引导型病毒的机理和解析
计算机病毒机理分析
ISA
• ISA插槽是基于ISA总线(Industrial Standard Architecture, 工业标准结构总线)的扩展插槽,其颜色一般为黑色,比PCI 接口插槽要长些,位于主板的最下端。其工作频率为8MHz左 右,为16位插槽,最大传输率16MB/sec,可插接显卡,声卡 ,网卡以及所谓的多功能接口卡等扩展插卡。其缺点是CPU资 源占用太高,数据传输带宽太小,是已经被淘汰的插槽接口。 • 在1988年,康柏、惠普等9个厂商协同把ISA 扩展到32-bit, 这就是著名的EISA(Extended ISA,扩展ISA)总线。可惜的 是,EISA 仍旧由于速度有限,并且成本过高,在还没成为标 准总线之前,在20世纪90年代初的时候,就给PCI 总线给取 代了。
9
被破坏的主引导区记录
“Non-System disk or disk error,replace disk and press a key to reboot”(非系统盘或盘出错) “Error Loading Operating System”(装入DOS引导记录错 误) “No ROM Basic,System Halted”(不能进入ROM Basic, 系统停止响应)
完成信息的检测之后,Windows XP会在屏幕上显示那个著名的 Windows XP商标,并显示一个滚动的,告诉用户Windows 的启动进程
30
Step4:检测和配置硬件过程--
会收集如下类型的硬件信息:
1.系统固件信息,例如时间和日期等 2.总线适配器的类型 3.显卡适配器的类型 4.键盘 5.通信端口 6.磁盘 7.软盘 8.输入设备,例如鼠标 9.并口 10.安装在ISA槽中的ISA设备
8
分区表DPT(Disk Partition Table)
计算机病毒及工作原理
一、病毒定义所谓病毒就是一段代码,其本质和大家使用的QQ、WORD什么的程序没有区别,只不过制作者令其具有了自我复制和定时发作进行破坏功能。
一般病毒都在1K到数K大小。
二、病毒种类我们所遇到的病毒可分引导型(感染磁盘引导区)程序型(感染可执行文件)宏病毒(感染WORD文档)等。
三、病毒工作原理计算机系统的内存是一个非常重要的资源,我们可以认为所有的工作都需要在内存中运行(相当与人的大脑),所以控制了内存就相当于控制了人的大脑,病毒一般都是通过各种方式把自己植入内存,获取系统最高控制权,然后感染在内存中运行的程序。
(注意,所有的程序都在内存中运行,也就是说,在感染了病毒后,你所有运行过的程序都有可能被传染上,感染那些文件这由病毒的特性所决定)1、程序型病毒的工作原理。
这是目前最多的一类病毒,主要感染.exe 和.dll 等可执行文件和动态连接库文件,比如很多的蠕虫病毒都是这样。
注意蠕虫病毒不是一个病毒,而是一个种类。
他的特点是针对目前INTERNET高速发展,主要在网络上传播,当他感染了一台计算机之后,可以自动的把自己通过网络发送出去,比如发送给同一居欲网的用户或者自动读取你的EMAIL列表,自动给你的朋友发EMAIL等等。
感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。
会造成网络资源的巨大浪费。
所以这次我们杀毒主要是针对这种病毒。
那么病毒是怎么传染的那?切记:病毒传染的前提就是,他必须把自己复制到内存中,硬盘中的带毒文件如果没有被读入内寸,是不会传染的,这在杀毒中非常重要。
而且,计算机断电后内存内容会丢失这我想大家都知道。
所以:病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。
2、程序型病毒是怎么传播的。
病毒传播最主要的途径是网络,还有软盘和光盘。
比如,我正在工作时,朋友拿来一个带病毒的软盘,比如,该病毒感染了磁盘里的A文件,我运行了一下这个A文件,病毒就被读如内存,如果你不运行染毒文件,程序型病毒是不会感染你的机器的(不要骂,我这里说的是程序型病毒,后面我会说引导型病毒,他只要打开软盘就会感染)当染毒文件被运行,病毒就进入内存,并获取了内存控制权,开始感染所有之后运行的文件。
计算机病毒的定义及分类.doc
计算机病毒的定义及分类~教育资源库计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
计算机病毒可根据感染形态进行分类,大致可分为以下几种:①引导型病毒:引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。
由于现代计算机的启动机制,使得病毒可以在每次开机,操作系统还没有引导之前就被加载到内存中,这个特性使得病毒可以对计算机进行完全的控制,并拥有更大的能力进行传染和破坏。
绝大多数引导型病毒有极强的传染性和破坏性,通常会格式化硬盘、修改文件分配表(FA T表)等,一旦发作,计算机的数据通常会全部丢失。
这种类型病毒的清除也很简单,不管是什么名字的病毒,只要是引导型的,用干净的软盘(即不含病毒的启动软盘,注意:一定要关闭软盘的写保护,不允许对软盘进行写入操作)启动系统,然后重写硬盘的引导扇区即可清除。
由于该类病毒的清除和发现很容易,所以这类病毒都属于很老的了,现在基本上已经灭绝。
②文件型病毒:文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件(如:*.、*.EXE、*.DLL等)中。
当这些文件被执行时,病毒的程序就跟着被执行。
文件型病毒依传染方式的不同,又分为非常驻型以及常驻内存型两种。
非常驻型病毒是将病毒程序自身放置于*.、*.EXE或是*.SYS的文件中,当这些中毒的程序被执行时,就会尝试把病毒程序传染给另一个或多个文件。
该类病毒只在感染病毒的程序被调用执行时,传染给其它程序,病毒本身并不常驻内存;常驻内存型病毒躲在内存中,一旦常驻内存型病毒进入了内存,只要有可执行文件被执行,就可以对其进行感染。
由于病毒一直常驻内存,所以此时用杀毒软件进行杀毒,存在带毒杀毒的问题,通常不易杀干净。
一般需要用干净的系统引导盘启动系统后,再进行杀毒才彻底。
③复合型病毒:复合型病毒具备引导型病毒和文件型病毒的特性,可以传染*.、*.EXE、*.DLL文件,也可以感染磁盘的引导扇区。
计算机病毒的感染原理及其危害与防范
计算机病毒的感染原理及其危害与防范【摘要】本文首先进行了对计算机病毒概述,其次,对计算机病毒感染原理及感染病毒后的计算机的症状做了介绍,最后探讨了病毒对计算机的危害,并提出了相应的防范措施。
【关键词】计算机;病毒;感染原理;危害;防范一、前言我国信息技术的发展推动互联网行业的迅猛发展,计算机已经深入了千家万户的生活当中,与人们的生活息息相关。
但是,近年来在计算机发展的同时,病毒的发展也是迅速的,病毒对电脑的危害是巨大的,因此,我们很有必要了解计算机病毒的感染原理,防范病毒对计算机的危害。
二、计算机病毒概述1、计算机病毒的定义计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
2、计算机病毒的由来计算机病毒从1983年被美国计算机专家伦艾德勒曼(LenAdleman)首次命名至今,新的病毒种类不断出现,并随着网络的发展而不断蔓延。
所有病毒都是掌握计算机程序设计技巧的人制造的,根据对现有已了解的毒源分析,计算机病毒可能的来源有:(1)来源于计算机专业人员或业余爱好者的恶作剧而制造出的病毒。
(2)公司或用户为保护自己的软件不被复制而采取的不正当的惩罚措施。
(3)恶意攻击或有意摧毁计算机系统而制造的病毒。
(4)在研究或开发设计某些程序时,由于未估计到的原因而对它失去了控制所产生的破坏性程序。
三、计算机病毒感染原理及感染病毒后的计算机的症状1、计算机病毒感染原理病毒的感染原理不同感染途径的病毒, 其感染机制也不相同。
(1)、引导型病毒感染原理系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS 引导扇区,其传染方式主要是通过使用被病毒感染的软盘启动计算机而传染。
一旦使用存在系统引导型病毒的软件启动计算机, 系统引导型病毒则会自动装入内存, 并且比操作系统抢先进入内存, 控制读写动作, 伺机感染其它未被感染的磁盘。
计算机病毒寄生方式和感染途径分类
计算机病毒寄生方式和感染途径分类计算机病毒按其寄生方式大致可分为两类:一是引导型病毒,二是文件型病毒。
按其感染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
(1)引导型病毒引导型病毒也称磁盘引导型、引导扇区型、磁盘启动型、系统型毒等。
引导型病毒就是把自己的病毒程序放在软盘的引导区以及硬盘的主引导记录区或引导扇区,当作正常的引导程序,而将真正的引导程序搬到其他位置。
这样,计算机启动时,就会把引导区的病毒程序当作正常的引导程序来运行,使寄生在磁盘引导区的静态病毒进入计算机系统,病毒变成活跃状态(或称病毒被激活),这时病毒可以随时进行感染和破坏。
此外,这种病毒通常会改写硬盘上的主引导记录区、引导区、文件分配表、文件目录区、中断向量表等。
引导型病毒几乎清一色都会常驻内存,或称作内存驻留型,差别仅仅在于内存中的位置不同。
引导型病毒按其寄生对象的不同又可分为两类:主引导区病毒和引导区病毒。
引导型病毒的感染目标都是一样的,即磁盘的引导区,所以一般比较好防治。
(2)文件型病毒文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。
文件型病毒以感染可执行文件(.BAT、.EXE、.COM、.SYS、.DLL、.OVL、.VXD等)的病毒为主,还有一些病毒可以感染高级语言程序的源代码、开发库或编译过程中所生成的中间文件。
病毒可能隐藏在普通的数据文件中,但是这些隐藏在数据文件中的病毒不是独立存在的,必须通过隐藏在可执行文件中的病毒部分来加载这些代码。
宏病毒在某种意义上可以被看作文件型病毒,但由于其数量多、影响大,而且也有自己的特点,所以通常单独分类。
文件型病毒通常分为源码型病毒、入侵型病毒和外壳型病毒,以文件外壳型病毒最为流行。
文件型病毒按其驻留内存方式的不同可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
(3)混合型病毒混合型病毒,也称综合型、复合型病毒,既具有操作系统型病毒的特点,又具有文件型病毒的特点,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件,这类病毒的危害性更大。
第4章DOS病毒的基本原理与DOS病毒分析1PPT课件
病毒任务完成, 将 原 引 导 区 调 入 0:7C00执 行
原引导扇
系统正常引导
区的内容 要保护好
引导型病毒基本原理
病 毒 13H中 断 入 口
否 在读写软盘?
病毒被激活之后,即可根据感染条件实施暗地感染 、根据爆发破坏条件破坏系统并表现自己
引导型病毒 INT 13H
调用BIOS磁盘服务功能读写扇区
调用INT 13H子功能02H读扇区 调用INT 13H子功能03H写扇区
引导型病毒
调用BIOS磁盘服务功能读写扇区
A:\>debug
-a100
13AD:0100 mov ax,0201
读 到 内 存 0:7C00处
常规内存大小
控制权转到主引导程序
(病 毒 )
将 0:413单 元 的 值 减 少 1K(或 nK)
计算可用内存高端地址, 将病毒移到高端继续执行
INT 13H 中断功能
对磁盘扇 区的读写
修 改 INT 13H地 址 , 指 向 病 毒 传 染 段 , 将 原 INT 13H地 址 保 存 在 某 一 单 元
13AD:010C int 13
//执行命令
13AD:010E int 3 13AD:010E
//终止命令
Int 13H 需要的参数有哪些?
-g=100
//执行100开始的命令,遇到int 3会自动终止
-d 600
//查看扇区内容,一共512字节
引导型病毒
引导型病毒样例分析
该引导型病毒,通过截流盗取INT 13H中断监视系 统的运行并感染软盘引导扇区、硬盘主引导扇区
物理位置
引导型病毒
引导型病毒的思想
引导型病毒是一种在ROM BIOS之后,系统引导时 出现的病毒,它先于操作系统,依托的环境是 BIOS中断服务程序。
11机会。但是引导型病毒窃取控制...
第一章恶意程序及其防范计算机病毒是恶意程序的一种。
所谓恶意程序,是指一类特殊的程序,它们通常在用户不知晓也未授权的情况下潜入到计算机系统中来。
恶意程序可以分为许多类型。
图1.1为按照有无自我复制功能和需要不需要宿主对恶意程序的分类情形。
1、陷门(Trap Doors)是进入程序的一些秘密入口。
陷门中有些是程序员为了进行调试和测试而预留的一些特权,有些则是系统漏洞。
黑客也挖空心思地设计陷门,以便以特殊的、不经授权的方式进入系统。
陷门通常寄生于某些程序(有宿主),但无自我复制功能。
逻辑炸弹是嵌入某些合法程序的一段代码,没有自我复制功能,在某些条件下会执行一个有害程序,造成一些破坏。
特洛伊木马是计算机网络中一种包含有害代码的有用或表面上有用的程序或过程,激活时产生有害行为。
它们不具备自我复制功能。
2、细菌是以自我繁殖为主要目的的程序。
蠕虫是一种通过网络自我复制的恶意程序。
通常人们也把它称为病毒的一种。
因为,蠕虫一旦被激活,可以表现得像细菌和病毒,可以向系统注入特洛伊木马,或进行任何次数的破坏或毁灭行动。
典型的蠕虫只会在内存维持一个活动副本。
此外,蠕虫是一个独立程序,自身不改变任何其他程序,但可以携带具有改变其他程序的病毒。
其中,计算机病毒是所有计算机用户在计算机安全问题上,经常碰到的问题。
在1999年Security Poral的报告中,排在计算机安全问题第一位的是计算机病毒事件,其次是与计算机病毒关系极为密切的黑客问题。
所以本章以病毒为主,介绍恶意程序的特点及其防治。
一、计算机病毒的概念1.1.1 计算机病毒的特征人类发明了工具,改变了世界,也改变了人类自己。
自20世纪40年代起,计算技术与电子技术的结合,使推动人类进步的工具从体力升华到了智力。
计算机的出现,将人类带进了信息时代,使人类生产力进入了一个特别的发展时期。
计算机的灵魂是程序。
正是建立在微电子载体上的程序,才将计算机的延伸到了人类社会的各个领域。
第二讲 计算机病毒的病理分析
二、传染机制 1、病毒传染的含义 2、载体(网络、系统、磁盘和文件) 3、病毒在不同载体上的传染机制 ① 网络或系统上的传染利用网络间的通信或 数据共享实现。 ② 存储介质或文件间的传染一般利用内存为 媒介。(带毒磁盘、文件——进入内存— —感染无毒磁盘或文件)
4、主动传染 ① 含义:利用病毒自身的传染机制实现的传 染。 ② 实现方式: A. 利用操作系统 的加载机制或引导机制 病毒体进入内存。 B. 利用操作系统的读写磁盘中断(存储 机制)或加载机制 病毒感染无毒介质 或文件。(病毒监视系统操作—判断 传染条件—实施传染)
复合型病毒的特点 具有文件型病毒和引导型病毒的双重 特点。 ① 依附于可执行文件,并以之为载体 传播。 ② 带毒文件被执行,主动感染硬盘的 主引导扇区。(一般不感染软盘) ③ 此后,主要感染可执行文件。
全隐蔽型文件病毒分析
1、全隐蔽型文件病毒的特点 ① 具有文件型病毒的一般特点 ② 一般将病毒程序隐藏在磁盘的尾簇。而不 是链接在被感染文件里面。 ③ 一般不改变感染文件的长度及建立日期。 ④ 不修改系统任何中断向量。 ⑤ 不修改系统可分配的内存空间,一般驻留 在用户可用内存的低端。
三、破坏机制 1、表现/破坏模块的激活方式 修改某一中断向量(INT 13H、INT 21H、INT 8H 等)入口地址,使该中断向量指向病毒程序的破 坏模块。 2、表现/破坏模块实施破坏的条件 ① 访问修该过的中断向量时立即实施破坏。 ② 访问修该过的中断向量时不立即实施破坏, 先判断条件是否满足(如时间、时钟或某些特 定条件)
5、被动传染 含义:用户在拷贝磁盘或数据时,把病毒由 一个载体复制到另一载体或通过网络将病毒由 一方传递到另一方的方式。 总结:利用存储介质的病毒传染是以操作系统 的加载机制和存储机制为基础的,没有文件的 存取,介质上的病毒就不会进入内存;而没有 加载的运行,也就不会有文件的存取。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
引导型计算机病毒的机理和解析摘要:引导型病毒是什么,其技术发展,优缺点,特点以及来源,引导型病毒的机制,解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构,并提出引导型病毒的检测和防治方法。
关键词:引导区硬盘内存新型引导型病毒病毒结构防治计算机病毒是指在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。
计算机病毒具有3个基本特性:感染性、潜伏性和表现性。
换句话来说计算机病毒是人为的特制程序或指令程序,具有自我复制能力,并有一定的潜伏性、特定的触发性和很大的破坏性。
计算机病毒的种类繁多,按感染方式分为:引导型病毒、文件感染病毒和混合型病毒。
引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区,如大麻、火炬、BREAK等病毒。
1 引导型病毒1.1 简介引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
引导型病毒进入系统,一定要通过启动过程。
在无病毒环境下使用的软盘或硬盘,即使它已感染引导区病毒,也不会进入系统并进行传染,但是,只要用感染引导区病毒的磁盘引导系统,就会使病毒程序进入内存,形成病毒环境。
1.2 计算机启动过程在分析引导型病毒之前,必须清楚正常的系统启动过程。
上电或复位后,ROM_BIOS的初始化程序完成相应的硬件诊断,并设置ROM_BIOS中断和参数,调用INT19H自举。
注意ROM_BIOS初始化程序已设置了BIOS中断。
对于硬盘启动,自举程序将硬盘物理第1扇(主引导记录)读到内存首址为0:7C00的区域处,开始执行硬盘主引导区程序,找到激活分区,并将该分区首扇(引导区)也读到0:7C00处(自身下移),然后转移到0:7C00处执行引导记录。
引导软盘启动,设有主引导记录,自举程序直接将A盘引导记录即A盘0面0道1扇区读到内存0:7C00处,执行引导记录。
引导记录引导操作系统,操作系统完成对输入/输出和内核等的初始化后,整个启动过程结束。
1.3 引导型病毒机制引导型病毒占据主引导扇区或引导扇区的全部或一部分,将分区表信息或引导记录移到磁盘的其他位置,并在文件分配表(FAT)中将这些信息标明为坏簇。
病毒在计算机引导时首先获取系统控制权,将病毒的主要部分调入内存并驻留在内存高端,修改常规内存容量大小字单元[0:413H],将常规内存容量虚假减少,防止以后系统内存调度时覆盖占用内存高端的病毒体。
同时修改某些常用中断的中断向量,使之指向内存高端的病毒程序。
最后一条跳转指令转向主引导记录或引导记录的位置,将控制权交回系统以完成正常的系统启动工作。
以后只要调用这些中断,就会先执行常驻内存高端的病毒体,病毒搜索并感染其他可能有的磁盘,或执行病毒体的表现部分,破坏计算机系统的正常工作。
若不满足激发条件,病毒也可以继续潜伏,将系统控制权交回系统。
引导型病毒是在操作系统引导前就已驻留内存高端。
由于主引导记录和引导记录在系统启动结束后不再执行,因此引导型病毒必须修改中断向量,指向自己,才有被激活已完成感染,潜伏、破坏等功能的机会。
大多数引导型病毒会修改1NT 13H中断,当用户读写磁盘,如执行DIR、EDIT、Windows中列文件目录等命令时,就会执行1NT 13H,激活病毒体。
2 引导型病毒主要特点:引导型病毒是在安装操作系统之前进入内存,寄生对象又相对固定,因此该类型病毒基本上不得不采用减少操作系统所掌管的内存容量方法来驻留内存高端。
而正常的系统引导过程一般是不减少系统内存的。
引导型病毒需要把病毒传染给软盘,一般是通过修改INT 13H的中断向量,而新INT 13H中断向量段址必定指向内存高端的病毒程序。
引导型病毒感染硬盘时,必定驻留硬盘的主引导扇区或引导扇区,并且只驻留一次,因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。
而正常的引导过程一般是不对硬盘主引导区或引导区进行写盘操作的。
引导型病毒的寄生对象相对固定,把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较,如果内容不一致,可认定系统引导区异常。
3引导型病毒的优缺点:引导型病毒的优点:隐蔽性强,兼容性强,一个好的病毒程序是不容易被发现的,通用于DOS和Windows 95操作系统。
引导型病毒的缺点:很多,如传染速度慢,一定要带毒软盘启动才能传到硬盘,杀毒容易,只需改写引导区即可,如:fdisk/mbr,kv200/k。
KV200能查出所有引导型病毒,底板能对引导区写保护,所以现在纯引导型病毒已很少了。
在各种PC机病毒中,引导区型病毒并不是数量占多数的一类,但引导区型病毒往往具有较强的破坏性。
4传统引导型病毒结构以引导型病毒感染软盘引导扇区为例,制作病毒母盘的主要步骤及其结构如下:(1)将A盘0面0道1扇区(引导记录)转移到2扇区,对于DOS系统启动盘,其0面0道2扇区为保留扇区,不会被其他磁盘文件覆盖。
对于Windows 9x启动盘,其0面0道2扇区不是保留扇区,因此应将引导记录转移到磁盘其他位置,如最后的扇区,并在FAT中标注此扇区为坏簇。
在debug下用13H中断1号读功能,将引导记录读到内存,再用2号写功能将引导记录写入0面0道2扇区。
这样该软盘的第2扇区保留一个正常的引导记录。
(2)将病毒代码写入0面0道1扇区,引导记录前3个字节是无条件转移指令,转移到boot程序入口处。
其后63个字节是磁盘驱动器参数表DBD及其它参数,再后是boot程序及有效标志,参数不必修改,病毒代码写到原boot程序处。
以后只要执行磁盘读写命令就会感染A盘。
若满足触发条件,则启动破坏模块。
5 新型引导病毒型病毒结构DOS 3.x及以上版本,Windows 9X等操作系统在计算机启动过程中与DOS低版本有所不同,当引导记录引导操作系统时,操作系统在初始化中为了扩充功能,扩展了大多数常用的BIOS中断,并修改了中断向量。
传统的引导型病毒在操作系统加载前就修改了13H等中断向量,使其指向驻留内存高端的病毒体。
而新的操作系统启动时将13H号等中断向量做了修改,不再指向病毒体。
病毒体虽然驻留在内存高端,但永远没有被激活的机会,所以不能进行传染和破坏。
通过对DOS 6.22和Windows 98操作系统引导前后中断向量表内容的比较发现,1A号、5号等少数中断向量没有变化。
BIOS初始化设置中断后,机器每秒自动调用18.2次1AH号中断。
因此新型引导型病毒修改该中断(短时期),新的1AH中断服务程序等待操作系统启动结束后,再修改13H中断,指向病毒体,然后恢复1AH中断。
下面以一个感染A盘的病毒样本为例,解析新型引导型病毒结构。
带毒系统软盘的0面0道1扇区(简称R扇区)存放病毒引导模块和修复后的1AH号中断服务程序。
0面3道12H扇区(简称P扇区)存放正常引导记录。
0面3道11H扇区(简称Q扇区)存放修改后的13H号中断服务程序,并在FAT表中将P、Q扇区标注为坏簇。
(1)病毒引导模块功能将R扇区内容移到内存高端并驻留;将Q扇区内容读入内存高端驻留;修改1AH号中断向量;读A盘FAT表将P、Q扇区标注为坏簇并写回;将P扇区内容(正常引导记录)读入0:7C00处,转移执行正常的引导记录。
(2)修改后的1AH号中断由于系统每秒自动调用18.2次1AH中断,因此可以将它作为软件定时器。
修改后的1AH中断服务程序检测对1AH中断的调用次数。
当达到预定次数时,即定时时间到,操作系统已启动完毕,修改13H号中断,然后恢复1AH原来的中断。
(3)修改后的13H号中断对磁盘进行读写操作的命令一般都调用13H号中断,修改后的13H号中断包括传染模块和破坏模块;先判断是否读写A盘。
若是,且没有病毒感染的标志则将A盘0面0道1扇区和Q扇区,然后执行正常的13H号中断服务程序;若不是读写A盘或A盘有感染标志,则判断是否满足破坏模块的触发条件(可用系统日期、时间或感染次数等),若满足则执行破坏模块,否则执行正常13H中断服务程序。
必须注意的是,在修改后的中断服务程序中读写磁盘时,不能简单地使用INT 13指令来调用13H号原来的中断服务程序,否则会导致死循环。
6 引导型计算机病毒的检测方法(1)常用的引导型病毒检测方法——特征串判别法。
引导型病毒为了避免重复传染,每种病毒均具有病毒程序自身的标志,当在BOOT扇区中找到病毒程序独特的标志后,就证明磁盘已感染该类操作系统型病毒。
特征代码被用于SCAN、CPAV等著名病毒检测工具中,国外专家认为特征串判别法是检测已知病毒的最简单、开销最小的方法。
此方法是针对在已知病毒特征串的前提下而采用的方法。
具体步骤如下:1.启动DEBUG,EXE。
2.将可疑盘的BOOT扇区装入内存。
3.用DEBUG的S命令搜索病毒特征串。
特征代码串具有检测准确、快速、误报警率低、可依据检测结果做杀毒处理等优点。
但它也具有不能检测未知病毒,在网络上效率低等缺点。
(2)内存容量检测法病毒为了延长其活动时间,以得到更多的传染机会,都要把自己驻留内存,并且使自己占用的内存空间不被用户程序和数据所覆盖,它只能改变系统内存的大小,使DOS“丢失”几K字节的内存,即病毒使DOS的管理范围缩小。
病毒则隐藏在这些“丢失”的单元里,长期起破坏作用。
引导型计算机病毒修改在内存0000;0413处存放的常规内存容量,使病毒代码可以常驻在被减去的那一块高端内存。
另外还有中断向量检测法和首指令检测法。
7 引导型计算机病毒的防治对引导型病毒的查杀通常有两种方法:(1)分析具体病毒的特征,根据特征判断当前引导扇区是否感染了病毒,是则清除之。
(2)采用智能方法,综合分析正确引导扇区的特征,对当前引导扇区加以分析判断,认定是否正常,若认为不正常,则设法恢复正常。
以上方法都存在不足,不能清除所有引导型病毒,而智能方法则有可能因误判而造成系统无法启动,对于在主引导扇区中不保留原分区表信息的引导型病毒,智能方法无法清除病毒,因为无法恢复风分区表信息。
这两种方法都要求用无毒软盘启动以防止收到病毒欺骗,因为为了防止其他程序改写病毒占据的引导扇区,有些病毒程序采取了伪装措施,在病毒程序控制下,外部程序对引导扇区的读写被改向到其它扇区,在那里存有被病毒保存的原引导扇区程序。