《第4章DOS病毒的基本原理与DOS病毒分析.ppt》由会员分享,可在线阅读,更多相关《第4章DOS病毒的基本原理与DOS病毒分析.ppt(25页珍藏版)》请在三一文库上搜索。
1、,计算机病毒与反病毒技术,贼寞拣奉三巫闰黎井搜蓝地寸泽宏岳陶皑媒姚鸿愿构史悠赂本册析敝越祁第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,主要内容,病毒重定位的含义与基本方法 引导型病毒的基本原理 文件型病毒的基本原理 感染COM文件的基本方法及COM文件病毒的清除 感染EXE文件的基本方法及EXE文件病毒的清除,第4章 DOS病毒的基本原理与DOS病毒分析,踩谣芽互卉狠俭抉翅绑洁黄睦贾杭碟俯讽口空雌制睬倔票梅监门赐叛颁锡第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.1.1 病毒为什么需要重定位,病毒不可避免也要
2、用到变量(常量),当病毒感染HOST程序后,由于其依附到不同HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化,4.1 病毒的重定位,病毒在感染前的Var2位置,病毒感染HOST后Var2的位置,镁恋擞挛凰硒条僵质蔼絮捎请琐豺破牲枣桩罚烃振灾硕邓浦锑顿术甚颜廊第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.1.2 病毒如何重定位,call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在eb
3、p寄存器中 lea eax,ebp+(offset var1-offset delta) ;这时eax中存放着var1在内存中的真实地址 如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp(offset var1offset delta),即参考量delta在内存中的地址其它变量与参考量之间的距离=其它变量在内存中的真正地址 有时候我们也采用(ebpoffset delta)offset var1的形式进行变量var1的重定位,4.1 病毒的重定位,用诲字挫糊款针娶刺馅箭塌芯敞呕樊且衷基挂界煎涣黍毁夏响傣死脏扭狐第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒
4、的基本原理与DOS病毒分析,4.2.1 引导型病毒的基本原理,4.2 引导型病毒,引导型病毒基本原理,引导型病毒13H中断,懈谷学捅父徽塌送蚀绪撵鹃捆银爸敖昧眨扯贝屹兑脑逛仕翱沽隆油伴缝掇第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.2.2 引导型病毒的触发与INT 13H,引导型病毒的触发 用染毒盘启动计算机时,引导型病毒先于操作系统获取系统控制权(被首次激活),处于动态 因首次激活时修改INT 13H入口地址使其指向病毒中断服务程序,从而处于可激活态 当系统/用户进行磁盘读写时调用INT 13H,调用的实际上是病毒的中断服务程序,从而激活病毒,使
5、病毒处于激活态 病毒被激活之后,即可根据感染条件实施暗地感染、根据爆发破坏条件破坏系统并表现自己 调用BIOS磁盘服务功能读写扇区 调用INT 13H子功能02H读扇区 调用INT 13H子功能03H写扇区,4.2 引导型病毒,过忱陛可顿蝉娠候挟赫凄箔吟第构哎列挥迈刷匙盾恢茎弓芝刨粗赠芦蔫铬第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.2.3 引导型病毒样例分析,(参见源代码) 该引导型病毒,通过截流盗取INT 13H中断监视系统的运行并感染软盘引导扇区、硬盘主引导扇区 感染前在相应扇区备份引导扇区/主引导扇区 通过分析MBR或DBR,或将其与正常的
6、MBR/DBR进行比较,若发现异常,可以断定感染了引导型病毒 病毒修改中断向量,通过分析比较中断向量,也可发现病毒的存在,4.2 引导型病毒,洽颅沏亏鹿命氖呀篇咯见娘楞梢磷木抗焙炊醚停腔喘餐朝破精擒蜜宛瞅皿第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.2.3 引导型病毒样例分析,示例病毒的清除方法比较简单,将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容,写入软盘引导扇区/硬盘主引导扇区即可,4.2 引导型病毒,桶歉恐缚润交痉毯十良鲍展饲贤妮留配批澎骋斩舷谓焊运幅脸衍咐掐襄宣第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒
7、的基本原理与DOS病毒分析,4.2.3 引导型病毒样例分析,在恢复引导区之前,应清除内存中的病毒或使内存中的病毒处于灭活状态 用干净软盘引导启动系统,可以清除内存中的病毒,也可采用如下方法将内存中的病毒灭活: 在无毒环境下(例如用无毒的同版本系统盘启动),用无毒的Debug将中断向量表取出存在一个文件中 当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常,内存中通过修改向量表截流盗取中断向量的病毒将无法再激活,4.2 引导型病毒,撂洼惕宛蝉届妓妹狄匹孪铝遇统供偷里簿期漂塘乙窑奸汛压蛾您芭坞坝三第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.2
8、.4 引导型病毒的特点与清除,引导型病毒的几个技术要点与特点 驻留内存 隐形技术 加密技术 引导型病毒的优点 隐蔽性强、兼容性强,只要编写的好,是不容易发现的 通用于DOS、Windows、Windows 9x操作系统 引导型病毒的缺点 传染速度慢 杀毒容易,4.2 引导型病毒,董课勘弦着将慎蔑屈荆雇臂姜疾宴当挑惧深距谰荤僚建峪伐坟外抽都亿说第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.2.4 引导型病毒的特点与清除,引导型病毒的判断与清除 由于引导程序本身完成的功能比较简单,所以我们可以判断该引导程序的合法性(看JMP指令的合法性) 病毒驻留在内存
9、,时刻监视系统的运行,伺机感染。缩小内存大小值,影响读写文件速度。检查引导扇区、检查内存容量可以发现病毒 如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒(BR病毒可以用FORMAT清除) 可以用FDisk/MBR命令修复MBR、清除该病毒,但可能导致硬盘主分区信息丢失而造成用户数据丢失 备份主引导扇区/引导扇区,清除引导型病毒时,只需将备份内容写回相应扇区即可,4.2 引导型病毒,话挎崎烽柔萨芳幅隙荐屁赚哆沈狮须骚禄渍墨腿列朱碾谴能奸蚀饭酋悼匆第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.1 文件型病毒的基本原理,无论是.COM文
10、件还是.EXE文件,还是操作系统的可执行文件(包括.SYS、.OVL、.PRG、.DLL文件),当启动已感染文件型病毒的程序(HOST程序)时,暂时中断该程序,病毒完成陷阱(激活条件)的布置、感染工作后,再继续执行HOST程序,使计算机使用者初期觉得可正常执行,而实际上,在执行期间,病毒已暗做传染的工作,时机成熟时,病毒发作 文件型病毒寄生在文件中,这是文件型病毒与引导型病毒的差别所在,4.3 文件型病毒的基本原理,绎猾絮植滩董晌读叼惶票抿亢村佰灼槛僧钠轴豪袁怯漆捶突陛肘缴陶隙珐第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.1 文件型病毒的基本原
11、理,文件型病毒的基本原理,4.3 文件型病毒的基本原理,哥秀尧宴邑付好候巳乳意苦著烯巳樱殿责舔雪馈朗伶笼娥夷惹剐井硒规菜第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.2 感染COM文件,.COM 文件结构比较简单,是一种单段执行结构 .COM文件包含程序的一个绝对映像 其文件代码和运行时内存映像完全相同,起始执行偏移地址为100H,对应于文件的偏移0 MS-DOS通过直接把该映像从文件拷贝到内存而加载.COM程序,不作任何改变,4.3 文件型病毒的基本原理,滩呈寥碉怯掘圾沟撵诊菩梨乔伦歹肄整透漱沛蹋惜甭故杂寥卸映瘟绚罩提第4章DOS病毒的基本原理
12、与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.2 感染COM文件,病毒感染.COM文件一般有两种方法,一种是将病毒加在.COM前部,一种是加在文件尾部,4.3 文件型病毒的基本原理,病毒在.COM文件头部,病毒在.COM文件尾部,算湛俘菩翰狄搪朔筏首檬唁灿镁缎檄极坷瘤棍主钝趁闷寿姻援阜掖恨酶鹃第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.2 感染COM文件,示例病毒com_v主流程,4.3 文件型病毒的基本原理,傀纲致泻乡日坏肉博试婶拱辕露勺铃婆躬掉良县疮泡蛰侵绕庆笛桅隧幼却第4章DOS病毒的基本原理与DOS病毒分析第4章D
13、OS病毒的基本原理与DOS病毒分析,4.3.2 感染COM文件,感染原理与清除 本示例病毒通过在宿主程序前添加3字节(跳转到病毒代码的3字节JMP指令),在运行宿主程序时即获取控制权限,搜索并感染目标文件;每感染一个目标文件,感染计数器增1,若感染数量达到设定值,则爆发(显示“Virus infection test!”等信息) 用二进制编辑工具软件或Debug去掉host_首部的3字节跳转指令及文件尾部的病毒体和病毒标签即可手工“摘除”该病毒 如果病毒采用插入方式感染,清除病毒的方法和过程将更复杂,4.3 文件型病毒的基本原理,俭遵紫虐拭违唯晒割扫祝甸轰僵汾赖瞩堰胜师笆偷报袜辽颧赵辜偷屎匪驻
14、第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.2 感染COM文件,4.3 文件型病毒的基本原理,衷瞅果前蹲灿击捅诌疏袄喝试帐磕又骡合最镣咽勇冕绊猛佳系臂哼枫悲想第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.3 感染EXE文件,.EXE文件采用多段结构,EXE文件结构,EXE文件的内存映像,4.3 文件型病毒的基本原理,涛池史藩共灾流札努主趁畏瘦咐隋玲诗省惹蹈淮黑纪仿痛饿夫汤田眨榜姥第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.3.3 感染EXE文件,EXE
15、文件病毒样例感染原理及其清除 示例病毒exe_v只感染当前目录下的尚未感染的.EXE文件 exe_只是简单地判断查找到的文件是否是有效的.EXE文件,如果有效且无感染标志,则将病毒体“追加”到目标文件尾部,然后修改文件头,以适应文件长度的变化,设置程序入口地址址向病毒,并在文件头中置感染标志“BF”。 清除.EXE文件中的病毒,相对清除.COM文件中的病毒,过程更繁琐,除了要“摘除”染毒文件中的病毒体,还要恢复文件头。但无论如何,清除过程基本上是病毒感染的逆过程,4.3 文件型病毒的基本原理,投岳忽粳帚审朝詹买峭埔秒靠婚矛股翔咬起愁绚瘴癸拐枣飘葫侄瞳狰荣绅第4章DOS病毒的基本原理与DOS病毒
16、分析第4章DOS病毒的基本原理与DOS病毒分析,混合型病毒的基本原理,混合型病毒,有时也称多型病毒,是结合了引导型和文件型两种病毒、而互为感染的病毒,感染文件和引导扇区两种目标。这样的病毒,通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法,4.4 混合型病毒的基本原理,贸沉或哨舞裳洽普冲益譬佛熊绞园付咯挨昔氦代肯忌慑颇阳亡慌案呸挪腾第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.5.1 Monkey病毒分析,Monkey病毒,即猴子病毒,传播硬盘和软盘的引导区,总长度为 01F4H(500字节),它将原引导记录加密后保存,在
17、系统读出时先解密再送出,结果造成病毒不在内存中时,系统无法得到正常的引导记录,以至对所有硬盘分区无法访问。只有用带病毒的盘启动时,才能正常访问硬盘 检测时可以用干净盘启动,再用 DISKEDIT 编辑物理硬盘0柱面0磁道1扇区的主引导记录,对比以下源代码相同偏移处的内容是否相同即可确认,4.5 典型DOS病毒分析,魄聪把谐嘛荣提琶字右伎孟馅靶沮螟洪挣集踏禽丽烩死瘫束槐环攒似媒疡第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.5.1 Monkey病毒分析,病毒的引导加载 当病毒传染了引导记录后,系统启动时将病毒装入内存执行,然后病毒将系统内存减少1K,将
18、自己隐藏在其中,并修改INT 13H中断向量地址 病毒的感染传播 在引导模块,Monkey病毒修改INT 13H中断向量入口地址,使其指向病毒代码,即新的INT 13H程序。病毒利用该程序监视系统的磁盘访问,若存在INT 13H调用,则激活病毒。病毒激活之后,首先判断时间与感染标志,满足感染条件时,将原引导记录加密存储备份,而将病毒写入引导扇区,4.5 典型DOS病毒分析,结靳蛙拆玉粥载釜蔗媳种扫免纵戮呕险瀑炬迁错笔岗娇霖蚂倪澡惫楼誓恐第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.5.1 Monkey病毒分析,杀毒要点 内存中的Monkey病毒最好用
19、查找字符串的方法,如果找到特征字符串,可以把病毒中INT 13H传染部分的有关代码跳过 磁盘中的Monkey病毒,可以先读出有病毒的引导记录,再在病毒体中的00DA中得到原引导记录的扇区号,在00DC中得到磁头号,读出加密过的原引导记录,解密后再写入引导区,4.5 典型DOS病毒分析,监永百统充伯糯殷巨柜益苇熟篇涸梨捞翟威碱液屉辱癸控塔狄讨早舜陛哉第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,4.5.2 Natas幽灵王病毒分析,Natas病毒,长度4744字节(变型加密部分长度近2K),故也称为4744病毒,由于病毒采用了变型技术,本身的形态几乎有无穷多种,使杀毒软件总漏掉一两个,不知什么时候又冒了出来,所以又称它为“幽灵王” Natas病毒是一种恶性病毒,它在启动时有1/512的机会要格式化硬盘。如果发现它,要注意马上清除,不然下一次启动,计算机硬盘中的资料可能就被清空了 病毒的引导加载 Natas病毒首先保存原INT 13H/15H/21H/40H入口地址,然后修改入口地址,以便激活自己并感染引导扇区和文件 病毒的加密变形,4.5 典型DOS病毒分析,豢抬簿的饺白饼鹏清提疑若驼牲吉洗蒋没卑唯两抒漠坯鸽删辗蓑填佳时卜第4章DOS病毒的基本原理与DOS病毒分析第4章DOS病毒的基本原理与DOS病毒分析,