大大增加,造成的損失也異常巨大。或許,計算機病毒這個幽靈,從計算機誕生的那一刻起就註定要如影相隨的。只要還有用心險惡的人存在,那麼病毒就不會消亡。病毒之戰,恐怕會在今後的日子裡越演越烈……
H. 什麼是腳本病毒啊
腳本病毒通常是JavaScript代碼編寫的惡意代碼,
一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
至於你說的那個,只要是殺毒查出來的,不管他,殺了!
I. 什麼是「腳本病毒」
網路的流行,讓我們的世界變得更加美好,但它也有讓人不愉快的時候。當您收到一封主題為「I Love You」的郵件,用興奮得幾乎快發抖的滑鼠去點擊附件的時候;當您瀏覽一個信任的網站之後,發現打開每個文件夾的速度非常慢的時候,您是否察覺病毒已經闖進了您的世界呢?2000年5月4日歐美爆發的「愛蟲」網路蠕蟲病毒。由於通過電子郵件系統傳播,愛蟲病毒在短短幾天內狂襲全球數百萬計的電腦。微軟、Intel等在內的眾多大型企業網路系統癱瘓,全球經濟損失達幾十億美元。而去年爆發的新歡樂時光病毒至今都讓廣大電腦用戶更是苦不堪言。
上面提及的兩個病毒最大的一個共同特點是:使用VBScript編寫。以愛蟲和新歡樂時光病毒為典型代表的VBS腳本病毒十分的猖獗,很重要的一個原因就是其編寫簡單。下面我們就來逐一對VBS腳本病毒的各個方面加以分析:
一、Vbs腳本病毒的特點及發展現狀
VBS病毒是用VB Script編寫而成,該腳本語言功能非常強大,它們利用Windows系統的開放性特點,通過調用一些現成的Windows對象、組件,可以直接對文件系統、注冊表等進行控制,功能非常強大。應該說病毒就是一種思想,但是這種思想在用VBS實現時變得極其容易。VBS腳本病毒具有如下幾個特點:
1.編寫簡單,一個以前對病毒一無所知的病毒愛好者可以在很短的時間里編出一個新型病毒來。
2.破壞力大。其破壞力不僅表現在對用戶系統文件及性能的破壞。他還可以使郵件伺服器崩潰,網路發生嚴重阻塞。
3.感染力強。由於腳本是直接解釋執行,並且它不需要像PE病毒那樣,需要做復雜的PE文件格式處理,因此這類病毒可以直接通過自我復制的方式感染其他同類文件,並且自我的異常處理變得非常容易。
4.傳播范圍大。這類病毒通過htm文檔,Email附件或其它方式,可以在很短時間內傳遍世界各地。
5.病毒源碼容易被獲取,變種多。由於VBS病毒解釋執行,其源代碼可讀性非常強,即使病毒源碼經過加密處理後,其源代碼的獲取還是比較簡單。因此,這類病毒變種比較多,稍微改變一下病毒的結構,或者修改一下特徵值,很多殺毒軟體可能就無能為力。
6.欺騙性強。腳本病毒為了得到運行機會,往往會採用各種讓用戶不大注意的手段,譬如,郵件的附件名採用雙後綴,如.jpg.vbs,由於系統默認不顯示後綴,這樣,用戶看到這個文件的時候,就會認為它是一個jpg圖片文件。
7.使得病毒生產機實現起來非常容易。所謂病毒生產機,就是可以按照用戶的意願,生產病毒的機器(當然,這里指的是程序),目前的病毒生產機,之所以大多數都為腳本病毒生產機,其中最重要的一點還是因為腳本是解釋執行的,實現起來非常容易,具體將在我們後面談及。
正因為以上幾個特點,腳本病毒發展異常迅猛,特別是病毒生產機的出現,使得生成新型腳本病毒變得非常容易。
J. 什麼是腳本病毒WINDOWS下的PE病毒
腳本病毒通常是JavaScript代碼編寫的惡意代碼,
一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
PE病毒是指所有感染Windows下PE文件格式文件的病毒.
PE病毒大多數採用Win32匯編編寫.
PE病毒對於一個熱衷於病毒技術的人來說,是必須掌握的.
只有在PE病毒中,我們才能真正感受到高超的病毒技術.
編寫Win32病毒的幾個關鍵
Api函數的獲取
不能直接引用動態鏈接庫
需要自己尋找api函數的地址,然後直接調用該地址
一點背景:在PE Loader裝入我們的程序啟動後堆棧頂的地址是是程序的返回地址,肯定在Kernel中! 因此我們可以得到這個地址,然後向低地址縮減驗證一直到找到模塊的起始地址,驗證條件為PE頭不能大於4096bytes,PE header的ImageBase值應該和當前指針相等.
病毒沒有.data段,變數和數據全部放在.code段
編寫Win32病毒的幾個關鍵
偏移地址的重定位
Call delta
delta: pop ebp
sub ebp,offset delta
那麼變數var1的真正偏移地址為:var1+ebp
對PE文件格式的了解
編寫Win32病毒的幾個關鍵
病毒如何感染其他文件
在文件中添加一個新節
該新節中添加病毒代碼和病毒執行後的返回Host程序的代嗎
修改文件頭中代碼開始執行位置(AddressOfEntryPoint)指向新添加的節,以便程序運行後先執行病毒代碼.
PE病毒感染其他文件的方法還有很多,譬如PE病毒還可以將自己分散插入到每個節的空隙中等等,這里不在一一敘述.
PE文件格式一覽
Section n
Section ...
Section 2
Section 1
Section table
PE header
DOS stub
DOS MZ header
PE header
Pe header 由三部分組成
字串 "PE\0\0"(Signature)
映像文件頭(FileHeader)
可選映像頭(OptionalHeader)
字串 "PE\0\0"
Signature 一dword類型,值為50h, 45h, 00h, 00h(PE\0\0). 本域為PE標記,我們可以此識別給定文件是否為有效PE文件.
這個字串在文件中的位置(e_lfanew),可以在DOS程序頭中找到它的指針,它佔用四個位元組,位於文件開始偏移3CH位元組中.
映像文件頭
該結構域包含了關於PE文件物理分布的信息, 比如節數目,文件執行機器等.
它實際上是結構IMAGE_FILE_HEADER的簡稱.
映像文件頭結構
IMAGE_FILE_HEADER STRUCT
___ Machine WORD
___ NumberOfSections WORD
___ TimeDateStamp dd
___ PointerToSymbolTable dd
___ NumberOfSymbols dd
___ SizeOfOptionalHeader WORD
___ Characteristics WORD
IMAGE_FILE_HEADER ENDS
映像文件頭的基本信息
關於文件信息的標記,比如文件是exe還是dll
2
Characteristics *
7
可選頭的大小
2
SizeOfOptionalHeader
6
符號數目
4
NumberOfSymbols
5
COFF符號表的偏移
4
PointerToSymbleTable
4
生成該文件的時間
4
TimeDataStamp
3
文件中節的個數
2
NumberOfSection **
2
機器類型,x86為14ch
2
Machine *
1
描述
大小(位元組)
名字
順序
可選映像頭
optional header 結構是 IMAGE_NT_HEADERS 中的最後成員.包含了PE文件的邏輯分布信息.該結構共有31個域,一些是很關鍵,另一些不太常用.這里只介紹那些真正有用的域.
這兒有個關於PE文件格式的常用術語: RVA
RVA 代表相對虛擬地址.它是相對虛擬空間里的一個地址 .
舉例說明,如果PE文件裝入虛擬地址(VA)空間的400000h處,且進程從虛址401000h開始執行,我們可以說進程執行起始地址在RVA 1000h.每個RVA都是相對於模塊的起始VA的.
可選映像頭
文件中節對齊的粒度.
FileAlignment
內存中節對齊的粒度.
SectionAlignment
PE文件的優先裝載地址.比如,如果該值是400000h,PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處.若該地址區域已被其他模塊佔用,那PE裝載器會選用其他空閑地址.
ImageBase
PE裝載器准備運行的PE文件的第一個指令的RVA.若要改變整個執行的流程,可以將該值指定到新的RVA,這樣新RVA處的指令首先被執行.
AddressOfEntryPoint *
描述
名字
可選映像頭
NT用來識別PE文件屬於哪個子系統.
Subsystem
一IMAGE_DATA_DIRECTORY 結構數組.每個結構給出一個重要數據結構的RVA,比如引入地址表等.
DataDirectory
所有頭+節表的大小,也就等於文件尺寸減去文件中所有節的尺寸.可以以此值作為PE文件第一節的文件偏移量.
SizeOfHeaders
內存中整個PE映像體的尺寸.
SizeOfImage
win32子系統版本.若PE文件是專門為Win32設計的,該子系統版本必定是4.0否則對話框不會有3維立體感.
MajorSubsystemVersion
MinorSubsystemVersion
描述
名字
DataDirectory數據目錄
一個IMAGE_DATA_DIRECTORY數組,裡面放的是這個可執行文件的一些重要部分的RVA和尺寸,目的是使可執行文件的裝入更快,數組的項數由上一個域給出.IMAGE_DATA_DIRECTORY包含有兩個域,如下:
IMAGE_DATA_DIRECTORY
VitualAddress DD
Size DD
IMAGE_DATA_DIRECTORY ENDS
節表
節表其實就是緊挨著 PE header 的一結構數組.該數組成員的數目由 file header (IMAGE_FILE_HEADER) 結構中 NumberOfSections 域的域值來決定.節表結構又命名為 IMAGE_SECTION_HEADER.
結構中放的是一個節的信息,如名字,地址,長度,屬性等.
IMAGE_SECTION_HEADER
本節原始數據在文件中的位置
4
PointerToRawData *
5
本節的原始尺寸
4
SizeOfRawData *
4
這個值+映像基地址=本節在內存中的真正地址.OBJ中無意義.
4
Virtual *
3
OBJ文件用作表示本節物理地址EXE文件中表示節的真實尺寸
4
PhysicalAddress或VirtualSize
2
節名
8
Name *
1
描述
大小(位元組)
名字
順序
IMAGE_SECTION_HEADER
節屬性
4
Characteristics *
10
本節在行號表中的行號數目
2
NumberOfLinenumbers
9
本節要重定位的數目
2
NumberOfRelocations
8
行號偏移
4
PointerToLinenumbers
7
OBJ中表示該節重定位信息的偏移EXE文件中無意義
4
PointerToRelocations
6
描述
大小(位元組)
名字
順序
節
"節(Section)"跟在節表之後,一般PE文件都有幾個"節".比較常見的有:
代碼節
已初始化的數據節
未初始化的數據節
資源節
引入函數節
引出函數節
代碼節
代碼節一般名為.text或CODE,該節含有程序的可執行代碼.
每個PE文件都有代碼節
在代碼節中,還有一些特別的數據,是作為調用映入函數之用.如:
Call MessageBoxA的調用,反匯編後該指令被換為call 0040101A,而地址0040101A仍在.text中,它放有一個跳轉指令jmp dword ptr[0040304c],即這條跳轉指令的目的地址處於.idata節中的0040304C處,其中放的才是MessageBoxA的真正地址,如下圖:
已初始化的數據節
這個節一般取名為.data或DATA
已初始化的數據節中放的是在編譯時刻就已確定的數據.如Hello World 中的字元串"Hello World!".
未初始化的數據節
這個節的名稱一般叫.bbs.
這個節里放有未初始化的全局變數和靜態變數.
資源節
資源節一般名為.rsrc
這個節放有如圖標,對話框等程序要用到的資源.
資源節是樹形結構的,它有一個主目錄,主目錄下又有子目錄,子目錄下可以是子目錄或數據.
都是一個IMAGE_RESOURCE_DIRECTORY結構.結構如下:
IMAGE_RESOURCE_DIRECTORY 結構
以ID標識的資源數
2
NumberOfldEntries
6
以名字標識的資源數
2
NumberOfNamedEntries
5
次版本號
2
MinorVersion
4
主版本號
2
MajorVersion
3
資源生成時間
4
TimeDateStamp
2
通常為0
4
Characteritics
1
描述
大小(位元組)
名字
順序
引入函數節
一個引入函數是被某模塊調用的但又不在調用者模塊中的函數
這個節一般名為.idata,也叫引入表.
它包含從其它(系統或第三方寫的)DLL中引入的函數,例如user32.dll,gdi32.dll等.
它的開始是一個IMAGE_IMPORT_DESCRIPTOR數組.這個數組的長度不定,但他的最後一項是全0,可以以此判斷數組的結束.
引出函數節
什麼是引出函數節
引出函數節是用來向系統提供導出函數的名稱,序號和入口地址等信息,以便Windows裝載器通過這些信息來完成動態鏈接的過程.
了解引出函數節對於學習病毒來說,是極為重要的.
Api函數地址的獲取與引出函數節息息相關.
引出函數節
通過Api函數名查找其地址
(1)定位到PE文件頭
(2)從PE文件頭中的課選文件頭中取出數劇目錄表的第一個數據目錄,得到導出表的地址.
(3)從導出表的NumberOfNames欄位得到以命名函數的總數,並以這個數字做微循環的次數來構造一個循環.
(4)從AddressOfNames欄位指向的函數名稱地址表的第一項開始,在循環中將每一項定義的函數名與要查找的函數名比較,如果沒有任何一個函數名符合,說明文件中沒有指定名稱的函數.
(5)如果某一項定義的函數名與要查找的函數名符合,那麼記住這個函數名在字元串地址表中的索引值,然後在AddressOfNameOrdinals指向的數組中以同樣的索引值去除數組項的值,假如該值為m.
(6)以m值作為索引值,在AddressOfFunctions欄位指向的函數入口地址表中獲取的RVA就是函數的入口地址,當函數被裝入內存後,這個RVA值加上模塊實際裝入的基址(ImageBase),就得到了函數真正的入口地址.