计算机病毒的传播途径.pptVIP

第4章 计算机病毒寄生环境分析 4.1 磁盘引导区结构 4.2 com文件结构 4.3 exe文件结构 4.4 PE文件结构 4.5 VxD文件结构 4.6 其他可感染病毒存储介质结构 4.7 系统的启动与加载 4.8 BIOS与DOS的中断 4.9 计算机病毒与系统安全漏洞 习题 4.1 磁盘引导区结构 4.1.1 主引导扇区 主引导扇区，或称为主引导记录（MBR）是物理硬盘的第一个扇区，其位置在硬盘的0柱面0磁头1扇区。 MBR中包含了主引导程序和硬盘分区表。当MBR中感染病毒后，病毒程序将替代主引导程序，原来的主引导程序通常被转移到其他地方。 基于DOS的主引导扇区包含经典的主引导程序，具有最好的兼容性，可在各种DOS和Windows版本正常工作。如果主引导扇区感染了病毒，可以使用基于DOS的主引导程序覆盖之，可消除病毒。 可以使用DEBUG编写一段小程序来读出主引导扇区，程序如下： -U 100 138A:0100 B80102 MOVAX，0201;读1个扇区 138A:0103 BB007C MOVBX，7C00;读到当前段的7C00处 138A:0106 B90100 MOVCX，0001;0柱面1扇区 138A:0109 BA8000 MOVDX，0080;第一个物理硬盘0磁头 138A:010C CD13INT 13;读盘中断调用 138A:010E CCINT 3 - 某物理硬盘的主引导扇区的内容如图4.1所示。 图4.1 经典主引导扇区数据 从图4.1中可以看出，主引导程序范围在7C00~7C8A，接着是数据区。中间有很大一部分数据是00。 7DBE至7DFD之间为4个分区表，每个分区表占用16B。图4.1中只有一个分区表有数据，其余3个全为00。主引导扇区最后两个字节55AA是已分区的标志。分区表的16B数据结构如表4.1（见书95页）所示。 可以从图4.1中的程序区（00~8A）反汇编出主引导程序如下： -U 7C00 7C8A 138A:7C00 FA CLI ;关中断 138A:7C01 33C0 XOR AX,AX 138A:7C03 8ED0 MOV SS,AX 138A:7C05 BC007C MOV SP,7C00 ;设置堆栈到0:7C00 138A:7C08 8BF4 MOV SI,SP 138A:7C0A 50 PUSH AX 138A:7C0B 07 POP ES ;设置ES、DS段为0 138A:7C0C 50 PUSH AX 138A:7C0D 1F POP DS 138A:7C0E FB STI ;开中断 138A:7C0F FC CLD 138A:7C10 BF0006 MOV DI,0600 138A:7C13 B90001 MOV CX,0100 138A:7C16 F2REPNZ ;把主引导扇区从内存0:7C00转移到0:0600 138A:7C17 A5 MOVSW 138A:7C18 EA1D060000 JMP 0000:061D ;跳转到0:061D继续执行（转移后的下一条指令执行） 138A:7C1D BEBE07 MOV SI,07BE ;指向第一个硬盘分区表 138A:7C20 B304 MOV BL,04 ;设置分区表总个数为4 138A:7C22 803C80 CMP BYTE PTR [SI],80 ;测试分区是否活动 138A:7C25 740E JZ 7C35 ;是活动分区转移 138A:7C27 803C00 CMP BYTE PTR [SI],00 138A:7C2A 751C JNZ 7C48 ;分区表标志非法转移 138A:7C2C 83C610 ADD SI,+10 ;指向下一个分区表 138A:7C2F FECB DEC BL 138A:7C31 75EF JNZ 7C22 ;没有检查完，从头继续检查下一个分区表 138A:7C33 CD18 INT 18 ;没有找到活动分区，则寻找其他引导设备 138A:7C35 8B14 MOV DX, [SI] ;将活动分区首扇区地址放入DX和CX中 138A:7C37 8B4C02 MOV CX, [SI+02] 138A:7C3A 8BEE MOV BP,SI 138A:7C3C 83C610 ADD SI,+10 ;指向活动分区表之后的分区表 138A:7C3F FECB DEC BL 138A:7C41 741A JZ 7C5D ;4个分区表检查完转移 138A:7C43 803C00 CMP BYTE PTR [SI],00 ;检查后续