東華大學(xué)計(jì)算機(jī)病毒實(shí)驗(yàn)一引導(dǎo)型病毒實(shí)驗(yàn)報(bào)告材料

1、文檔 實(shí)驗(yàn)一 引導(dǎo)型病毒實(shí)驗(yàn) 1. 實(shí)驗(yàn)?zāi)康?通過(guò)實(shí)驗(yàn)，了解引導(dǎo)區(qū)病毒的感染對(duì)象和感染特征，重點(diǎn)學(xué)習(xí)引導(dǎo)病毒的感染機(jī)制和恢復(fù)感染染毒文件的方法，提高匯編語(yǔ)言的使用能力。 2. 實(shí)驗(yàn)內(nèi)容 本實(shí)驗(yàn)需要完成的內(nèi)容如下： 引導(dǎo)階段病毒由軟盤(pán)感染硬盤(pán)實(shí)驗(yàn)。通過(guò)觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象 和步驟，學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。 DOS運(yùn)行時(shí)病毒由硬盤(pán)感染軟盤(pán)的實(shí)現(xiàn)。通過(guò)觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟，學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。 3. 實(shí)驗(yàn)環(huán)境 VMWare Workstation 5.5.3 MS-DOS 7.10 4. 實(shí)驗(yàn)步驟與結(jié)果 第一步： 1、 打開(kāi)VMware

2、Workstation，新建虛擬機(jī)，過(guò)程如下： 然后點(diǎn)next，點(diǎn)NEXT, 硬盤(pán)大小可自行分配，大概1G左右就ok,一直到完成為止。 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 第二步：MYDOS 裝 1安 文檔 到為，AGREE動(dòng)虛擬機(jī)電源，自動(dòng)從虛擬軟驅(qū)進(jìn)入安裝過(guò)程，一路點(diǎn)2 啟NEXT reboot的硬盤(pán)區(qū)，點(diǎn)擊，然后。fat32虛擬機(jī)系統(tǒng)生成一塊 文檔 而后選擇安yes,到重寫(xiě)，AGREEMBR 選次進(jìn)入安裝引導(dǎo)過(guò)程，一路點(diǎn)3 再NEXTadd-on安裝。并取消DOS onlydos71裝目錄C：目錄。在選擇DOS commands 。的安裝復(fù)

3、選項(xiàng)。然后一路點(diǎn)NEXT，AGREEenable umb memory 選擇 IDE/ATAPI 和在下一個(gè)頁(yè)面里選擇load both cd/dvd 文檔 文檔 文檔 文檔 第三步：步驟如課本實(shí)驗(yàn)一 行虛擬機(jī)，檢查目前虛擬硬盤(pán)是否含有病毒。1 運(yùn) 加入軟驅(qū)，運(yùn)行虛擬機(jī)：將2 virus.img 文檔 文檔 刪除虛擬軟盤(pán)，通過(guò)硬盤(pán)引導(dǎo)3、 DOS系統(tǒng)按任意鍵進(jìn)入 文檔 快速格式化軟盤(pán)。 、通過(guò)命令format A:/q 4 文檔 empty.img軟驅(qū)中加入引導(dǎo)。如下： 5、 文檔 5. 病毒代碼分析 傳染模塊主要代碼及傳染過(guò)程說(shuō)明； i. 2 ，為;cx此時(shí)為1inc cx mov ds:s

4、i+offset reg_cx,cx 寫(xiě)入一個(gè)扇區(qū)mov ax, 0301h ; 面的0;寫(xiě)入硬盤(pán)mov dx, 0080h 1 ;開(kāi)始寫(xiě)入 int 13h boot_dos jb boot_dos ;不成功轉(zhuǎn)到 個(gè)字 mov cl, 21h 33;準(zhǔn)備搬移 mov di, 01beh ;從內(nèi)存高端的03beh搬移到 01beh，此處正是病毒程序的駐留區(qū)mov si, 03beh ;內(nèi)存高端的 開(kāi)始搬移rep movsw ; mov ax, 0301h ;準(zhǔn)備向硬盤(pán)寫(xiě)入一個(gè)扇區(qū)xor bx, bx 1 置 inc cx ;cx 扇區(qū)0面道10int 13h ; 寫(xiě)入物理硬盤(pán)call near

5、ptr install int 13h 安裝病毒的; 文檔 mov dx, 0080h ;讀硬盤(pán)0head ;開(kāi)始讀取 /* 讀取正常的引導(dǎo)扇 int 13h 區(qū),以備安裝 病毒的int 13h 后正常啟動(dòng) call near ptr install 傳染過(guò)程說(shuō)明： 先判斷機(jī)器從哪里啟動(dòng)，如是從硬盤(pán)啟動(dòng),直接安裝病毒到int 13h,通過(guò)int 13h 感染軟盤(pán)。讀取軟盤(pán)0面0道1扇區(qū)到病毒常駐段偏移地址為0200h，讀取成功轉(zhuǎn)read_succ處理，否則軟驅(qū)復(fù)位。讀取操作次數(shù)減1，不為0再次讀取，否則退出。讀取成功后，以vir_init處一個(gè)字的機(jī)器碼為特征碼進(jìn)行比較，判斷軟盤(pán)是否已經(jīng)染毒，

6、如果未染毒，則進(jìn)行傳染。若已染毒，則退出。 若是從軟盤(pán)啟動(dòng)，需傳染硬盤(pán)。將讀到的正常引導(dǎo)記錄保存道0道2扇，寫(xiě)入一個(gè)扇區(qū)，再寫(xiě)入硬盤(pán)1的0面，寫(xiě)入不成功轉(zhuǎn)到boot_dos，判斷是否已被傳染。寫(xiě)入成功則準(zhǔn)備替換引導(dǎo)扇區(qū)，保留硬盤(pán)分區(qū)表，準(zhǔn)備搬移33個(gè)字，從內(nèi)存高端的03beh搬移到內(nèi)存高端的01beh，搬移后將cx置1，寫(xiě)入物理硬盤(pán)0面0道1扇區(qū)。 ii. 表現(xiàn)模塊的主要代碼及現(xiàn)象說(shuō)明； waitstart: loop waitstart call clearstr /顯示空字符串,抹去剛畫(huà)的笑臉?lè)?mov ax,0100h int 16h jz nextloop ret ;調(diào)用10h中斷將字

7、符串打印到屏幕上 dispstr: 文檔 mov ax, cs mov es, ax mov ax, offset bootmessage mov bp, ax ; es:bp = 串地址 ; cx = 串長(zhǎng)度 mov cx, 5 ; ah = 13, al = 01h mov ax, 01301h mov bx, 000ch (bl = 0ch,高亮) ; 頁(yè)號(hào)為0(bh = 0) 黑底紅字mov dh, 5 mov dl, col int 10h ; 10h 號(hào)中斷 ret ;用空格清除上一次的輸入 clearstr: mov ax, cs mov es, ax mov ax, offse

8、t clearmessage mov bp, ax mov cx, 5 mov ax, 01301h mov bx, 000ch mov dh, 5 mov dl, col int 10h ret 現(xiàn)象：黑屏幕上笑臉?lè)宰笞杂曳磸?fù)顯示，有動(dòng)態(tài)效果。 iii.說(shuō)明該病毒觸發(fā)傳染的條件； 文檔 病毒會(huì)將正常的引導(dǎo)記錄存在：硬盤(pán)，0面0道2扇區(qū)。取出的地址如果不是0道2扇區(qū)則系統(tǒng)一定是從軟盤(pán)啟動(dòng)，此時(shí)需要傳染硬盤(pán) 。如果是0道2扇區(qū)則一定從硬盤(pán)啟動(dòng),直接安裝 病毒到int 13h,通過(guò)int 13h 感染軟盤(pán)。 傳染硬盤(pán)時(shí)，要先讀硬盤(pán)0面0道1扇區(qū)得內(nèi)容到病毒駐留區(qū)段并偏移512個(gè)字節(jié)，把讀到的內(nèi)容

9、的第一個(gè)字取出與06ebh相比，判斷是否已被傳染。如果比較結(jié)果相等，說(shuō)明硬盤(pán)先前已傳染，就不再次傳染，直接調(diào)用子程序，安裝病毒的int 13h。不相等，說(shuō)明硬盤(pán)沒(méi)有被傳染，跳轉(zhuǎn)到傳染程序。 iv. 說(shuō)明病毒表現(xiàn)模塊觸發(fā)的條件。 開(kāi)啟電腦（或虛擬機(jī)），電腦（或虛擬機(jī)）開(kāi)始引導(dǎo)啟動(dòng)時(shí)，因?yàn)檎５囊龑?dǎo)的位置已變?yōu)椴《境绦颍源藭r(shí)立刻運(yùn)行病毒。將病毒的程序碼搬移到1k高地址區(qū)，置搬移數(shù)量及搬移目的地址的偏移地址(段地址es先前已放置)，開(kāi)始搬移256個(gè)字，也就是512個(gè)字節(jié)(一個(gè)扇區(qū))。再轉(zhuǎn)到藏身區(qū)繼續(xù)執(zhí)行 。病毒程序?qū)⒃?k的駐留地區(qū)繼續(xù)執(zhí)行，觸發(fā)表現(xiàn)模塊，程序即進(jìn)入黑屏幕上自左至右反復(fù)顯示笑臉?lè)闹餮h(huán)。 6. 總結(jié)與心得 本次實(shí)驗(yàn)過(guò)程為先建立一個(gè)虛擬機(jī)，運(yùn)行虛擬機(jī)，檢查虛擬硬盤(pán)是否含有病毒。 然后將有毒軟盤(pán)加入軟驅(qū)，這時(shí)病毒尋找DOS引導(dǎo)區(qū)的位置，并將DOS引導(dǎo)區(qū)移到其它位置，將自己寫(xiě)入原DOS引導(dǎo)區(qū)的位置。病毒占據(jù)物理位置并獲得控制權(quán)（在啟動(dòng)虛擬機(jī)時(shí)獲得）。病毒引導(dǎo)程序運(yùn)行后，病毒駐留內(nèi)存，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容。虛擬機(jī)運(yùn)行，發(fā)現(xiàn)虛擬機(jī)已經(jīng)染毒。 將染毒虛擬軟盤(pán)刪除，通過(guò)硬盤(pán)引導(dǎo)，病毒依然存在。 用format A:/q 格式化硬盤(pán)A盤(pán)后，運(yùn)行虛擬機(jī)，虛擬機(jī)依然有病毒。 通過(guò)此實(shí)驗(yàn)，我也算認(rèn)識(shí)到