4-DOS病毒分析.ppt

计算机病毒Computer Virus 傅建明 Fujms@； fujms@ 第四章 DOS病毒分析 4.1引导区病毒 4.2文件型病毒 4.3混合病毒 4.1 引导区病毒 引导区病毒是指专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒程序. 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。 4.1 引导区病毒 引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。 MBR病毒也称为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0面0道1扇区中。典型的病毒有大麻(Stoned)、2708、INT60病毒等。 BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇（即0面0道第1个扇区）。典型的病毒有Brain、小球病毒等。 4.1 引导区病毒 引导型病毒的主要特点为： 1、引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。 2、引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。 4.1 引导区病毒 3、引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次，因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。 4、引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。 大麻病毒分析 “大麻”病毒又名“石头”病毒，英文名称分别为MarIJUANA和Stone，属于系统型的恶性病毒。它专门感染软盘引导扇区和硬盘主引导扇区，破坏软盘的文件目录表和硬盘的文件分配表，从而造成磁盘文件的大量丢失，甚至于导致硬盘无法启动。如果感染了“大麻”病毒的系统盘启动系统，当满足发作条件时，往往出现以下提示信息： Your?PC?is?now?Stoned! ????LEGALISE?MARIJUANA! 大麻病毒分析 大麻病毒很短小,仅1B8H字节的代码就完成了驻留内存、修改中断向量、区别软硬盘、感染软盘、感染硬盘、引导原硬盘主引导扇区、显示时机判断、显示信息以及大麻病毒感染标志判断以防止重复感染等众多功能。 大麻病毒分析 对于软盘来说，病毒程序占用磁盘的引导扇区，而将系统原引导扇区转移到l面0道3扇区，这一物理扇区对于360KB的软盘来说，属于软盘根目录区的最后一个扇区(逻辑0BH扇区)。 对于硬盘来说，病毒程序侵占了硬盘的主引导扇区，而将原主引导扇区的内容转移到0柱0面7扇区。 在内存中,大麻病毒占用了2KB内存,实际只占用了1KB。 大麻病毒分析 一个被感染“大麻”病毒的磁盘引导扇区，一般有下列特征： (1)扇区开始的指令代码为：“EA0500C0”。 (2)从扇区的18AH偏移地址开始有字符串：“Your PC is now Stoned!。 大麻病毒分析 实施表现的条件是，当从A驱动器启动系统时，时钟计数是8的整数倍，则显示下列提示信息： Your PC is now Stoned! LEGALLISE MARIJUANA! 4.2文件型病毒 我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。理论上可以制造这样一个病毒，该病毒可以感染基本上所有操作系统的可执行文件。目前已经存在这样的文件病毒,它们可以感染所有标准的DOS可执行文件，包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COM／EXE可执行文件。 COM文件型病毒 COM文件型病毒 COM文件型病毒 C:\debug? -u 0CA4:0100?B8371E?MOV?AX,1E37? ;注意前三个字节的内容 0CA4:0103?BA3008?MOV?DX,0830 0CA4:0106?3BC4?CMP?AX,SP 0CA4:0108?7369?JNB?0173 0CA4:010A?8BC4?MOV?AX,SP 0CA4:010C?2D4403?SUB?AX,0344 0CA4:010F?90?NOP 0CA4:0110?25F0FF?AND?AX,FFF0 0CA4:0113?8BF8?MOV?DI,AX 0CA4:0115?B9A200?MOV?CX,00A2 0CA4:0118?90?NOP 0CA4:0119?BE7E01?MOV?SI,017E 0CA4:011C?FC?CLD 0CA4:011D?F3?REPZ 0CA4:011E?A5?MOVSW 0CA4:011F?8BD