DOS病毒基本原理與DOS病毒分析

1、1會計學DOS病毒基本原理與病毒基本原理與DOS病毒分析病毒分析病毒在感染前的病毒在感染前的Var2位置位置病毒感染病毒感染HOST后后Var2的位置的位置變量Var2VIRUS00400000004010 xx變量Var2的實際位置HOST變量Var2VIRUS00400000004010 xx第2頁/共24頁var1的形式進行變量var1的重定位第3頁/共24頁引導型病毒基本原理引導型病毒基本原理引導型病毒引導型病毒13H中斷中斷帶 毒 硬 盤 引 導BIOS將 硬 盤 主 引 導 區(qū)讀 到 內(nèi) 存 0:7C00處控 制 權 轉 到 主 引 導 程 序(病 毒 )將 0:413單 元 的

2、值減 少 1K(或 nK)計 算 可 用 內(nèi) 存 高 端 地 址 ，將 病 毒 移 到 高 端 繼 續(xù) 執(zhí) 行修 改 INT 13H地 址 ， 指 向 病 毒 傳 染 段 ，將 原 INT 13H地 址 保 存 在 某 一 單 元病 毒 任 務 完 成 ，將 原 引 導 區(qū) 調(diào) 入 0:7C00執(zhí) 行系 統(tǒng) 正 常 引 導病毒13H中斷入口在讀寫軟盤?此軟盤有毒?對其傳染執(zhí)行原INT 13H否否是是第4頁/共24頁第5頁/共24頁量，也可發(fā)現(xiàn)病毒的存在第6頁/共24頁提取引導區(qū)提取引導區(qū)C:debugC:debug-L100 -L100 盤號盤號 0 10 1-n dosboot.62s-n

3、dosboot.62s-rcx-rcxCX 0000CX 0000:200:200-W-W-Q-Q覆蓋引導區(qū)覆蓋引導區(qū)C:debugC:debug-n dosboot.62s-n dosboot.62s-L-L-w100 -w100 盤號盤號 0 10 1-q-q第7頁/共24頁第8頁/共24頁第9頁/共24頁n備份主引導扇區(qū)/引導扇區(qū)，清除引導型病毒時，只需將備份內(nèi)容寫回相應扇區(qū)即可第10頁/共24頁第11頁/共24頁文件型病毒的基本原理文件型病毒的基本原理運行含有病毒的HOST程序HOST程序和病毒均載入內(nèi)存時機成熟?病毒發(fā)作有其它無毒程序被載入內(nèi)存?感染被載入的程序HOST程序退出?病毒

4、常駐內(nèi)存HOST程序退出內(nèi)存文件大小膨脹YYY第12頁/共24頁PSP程序代碼數(shù)據(jù)堆棧地址內(nèi)容xxxx:0000CS、DS、SS、ESCS:IP=CS:0100SS:SP=SS:FFFFPROMPT=$P$G 00PATH=C:DOS;C:TASMBIN 00COMSPEC=C:COMMAND.COM 0000C:VIRUSHOSTHOST_COM.COM 00環(huán)境段的內(nèi)容:第13頁/共24頁病毒在病毒在.COM文件頭部文件頭部病毒在病毒在.COM文件尾部文件尾部病毒HOSTHOST前3字節(jié)被修改JMP XXXX:XXXXHOST病毒第14頁/共24頁運行病毒代碼保存當前目錄路徑信息找到？在當

5、前目錄搜索.COM文件搜索下一個.COM文件清除文件屬性以讀寫方式打開目標文件host_?已感染？寫入感染標志寫入病毒代碼在文件首添加JMP恢復文件日期關閉文件恢復文件屬性達到感染次數(shù)？爆發(fā)：顯示感染信息恢復當前路徑信息在內(nèi)存中恢復宿主退出？退出將控制權轉交給宿主將上一級目錄作為新的當前目錄當前目錄是根目錄？否是否是否是否是第15頁/共24頁第16頁/共24頁C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件長度文件長度:50 :50 文件長度減去文件長

6、度減去1D6h(1D6h(病毒長度病毒長度) )-m103 L50 100 -m103 L50 100 把從把從103h103h到文件尾的代碼寫回原文件到文件尾的代碼寫回原文件-w-wWrinting 50 bytesWrinting 50 bytes-q-qC:ren host_com host_C:ren host_com host_第17頁/共24頁EXE文件結構文件結構EXE文件的內(nèi)存映像文件的內(nèi)存映像偏偏移移量量內(nèi)內(nèi) 容容00h-01hMZ EXE文件標記02h-03h文件最后一個扇區(qū)(頁)字節(jié)數(shù)04h-05h文件的總扇區(qū)(頁)數(shù)06h-07h重定位項的個數(shù)08h-09h文件頭大小除

7、16的商0ah-0bh程序運行所需最小段數(shù)(16字節(jié)的倍數(shù))0ch-0dh程序運行所需最大段數(shù)(16字節(jié)的倍數(shù))oeh-0fh初始化堆棧段(SS初值，相對于載入模塊)10h-11h初始化堆棧指針(SP初值)12h-13h文件校驗和14h-15h初始代碼段指針(IP初值)16h-17h初始代碼段段地址(CS初值，相對于載入模塊)18h-19h第一個重定位項的偏移量1ah-1bh覆蓋號重定位表.格式化區(qū)文件頭載入模塊PSP數(shù)據(jù)程序代碼堆棧地址內(nèi)容xxxx:0000DS、ESDS:0100CS:IPSS:SP第18頁/共24頁何，清除過程基本上是病毒感染的逆過程第19頁/共24頁運行含有病毒的程序H

8、OST和病毒均載入內(nèi)存時機成熟?病毒發(fā)作感染其它BOOT區(qū)和文件HOST退出?病毒常駐內(nèi)存HOST退出內(nèi)存文件大小膨脹YY傳染內(nèi)存感染自己的BOOT區(qū)第20頁/共24頁第21頁/共24頁病毒寫入引導扇區(qū)第22頁/共24頁第23頁/共24頁n后修改入口地址，以便激活自己并感染引導扇區(qū)和文件n病毒的加密變形第24頁/共24頁第5頁/共24頁量，也可發(fā)現(xiàn)病毒的存在第6頁/共24頁第9頁/共24頁文件型病毒的基本原理文件型病毒的基本原理運行含有病毒的HOST程序HOST程序和病毒均載入內(nèi)存時機成熟?病毒發(fā)作有其它無毒程序被載入內(nèi)存?感染被載入的程序HOST程序退出?病毒常駐內(nèi)存HOST程序退出內(nèi)存文件大小膨脹YYY第12頁/共24頁C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件長度文件長度:50 :50 文件長度減去文件長度減去1D6h(1D6h(病毒長度病毒長度) )-m103 L50 100 -m103