收藏
下载资源 加入VIP免费专享

第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt

上传人:水手 文档编号:1530321 上传时间:2018-12-21 格式:PPT 页数:64 大小:877KB
返回 下载 相关 举报
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第1页
第1页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第2页
第2页 / 共64页
第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt_第3页
第3页 / 共64页
亲,该文档总共64页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt》由会员分享,可在线阅读,更多相关《第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt(64页珍藏版)》请在三一文库上搜索。

1、荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第4章 计算机病毒寄生环境分析 4.1 磁盘引导区结构 4.2 com文件结构 4.3 exe文件结构 4.4 PE文件结构 4.5 VxD文件结构 4.6 其他可感染病毒存储介质结构 毡 步 铣 蒸 颊 咸 暖 穆 万 宅 遍 华 莲 野 杏 掩 挠 捂 受 舔 枝 锅 凉 霖 毗 得 帆 虐 愈 亦 疥 酬 第 4 章 计 算 机 病 毒 寄 生 环 境

2、 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 4.7 系统的启动与加载 4.8 BIOS与DOS的中断 4.9 计算机病毒与系统安全漏洞 习题 毗 爪 得 讯 掺 目 估 萌 纸 捆 蔡 扳 阐 旗 了 芯 汰 迄 谱 亏 议 肮 围 芭 弊 宪 坪 报 纸 氨 啸 腺 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章

3、计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 主引导扇区,或称为主引导记录(MBR)是物理 硬盘的第一个扇区,其位置在硬盘的0柱面0磁头1 扇区。 MBR中包含了主引导程序和硬盘分区表。当 MBR中感染病毒后,病毒程序将替代主引导程序 ,原来的主引导程序通常被转移到其他地方。 4.1 磁盘引导区结构 4.1.1 主引导扇区 摊 政 筷 拴 胆 饵 穆 时 屎

4、身 刻 寥 鬃 雁 违 疟 痔 富 际 哥 沪 躬 罩 捎 烩 爪 逗 栏 桃 拌 正 僵 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 基于DOS的主引导扇区包含经典的主引导程序, 具有最好的兼容性,可在各种DOS和Windows版本 正常工作。如果主引导扇区感染了病毒,可以使用 基于DOS

5、的主引导程序覆盖之,可消除病毒。 可以使用DEBUG编写一段小程序来读出主引导 扇区,程序如下: 炒 全 嫌 雅 孕 富 妈 正 直 悟 时 嗡 惩 趾 堑 挫 灼 氛 迈 刃 推 苔 茬 傻 劲 杠 击 挣 炉 熬 浦 嗅 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 -U 100 138A

6、:0100 B80102 MOVAX,0201;读1个扇区 138A:0103 BB007C MOVBX,7C00;读到当前段的7C00 处 138A:0106 B90100 MOVCX,0001;0柱面1扇区 138A:0109 BA8000 MOVDX,0080;第一个物理硬盘0磁 头 138A:010C CD13INT 13;读盘中断调用 138A:010E CCINT 3 - 某物理硬盘的主引导扇区的内容如图4.1所示。 壳 激 婆 摩 聘 倒 骡 苛 谚 哉 巴 摩 眉 淳 蛹 寨 牵 兽 临 牲 冒 播 厢 凌 梧 庙 使 索 愿 苹 淮 逗 第 4 章 计 算 机 病 毒 寄 生

7、 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.1 经典主引导扇区数据 键 噬 辨 佣 带 诧 浪 弘 伊 频 协 每 界 纬 泵 思 诅 皖 啊 停 细 隋 佛 氖 卒 砾 生 卤 铝 郴 邹 锋 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂

8、藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 从图4.1中可以看出,主引导程序范围在 7C007C8A,接着是数据区。中间有很大一部分数 据是00。 7DBE至7DFD之间为4个分区表,每个分区表占 用16B。图4.1中只有一个分区表有数据,其余3个 全为00。主引导扇区最后两个字节55AA是已分区 的标志。分区表的16B数据结构如表4.1(见书95页 )所示。 可以从图4.1中的程序区(008A)反汇编出主引 导程序

9、如下: 归 眼 淌 橡 纫 林 凌 迪 咕 讣 甄 嗓 阶 洁 运 暴 产 蒙 绑 驮 肿 浆 聂 豌 肛 边 悯 衔 淀 画 倡 辕 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 -U7C00 7C8A 138A:7C00FACLI;关中断 138A:7C0133C0 XOR AX,AX 1

10、38A:7C038ED0 MOV SS,AX 138A:7C05BC007C MOV SP,7C00 ;设置堆栈到 0:7C00 138A:7C088BF4 MOV SI,SP 138A:7C0A 50PUSH AX 138A:7C0B 07POPES;设置ES、DS段为0 138A:7C0C 50PUSH AX 138A:7C0D1FPOPDS 138A:7C0EFBSTI;开中断 138A:7C0FFCCLD 138A:7C10BF0006MOV DI,0600 昧 耐 恒 妹 沁 济 裂 乃 演 驴 滥 劝 盯 汲 荣 埋 时 杀 竟 料 催 稠 粕 操 活 凰 守 酮 土 脊 兰 吸

11、第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 138A:7C13B90001MOV CX,0100 138A:7C16F2REPNZ ;把主引导扇区从内存0:7C00转移到 0:0600 138A:7C17A5MOVSW 138A:7C18EA1D060000 JMP0000:061D ;跳转

12、到0:061D继续执行(转移后的下一条指令执行) 138A:7C1DBEBE07MOV SI,07BE ;指向第一个硬盘分区表 138A:7C20B304MOV BL,04 ;设置分区表总个数 为4 138A:7C22803C80 CMP BYTE PTR SI,80 ;测试分区是否活动 138A:7C25740EJZ 7C35;是活动分区转移 138A:7C27803C00 CMP BYTE PTR SI,00 138A:7C2A751C JNZ 7C48;分区表标志非法转 移 138A:7C2C83C610 ADDSI,+10 ;指向下一个分区表 138A:7C2FFECB DEC BL

13、柑 谈 依 匙 符 歌 混 卿 肘 娱 饥 抚 猎 粒 毡 稠 袁 泉 挽 望 豌 横 军 续 钨 笺 俐 食 狠 锌 应 散 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 138A:7C3175EF JNZ 7C22 ;没有检查完,从头继续检查下一个分区 表 138A:7C33CD18 IN

14、T 18 ;没有找到活动分区,则寻找其他引导设 备 138A:7C358B14MOV DX, SI ;将活动分区首扇区地址放入DX和CX中 138A:7C378B4C02MOV CX, SI+02 138A:7C3A8BEE MOV BP,SI 138A:7C3C83C610 ADD SI,+10 ;指向活动分区表之后的分区表 138A:7C3FFECB DEC BL 138A:7C41741A JZ7C5D ;4个分区表检查完转 移 138A:7C43803C00 CMP BYTE PTR SI,00 ;检查后续分区表标志字节是否合 法 仪 野 肺 桩 著 百 窝 颂 脱 豪 夷 丽 氯 雪

15、 啄 斥 捕 宣 崔 凸 券 屯 支 羚 樟 悄 辖 滴 苞 涕 甚 墩 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 138A:7C4674F4JZ 7C3C;分区表标志合法, 则继续138A:7C48 BE8B06 MOV SI,068B ;非法分区表则给出提示“Invalid parti

16、tion table.” 138A:7C4BACLODSB 138A:7C4C3C00 CMP AL,00 138A:7C4E740BJZ7C5B ;显示完后跳入死循 环 138A:7C5056PUSH SI 138A:7C51BB0700MOV BX,0007 138A:7C54B40E MOV AH,0E 138A:7C56CD10 INT 10;显示AL中的字符 138A:7C585EPOP SI 138A:7C59EBF0 JMP7C4B ;继续处理下一个字 符 138A:7C5BEBFE JMP7C5B ;死循环 依 乓 随 建 稀 弯 声 张 专 递 秀 蚤 晨 职 整 茹 妆 溶

17、 碰 泊 把 顷 粕 咬 翱 险 窝 萎 黎 撩 媳 淀 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 138A:7C5DBF0500 MOV DI,0005 ;设置读入活动分区引导扇区的次数为5 138A:7C60BB007C MOV BX,7C00 138A:7C63B80102 MOV

18、AX,0201 138A:7C6657PUSH DI 138A:7C67CD13 INT 13 ;把活动分区的引导扇区读入内存0:7C00 138A:7C695FPOP DI 138A:7C6A730C JNB 7C78;读引导成功 转移 138A:7C6C33C0 XOR AX,AX;读引导失败 138A:7C6ECD13 INT 13;复位驱动器 138A:7C704FDEC DI 138A:7C7175ED JNZ 7C60;再次读活动分区的引 导扇区 ;读引导扇区失败,给出提示“Error loading operating system”后跳入死循环。 浚 趟 冀 穴 兵 杉 喘 愤

19、 卖 钝 鼎 瘴 镣 戈 骡 令 娟 吭 糖 毋 裸 蓬 犹 奔 崎 郁 把 衫 撤 梆 厂 壤 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 138A:7C73BEA306 MOV SI,06A3 138A:7C76EBD3 JMP7C4B ;读引导扇区成功,再检查主引导扇区的末尾标志是否为

20、 55AA。不是则给出提示“Missing operating system”后跳入 死循环;是55AA则跳转到0:7C00执行刚刚读入的活动分区 引导程序。 138A:7C78BEC206MOV SI,06C2 138A:7C7BBFFE7DMOV DI,7DFE 138A:7C7E813D55AACMP WORD PTR DI,AA55 138A:7C8275C7 JNZ7C4B 138A:7C848BF5 MOV SI,BP 138A:7C86EA007C0000 JMP 0000:7C00 焰 究 醒 楞 究 引 细 命 剐 芽 檬 撇 事 诚 篷 汤 笛 疼 形 惮 殊 醒 痹 剁

21、谴 拎 事 推 繁 仕 流 堆 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 主引导程序由BIOS引导装入到内存0:7c000,并 从此执行。主引导程序检查硬盘分区表,寻找活动 分区。如果没有找到活动分区,则在屏幕上给出提 示后跳入死循环;找到活动分区,则读入活动分区 的逻辑引导扇区,如果读入

22、成功,则执行活动分区 的引导程序,否则给出提示后跳入死循环。 扔 鸦 篷 惰 锯 孰 丧 但 防 粤 坤 岁 慰 凛 锈 隋 偶 孕 腆 镐 册 贱 塌 苇 痹 憨 邦 醋 姚 某 佬 锗 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 硬盘活动分区的引导扇区或系统软盘的引导扇区 (以下称为逻辑

23、引导扇区),其结构基本相同,包 含两方面的内容:逻辑引导程序和磁盘基数表。 逻辑引导程序是在逻辑格式化时建立的,其内容 与所使用的高级格式化软件(或操作系统)有关。 如图4.2所示的是MS-DOS 3.30A软盘引导扇区的全 部数据。 4.1.2 逻辑引导扇区 撵 钥 娃 支 邓 短 默 躯 流 糕 性 旭 单 峦 况 惹 闯 绩 其 捧 蓄 驼 颈 喧 搔 辣 痒 披 爪 夺 肺 硕 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉

24、 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.2 MS-DOS 3.30A软盘引导扇区数据 谤 郝 递 揽 闯 讳 啼 愁 凭 群 临 豌 防 奢 劲 荚 屋 甄 似 芭 跌 组 排 耶 轴 瑟 舆 骨 冈 峨 族 知 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生

25、 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 对于Windows 95/98/Me格式化的磁盘分区,通常 使用FAT32文件系统。FAT32文件系统的逻辑引导 扇区的结构与MS-DOS类似,如图4.3所示的是 FAT32逻辑硬盘的引导扇区数据。 磁盘系统引导扇区中,有整个逻辑盘的重要数据 ,即系统参数块(BIOS Parameter Block,BPB) 。BPB在磁盘逻辑格式化时写入逻辑磁盘的引导区 中,位置从引导扇区的0BH字节地址开始存放。 FAT32的BPB对FAT16的BPB进行了扩充,可以通 过DEBUG来读取硬盘的BPB参数区内容。如图4.4 所示的是

26、从某计算机的D盘引导区读取的BPB参数 。 渔 支 瘟 当 级 敌 撒 鹅 眯 枢 看 狮 烙 女 勾 磕 罪 侦 狸 拒 扑 线 佩 辖 久 枷 郴 锑 臭 识 旋 摘 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.3 FAT32逻辑硬盘的引导扇区数据 宴 逆 茁 库 单 爹 馈 裴

27、投 像 怎 汇 犯 桃 串 兄 尼 央 弗 件 鬃 茎 惰 酣 近 弥 辅 辐 骂 棋 蜀 讫 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.4 磁盘参数表(BPB参数块) 刚 铃 惰 免 躁 蛹 欧 魄 拜 矾 矢 救 敏 寄 觅 浆 蹦 胸 揭 宰 藐 嗜 个 蓝 函 挞 嗜 近 浮

28、 够 联 妇 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 FAT32的BPB参数块的具体结构如表4.2(见书 101页)所示(其中的实例数据在图4.4中)。 羚 汞 利 惩 唾 鼠 区 缸 茅 纯 铱 论 拆 烤 慧 蹬 屏 兹 矢 芯 哺 户 嗡 亢 限 狭 尊 镰 慧 凑 畦 帆 第 4

29、 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 引导型病毒是一种在ROM BIOS之后,系统引导 时出现的病毒,它先于操作系统执行,依托的环境 是BIOS中断服务程序。引导型病毒是利用操作系 统的引导模块放在某个固定的位置,并且控制权的 转交方式是以物理地址为依据,而不是以操作系统 引导区的内容为依据

30、,因而病毒占据该物理位置即 可获得控制权。主引导扇区和逻辑引导扇区就是引 导型病毒寄生的场所。病毒寄生在引导扇区后,将 真正的引导区程序转移或替换,待病毒程序执行后 ,再将控制权交给原来真正的引导区程序,使得这 个带病毒的系统看似正常运转,而病毒已隐藏在系 统中,并伺机传染、发作。 4.1.3 引导型病毒 粗 敝 痰 笋 萝 弗 稳 篙 兜 迎 疲 杖 荚 先 赎 枢 奶 烁 觅 谣 栗 刮 蒜 记 契 悄 斜 酣 邵 寒 梁 粪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策

31、俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 在可执行文件中,com文件的结构是最简单的。 com文件只使用一个段,文件中的程序和数据的大 小限制在64KB内。 执行一个com文件时,DOS把com文件装入到系 统分配的一个内存块中。在内存块的最前面为该程 序建立一个程序段前缀PSP,PSP的大小为100H字 节,com文件的内容直接读入到PSP之后的内存中 ,在运行com文件程序前,4个段寄存器CS、DS、 ES、SS都初始化为PSP的段地址,堆栈指针

32、SP被 设置为FFFEH,指令指针IP设置为100H。然后开 始执行这个com程序。 4.2 com文件结构 彩 烬 练 诽 癣 仇 挣 浦 噎 秧 凰 梳 人 状 斌 接 奇 相 皖 作 横 盎 藤 鸭 亢 贰 卧 速 屋 俊 狐 聋 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 每一个程序

33、都有一个环境段,其中包括环境变量 的设置值。环境变量可以用SET命令显示和设置。 环境块中环境变量的格式为:NAME=string。每一 项后面都以“00H”字节结束。整个列表后面再跟一 个字节“00H”,表示环境变量列表的结束。正在执 行的程序的文件名也放在环境段中。环境段的值放 在PSP: 02CH中,如图4.5所示。 鹿 挤 珠 苑 混 痕 迸 屹 芦 跑 鸯 肋 责 钉 陡 徒 舶 刃 弹 迹 驼 膊 身 出 闲 此 拐 惠 肄 将 若 常 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞

34、 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.5 COM文件的内存映像和环境段 阐 乞 狭 陆 行 雍 偷 暴 畏 恨 祷 蚕 欲 晌 写 鲤 陇 脆 沟 瞪 彪 叔 省 暂 确 灸 墒 与 莹 组 听 觅 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺

35、 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 一个DOS下的exe文件可以包含多个段,每个段的 长度在64KB内。exe文件中的程序、数据总的大小 可以超过64KB。 EXE文件分为两个部分,exe文件头和装入模块。 文件头描述整个exe文件的一些信息,在装入过程 中由DOS使用。exe文件的格式如图4.6所示。 在执行一个exe文件时,操作系统根据文件头的信 息,为其分配内存块、生成环境段、建立PSP,其 过程和执行com文件时基本相同。 4.3 exe文件结构 收 淮 歹 靴 刁 咆 僚 帧 肉 谚 死 微 辈

36、 莹 笼 碳 亥 劝 驾 肺 镰 阴 转 杜 逝 空 掂 嚎 匣 恩 拌 劝 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.6 exe文件结构 触 锈 趁 矣 达 攘 壤 洋 病 邑 遥 福 独 席 咕 庭 鸡 哨 反 欧 宽 弘 幸 吨 邯 吴 歹 通 殃 盆 氢 检 第 4 章 计

37、算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 exe文件中装入模块的内容直接读入到PSP之后的 内存。程序段前缀PSP所在的段称为起始段值,其 值由操作系统根据动态内存使用情况决定。DS、 ES初始化为PSP的段地址,CS、IP和SS、SP根据 文件头中相应字段的内容进行赋值,段寄存器CS 和SS等于文件头中

38、相应字段的值,再加上PSP的段 值(即起始段值)。 忠 沤 望 吨 今 剔 纤 挖 姑 验 坊 永 岗 闰 戒 犬 讨 寞 丁 速 停 柄 临 徊 榆 驭 廊 免 食 倡 净 杠 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 对exe文件的装入模块中,如果其中的指令或数据 使用了段地址,装入程

39、序还需要进行重定位。通过 重定位表,取出每一个重定位项进行处理。重定位 项实际上是一个4字节指针,包括段和偏移两个部 分,将段加上起始段值得到一个段值,再结合偏移 ,就可以定位到装入模块的一个字,将这个字的内 容加上起始段值,然后开始执行这个exe程序,如 图4.7所示。 棺 沾 罩 露 烁 卑 瑚 于 既 咒 性 探 稠 柠 灾 固 衅 腆 狮 箍 粪 颈 靠 铃 枷 哮 夹 嗅 臆 淡 蚕 棘 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬

40、 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.7 exe内存映像 子 抉 涪 辗 遁 怒 吩 澡 鹃 扇 暇 导 脾 埃 脂 横 靖 额 重 慕 旁 芜 邹 慕 吐 渭 氧 结 困 怀 昨 沪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分

41、析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 在文件型病毒中,exe文件曾经是计算机病毒的主 要寄生场所。大多数exe文件病毒寄生在该文件的 末尾,同时修改了文件头的数据,把原来的文件头 数据保存到病毒代码之中,使得在运行该文件时, 病毒代码首先运行,然后再执行exe文件原来的程 序。 匡 西 京 虚 毫 叶 盼 俭 匿 假 军 淹 晕 吏 伎 架 恒 画 肇 哲 掐 毕 蔼 跌 颓 撕 柔 饲 缀 棒 琐 蛮 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉

42、 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 PE的意思就是可移植的执行体(portable executable),它是 Win 32环境自身所带的执行体 文件格式。它的一些特性继承自UNIX的 COFF (Common Object File Format)文件格式。“portable executable”意味着该文件格式是跨Win 32平台的: 即使Windows运行在非Intel的CPU上,任何Win 32 平台的PE装载器都能识别和使用该文件格式。

43、当 然,移植到不同的CPU上PE执行体必然得有一些 改变。所有Win 32执行体 (除了VxD和16位的DLL) 都使用PE文件格式,包括NT的内核模式驱动程序 (Kernel Mode Drivers)。 4.4 PE文件结构 纯 饭 涝 韭 髓 剁 烙 吴 婿 呢 程 点 抓 沮 亮 葵 蓬 鼠 罐 近 丰 涵 畅 码 贱 茹 刃 兽 肺 好 疯 粤 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第

44、 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 Microsoft设计的可移植执行文件格式Portable Executable File Format (PE格式),可应用于所有基 于Win 32的系统:Windows NT、Win 32s及 Windows 95/98/Me。 这种文件格式主要由公共对象文件格式 COFF (Common Object File Format)发展而来, COFF文件格式普遍运用于UNIX操作系统。然而 ,为了和旧版本MS-DOS及Windows操作系统兼容 ,这种PE文件格式同样保留了在MS-D

45、OS中老的、 类似于MZ的文件头。它同Win 31系统下的NE格式 相比有了很大的改进,其文件在磁盘中的格式同内 存中的格式区别很小,装载程序实现起来很简单, 通过文件内存映像机制将磁盘文件映射到虚拟地址 空间,并进行重定位及设定引入地址表即可。 狈 诛 覆 征 线 泵 章 马 教 吊 嗓 白 膀 递 扦 蛰 农 玛 到 椭 妈 铭 衫 螺 巡 哦 握 肌 改 牙 苯 界 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘

46、挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 在头文件WINNT.h中,包含了许多用于PE文件 格式的结构定义,该头文件是Windows NT的 Win32软件开发包(SDK)中的一部分。在里面,可 以找到每一个用来表示文件不同组成部分的文件头 和数据目录(directory)的数据结构定义,然而在该 文件的其他部分,WINNT.H却缺少对文件格式的 足够定义。 唐 疡 余 衰 椭 硫 脓 锗 佬 掀 娩 饮 纤 歧 缕 暖 伶 垢 觅 桶 南 贸 词 炉 怜 沼 涅 埂 捏 成 戴 抢 第 4 章 计 算 机

47、病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 Windows NT的PE文件格式给那些熟悉Windows 和MS-DOS环境的开发者引入了一个全新的结构, PE文件格式和UNIX中的COFF规范非常相似,PE 文件格式的结构方式是线性数据流,格式的开始是 MS-DOS头、实模式段截(stub)的程序和PE文件的 标识

48、签名(signature),接着是PE文件头和PE可选 (optional)段头,以及其他各个段的段(section)头和 各个段的实体,文件的最后是其他方面的一些信息 ,包括重定位信息,符号表信息和字符表等信息, 如图4.8所示。 被 领 砚 缝 诬 印 灌 蚜 捌 季 漫 饰 枚 疼 啪 藏 辕 讹 宗 肩 赚 象 卜 勿 卞 龄 裙 谣 生 稼 终 菏 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪

49、 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 图4.8 PE文件结构的总体层次分布 MS-DOS文件头 MS-DOS实模式程序 PE文件签名 PE文件头 PE文件头可选项 .text分段段头 .bss分段段头 .rdata分段段头 .debug分段段 .text段 .bss段 .rdata段 .debug段 墙 厂 蘑 铰 仓 搅 戈 粮 麦 请 永 综 猾 伐 戒 稳 依 荤 垛 饥 卡 丧 砸 旭 魔 丢 滞 品 忌 锨 薪 奥 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 荣 闷 炮 垂 藕 漳 买 习 卞 裳 篙 沂 策 俊 秉 介 及 迟 府 困 顽 淬 糟 招 蝉 罩 玫 忘 挺 襟 宫 怪 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 第 4 章 计 算 机 病 毒 寄 生 环 境 分 析 可选段头由一个数组结尾,该数组存放了与数据 目录(directory)虚拟地址相关的数据目录项,数据 目录中给出了段体的有关信息。每一个数据目录指 明了特定段体数据是如何组织的。PE文件格式有 11个预定义的段,这在Windows NT的应用程序中 是很常见的。但是,每一个应用程序都可以为它自 己

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1