欢迎来到天天文库
浏览记录
ID:65065405
大小:603.00 KB
页数:25页
时间:2024-08-29
《DOS病毒的基本原理与DOS病毒分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
计算机病毒与反病毒技术 主要内容病毒重定位的含义与基本方法引导型病毒的基本原理文件型病毒的基本原理感染COM文件的基本方法及COM文件病毒的清除感染EXE文件的基本方法及EXE文件病毒的清除第4章DOS病毒的基本原理与DOS病毒分析 4.1.1病毒为什么需要重定位病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到不同HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化4.1病毒的重定位病毒在感染前的Var2位置病毒感染HOST后Var2的位置 4.1.2病毒如何重定位calldelta;这条语句执行之后,堆栈顶端为delta在内存中的真正地址delta:popebp;这条语句将delta在内存中的真正地址存放在ebp寄存器中……leaeax,[ebp+(offsetvar1-offsetdelta)];这时eax中存放着var1在内存中的真实地址如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offsetvar1-offsetdelta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址有时候我们也采用(ebp-offsetdelta)+offsetvar1的形式进行变量var1的重定位4.1病毒的重定位 4.2.1引导型病毒的基本原理4.2引导型病毒引导型病毒基本原理引导型病毒13H中断 4.2.2引导型病毒的触发与INT13H引导型病毒的触发用染毒盘启动计算机时,引导型病毒先于操作系统获取系统控制权(被首次激活),处于动态因首次激活时修改INT13H入口地址使其指向病毒中断服务程序,从而处于可激活态当系统/用户进行磁盘读写时调用INT13H,调用的实际上是病毒的中断服务程序,从而激活病毒,使病毒处于激活态病毒被激活之后,即可根据感染条件实施暗地感染、根据爆发破坏条件破坏系统并表现自己调用BIOS磁盘服务功能读写扇区调用INT13H子功能02H读扇区调用INT13H子功能03H写扇区4.2引导型病毒 4.2.3引导型病毒样例分析(参见源代码)该引导型病毒,通过截流盗取INT13H中断监视系统的运行并感染软盘引导扇区、硬盘主引导扇区感染前在相应扇区备份引导扇区/主引导扇区通过分析MBR或DBR,或将其与正常的MBR/DBR进行比较,若发现异常,可以断定感染了引导型病毒病毒修改中断向量,通过分析比较中断向量,也可发现病毒的存在4.2引导型病毒 4.2.3引导型病毒样例分析示例病毒的清除方法比较简单,将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容,写入软盘引导扇区/硬盘主引导扇区即可提取引导区C:>debug-L100盘号01-ndosboot.62s-rcxCX0000:200-W-Q覆盖引导区C:>debug-ndosboot.62s-L-w100盘号01-q4.2引导型病毒 4.2.3引导型病毒样例分析在恢复引导区之前,应清除内存中的病毒或使内存中的病毒处于灭活状态用干净软盘引导启动系统,可以清除内存中的病毒,也可采用如下方法将内存中的病毒灭活:在无毒环境下(例如用无毒的同版本系统盘启动),用无毒的Debug将中断向量表取出存在一个文件中当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常,内存中通过修改向量表截流盗取中断向量的病毒将无法再激活4.2引导型病毒 4.2.4引导型病毒的特点与清除引导型病毒的几个技术要点与特点驻留内存隐形技术加密技术引导型病毒的优点隐蔽性强、兼容性强,只要编写的好,是不容易发现的通用于DOS、Windows、Windows9x操作系统引导型病毒的缺点传染速度慢杀毒容易4.2引导型病毒 4.2.4引导型病毒的特点与清除引导型病毒的判断与清除由于引导程序本身完成的功能比较简单,所以我们可以判断该引导程序的合法性(看JMP指令的合法性)病毒驻留在内存,时刻监视系统的运行,伺机感染。缩小内存大小值,影响读写文件速度。检查引导扇区、检查内存容量可以发现病毒如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒(BR病毒可以用FORMAT清除)可以用FDisk/MBR命令修复MBR、清除该病毒,但可能导致硬盘主分区信息丢失而造成用户数据丢失备份主引导扇区/引导扇区,清除引导型病毒时,只需将备份内容写回相应扇区即可4.2引导型病毒 4.3.1文件型病毒的基本原理无论是.COM文件还是.EXE文件,还是操作系统的可执行文件(包括.SYS、.OVL、.PRG、.DLL文件),当启动已感染文件型病毒的程序(HOST程序)时,暂时中断该程序,病毒完成陷阱(激活条件)的布置、感染工作后,再继续执行HOST程序,使计算机使用者初期觉得可正常执行,而实际上,在执行期间,病毒已暗做传染的工作,时机成熟时,病毒发作文件型病毒寄生在文件中,这是文件型病毒与引导型病毒的差别所在4.3文件型病毒的基本原理 4.3.1文件型病毒的基本原理文件型病毒的基本原理4.3文件型病毒的基本原理 4.3.2感染COM文件.COM文件结构比较简单,是一种单段执行结构.COM文件包含程序的一个绝对映像其文件代码和运行时内存映像完全相同,起始执行偏移地址为100H,对应于文件的偏移0MS-DOS通过直接把该映像从文件拷贝到内存而加载.COM程序,不作任何改变4.3文件型病毒的基本原理 4.3.2感染COM文件病毒感染.COM文件一般有两种方法,一种是将病毒加在.COM前部,一种是加在文件尾部4.3文件型病毒的基本原理病毒在.COM文件头部病毒在.COM文件尾部 4.3.2感染COM文件示例病毒com_v主流程4.3文件型病毒的基本原理 4.3.2感染COM文件感染原理与清除本示例病毒通过在宿主程序前添加3字节(跳转到病毒代码的3字节JMP指令),在运行宿主程序时即获取控制权限,搜索并感染目标文件;每感染一个目标文件,感染计数器增1,若感染数量达到设定值,则爆发(显示“Virusinfectiontest!”等信息)用二进制编辑工具软件或Debug去掉host_com.com首部的3字节跳转指令及文件尾部的病毒体和病毒标签即可手工“摘除”该病毒如果病毒采用插入方式感染,清除病毒的方法和过程将更复杂4.3文件型病毒的基本原理 4.3.2感染COM文件4.3文件型病毒的基本原理C:>renhost_com.comhost_comC:>debughost_com-rcxCX226文件长度:50文件长度减去1D6h(病毒长度)-m103L50100把从103h到文件尾的代码写回原文件-wWrinting50bytes-qC:>renhost_comhost_com.com 4.3.3感染EXE文件.EXE文件采用多段结构EXE文件结构EXE文件的内存映像4.3文件型病毒的基本原理 4.3.3感染EXE文件EXE文件病毒样例感染原理及其清除示例病毒exe_v只感染当前目录下的尚未感染的.EXE文件exe_v.com只是简单地判断查找到的文件是否是有效的.EXE文件,如果有效且无感染标志,则将病毒体“追加”到目标文件尾部,然后修改文件头,以适应文件长度的变化,设置程序入口地址址向病毒,并在文件头中置感染标志“BF”。清除.EXE文件中的病毒,相对清除.COM文件中的病毒,过程更繁琐,除了要“摘除”染毒文件中的病毒体,还要恢复文件头。但无论如何,清除过程基本上是病毒感染的逆过程4.3文件型病毒的基本原理 混合型病毒的基本原理混合型病毒,有时也称多型病毒,是结合了引导型和文件型两种病毒、而互为感染的病毒,感染文件和引导扇区两种目标。这样的病毒,通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法4.4混合型病毒的基本原理 4.5.1Monkey病毒分析Monkey病毒,即猴子病毒,传播硬盘和软盘的引导区,总长度为01F4H(500字节),它将原引导记录加密后保存,在系统读出时先解密再送出,结果造成病毒不在内存中时,系统无法得到正常的引导记录,以至对所有硬盘分区无法访问。只有用带病毒的盘启动时,才能正常访问硬盘检测时可以用干净盘启动,再用DISKEDIT编辑物理硬盘0柱面0磁道1扇区的主引导记录,对比以下源代码相同偏移处的内容是否相同即可确认4.5典型DOS病毒分析 4.5.1Monkey病毒分析病毒的引导加载当病毒传染了引导记录后,系统启动时将病毒装入内存执行,然后病毒将系统内存减少1K,将自己隐藏在其中,并修改INT13H中断向量地址病毒的感染传播在引导模块,Monkey病毒修改INT13H中断向量入口地址,使其指向病毒代码,即新的INT13H程序。病毒利用该程序监视系统的磁盘访问,若存在INT13H调用,则激活病毒。病毒激活之后,首先判断时间与感染标志,满足感染条件时,将原引导记录加密存储备份,而将病毒写入引导扇区4.5典型DOS病毒分析 4.5.1Monkey病毒分析杀毒要点内存中的Monkey病毒最好用查找字符串的方法,如果找到特征字符串,可以把病毒中INT13H传染部分的有关代码跳过磁盘中的Monkey病毒,可以先读出有病毒的引导记录,再在病毒体中的00DA中得到原引导记录的扇区号,在00DC中得到磁头号,读出加密过的原引导记录,解密后再写入引导区4.5典型DOS病毒分析 4.5.2Natas幽灵王病毒分析Natas病毒,长度4744字节(变型加密部分长度近2K),故也称为4744病毒,由于病毒采用了变型技术,本身的形态几乎有无穷多种,使杀毒软件总漏掉一两个,不知什么时候又冒了出来,所以又称它为“幽灵王”Natas病毒是一种恶性病毒,它在启动时有1/512的机会要格式化硬盘。如果发现它,要注意马上清除,不然下一次启动,计算机硬盘中的资料可能就被清空了病毒的引导加载Natas病毒首先保存原INT13H/15H/21H/40H入口地址,然后修改入口地址,以便激活自己并感染引导扇区和文件病毒的加密变形4.5典型DOS病毒分析
此文档下载收益归作者所有
举报原因
联系方式
详细说明
内容无法转码请点击此处