DOS病毒的基本原理与DOS病毒分析.ppt

计算机病毒与反病毒技术 主要内容 病毒重定位的含义与基本方法引导型病毒的基本原理文件型病毒的基本原理感染COM文件的基本方法及COM文件病毒的清除感染EXE文件的基本方法及EXE文件病毒的清除 第4章DOS病毒的基本原理与DOS病毒分析 4 1 1病毒为什么需要重定位 病毒不可避免也要用到变量 常量 当病毒感染HOST程序后 由于其依附到不同HOST程序中的位置各有不同 病毒随着HOST载入内存后 病毒中的各个变量 常量 在内存中的位置自然也会随着发生变化 4 1病毒的重定位 病毒在感染前的Var2位置 病毒感染HOST后Var2的位置 4 1 2病毒如何重定位 calldelta 这条语句执行之后 堆栈顶端为delta在内存中的真正地址delta popebp 这条语句将delta在内存中的真正地址存放在ebp寄存器中 leaeax ebp offsetvar1 offsetdelta 这时eax中存放着var1在内存中的真实地址如果病毒程序中有一个变量var1 那么该变量实际在内存中的地址应该是ebp offsetvar1 offsetdelta 即参考量delta在内存中的地址 其它变量与参考量之间的距离 其它变量在内存中的真正地址有时候我们也采用 ebp offsetdelta offsetvar1的形式进行变量var1的重定位 4 1病毒的重定位 4 2 1引导型病毒的基本原理 4 2引导型病毒 引导型病毒基本原理 引导型病毒13H中断 4 2 2引导型病毒的触发与INT13H 引导型病毒的触发用染毒盘启动计算机时 引导型病毒先于操作系统获取系统控制权 被首次激活 处于动态因首次激活时修改INT13H入口地址使其指向病毒中断服务程序 从而处于可激活态当系统 用户进行磁盘读写时调用INT13H 调用的实际上是病毒的中断服务程序 从而激活病毒 使病毒处于激活态病毒被激活之后 即可根据感染条件实施暗地感染 根据爆发破坏条件破坏系统并表现自己调用BIOS磁盘服务功能读写扇区调用INT13H子功能02H读扇区调用INT13H子功能03H写扇区 4 2引导型病毒 4 2 3引导型病毒样例分析 参见源代码 该引导型病毒 通过截流盗取INT13H中断监视系统的运行并感染软盘引导扇区 硬盘主引导扇区感染前在相应扇区备份引导扇区 主引导扇区通过分析MBR或DBR 或将其与正常的MBR DBR进行比较 若发现异常 可以断定感染了引导型病毒病毒修改中断向量 通过分析比较中断向量 也可发现病毒的存在 4 2引导型病毒 4 2 3引导型病毒样例分析 示例病毒的清除方法比较简单 将病毒备份的扇区内容或感染前我们主动备份的引导扇区 主引导扇区内容 写入软盘引导扇区 硬盘主引导扇区即可 4 2引导型病毒 4 2 3引导型病毒样例分析 在恢复引导区之前 应清除内存中的病毒或使内存中的病毒处于灭活状态用干净软盘引导启动系统 可以清除内存中的病毒 也可采用如下方法将内存中的病毒灭活 在无毒环境下 例如用无毒的同版本系统盘启动 用无毒的Debug将中断向量表取出存在一个文件中当内存中有病毒时用上述文件覆盖中断向量表 中断向量表恢复正常 内存中通过修改向量表截流盗取中断向量的病毒将无法再激活 4 2引导型病毒 4 2 4引导型病毒的特点与清除 引导型病毒的几个技术要点与特点驻留内存隐形技术加密技术引导型病毒的优点隐蔽性强 兼容性强 只要编写的好 是不容易发现的通用于DOS Windows Windows9x操作系统引导型病毒的缺点传染速度慢杀毒容易 4 2引导型病毒 4 2 4引导型病毒的特点与清除 引导型病毒的判断与清除由于引导程序本身完成的功能比较简单 所以我们可以判断该引导程序的合法性 看JMP指令的合法性 病毒驻留在内存 时刻监视系统的运行 伺机感染 缩小内存大小值 影响读写文件速度 检查引导扇区 检查内存容量可以发现病毒如果主引导区感染了病毒 用格式化程序FORMAT不能清除该病毒 BR病毒可以用FORMAT清除 可以用FDisk MBR命令修复MBR 清除该病毒 但可能导致硬盘主分区信息丢失而造成用户数据丢失备份主引导扇区 引导扇区 清除引导型病毒时 只需将备份内容写回相应扇区即可 4 2引导型病毒 4 3 1文件型病毒的基本原理 无论是 COM文件还是 EXE文件 还是操作系统的可执行文件 包括 SYS OVL PRG DLL文件 当启动已感染文件型病毒的程序 HOST程序 时 暂时中断该程序 病毒完成陷阱 激活条件 的布置 感染工作后 再继续执行HOST程序 使计算机使用者初期觉得可正常执行 而实际上 在执行期间 病毒已暗做传染的工作 时机成熟时 病毒发作文件型病毒寄生在文件中 这是文件型病毒与引导型病毒的差别所在 4 3文件型病毒的基本原理 4 3 1文件型病毒的基本原理 文件型病毒的基本原理 4 3文件型病毒的基本原理 4 3 2感染COM文件 COM文件结构比较简单 是一种单段执行结构 COM文件包含程序的一个绝对映像其文件代码和运行时内存映像完全相同 起始执行偏移地址为100H 对应于文件的偏移0MS DOS通过直接把该映像从文件拷贝到内存而加载 COM程序 不作任何改变 4 3文件型病毒的基本原理 4 3 2感染COM文件 病毒感染 COM文件一般有两种方法 一种是将病毒加在 COM前部 一种是加在文件尾部 4 3文件型病毒的基本原理 病毒在 COM文件头部 病毒在 COM文件尾部 4 3 2感染COM文件 示例病毒com v主流程 4 3文件型病毒的基本原理 4 3 2感染COM文件 感染原理与清除本示例病毒通过在宿主程序前添加3字节 跳转到病毒代码的3字节JMP指令 在运行宿主程序时即获取控制权限 搜索并感染目标文件 每感染一个目标文件 感染计数器增1 若感染数量达到设定值 则爆发 显示 Virusinfectiontest 等信息 用二进制编辑工具软件或Debug去掉host 首部的3字节跳转指令及文件尾部的病毒体和病毒标签即可手工 摘除 该病毒如果病毒采用插入方式感染 清除病毒的方法和过程将更复杂 4 3文件型病毒的基本原理 4 3 2感染COM文件 4 3文件型病毒的基本原理 4 3 3感染EXE文件 EXE文件采用多段结构 EXE文件结构 EXE文件的内存映像 4 3文件型病毒的基本原理 4 3 3感染EXE文件 EXE文件病毒样例感染原理及其清除示例病毒exe v只感染当前目录下的尚未感染的 EXE文件exe 只是简单地判断查找到的文件是否是有效的 EXE文件 如果有效且无感染标志 则将病毒体 追加 到目标文件尾部 然后修改文件头 以适应文件长度的变化 设置程序入口地址址向病毒 并在文件头中置感染标志 BF 清除 EXE文件中的病毒 相对清除 COM文件中的病毒 过程更繁琐 除了要 摘除 染毒文件中的病毒体 还要恢复文件头 但无论如何 清除过程基本上是病毒感染的逆过程 4 3文件型病毒的基本原理 混合型病毒的基本原理 混合型病毒 有时也称多型病毒 是结合了引导型和文件型两种病毒 而互为感染的病毒 感染文件和引导扇区两种目标 这样的病毒 通常都具有复杂的算法 它们使用非常规的办法侵入系统 同时使用了加密和变形算法 4 4混合型病毒的基本原理 4 5 1Monkey病毒分析 Monkey病毒 即猴子病毒 传播硬盘和软盘的引导区 总长度为01F4H 500字节 它将原引导记录加密后保存 在系统读出时先解密再送出 结果造成病毒不在内存中时 系统无法得到正常的引导记录 以至对所有硬盘分区无法访问 只有用带病毒的盘启动时 才能正常访问硬盘检测时可以用干净盘启动 再用DISKEDIT编辑物理硬盘0柱面0磁道1扇区的主引导记录 对比以下源代码相同偏移处的内容是否相同即可确认 4 5典型DOS病毒分析 4 5 1Monkey病毒分析 病毒的引导加载当病毒传染了引导记录后 系统启动时将病毒装入内存执行 然后病毒将系统内存减少1K 将自己隐藏在其中 并修改INT13H中断向量地址病毒的感染传播在引导模块 Monkey病毒修改INT13H中断向量入口地址 使其指向病毒代码 即新的INT13H程序 病毒利用该程序监视系统的磁盘访问 若存在INT13H调用 则激活病毒 病毒激活之后 首先判断时间与感染标志 满足感染条件时 将原引导记录加密存储备份 而将病毒写入引导扇区 4 5典型DOS病毒分析 4 5 1Monkey病毒分析 杀毒要点内存中的Monkey病毒最好用查找字符串的方法 如果找到特征字符串 可以把病毒中INT13H传染部分的有关代码跳过磁盘中的Monkey病毒 可以先读出有病毒的引导记录 再在病毒体中的00DA中得到原引导记录的扇区号 在00DC中得到磁头号 读出加密过的原引导记录 解密后再写入引导区 4 5典型DOS病毒分析 4 5 2Natas幽灵王病毒分析 Natas病毒 长度4744字节 变型加密部分长度近2K 故也称为4744病毒 由于病毒采用了变型技术 本身的形态几乎有无穷多种