DOS病毒基本原理與DOS病毒分析

1、1會(huì)計(jì)學(xué)DOS病毒基本原理與病毒基本原理與DOS病毒分析病毒分析病毒在感染前的病毒在感染前的Var2位置位置病毒感染病毒感染HOST后后Var2的位置的位置變量Var2VIRUS00400000004010 xx變量Var2的實(shí)際位置HOST變量Var2VIRUS00400000004010 xx第2頁(yè)/共24頁(yè)var1的形式進(jìn)行變量var1的重定位第3頁(yè)/共24頁(yè)引導(dǎo)型病毒基本原理引導(dǎo)型病毒基本原理引導(dǎo)型病毒引導(dǎo)型病毒13H中斷中斷帶 毒 硬 盤 引 導(dǎo)BIOS將 硬 盤 主 引 導(dǎo) 區(qū)讀 到 內(nèi) 存 0:7C00處控 制 權(quán) 轉(zhuǎn) 到 主 引 導(dǎo) 程 序(病 毒 )將 0:413單 元 的

2、值減 少 1K(或 nK)計(jì) 算 可 用 內(nèi) 存 高 端 地 址 ，將 病 毒 移 到 高 端 繼 續(xù) 執(zhí) 行修 改 INT 13H地 址 ， 指 向 病 毒 傳 染 段 ，將 原 INT 13H地 址 保 存 在 某 一 單 元病 毒 任 務(wù) 完 成 ，將 原 引 導(dǎo) 區(qū) 調(diào) 入 0:7C00執(zhí) 行系 統(tǒng) 正 常 引 導(dǎo)病毒13H中斷入口在讀寫軟盤?此軟盤有毒?對(duì)其傳染執(zhí)行原INT 13H否否是是第4頁(yè)/共24頁(yè)第5頁(yè)/共24頁(yè)量，也可發(fā)現(xiàn)病毒的存在第6頁(yè)/共24頁(yè)提取引導(dǎo)區(qū)提取引導(dǎo)區(qū)C:debugC:debug-L100 -L100 盤號(hào)盤號(hào) 0 10 1-n dosboot.62s-n

3、dosboot.62s-rcx-rcxCX 0000CX 0000:200:200-W-W-Q-Q覆蓋引導(dǎo)區(qū)覆蓋引導(dǎo)區(qū)C:debugC:debug-n dosboot.62s-n dosboot.62s-L-L-w100 -w100 盤號(hào)盤號(hào) 0 10 1-q-q第7頁(yè)/共24頁(yè)第8頁(yè)/共24頁(yè)第9頁(yè)/共24頁(yè)n備份主引導(dǎo)扇區(qū)/引導(dǎo)扇區(qū)，清除引導(dǎo)型病毒時(shí)，只需將備份內(nèi)容寫回相應(yīng)扇區(qū)即可第10頁(yè)/共24頁(yè)第11頁(yè)/共24頁(yè)文件型病毒的基本原理文件型病毒的基本原理運(yùn)行含有病毒的HOST程序HOST程序和病毒均載入內(nèi)存時(shí)機(jī)成熟?病毒發(fā)作有其它無(wú)毒程序被載入內(nèi)存?感染被載入的程序HOST程序退出?病毒

4、常駐內(nèi)存HOST程序退出內(nèi)存文件大小膨脹YYY第12頁(yè)/共24頁(yè)P(yáng)SP程序代碼數(shù)據(jù)堆棧地址內(nèi)容xxxx:0000CS、DS、SS、ESCS:IP=CS:0100SS:SP=SS:FFFFPROMPT=$P$G 00PATH=C:DOS;C:TASMBIN 00COMSPEC=C:COMMAND.COM 0000C:VIRUSHOSTHOST_COM.COM 00環(huán)境段的內(nèi)容:第13頁(yè)/共24頁(yè)病毒在病毒在.COM文件頭部文件頭部病毒在病毒在.COM文件尾部文件尾部病毒HOSTHOST前3字節(jié)被修改JMP XXXX:XXXXHOST病毒第14頁(yè)/共24頁(yè)運(yùn)行病毒代碼保存當(dāng)前目錄路徑信息找到？在當(dāng)

5、前目錄搜索.COM文件搜索下一個(gè).COM文件清除文件屬性以讀寫方式打開目標(biāo)文件host_?已感染？寫入感染標(biāo)志寫入病毒代碼在文件首添加JMP恢復(fù)文件日期關(guān)閉文件恢復(fù)文件屬性達(dá)到感染次數(shù)？爆發(fā)：顯示感染信息恢復(fù)當(dāng)前路徑信息在內(nèi)存中恢復(fù)宿主退出？退出將控制權(quán)轉(zhuǎn)交給宿主將上一級(jí)目錄作為新的當(dāng)前目錄當(dāng)前目錄是根目錄？否是否是否是否是第15頁(yè)/共24頁(yè)第16頁(yè)/共24頁(yè)C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件長(zhǎng)度文件長(zhǎng)度:50 :50 文件長(zhǎng)度減去文件長(zhǎng)

6、度減去1D6h(1D6h(病毒長(zhǎng)度病毒長(zhǎng)度) )-m103 L50 100 -m103 L50 100 把從把從103h103h到文件尾的代碼寫回原文件到文件尾的代碼寫回原文件-w-wWrinting 50 bytesWrinting 50 bytes-q-qC:ren host_com host_C:ren host_com host_第17頁(yè)/共24頁(yè)EXE文件結(jié)構(gòu)文件結(jié)構(gòu)EXE文件的內(nèi)存映像文件的內(nèi)存映像偏偏移移量量?jī)?nèi)內(nèi) 容容00h-01hMZ EXE文件標(biāo)記02h-03h文件最后一個(gè)扇區(qū)(頁(yè))字節(jié)數(shù)04h-05h文件的總扇區(qū)(頁(yè))數(shù)06h-07h重定位項(xiàng)的個(gè)數(shù)08h-09h文件頭大小除

7、16的商0ah-0bh程序運(yùn)行所需最小段數(shù)(16字節(jié)的倍數(shù))0ch-0dh程序運(yùn)行所需最大段數(shù)(16字節(jié)的倍數(shù))oeh-0fh初始化堆棧段(SS初值，相對(duì)于載入模塊)10h-11h初始化堆棧指針(SP初值)12h-13h文件校驗(yàn)和14h-15h初始代碼段指針(IP初值)16h-17h初始代碼段段地址(CS初值，相對(duì)于載入模塊)18h-19h第一個(gè)重定位項(xiàng)的偏移量1ah-1bh覆蓋號(hào)重定位表.格式化區(qū)文件頭載入模塊PSP數(shù)據(jù)程序代碼堆棧地址內(nèi)容xxxx:0000DS、ESDS:0100CS:IPSS:SP第18頁(yè)/共24頁(yè)何，清除過(guò)程基本上是病毒感染的逆過(guò)程第19頁(yè)/共24頁(yè)運(yùn)行含有病毒的程序H

8、OST和病毒均載入內(nèi)存時(shí)機(jī)成熟?病毒發(fā)作感染其它BOOT區(qū)和文件HOST退出?病毒常駐內(nèi)存HOST退出內(nèi)存文件大小膨脹YY傳染內(nèi)存感染自己的BOOT區(qū)第20頁(yè)/共24頁(yè)第21頁(yè)/共24頁(yè)病毒寫入引導(dǎo)扇區(qū)第22頁(yè)/共24頁(yè)第23頁(yè)/共24頁(yè)n后修改入口地址，以便激活自己并感染引導(dǎo)扇區(qū)和文件n病毒的加密變形第24頁(yè)/共24頁(yè)第5頁(yè)/共24頁(yè)量，也可發(fā)現(xiàn)病毒的存在第6頁(yè)/共24頁(yè)第9頁(yè)/共24頁(yè)文件型病毒的基本原理文件型病毒的基本原理運(yùn)行含有病毒的HOST程序HOST程序和病毒均載入內(nèi)存時(shí)機(jī)成熟?病毒發(fā)作有其它無(wú)毒程序被載入內(nèi)存?感染被載入的程序HOST程序退出?病毒常駐內(nèi)存HOST程序退出內(nèi)存文件大小膨脹YYY第12頁(yè)/共24頁(yè)C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件長(zhǎng)度文件長(zhǎng)度:50 :50 文件長(zhǎng)度減去文件長(zhǎng)度減去1D6h(1D6h(病毒長(zhǎng)度病毒長(zhǎng)度) )-m103 L50 100 -m103