第01章 引导型病毒EXEBUG-GENB机理.ppt

* 目 录 下一页 退 出 第 1章 计算机病毒学 上一页 * 第1章 引导型病毒ＧＥＮＢ机理 1.1 GENB病毒概述 1.2 感染磁盘的引导机理 1.3 盗用中断１３Ｈ的工作原理 1.4 反ＧＥＮＢ病毒 1.5 感染磁盘数据映象及变量示例 1.1 GENB病毒概述 1、ＥＸＥＢＵＧ或者ＧＥＮＢ，是一种只感染软磁盘引导记录和硬磁盘主引导记录的具有自我加载功能的计算机引导型病毒。 2、ＥＸＥＢＵＧ病毒通过软磁盘的引导记录和硬磁盘的主引导记录，在计算机加载操作系统时抢先占有控制权，完成盗用中断１３Ｈ并且试图感染硬盘，以便形成ＥＸＥＢＵＧ病毒的传播媒体；然后模拟计算机加载操作系统的工作过程，引导系统正常引导。 1.1 GENB病毒概述 3、ＥＸＥＢＵＧ病毒自举成功后，只要用户调用中断１３Ｈ，便对其操作进行监督。用户对硬磁盘的操作病毒不会予以理睬，但对软磁盘的读写操作，则根据ＢＩＯＳ时钟的低字和感染磁盘（主）引导记录的某一特定值，决定是否进入无限发报警音循环和磁盘感染操作，然后再响应用户的调用申请。进入无限发报警音的循环过程是该病毒唯一的破坏作用之体现；当然，它还会占用内存２ＫＢ，给其它程序的运行带来一定的不便。 1.2 感染磁盘的引导机理 1、在计算机机器ＢＩＯＳ中的程序自举完成前，会发中断读入磁盘的（主）引导记录的数据，放在内存００００：７Ｃ００处。ＥＸＥＢＵＧ病毒感染磁盘的（主）引导记录后就是通过这一点取得运行优先权的。这是一般引导型病毒或者综合型病毒的惯用方法。 1.2 感染磁盘的引导机理 2、运行控制权的获得与释放 被感染机器启动时，由自举指令获得控制权。 软盘启动时，转交控制权到0070:0000。 硬盘启动时，转交控制权到 07C0:0000。 1.2 感染磁盘的引导机理 3、主要执行程序段 ⑴ 设置栈空间，盗用中断13H，占用常规内存高端2KB。 ⑵ 移动病毒代码常驻内存高端。 ⑶ 控制权转移到常驻段，判断启动盘类型。 ⑷ 根据引导磁盘类型，计算IO.SYS磁盘地址。 ⑸ 读入IO.SYS文件前三扇区数据 。 ⑹ 转交控制权到IO.SYS。 1.3 盗用中断１３Ｈ的工作原理 主要执行程序段： ⑴ 判断磁盘类型，对硬盘直接响应调用功能。 ⑵ 对软盘，不写软盘跳转直接响应调用功能。 ⑶ 根据BIOS时钟单元低字，判断发作条件是否满足。 ⑷ 满足则发报警音，病毒发作。 ⑸ 不满足则感染磁盘，形成病毒传播媒体。 ⑹ 正常响应13H中断调用功能。 1.3 盗用中断１３Ｈ的工作原理 中断13H的盗用过程示意图 1.4 反ＧＥＮＢ病毒 1、需要恢复的信息 对硬磁盘而言，一份正常硬盘的主引导记录程序数据加上该磁盘的分区表信息，即可恢复正常。 软盘则要恢复磁盘ＢＰＢ数据和引导文件名串等数据才能恢复正常。 1.4 反ＧＥＮＢ病毒 1、需要恢复的信息 具体来讲，软磁盘的ＢＰＢ数据结构中，病毒已经保留了１ＢＨ字节的数据，余下需要恢复的数据有： ⑴ＢＰＢ偏移量１ＤＨ处０４Ｈ字节，为硬盘总扇区数，软盘为零。 ⑵ＢＰＢ偏移量２１Ｈ处０１Ｈ字节，为物理驱动器号，软盘为零。 ⑶ＢＰＢ偏移量２２Ｈ处０２Ｈ字节，为２９００Ｈ。 ⑷ＢＰＢ偏移量２４Ｈ处０４Ｈ字节，为卷标ＩＤ值，可以随机赋值。 ⑸ＢＰＢ偏移量２８Ｈ处０ＢＨ字节，为卷标名，可以赋为“NO NAME”。 ⑹ＢＰＢ偏移量３３Ｈ处０８Ｈ字节，为ＦＡＴ标识方式，有FAT12和FAT16两种,对WIN4.0和WIN4.2还有FAT32格式。 1.4 反ＧＥＮＢ病毒 2、反病毒思路 ⑴ 提示反病毒信息。 ⑵ 判断内存是否驻留病毒，否则要求重启动。 ⑶ 读待反病毒驱动器号。 ⑷ 读入软盘引导记录或者硬盘主引导记录。 ⑸ 判断引导记录是否感染病毒。 ⑹ 感染则恢复软盘ＢＰＢ数据和启动文件名串、或者硬盘分区表数据。 ⑺ 写入软盘引导记录或者硬盘主引导记录。 ⑻ 提示反病毒结束。 1.5 感染磁盘数据映象及变量示例 1、感染磁盘数据映象 利用工具软件DEBUG等，可以调出被感染软磁盘的引导记录或者硬盘的主引导记录数据。调入的数据在计算机启动时，被调入内存0000:7C00处 。