计算机病毒分析与防治简明教 教学课件 作者 978 7 302 16377 0 ch03.pptVIP

第3章 DOS文件型病毒分析 教学目标 DOS的可执行文件格式 病毒对中断int 21h的利用 如何清除DOS文件型病毒 教学重点 COM文件分析 EXE文件分析 病毒修改COM文件 病毒对int 21h的利用 教学过程 案例分析：具体分析一种病毒 文件格式分析 修改COM文件 清除病毒 3.1 预备知识 1. COM文件分析 2. EXE文件分析 3.1.1 COM文件分析 COM是可执行的二进制代码文件。COM文件一般比较小，其大小不能超过64KB。COM文件装入内存较快。COM文件在执行时段寄存器含有相同的值，即代码、数据和堆栈段在同一个段中的不同区间内。COM文件既无文件头也没有任何其它的内部标识信息，文件执行时的指令总是从文件偏移0开始。 3.1.2 EXE文件分析 EXE文件包含一个文件头和一个可重定位程序映象。文件头包含MSDOS用于加载程序的信息，例如程序的大小和寄存器的初始值。文件头还指向一个重定位表，该表包含指向程序映象中可重定位段地址的指针链表。文件头的形式与EXEHEADER结构对应。 3.2 DOS文件病毒 病毒修改COM文件 。 病毒修改EXE文件 。 病毒修改EXE文件 EXE文件头，在偏移14和16处，表示了程序的执行代码入口地址。DOS对EXE采取重定位的方法，重定位在很多DOS高级编程的书上都会提到，假使你还没有了解，我来打个比方：我比小明高5公分。那么小明如果170CM，那么我有175CM，如果小明180CM，我有185CM。Code segment就是这个5公分。DOS下面可以加载很多TSR或者驱动程序，我们无法知道一个程序被加载的开始段值，但是我们却可以知道一个EXE程序的执行入口的开始段值比加载的第一个段值大多少。DOS就是通过这种简单的加减法来对付EXE的多段模式的。现在我们知道了EXE文件的开始执行代码是从加载初始地址+Code segment:Code pointer。还有一个我们很感兴趣的东西是偏移为8的Exeheader Size。这对病毒修改EXE文件很有用，可以用来确定EXE文件的代码开始处（代码开始处之前是Exeheader）。那么病毒可以这样来修改一个EXE文件。 3.2.2 病毒对int 21h的利用 1.病毒在什么时候去感染COM或EXE文件呢，常用的方法是在以下时候： 2.列举文件。如用DIR命令列举文件名。可以截获INT 21H 功能的11H和12H。 3.执行文件。如执行c: aaa.exe，则可能aaa.exe被感染。截获INT 21H 4B子功能实现。这样每个可执行文件在执行的时候都逃不过病毒的监视。 4.读写文件。如编辑文件时，拷贝文件时，例如执行COPY命令。 一个DOS文件型病毒分析 病毒感染扩展名为COM和EXE的文件。发作时，只显示一行提示信息。病毒接管int 21h，监视对文件的打开（功能号3dh），取或置文件的属性（功能号43h）和加载执行程序（功能号4bh）。由于很多DOS资料已经难找，而且我们在介绍Windows下病毒时将会进行更深入的研讨，我们只需要观察出以下问题。 1.感染的条件。在拦截的这些功能中，入口参数ds:dx是以零结尾的文件名字符串。首先分析扩展名中有无字符串“.com”或“.exe”，打开文件后分析文件前面有无标志“MZ”，最后查找相应位置有无病毒感染标志“VV”。文件太大也不感染。 2.病毒如何常驻。上一章介绍了引导型病毒的常驻办法。BIOS病毒常驻时，因为 DOS还没有启动，所以不能调用DOS中断。文件型病毒常驻时，因DOS已工作，所以采用DOS提供的办法。先将自己复制到高端内存，然后调用int 21h的功能25h来设置新的int 21h入口。 3.3 实验：用Debug修改COM文件 建立一个简单的扩展名为com格式的程序 通过Debug调用和修改 MPS的时间基准 计划展望期是指MPS计划起作用的时间范围。计划展望期往往与企业的生产性质密切相关。 时段，对应的英文是time bucket，表示时间持续的一个长度单位。 时界对应的英文是time fence，也被翻译为时间栏、时间警戒线。时界表示时间界限，是一个时刻点，是MPS中的计划参考点。 时区用于描述在某个时刻某个产品在其计划展望期中所处的位置。 增加代码原理 测试JMP指令 修改过程和运行结果 3.4 清除DOS文件病毒 以清除Jerusalem为例。方法是，先建立无病毒的DOS启动盘，然后将下面的程序生成可执行文件，拷贝到盘上。用干净盘启动后，再执行该杀毒程序。 * 计算机病毒分析与防治教程 清华大学出版社