第五讲DOS病毒原理分析.ppt

《计算机病毒分析与对抗》第五讲Dos病毒原理 武汉大学计算机学院 彭国军 guojpeng@whu.edu.cn 本讲的内容提纲 5.1引导区病毒 5.2文件型病毒 5.3混合型病毒 5.1 引导区病毒 所谓引导区病毒是指专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒程序。 如果被感染的磁盘被作为系统启动盘使用，则在启动系统时，病毒程序即被自动装入内存，从而使现行系统感染上病毒。 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。 5.1.1主引导记录 主引导记录是用来装载硬盘活动分区的BOOT扇区的程序。 主引导记录存放于硬盘0道0柱面1扇区，长度最大为一个扇区。 从硬盘启动时，BIOS引导程序将主引导记录装载至0：7C00H处，然后将控制权交给主引导记录。 DOS主引导程序流程 5.1.2引导型病毒的主要特点1 1、引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。 2、引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。 引导型病毒的主要特点2 3、引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次。 因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。 4、引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。 5.1.3带毒系统引导过程 5.1.4病毒修改后的INT 13中断功能 5.1.5 大麻病毒特点 “大麻”病毒又名“石头”病毒，英文名称分别为MarIJUANA和Stone，属于系统型的恶性病毒。 它专门感染软盘引导扇区和硬盘主引导扇区，破坏软盘的文件目录表和硬盘的文件分配表，从而造成磁盘文件的大量丢失，甚至于导致硬盘无法启动。 如果感染了“大麻”病毒的系统软盘启动系统，当满足发作条件时，往往出现以下提示信息： Your?PC?is?now?Stoned! LEGALISE?MARIJUANA! 大麻病毒相关特征 大麻病毒很短小,仅1B8H字节的代码就完成以下功能： 驻留内存 修改中断向量 感染软盘、感染硬盘 引导原硬盘主引导扇区 显示时机判断、显示信息以及大麻病毒感染标志判断以防止重复感染 大麻病毒功能分析 对于软盘来说，病毒程序占用磁盘的引导扇区，而将系统原引导扇区转移到l面0道3扇区，这一物理扇区对于360KB的软盘来说，属于软盘根目录区的最后一个扇区(逻辑0BH扇区)。 对于硬盘来说，病毒程序侵占了硬盘的主引导扇区，而将原主引导扇区的内容转移到0柱0面7扇区 在内存中,大麻病毒占用了2KB内存,实际只占用了1KB。 大麻病毒的感染特征 一个被感染“大麻”病毒的磁盘引导扇区，一般有下列特征： 扇区开始的指令代码为：“EA0500C0”。 从扇区的18AH偏移地址开始有字符串：“Your PC is now Stoned!。 大麻病毒表现模块的触发条件 实施表现的条件是，当从A驱动器启动系统时，时钟计数是8的整数倍，则显示下列提示信息： Your PC is now Stoned! LEGALLISE MARIJUANA! 5.2文件型病毒 我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。 5.2.1文件型病毒的主要功能调用 文件型病毒为了完成它的感染，首先需要查找目标文件，然后对目标文件进行读写操作。 这些操作都需要用到系统文件目录管理功能调用（INT 21H） 文件型病毒搜索、感染目标文件的常用中断 5.2.2文件型病毒-基本原理 文件型病毒-基本原理 5.2.3文件型病毒的种类 主要包括两类： COM病毒 EXE病毒 5.2.3.1COM文件型病毒 COM文件中的程序代码只在一个段内运行，文件长度不超过64K字节，其结构比较简单。 由于COM文件与EXE文件在结构上的不同，它们在调入执行时也有很大差别。 COM文件型病毒 COM文件型病毒的两种感染方法 5.2.3.2 EXE文件型病毒 这种病毒也是将自身病毒代码插在宿主程序中间或者前后，但是病毒代码是通过修改CS:IP指向病毒起始地址来获取控制权的。 5.3混合病毒 混合病毒是指那些即可以对引导区进行感染也可以对文件进行感染的病毒。但是这类病毒绝对不是引导区病毒和文件型病毒的简单相加。 引导区病毒是在引导DOS系统之前，它根本就无法用到文件系统中断调用21H，这应该如何解决呢？ 写一段专门查看21H中断地址是