第7章 计算机病毒编制关键技术及典型计算机.ppt

第7章 计算机病毒编制关键技术及典型计算机病毒 7.1 DOS病毒分析 7.2 Windows病毒分析 7.3 网络病毒分析 7.4 宏病毒分析 7.5 木马病毒分析 7.6 手机（GSM）病毒分析 习题 7.1 DOS病毒分析 7.1.1 引导型病毒 引导型病毒是指病毒侵入系统引导区，从而引发破坏行为的一种病毒特性。DOS启动时，绝大多数引导型病毒感染硬盘主引导扇区和DOS引导扇区。 1. DOS下的磁盘引导区结构 在DOS操作系统控制下，磁盘引导区一般由3部分组成：主引导记录（Main Boot Record）、磁盘分区表(Disk Partition Table，PDT)和主引导记录有效标志字。 （1） 硬盘的主引导记录结构 主引导记录结构如表7.1（见书178页）所示。 分区表自偏移1BEH处开始，共64个字节，每16个字节为一个分区说明项，存放分区结构信息，因此表中可填入4个分区信息。 硬盘主引导记录程序存放在分区表的0000H~00D9H处，它的功能是读出自举分区的Boot程序，并把控制转移到分区Boot程序。程序流程如下： ① 将本来读入到0000：7C00H处的硬盘主引导记录程序移至0000：61BH处； ② 顺序读入4个分区表的自举标志，以找出自举分区，若找不到，转而执行INT 18H的Boot异常执行中断程序； ③ 找到自举分区后，检测该分区的系统标志，若为32位FAT表或16位FAT表但支持13号中断的扩展功能，就转到执行13号中断的41号功能调用进行安装检验，检验成功，就执行42号扩展读功能调用把Boot区程序读入到内存0000：7C00H处，成功，跳到第⑤步，若读失败或系统标志为其他，就调用13号中断的读扇区功能调用把Boot读到0000：7C00H； ④ 用13号中断的读扇区功能时，用两种方式分别进行5次试读。第一种方式是直接从自举分区的头扇区读入Boot程序，若读成功，但结束标志不是55AA，则改用第二种方式，又如果用第一种方式试读5次均不成功，就改用第二种方式。若两种方式试读均失败，就转到出错处理程序； ⑤ 读入Boot区程序成功，转至0000：7C00H处执行Boot程序。 （2） 分区表结构 分区表占据偏移地址1BEH~01FDH范围的空间，共64B，每16B为一个分区说明项，存放分区结构信息，如表7.2（见书179页）所示。 ① 每一个分区表中扩展分区说明项实际上指示下一个分区表的位置（簇、磁头号、扇区号）。最后一个分区表没有扩展分区说明项。 ② 每一个分区表都会有一个实际分区说明项，也就是对逻辑盘的实际起始、终止位置进行说明。 ③ 除逻辑盘主引导记录及分区表共占用一个扇区，其他分区表则各占一个扇区，自该扇区01BEH处开始，以55AAH结束。 2. 引导型病毒的运行机制 引导型病毒是把原来的主引导记录保存后用自己的程序替代掉原来的主引导记录。启动时，当病毒体得到控制权，在做完了处理后，病毒将保存的原主引导记录读入0000：7C00H处，然后将控制权交给原主引导记录进行启动。这类病毒的感染途径是通过磁盘操作引起的。例如，当用一个染毒的系统软盘启动计算机时，就有可能将病毒传染给硬盘，从而引起硬盘引导区染毒；同样，当某软盘在一台染毒的计算机上运行时，硬盘上的病毒就可能感染软盘。 因此，引导型病毒能否成功运行的关键技术涉及有以下几个方面：保存主引导记录、调用BIOS磁盘服务功能、寻找病毒感染途径和病毒驻留位置。 （1） 保存原始主引导记录 众所周知，文件型病毒用以保存被感染修改的部分是文件。引导型病毒是否也可以使用文件存储被覆盖的引导记录呢？答案是否定的。由于主引导记录病毒先于操作系统执行，因而不能使用操作系统的功能调用，而只能使用BIOS的功能调用或者使用直接的I/O设计。一般使用BIOS的磁盘服务将主引导记录保存于绝对的扇区内。由于0道0面2扇区是保留扇区，因而通常使用它来保存。 （2） BIOS磁盘服务功能的调用 在引导型病毒的程序代码中，常常会用到BIOS磁盘服务功能的调用，INT 13H中断调用子功能02H、03H能进行磁盘读写操作，因此，常被病毒代码利用。 利用INT 13H子功能 02H调用读扇区入口为：AH=02H，AL=读入的扇区数，CH=磁道号，CL=扇区号（从1开始），DH=头号，DL=物理驱动器号，ES:BX-要填充的缓冲区；返回值为：当CF置位时表示调用失败，AH=状态，AL=实际读入的扇区数。 利用INT 13H子功能03H调用写扇区入口为：AH=03H，AL=写入的扇区数，CH=磁道号，CL=扇区号（从1开始），DH=头号，DL=物理驱动器号，ES:BX-缓冲区；返回值为：当CF置位时表示调用失败，AH=状态，AL=实际写入的扇区