chpDOS病毒的基本原理与分析资料.ppt

4.3.4 文件型病毒的预防 预防核心 使可执行文件具有自检功能 在被加载时检测本身的几项指标 文件长度 文件头部信息 文件内部抽样信息 文件目录表中有关信息 实现过程 使用汇编语言或其他高级语言时，先把上述有关信息定义为若干大小固定的几个变量，给每个变量先赋一个值 根据可执行文件中的有关信息，把源程序中的有关变量进行修改，再重新汇编或编译 得到了所需的可执行文件 4.3.5 文件型病毒的检测 是否已染有某种病毒的基本思想 “检查标识法” 在一个文件的特定位置上，寻找该种病毒的特定标识 局限很大：变种病毒，改动标识 病毒本身也是一段可执行代码，依附在文件中，很难找到彻底分离的方法 代码一级不可判定，只能凭借经验，根据程序实际运行状态、结果及内存、磁盘文件变化来判定 4.3.6 文件型病毒的清除 用Debug清除附在文件上的病毒程序 确定病毒程序的位置，是驻留在文件的尾部还是文件的首部 找到计算机病毒程序的首部位置，或者尾部位置 恢复原文件头部的参数 修改文件的长度，将原文件写回 .COM文件 跟踪分析病毒程序，找到原文件头部3字节内容进行恢复 .EXE文件 仔细查找原文件头参数的地址进行恢复 标志文件长度的参数要相应修改 解毒前备份，使用户不失去再次解毒的机会 4.4 混合型病毒的基本原理 也称多型病毒 结合了引导型和文件型两种病毒而互为感染的病毒 具有复杂的算法 使用非常规的办法侵入系统 使用加密和变形算法 4.4 混合型病毒的基本原理 既感染引导区，又感染文件 并非简单相加，而是有一个转换过程 文件中的病毒执行时将病毒写入引导区 引导时增加了一个程序段，用于感染硬盘的主引导扇区 染毒盘启动系统时，用引导型病毒的方法驻留内存 此时DOS尚未加载，无法修改INT 21H，也就无法感染文件 修改INT 8H，保存INT 21H目前的地址 用INT 8H服务程序检测INT 21H的地址是否改变 若改变说明DOS已加载，则可修改INT 21H指向病毒传染段 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * DOS病毒的基本原理与分析 计算机病毒原理－第四章 2012-2013-01 DOS病毒的基本原理与分析 DOS病毒是一种只能在DOS环境下运行、传染的计算机病毒 是最早出现的计算机病毒 DOS病毒数量多、技巧强 早期病毒：纯粹的引导型、文件型病毒 更多的是集引导型、文件型病毒特性于一身的混合型病毒 .EXE文件和.COM文件是主要的可执行文件 4.1 病毒的重定位 正常程序 不需要关心变量（常量）的位置 源程序在编译的时候，变量（常量）在内存中的位置都被计算好了 程序装入内存时，系统不会为它重定位 需要用到变量（常量）的时候直接用变量名访问 编译后通过偏移地址访问 4.1 病毒的重定位 病毒程序 依附到不同的HOST程序中的位置不尽相同 病毒随着HOST载入内存后，各个变量（常量）在内存中的位置也随之变化 病毒对变量的引用不正确势必导致病毒无法正常运行 4.1 病毒的重定位 Call指令 调用一个子程序或用来进行跳转 先将返回地址压入堆栈 然后将IP置为call语句所指向的地址 当子程序碰到ret命令后，将堆栈顶端的地址弹出来，并将该地址存放在IP中 主程序得以继续执行 4.1 病毒的重定位 pop执行后，ebp存放病毒程序中标号delta在内存中的真正地址 获取参考量delta的地址偏移差 用该偏移差获得病毒程序中变量var2在内存中的实际地址 4.2 引导型病毒 又称开机型病毒 软盘引导区 DOS BootSector（OS引导扇区） 只要软盘已格式化，则引导扇区存在 用软盘启动系统时查找盘上有无OS.SYS和DOS.SYS 若有则引导 若无则显示”no system disk …”等信息 4.2 引导型病毒 硬盘引导区 主引导区 0柱面0磁头1扇区 内有主引导程序和主分区表 主引导程序查找激活分区 该分区的第一个扇区即为OS引导扇区 引导型病毒 专门感染主引导扇区和引导扇区的计算机病毒 MBR病毒：感染主引导区 BR病毒：感染引导区 4.2.1 引导型病毒的基本原理 用带毒软盘引导 判断硬盘是否中毒 未中毒则感染之 系统BIOS完成相关检测、初始化 读主引导区/引导区至内存固定位置0:7C00处，转交系统控制权 转交条件：扇区有效性标志55 AA 以物理位置为依据，而不是以扇区内容为依据 4.2.1 引导型病毒的基本原