DOS病毒原理分析解读.ppt

2） * 2） * 2） * 2） * 病毒感染可执行文件，当用户双击文件运行时，病毒随之加载进内存， 进入内存后病毒与文件分离，并移动到当前用户程序区最低内存地址，然后调用系统功能调用或中断调用，将病毒程序常驻于内存，以后即使宿主程序运行结束，返回DOS，病毒程序也将驻留在内存而不被任何应用程序覆盖， 例如：病毒首次引导进入内存后，对某些中断向量进行修改，使其指向病毒程序入口，原来的中断被保存在病毒指定的地方，而病毒程序中又通过调用原中断向量地址的指令，实现与中断程序的链接，这样病毒程序就和原中断服务程序一起组成了该中断的新的服务程序，于是，该中断就成了病毒的宿主，当宿主被调用时，病毒程序先于正常的中断服务程序获得控制权，病毒被激活。经常被调用的 * * 2） * 2） * 2.计算机的启动过程和系统的启动过程中，当系统BIOS执行完所有的硬件检测和配置之后，就会将硬盘的MBR程序装载进内存的0：7C00H处， 然后将控制权交给MBR程序。 这是正常的启动过程，但是CPU执行只认识地址，不管该地址里装的是什么，所以如果我们把MBR程序换成别的程序，是不是同样会执行别的程序，所以病毒就是利用了这个原理，来替代MBR程序，先于MBR程序进入内存的。 引导型病毒也是先于操作系统的。 如果被感染的磁盘作为系统启动盘使用，在启动系统时，病毒程序即被自动装入内存，从而使现行系统感染上病毒。 引导型病毒依托的环境是BIOS中断服务程序。 在系统带毒的情况下，如果进行了磁盘的I/O操作，那么病毒的程序就会主动进行感染，使其他的磁盘感染上病毒。 因此，这类病毒对硬盘的感染，一般是在用带毒软盘启动的时候，对软盘进行感染是在当系统带毒对软盘进行操作的时候。 * 3、硬盘被感染，一般都是通过软盘感染的，也就是在使用软盘启动的过程中，把病毒传染给硬盘。因此， * 如果感染了“大麻”病毒的系统软盘启动系统，当满足发作条件时，往往出现以下提示信息： Your?PC?is?now?Stoned! LEGALISE?MARIJUANA! * 大麻病毒仅1B8H字节的代码就完成以下功能： 440字节： * 这一物理扇区对于360KB的软盘来说，属于软盘根目录区的最后一个扇区(逻辑0BH扇区)。 对于1.2M的高密度软盘来说，是属于根目录区的第三扇区（逻辑11H扇区） 所以不同容量的软盘，病毒将原引导扇区移向的位置不同，所以覆盖掉的内容不同，实际上大麻病毒并没有专门破坏磁盘的模块， 但是由于它将原引导扇区的内容放到了原软盘的文件目录表和硬盘的文件分配表处，导致了原数据被覆盖，从而造成磁盘文件的大量丢失，甚至于导致硬盘无法启动。 * 这一物理扇区对于360KB的软盘来说，属于软盘根目录区的最后一个扇区(逻辑0BH扇区)。 对于1.2M的高密度软盘来说，是属于根目录区的第三扇区（逻辑11H扇区） 所以不同容量的软盘，病毒将原引导扇区移向的位置不同，所以覆盖掉的内容不同，实际上大麻病毒并没有专门破坏磁盘的模块， 但是由于它将原引导扇区的内容放到了原软盘的文件目录表和硬盘的文件分配表处，导致了原数据被覆盖，从而造成磁盘文件的大量丢失，甚至于导致硬盘无法启动。 * 在内存中,大麻病毒占用了2KB内存,实际上只占用了1KB。 大麻病毒表现模块的触发条件：当从A驱动器启动系统时，时钟计数是8的整数倍，则显示下列提示信息： Your PC is now Stoned! LEGALLISE MARIJUANA! * 大麻病毒的传染模块分为了两个部分，一部分包含在引导模块中，该传染模块专门负责对硬盘的感染，另外一部分是由 INT13H指向，专门对A驱动器上的软盘进行感染。 * * 磁盘上存储的文件都是通过文件系统来管理的，所以这是一类数目非常巨大的病毒。 书上P78页 病毒也可能隐藏在普通的数据文件中，但是这些隐藏在数据文件中的病毒不是独立存在的，必须需要隐藏在普通可执行文件中的病毒部分来加载这些代码 * 文件型病毒搜索、感染目标文件的常用中断 文件型病毒为了完成它的感染，首先需要查找目标文件，然后对目标文件进行读写操作。 这些操作都需要用到系统文件目录管理功能调用（INT 21H） 各个功能调用中，都用到了各类寄存器--通用寄存器，标志位寄存器，所以要看的懂病毒的汇编程序，还得要了解各个功能调用中， 每个寄存器代表的意思，因为程序里不会再去特指，而是依照管理来使用。 * Obscuring 遮蔽 * 8位16进制是双字 段间间接转移指令:JMP OPRD其中的OPRD为存储器双字操作数.段间间接转移只能通过存储器操作数来实现. 例如:指令JMP DWORD PTR[BX],其操作数是一个双字类型的存储器操作数, 它