DOS病毒基本原理与DOS病毒分析

1、1会计学DOS病毒基本原理与病毒基本原理与DOS病毒分析病毒分析病毒在感染前的病毒在感染前的Var2位置位置病毒感染病毒感染HOST后后Var2的位置的位置变量Var2VIRUS00400000004010 xx变量Var2的实际位置HOST变量Var2VIRUS00400000004010 xx第2页/共24页var1的形式进行变量var1的重定位第3页/共24页引导型病毒基本原理引导型病毒基本原理引导型病毒引导型病毒13H中断中断带 毒 硬 盘 引 导BIOS将 硬 盘 主 引 导 区读 到 内 存 0:7C00处控 制 权 转 到 主 引 导 程 序(病 毒 )将 0:413单 元 的

2、值减 少 1K(或 nK)计 算 可 用 内 存 高 端 地 址 ，将 病 毒 移 到 高 端 继 续 执 行修 改 INT 13H地 址 ， 指 向 病 毒 传 染 段 ，将 原 INT 13H地 址 保 存 在 某 一 单 元病 毒 任 务 完 成 ，将 原 引 导 区 调 入 0:7C00执 行系 统 正 常 引 导病毒13H中断入口在读写软盘?此软盘有毒?对其传染执行原INT 13H否否是是第4页/共24页第5页/共24页量，也可发现病毒的存在第6页/共24页提取引导区提取引导区C:debugC:debug-L100 -L100 盘号盘号 0 10 1-n dosboot.62s-n

3、dosboot.62s-rcx-rcxCX 0000CX 0000:200:200-W-W-Q-Q覆盖引导区覆盖引导区C:debugC:debug-n dosboot.62s-n dosboot.62s-L-L-w100 -w100 盘号盘号 0 10 1-q-q第7页/共24页第8页/共24页第9页/共24页n备份主引导扇区/引导扇区，清除引导型病毒时，只需将备份内容写回相应扇区即可第10页/共24页第11页/共24页文件型病毒的基本原理文件型病毒的基本原理运行含有病毒的HOST程序HOST程序和病毒均载入内存时机成熟?病毒发作有其它无毒程序被载入内存?感染被载入的程序HOST程序退出?病毒

4、常驻内存HOST程序退出内存文件大小膨胀YYY第12页/共24页PSP程序代码数据堆栈地址内容xxxx:0000CS、DS、SS、ESCS:IP=CS:0100SS:SP=SS:FFFFPROMPT=$P$G 00PATH=C:DOS;C:TASMBIN 00COMSPEC=C:COMMAND.COM 0000C:VIRUSHOSTHOST_COM.COM 00环境段的内容:第13页/共24页病毒在病毒在.COM文件头部文件头部病毒在病毒在.COM文件尾部文件尾部病毒HOSTHOST前3字节被修改JMP XXXX:XXXXHOST病毒第14页/共24页运行病毒代码保存当前目录路径信息找到？在当

5、前目录搜索.COM文件搜索下一个.COM文件清除文件属性以读写方式打开目标文件host_?已感染？写入感染标志写入病毒代码在文件首添加JMP恢复文件日期关闭文件恢复文件属性达到感染次数？爆发：显示感染信息恢复当前路径信息在内存中恢复宿主退出？退出将控制权转交给宿主将上一级目录作为新的当前目录当前目录是根目录？否是否是否是否是第15页/共24页第16页/共24页C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件长度文件长度:50 :50 文件长度减去文件长

6、度减去1D6h(1D6h(病毒长度病毒长度) )-m103 L50 100 -m103 L50 100 把从把从103h103h到文件尾的代码写回原文件到文件尾的代码写回原文件-w-wWrinting 50 bytesWrinting 50 bytes-q-qC:ren host_com host_C:ren host_com host_第17页/共24页EXE文件结构文件结构EXE文件的内存映像文件的内存映像偏偏移移量量内内 容容00h-01hMZ EXE文件标记02h-03h文件最后一个扇区(页)字节数04h-05h文件的总扇区(页)数06h-07h重定位项的个数08h-09h文件头大小除

7、16的商0ah-0bh程序运行所需最小段数(16字节的倍数)0ch-0dh程序运行所需最大段数(16字节的倍数)oeh-0fh初始化堆栈段(SS初值，相对于载入模块)10h-11h初始化堆栈指针(SP初值)12h-13h文件校验和14h-15h初始代码段指针(IP初值)16h-17h初始代码段段地址(CS初值，相对于载入模块)18h-19h第一个重定位项的偏移量1ah-1bh覆盖号重定位表.格式化区文件头载入模块PSP数据程序代码堆栈地址内容xxxx:0000DS、ESDS:0100CS:IPSS:SP第18页/共24页何，清除过程基本上是病毒感染的逆过程第19页/共24页运行含有病毒的程序H

8、OST和病毒均载入内存时机成熟?病毒发作感染其它BOOT区和文件HOST退出?病毒常驻内存HOST退出内存文件大小膨胀YY传染内存感染自己的BOOT区第20页/共24页第21页/共24页病毒写入引导扇区第22页/共24页第23页/共24页n后修改入口地址，以便激活自己并感染引导扇区和文件n病毒的加密变形第24页/共24页第5页/共24页量，也可发现病毒的存在第6页/共24页第9页/共24页文件型病毒的基本原理文件型病毒的基本原理运行含有病毒的HOST程序HOST程序和病毒均载入内存时机成熟?病毒发作有其它无毒程序被载入内存?感染被载入的程序HOST程序退出?病毒常驻内存HOST程序退出内存文件大小膨胀YYY第12页/共24页C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件长度文件长度:50 :50 文件长度减去文件长度减去1D6h(1D6h(病毒长度病毒长度) )-m103 L50 100 -m103