计算机病毒和入侵检测第三章课件.pdf

第3章传统计算机病毒 刘功申 上海交通大学网络空间安全学院 本章学习目标 • 了解COM、EXE、NE、PE可执行文件格式 • 掌握引导型病毒原理及实验 • 了解BIOS和UEFI固件引导病毒 • 掌握COM文件病毒原理及实验 • 掌握PE文件型病毒及实验 • 掌握面向doc的宏病毒原理及实验 总体概念 • DOS病毒定格在5000多种 • DOS是VXer 的乐园(Aver) • 宏病毒是非常容易书写的恶意代码 • 9x病毒 ring3, ring0 • 2K病毒 主要是ring3 • Windows文件格式变迁： • COM • EXE:MZ-NE-PE • Vxd: LE(16Bit, 32Bit) 章节主要内容 • 一、引导型病毒编制原理及实验 • 二、BIOS和UEFI固件引导病毒 • 三、16位COM可执行文件病毒原理及实验 • 四、32位PE可执行文件病毒原理及实验 • 五、宏病毒原理、制作及实验 一、引导型病毒编 制原理及实验 • PC引导流程 CPU\BIOS 引导区、分 发现操作系统 加电 POST 自检 初始化 区表检查 执行引导程序 引导区病毒取得控制权的过程： 1 正常的引导过程 MBR和分 区表装载 运行DOS 加载IO.sys 加载ＤＯＳ 引导程序 MSDOS.sys DOS引导区 ２用被感染的软盘启动 引导型病毒 寻找DOS 将ＤＯＳ引导 病毒将自己写入 从软盘加载 引导区的 区移动到别的 原ＤＯＳ引导区 到内存 位置 位置 的位置 ３病毒在启动时获得控制权 MBR和分区表 原ＤＯＳ引导 将病毒的引导 运行病毒 病毒驻留 程序执行并加 程序加载入内存 引导程序 内存 载ＤＯＳ系统 引导区病毒实验 • 【实验目的】 • 通过实验，了解引导区病毒的感染对象和感染特征，重 点学习引导病毒的感染机制和恢复感染染毒文件的方法， 提高汇编语言的使用能力。 • 【实验内容】 • 本实验需要完成的内容如下： • 引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作 的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。 • DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒 发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。 • 【实验环境】 • VMWare Workstation 5.5.3 • MS-DOS 7.10 • 【实验素材】 • 附书资源experiment 目录下的bootvirus 目录。 实验过程 • 第一步：环境安装 • 安装虚拟机VMWare ，在虚拟机环境内安装MS- DOS 7.10环境。安装步骤参考附书资源。 • 第二步：软盘