chp4DOS病毒的基本原理与概览.pptVIP

DOS病毒的基本原理与分析 计算机病毒原理－第四章 DOS病毒的基本原理与分析 DOS病毒是一种只能在DOS环境下运行、传染的计算机病毒 是最早出现的计算机病毒 DOS病毒数量多、技巧强 早期病毒：纯粹的引导型、文件型病毒 更多的是集引导型、文件型病毒特性于一身的混合型病毒 .EXE文件和.COM文件是主要的可执行文件 4.1 病毒的重定位 正常程序 不需要关心变量（常量）的位置 源程序在编译的时候，变量（常量）在内存中的位置都被计算好了 程序装入内存时，系统不会为它重定位 需要用到变量（常量）的时候直接用变量名访问 编译后通过偏移地址访问 4.1 病毒的重定位 病毒程序 依附到不同的HOST程序中的位置不尽相同 病毒随着HOST载入内存后，各个变量（常量）在内存中的位置也随之变化 病毒对变量的引用不正确势必导致病毒无法正常运行 4.1 病毒的重定位 Call指令 调用一个子程序或用来进行跳转 先将返回地址压入堆栈 然后将IP置为call语句所指向的地址 当子程序碰到ret命令后，将堆栈顶端的地址弹出来，并将该地址存放在IP中 主程序得以继续执行 4.1 病毒的重定位 pop执行后，ebp存放病毒程序中标号delta在内存中的真正地址 获取参考量delta的地址偏移差 用该偏移差获得病毒程序中变量var2在内存中的实际地址 4.2 引导型病毒 又称开机型病毒 软盘引导区 DOS BootSector（OS引导扇区） 只要软盘已格式化，则引导扇区存在 用软盘启动系统时查找盘上有无OS.SYS和DOS.SYS 若有则引导 若无则显示”no system disk …”等信息 4.2 引导型病毒 硬盘引导区 主引导区 0柱面0磁头1扇区 内有主引导程序和主分区表 主引导程序查找激活分区 该分区的第一个扇区即为OS引导扇区 引导型病毒 专门感染主引导扇区和引导扇区的计算机病毒 MBR病毒：感染主引导区 BR病毒：感染引导区 4.2.1 引导型病毒的基本原理 用带毒软盘引导 判断硬盘是否中毒 未中毒则感染之 系统BIOS完成相关检测、初始化 读主引导区/引导区至内存固定位置0:7C00处，转交系统控制权 转交条件：扇区有效性标志55 AA 以物理位置为依据，而不是以扇区内容为依据 4.2.1 引导型病毒的基本原理 只有在启动系统时才读取引导型病毒的病毒体 繁殖需要驻留内存，营造一个“窝” 病毒将0:413单元的值减少1KB或nKB 系统BIOS上电自检时将常规内存大小存入0:413 减少nKB后，系统将不再访问最高端的nKB内存 n一般稍大于病毒体大小 4.2.1 引导型病毒的基本原理 系统正常引导 目的在于隐藏自己，并繁殖更多个体 引导型病毒在感染时，将被感染扇区的“内容”写入其他扇区 扇区中如果存在数据，将被覆盖，无法恢复 并在FAT中标识该扇区所在簇为坏簇，以防被正常的文件存储覆盖 感染引导型病毒后磁盘中存在坏簇的原因之一 备份可能已经被病毒进行了加密处理 Brain, DiskKiller, Stone1-3, Air COP, CopyLock, AZUSA, JOSHI, OHOH, MusicBug 4.2.2 引导型病毒的触发与INT 13H 引导型病毒的触发 用染毒盘启动计算机 引导型病毒先于操作系统获取系统控制权 首次激活，处于动态 激活时修改INT 13H入口地址使其指向病毒中断服务程序 处于可激活态 当系统/用户进行磁盘读写时调用INT 13H 实际上调用的是病毒的中断服务程序 激活病毒，病毒处于激活态 根据感染条件实施暗地感染 根据爆发破坏条件表现自己 4.2.2 引导型病毒的触发与INT 13H 调用BIOS磁盘服务功能读写扇区 调用INT 13H子功能02H读扇区 入口: AH 02H AL 读入的扇区数 CH 柱面号的低8位 CL 低6位为起始扇区号（ 1～63 ） ，高2位为硬盘柱面号高2位 DH 磁头号 DL 物理驱动器号（硬盘第7位置1） ES:BX － 数据缓冲区 返回： 当CF值位时表示调用失败 AH 状态 AL 实际读入的扇区数 4.2.2 引导型病毒的触发与INT 13H 调用INT 13H子功能03H写扇区 入口： AH 03H AL 写入的扇区数 CH 柱面号的低8位 CL 低6位为起始扇区号 1~63 ，高2位为硬盘柱面号的高2位 DH 磁头号 DL 物理驱动器（硬盘第7位置1） ES:BX－ 数据缓冲区 返回： 当CF置位时表示调用失败 AH 状态 AL 实际写入的扇区数 4.2.3 引导型病毒的特点 驻留内存 一般采取修改0:413地址内的值的方法 因为引导时，DOS还未加载 唯一的方法 缺点 启动后用MEM查看，常规内存总数少于640KB，不够隐蔽 解决 修改INT 8H，检测I