信息安全课件chapter02.pptVIP

（2）病毒程序的传播 因为病毒程序在进入系统时，将INT 13H中断向量指向了病毒程序传播部分，这样每进行一次磁盘的读写操作，都将引起传播部分的执行。 判断有无磁盘操作。 判断所操作的磁盘与上次的磁盘相同（相同者稍后感染） 在FAT表中找空闲族，将族的逻辑号记于自举部分的特定单元。 把传播部分和表现部分写到族的第一扇区，dos引导部分写入族的第二扇区，并将该族标记为坏族FF7H。 把自举部分写入DOS引导扇区。 2.7.1 小球病毒 （3）病毒程序的表现 这部分的目的是对被传染的计算机的工作带来干扰，使其不能正常工作。 时间触发条件为正半点钟。 修改 INT8H中断向量入口，指向病毒程序的表现部分。 （每秒18.2次硬中断） 程序中调用INT10H屏幕服务中断，显示小球。 2.7.1 小球病毒 5、小球病毒程序分析 （1）病毒程序引导部分的分析 病毒程序的这一部分存放在软盘的逻辑0扇区或硬盘操作系统分区的逻辑0扇区，即原操作系统的引导程序所占用的扇区。当系统进入引导时，它被ROM BIOS机械地调入内存，并得到系统控制权，从而完成病毒程序的装入、合并等各项工作。 （2） 病毒程序传播部分的分析 这部分是病毒程序的主体，病毒的传播、对本机施行干扰的时间判别等都在这部分里进行。它由病毒程序的引导部分带入内存。 2.7.1 小球病毒 6、小球病毒的诊断 诊断计算机系统中以及软、硬盘上是否染有小球病毒，所使用的工具有DEBUG、PCT00LS、和CHKDSK等。这三种软件都可以在一定程度上检查出小球病毒是否存在，三者结合起来使用效果更好。 2.7.1 小球病毒 debug手工检查 Adebug -L100 0 0 1 //dos 引导扇区内容被调入内存 -U100 xxxx:0100 EB1c JMP 011E //反汇编 xxxx:0102 90 NOP -D2F0 2FF xxxx:02F0 FE EB 0D 01 00 0C 00 01-00 86 01 57 13 55 AA //标记（特征值）1357 第二部分逻辑扇区（族）号186 2.7.1 小球病毒 PCTOOLS手工检查 检查 EB1C 1357 CHKDSK 检查内存 2.7.1 小球病毒 7、小球病毒的消除和免疫 免疫：在特定位置上放置病毒标识（特征值） debug手工病毒消除 Adebug -L100 0 0 1 //dos 引导扇区内容被调入内存 -D2F0 2FF xxxx:02F0 FE EB 0D 01 00 0C 00 01-00 86 01 57 13 55 AA //标记（特征值）1357 第二部分逻辑扇区（族）号186 -L7E00 0 186 2 // 调出第二部分 -D8000 81FF //确认正常dos引导扇区内容(第二扇区) -E81FC 57 13 //加免疫标志 -W8000 0 0 1 //写回正常dos引导程序。 2.7.1 小球病毒 8、小球病毒的变种 已发现有多种小球病毒的变种，其差异主要表现在图形显示、文字提示、发出声音、占居软/硬盘和系统空间等方面的不同。其传染机制和破坏机制是小球病毒产生某种变种的主要修改部分。 （l）通过简单地对病毒标识的修改（如将标识修改为“1059”）而产生的一种和原版本小球病毒的传染方式及发病症状完全一样的小球病毒。 （2）方形病毒 2.7.1 小球病毒 （3）雪花病毒 （4）雪球病毒 （5）爆炸病毒 （6）流星病毒 （7）苹果病毒 （8）密码病毒 （9）警报病毒 （10）噪声病毒 （11）AIDS病毒 2.7.1 小球病毒 黑色星期五病毒的名称来源于该病毒的发作条件，即除了1987年之外，凡是十三号并且是星期五这一天，病毒程序发作，删除磁盘上和系统中所有被执行的文件。 该病毒又称之为希伯莱病毒、耶路撒冷病毒或以色列病毒（犹太人病毒）。 2.7.2 黑色星期五病毒（长方块） 1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小亮块 感染不成功时，系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加（COM +1813一次，EXE+1808无数次） 2.7.2 黑色星期五病毒（长方块） 2、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成： （1）引导驻留部分 （2）传播部分 （3）破