第章 传统计算机病毒.docxVIP

第三章计算机病毒结构分析 上海交通大学信息安全工程学院 刘功申 本章学习目标 了解COM、EXE、NE、PE可执行文件格式 掌握引导型病毒原理及实验 掌握COM文件病毒原理及实验 掌握PE文件型病毒及实验 信息安全工程学院 总体概念 DOS病毒定格在5000多种 DOS是VXer的乐园(Aver) 9x病毒 ring3, ring0 2K病毒主要是ring3 Windows文件格式变迁： COM EXE:MZ-NE-PE Vxd: LE(16Bit, 32Bit) 信息安全工程学院 章节主要内容 一、引导型病毒编制原理及实验 二、16位COM可执行文件病毒原理及实验 三、32位PE可执行文件病毒原理及实验 信息安全工程学院 一、引导型病毒编制原理及实验 PC引导流程 加电 CPU\BIOS POST自检 引导区、分 发现操作系统 初始化 区表检查 执行引导程序 信息安全工程学院 引导区病毒取得控制权的过程： 正常的引导过程 MBR和分 运行DOS 区表装载 引导程序 DOS引导区 ２ 用被感染的软盘启动 引导型病毒 寻找DOS 从软盘加载 引导区的 到内存 位置 ３ 病毒在启动时获得控制权 MBR和分区表 运行病毒 将病毒的引导 引导程序 程序加载入内存  加载IO.sys MSDOS.sys 将ＤＯＳ引导 区移动到别的 位置 病毒驻留 内存  加载ＤＯＳ 病毒将自己写入 原ＤＯＳ引导区 的位置 原ＤＯＳ引导 程序执行并加 载ＤＯＳ系统 信息安全工程学院 引导区病毒实验 【实验目的】 通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。 【实验内容】 本实验需要完成的内容如下： 引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观 察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。 DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒， 过触发病毒 观察病毒发作的现象和步骤学习病毒的感染机制；阅读 和分析病毒的代码。 信息安全工程学院 【实验环境】 VMWare Workstation 5.5.3 MS-DOS 7.10 【实验素材】 附书资源experiment目录下的bootvirus目录。 信息安全工程学院 实验过程 第一步：环境安装 安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7 . 10环境。安装步骤参考附书资源。 信息安全工程学院 第二步：软盘感染硬盘 1、运行虚拟机，检查目前虚拟硬盘是否含有病毒。如图表示没有病 毒正常启动 硬盘的状态。 2、在附书资源中拷贝 含有病毒的 虚拟软盘virus.img。 信息安全工程学院 3、将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，如左图4。按任意键进入右图画面。 信息安全工程学院 第三步：验证硬盘已经被感染 1、取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。 信息安全工程学院 2、按任意键后正常引导了dos系统。可见，硬盘已经被感染。 信息安全工程学院 第四步：硬盘感染软盘 1、下载empty.img，并且将它插入虚拟机，启动电脑，由于该盘为空，如图显示。 信息安全工程学院 2、取出虚拟软盘，从硬盘启动，通过命令format A: /q快速格式化软盘。可能提示出错，这时只要按R即可。如图所示。 信息安全工程学院 3、成功格式化后的结果如图所示。 信息安全工程学院 4、不要取出虚拟软盘，重新启动虚拟机，这时是从empty.img引导，可以看到病毒的画面，如左图所示。按任意键进入如右图画面。可 见，病毒已经成功由硬盘传染给了软盘。 信息安全工程学院 二、 16位COM可执行文件病毒原理及实验 COM格式 最简单的可执行文件就是DOS下的以COM(Copy Of Memory) 文件。 COM格式文件最大64KB，内含16位程序的二进制代码映像，没有重定位信息。 COM文件包含程序二进制代码的一个绝对映像，也就是说，为了运行程序准确的处理器指令和内存中的数据，DOS通过直接把该映像从文件拷贝到内存来加载COM程序，系统不需要作重定位工作。 信息安全工程学院 加载COM程序 DOS尝试分配内存。因为COM程序必须位于一个64K的段中，所以COM文件的大小不能超过65,024（64K减去用于PSP的256 字节和用于一个起始堆栈的至少256字节）。 如果DOS不能为程序、一个PSP、一个起始堆栈分配足够内存，则分配尝试失败。 否则，DOS分配尽可能多的内存（直至所有保留内存），即使COM程序本身不能大于64K。 在试图运行另一个程序或分配另外的内存之前，大部分COM程序释放任何不需要的内存。 分配内存