1、“.....本章将根据以上几章的内容，设计出个多态蠕虫产生器，并对设计的原理进行详细介绍。由于现在蠕虫大部分采取的都是缓冲区溢出的攻击方式，所以我们设计的产生器也是针对缓冲区溢出蠕虫的。针对缓冲区溢出蠕虫的多态变形设计缓冲区溢出攻击的基本原理的概念是指这样段代码，当它执行以后，会为攻击者提供个交互式的命令解释器管道。命令解释器在平台中般是，在平台下般为。通过这个管道，让命令解释器执行攻击者发出的指令。是缓冲区溢出攻击时攻击者放在缓冲区中的攻击代码，随着缓冲区溢出攻击目的的多样化，也不再仅仅限于提供命令解释器管道的功能，成为个泛指缓冲区溢出攻击代码的名词。的编写涉及到很多复杂的编程技巧。采用缓冲区溢出攻击技术的蠕虫的般就是蠕虫自身副本的传送程序。基于栈的缓冲区溢出当程序中函数被调用时......”。

2、“.....然后将调用指令后面那条指令的地址即返回地址入栈。随后转入被调用的函数去执行，程序般在将需要保存的寄存器的值入栈后开始为被调用函数内的局部变量分配所需的存储空间，从而形成如做图所示的堆栈结构。图栈的示意图当被调用函数执行结束时，系统会释放掉为此函数的局部变量所分配的栈空堆栈底部局部变量空间缓冲区返回地址参数空间内存高端内存低端堆栈顶部多态蠕虫产生器的设计与实现第三章多态蠕虫产生器的设计间，恢复已存寄存器的值如寄存器的值，然后将栈中的返回地址送入系统中的指令寄存器，以从此地址开始执行。基于栈的缓冲区溢出攻击之所以会发生，主要与栈对字符串的处理方式有关因为大部分溢出都是通过精心构造的字符串来触发的，所以这里只考虑字符串的处理，虽然栈在为字符数组分配空间时是按其出现的先后顺序从高端内存向低端内存依次分配......”。

3、“.....如果局部变量中有字符数组存在，只要赋予该数组的字符串足够长，就能将上面的返回地址给覆盖掉。字符数组超出了为其分配的空间大小，缓冲区溢出也就发生了。缓冲区溢出时栈的结构由于栈中的返回地址决定了被调用函数执行完后系统下步操作的去向，所以只要精心构造溢出所用的字符串，将对应返回地址的那几个字节替换成想让被调用函数执行完后转向的地址记做，那么在被调用函数执行完后，程序就会转到所指定的地方。如果地址所指定的内存空间事先存放了设计好的攻击代码，那么攻击也就随之发生了。为了增大转入攻击代码的机率，般在前加入定长度的空指令指令，只要能够跳转到任意个指令中，程序就能直向下执行到我们的中。现实中的很多此类攻击正是通过精心设计溢出字符串，借助程序中的字符串拷贝操作将攻击代码和所需的跳转地址植入有此漏洞的程序中的。溢出字符串的标准形式如图所示......”。

4、“.....由于在执行栈操作时，会把废弃不用的栈空间用随机字符填充，这样就有可能覆盖掉的内容。所以溢出字符串就可以改为以下方式，如图所示。栈顶内存低端栈底内存高端传递的参数代表无效指令代表代表执行的返回地址图改进的缓冲区溢出时栈的结构多态蠕虫产生器的设计与实现第三章多态蠕虫产生器的设计蠕虫王病毒的分析病毒名称中文蠕虫王病毒，病毒类型蠕虫病毒病毒长度，影响系统蠕虫病毒是个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用缓冲区溢出漏洞进行传播，详细传播过程如下该病毒入侵未受保护的机器后，取得三个地址接着病毒使用获得个随机数，进入个死循环继续传播。在该循环中蠕虫使用获得的随机数生成个随机的地址，然后将自身代码发送至端口开放端口，该蠕虫传播速度极快......”。

5、“.....每次均攻击子网中所有台可能存在机器。易受攻击的机器类型为所有安装有的系列服务器，包括等。所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。病毒体内存在字符该病毒利用的安全漏洞于年七月被发现并在随后的补丁包中得到修正。多态蠕虫产生器的模型结构多态蠕虫产生器的模型结构图本设计根据软件工程思想进行系统分析，结合系统的特点，对各个模块进行合理安排，使它们功能互不影响，实现上相互独立。多态蠕虫产生器的开发在平台下进行，采用的开发工具是和。多态蠕虫产生器的模型结构如图所示。多态蠕虫产生器的设计与实现第三章多态蠕虫产生器的设计图多态蠕虫产生器的模型结构在图中，多态蠕虫产生器的模型结构包括扫描检测模块代码查看模块免杀代码植入模块花指令替换模块加密模块解密模块输出模块杀毒软件检测模块。其中......”。

6、“.....而扫描检测模块和杀毒软件检测模块是用于第四章所提到的测试的关键。多态蠕虫产生器各模块设计本次设计实现的多态蠕虫产生器共由输入模块，随机数产生模块等个模块组成，各个模块功能介绍如下多态蠕虫产生器代码查看模块免杀代码植入花指令替换加密模块解密模块扫描检测模块输出模块杀毒软件检测多态蠕虫产生器的设计与实现第三章多态蠕虫产生器的设计扫描检测模块，该模块对代码所在磁盘进行扫描，找出含有蠕虫代码的文件，并读取该蠕虫代码。当磁盘中的代码与蠕虫病毒代码相符的时候，将代码存入缓存，并且在界面指定位置提示发现蠕虫，如果没有找到，则结束,如图所示。图多态蠕虫产生器扫描检测模块代码查看模块使用字符串读取代码存入缓存，并从缓存输出到软件界面的制定位置。免杀代码插入模块，该模块用于在蠕虫代码中插入花指令，所插入的花指令为用于免杀的垃圾指令，迷惑反汇编程序员和反病毒软件......”。

7、“.....花指令库可以按需要更新，在运行时选取适合指定蠕虫的垃圾代码，并判断是否在位置中植入，如果确定为该位置插入，则在代码指定位置植入垃圾代码，否则指针指向下段代码，直到在代码末端结束，如图所示。是否将代码读入缓存将代码从缓存中读出在界面结束开始开始扫描磁盘是否发现蠕虫多态蠕虫产生器的设计与实现第三章多态蠕虫产生器的设计图多态蠕虫产生器免杀代码插入模块花指令替换模块，该模块主要是用来对多态蠕虫的关键位置的代码进行变形的。每个蠕虫代码都有其特征代码，在代码中使用字符串匹配的方法找出该特征代码，并且进行合理的替换，使该蠕虫免于基于特征代码的查杀。模块运行时，首先选择将要换入代码中的花指令，然后对替换位置进行判断，如果找到位置，则替换该位置的源代码，否则指针指向下段代码，直到指针指向源代码末端，结束，如图所示......”。

8、“.....并且显示了其详细信息，包括攻击地址事件行为以及攻击时间。由于病毒会发送包内容长度字节的特殊格式的包到服务器的端口，利用漏洞执行病毒代码，要想发现病毒攻击，只能借助些网络监听工具，所以这次在设计多态蠕虫发生器时实现了模拟防病毒模块功能，如图和图所示。多态蠕虫产生器的设计与实现第四章多态蠕虫产生器的实现图检测木马模块效果图图杀毒软件检测模块效果图在图和中，两次对于木马的检测有明显不同的两个结果，从而反映了测试前后的不同状态。在图中，也就是在多态变形前，系统很容易地发现了蠕虫王病毒的存在，并且报警提示用户。在图中，也就是多态变形后期，系统已经无法识别蠕虫王的存在。当前杀毒软件多采用特征值扫描技术，即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究，人工判断该程序是否是病毒如果该程序是病毒......”。

9、“.....再通过升级的方式更新用户计算机上杀毒软件的病毒特征库，此时用户计算机上的杀毒软件才能判断个程序是病毒。可以这样说，对于类似于蠕虫王这样的病毒，经过多态发生器进行多态变形后，就能够有效地躲避这些基于特征值扫描技术的杀毒软件。测试结果分析在图和中，成功测试了对于木马的检测的前后两次明显不同的结果。在图中，也就是在多态变形前，系统很容易地发现了蠕虫王病毒的存在，并且报警提示用户。在图中，也就是多态变形后期，系统已经无法识别蠕虫王的存在。本次设计的多态蠕虫发生器，在定程度上成功对蠕虫王进行了多态变形，并且躲避了杀毒软件的查杀。要知道，蠕虫王，其危害远远超过曾经肆虐时的红色代码病毒。感染该蠕虫病毒后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用的解析端口的缓冲区溢出漏洞，对其网络进行攻击。蠕虫代码在多态变形的前后，都能进行缓冲区溢出攻击。通过测试......”。