计算机病毒分析解析.ppt

将要介绍的几种病毒类型 DOS病毒 引导区病毒 文件型病毒 混合型病毒 Windows病毒 VBS脚本病毒 宏病毒 网页病毒 Win32 PE病毒 引导区病毒 什么是主引导记录？ 硬盘的主引导记录在硬盘的0磁头0柱面1扇区。主引导记录由三部分组成： 主引导程序； 四个分区表； 主引导记录有效标志字。 DOS引导区病毒 引导区病毒 所谓引导区病毒是指一类专门感染软盘引导扇区和硬盘主引导扇区的计算机病毒程序。 如果被感染的磁盘被作为系统启动盘使用，则在启动系统时，病毒程序即被自动装入内存，从而使现行系统感染上病毒。 在系统带毒的情况下，如果进行了磁盘I／O操作，则病毒程序就会主动地进行传染，从而使其它的磁盘感染上病毒。 DOS的正常启动过程 加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测； 检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处； 转入Boot执行之； Boot判断是否为系统盘, 如果不是系统盘则提示: non-system disk or disk error Replace and strike any key when ready 否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件； DOS的正常启动过程 执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存； 系统正常运行, DOS启动成功。 引导区病毒实际上就是先保存软盘的引导记录或者硬盘的主引导记录，然后用病毒程序替换原来的引导记录，这样，当系统引导时，便先执行病毒程序，然后将控制权转交给正常的引导程序。 带毒盘引导的启动过程 将Boot区中病毒代码首先读入内存的0000: 7C00处； 病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行； 修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作； 病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程； 病毒程序伺机等待随时准备感染新的系统盘或非系统盘。 感染过程 是否在读写软盘？ 是，则将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒； 当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置； 返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。 感染过程 引导型病毒的主要特点 引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。而正常的系统引导过程一般是不减少系统内存的。 引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。 引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。 文件型病毒 什么是文件型病毒？ 所有通过操作系统的文件系统进行感染的病毒都称作文件病毒 。 我们将会介绍的两种病毒 COM文件型病毒 EXE文件型病毒 COM文件型病毒 COM文件被载入内存后的格式 COM文件型病毒 病毒要感染COM文件一般采用两种方法： 加在文件尾部 COM文件型病毒 加在文件头部 EXE文件型病毒 MZ文件头格式 偏移? 大 小? 描述 00 2?bytes? .EXE?文件类型标记：4d5ah 02? 2?bytes? 文件的最后一个扇区的字节数 04? 2?bytes? 文件的总扇区数 文件大小=（总扇区数-1）*512+最后一页字节数 06 2?bytes? 重定位项的个数 08? 2?bytes? exe文件头的大小 (16?bytes*this?value) 0a? 2?bytes? 最小分配数(16?bytes*this?value) 0c? 2?bytes? 最大分配数(16?bytes*this?value) 0e? 2?bytes? 堆栈初始段址(SS) 10? 2?bytes? 堆栈初始指针(SP) 12? 2?bytes? 补码校验和 14