chp4DOS病毒的基本原理与报告范本.pptVIP

DOS病毒的基本原理与分析 计算机病毒原理－第四章 DOS病毒的基本原理与分析 DOS病毒是一种只能在DOS环境下运行、传染的计算机病毒 是最早出现的计算机病毒 DOS病毒数量多、技巧强 早期病毒：纯粹的引导型、文件型病毒 更多的是集引导型、文件型病毒特性于一身的混合型病毒 .EXE文件和.COM文件是主要的可执行文件 4.1 病毒的重定位 正常程序 不需要关心变量（常量）的位置 源程序在编译的时候，变量（常量）在内存中的位置都被计算好了 程序装入内存时，系统不会为它重定位 需要用到变量（常量）的时候直接用变量名访问 编译后通过偏移地址访问 4.1 病毒的重定位 病毒程序 依附到不同的HOST程序中的位置不尽相同 病毒随着HOST载入内存后，各个变量（常量）在内存中的位置也随之变化 病毒对变量的引用不正确势必导致病毒无法正常运行 4.1 病毒的重定位 Call指令 调用一个子程序或用来进行跳转 先将返回地址压入堆栈 然后将IP置为call语句所指向的地址 当子程序碰到ret命令后，将堆栈顶端的地址弹出来，并将该地址存放在IP中 主程序得以继续执行 4.1 病毒的重定位 pop执行后，ebp存放病毒程序中标号delta在内存中的真正地址 获取参考量delta的地址偏移差 用该偏移差获得病毒程序中变量var2在内存中的实际地址 4.2 引导型病毒 又称开机型病毒 软盘引导区 DOS B