第4章 传统计算机病毒.pdf

第三章第三章计算机病毒结构分析计算机病毒结构分析 上海交通大学信息安全工程学院上海交通大学信息安全工程学院 刘功申 本章学习目标 了解COM、EXE、NE、PE可执行文件格式 掌握引导型病毒原理及实验 掌握掌握COMCOM文件病毒原理及实验文件病毒原理及实验 掌握PE文件型病毒及实验 信息安全工程学院 总体概念 DOS病毒定格在5000多种 DOS是VXer 的乐园(Aver) 99x病毒病毒riing33, riing00 2K病毒主要是ring3 Windows文件格式变迁： •• COMCOM • EXE:MZ-NE-PE • VVxdd: LE(16BitLE(16Bit, 32Bit)32Bit) 信息安全工程学院 章节主要内容 一、引导型病毒编制原理及实验 二、16位COM可执行文件病毒原理及实验 三三、3232位位PEPE可执行文件病毒原理及实验可执行文件病毒原理及实验 信息安全工程学院 一、引导型病毒编制原理及实验 PC引导流程 CPU\BIOS 引导区、分 发现操作系统 加电 POST 自检 初始化 区表检查 执行引导程序 信息安全工程学院 引导区病毒取得控制权的过程：引导区病毒取得控制权的过程： 11 正常的引导过程正常的引导过程 MBR和分 区表装载 运行DOS 加载IO.sys 加载ＤＯＳ 引导程序 MSDOS.sys DOSDOS引导区引导区 ２２用被感染的软盘启动用被感染的软盘启动 引导型病毒 寻找DOS 将ＤＯＳ引导 病毒将自己写入 从软盘加载 引导区的 区移动到别的 原ＤＯＳ引导区 到内存到内存 位置位置 位置位置 的位置的位置 ３３病毒在启动时获得控制权病毒在启动时获得控制权 MBR和分区表 原ＤＯＳ引导 将病毒的引导 运行病毒 病毒驻留 程序执行并加 程序加载入内存 引导程序引导程序 内存内存 载载 ＤＯＳ系统系统 信息安全工程学院 引导区病毒实验 【实验目的】 通过实验，了解引导区病毒的感染对象和感染特征，重 点学习引导病毒的感染机制和恢复感染染毒文件的方法， 提高汇编语言的使用能力提高汇编语言的使用能力。 【实验内容】 本实验需要完成的内容如本实验需要完成的内容如下： 引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观 察病毒发作的现象和步骤学习病毒的感染机制察病毒发作的现象和步骤学习病毒的感染机制；阅读和阅读和 分析病毒的代码。 DOSD