第2章 引导型病毒分析.pptVIP

第2章 引导型病毒分析 教学目标 系统引导过程 引导型病毒原理 中断与中断程序设计 清除病毒方法 教学重点 引导扇区分析 读写扇区方式 程序常驻内存 引导程序设计 接管中断程序设计 教学过程 预备知识 引导型病毒 实验1：引导程序设计 实验2：接管中断程序设计 清除病毒程序设计 2.1 预备知识 ● 磁盘数据结构 ● DOS启动过程 ● 读写扇区方式 ● 程序常驻内存 2.1.1 磁盘数据结构 引导扇区 扇区分布 读写扇区方式 Int 13h 用Debug的命令L和W可以读写分区的扇区 ReadFile 程序常驻内存 2.2 引导型病毒 引导型病毒原理 一个引导型病毒分析 2.2.1 引导型病毒工作原理 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。 感染前后比较 ● 软盘中毒前的正常开机程序：开机→执行BIOS→自我测试POST→填入中断向量表→启动扇区(Boot sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 ● 软盘中毒之后的开机程序：开机→执行BIOS→自我测试POST→填入中断向量表→开机型病毒→启动扇区(Boot Sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 ● 硬盘中毒前的正常开机程序：开机→执行BIOS→自我测试POST→填入中断向量表→硬盘分区表(Partition Table)→启动扇区(Boot Sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 ● 硬盘中毒之后的开机程序：开机→执行BIOS→自我测试POST→填入中断向量表→硬盘分割表(Partition Table)→开机型病毒→启动扇区(Boot Sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 2.2.2 一个引导型病毒分析 2.3 实验1：引导程序设计 编写代码 实现步骤 实现步骤 (1) 准备系统盘 选择一张软盘，在DOS下执行Format A:/S，表示格式化软盘且向它复制DOS系统文件。 (2) 备份主引导扇区数据到软盘 可以编写一个程序实现，也可以用Debug实现。这样做的目的是，万一系统崩溃了，还可以用软盘启动恢复。如果用Debug，步骤如下： ① 建立一个文件，如ddd.txt，随便敲入几个字母，如“aaaaaaaaaaaaaa”。 ② 用命令Debug ddd.txt，将该文件装载到内存。用命令d可以看到文件在内存中位置为126C:0100H~126C:010DH 保存内存数据到文件 移动主引导扇区数据 2.4 实验2：接管中断程序设计 代码演示了在DOS启动前，是如何接管int 13h，使自己的int 13h是如何常驻内存。其中涉及到了0:413h处数据的修改，如何计算自己的int 13h的长度，如何将自己复制到内存高端等。 2.5 清除病毒程序设计 用未被病毒感染的带系统的软盘启动后，用int 13h的功能2在磁盘中寻找被病毒藏匿的原引导扇区代码，用功能3将其回写到本来位置即可。 * 计算机病毒分析与防治教程 清华大学出版社 计算机病毒分析与防治教程 清华大学出版社 教学目标 教学重点 教学过程 FAT32表项意义 序号 表项值 簇描述信息含义 1 0 未使用的簇 2 00xffffffff 一个已分配的簇号 3 0xfffffff0～0xfffffff6 保留的簇 4 0xfffffff7 坏簇 5 0xfffffff8～0xffffffff 文件结束簇 读主引导扇区数据 * * * 计算机病毒分析与防治教程 清华大学出版社