计算机病毒分析 XXX 20XX X XX
计算机病毒分析 XXX 20XX.X.XX
将要介绍的几种病毒类型 冷DOS病毒 引导区病毒 文件型病毒 混合型病毒 Windows病毒 VBS脚本病毒 宏病毒 令网页病毒 Win32PE病毒
将要介绍的几种病毒类型 ❖ DOS病毒 ❖ 引导区病毒 ❖ 文件型病毒 ❖ 混合型病毒 ❖ Windows病毒 ❖ VBS脚本病毒 ❖ 宏病毒 ❖ 网页病毒 ❖ Win32 PE病毒
引导区病毒 什么是主引导记录? ☆硬盘的主引导记录在硬盘的0磁头0柱面1扇区。主 引导记录由三部分组成: 冷主引导程序; 令四个分区表 主引导记录有效标志字
引导区病毒 ❖ 什么是主引导记录? ❖硬盘的主引导记录在硬盘的0磁头0柱面1扇区。主 引导记录由三部分组成: ❖主引导程序; ❖四个分区表; ❖主引导记录有效标志字
感染过程 是否在读写软盘? 是,则将目标盘的引导扇区读入内存,对该盘进行判别是否传 染了病毒 满足传染条件时,则将病毒的全部或者一部分写入Boot区,把 正常的磁盘的引导区程序写入磁盘特写位置; 返回正常的|NT13H中断服务处理程序,完成了对目标盘的传染
感染过程 ❖ 是否在读写软盘? ❖ 是,则将目标盘的引导扇区读入内存, 对该盘进行判别是否传 染了病毒; ❖ 当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把 正常的磁盘的引导区程序写入磁盘特写位置; ❖ 返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染
感染过程 13号中断入口 是在读软盘吗? <此软盘有毒吗? 对该软盘进行感染 匚执行原INr13
感染过程
引导型病毒的主要特点 引导型病毒是在安装操作系统之前进入内存,寄生对象又相对 固定,因此该类型病毒基本上不得不采用减少操作系统所掌管 的内存容量方法来驻留内存高端。而正常的系统引导过程一般 是不减少系统内存的。 引导型病毒需要把病毒传染给软盘,一般是通过修改INT13H 的中断向量,而新INT13H中断向量段址必定指向内存高端的 病毒程序 引导型病毒感染硬盘时,必定驻留硬盘的主引导扇区或引导扇 区,并且只驻留一次,因此引导型病毒一般都是在软盘启动过 程中把病毒传染给硬盘的
引导型病毒的主要特点 ❖ 引导型病毒是在安装操作系统之前进入内存,寄生对象又相对 固定,因此该类型病毒基本上不得不采用减少操作系统所掌管 的内存容量方法来驻留内存高端。而正常的系统引导过程一般 是不减少系统内存的。 ❖ 引导型病毒需要把病毒传染给软盘,一般是通过修改INT 13H 的中断向量,而新INT 13H中断向量段址必定指向内存高端的 病毒程序。 ❖ 引导型病毒感染硬盘时,必定驻留硬盘的主引导扇区或引导扇 区,并且只驻留一次,因此引导型病毒一般都是在软盘启动过 程中把病毒传染给硬盘的
文件型病毒 什么是文件型病毒? 所有通过操作系统的文件系统进行感染的病毒都称 作文件病毒 我们将会介绍的两种病毒 COM文件型病毒 冷EXE文件型病毒
文件型病毒 ❖ 什么是文件型病毒? ❖所有通过操作系统的文件系统进行感染的病毒都称 作文件病毒 。 ❖ 我们将会介绍的两种病毒 ❖ COM文件型病毒 ❖ EXE文件型病毒
COM文件型病毒 冷COM文件被载入内存后的格式 COM文件的调入执行 地址内容 xxx20000 一CS、DS、SS、ES段寄存 PSP 器 P指令指针 程序代 码 数据 堆栈一sP堆浅
COM文件型病毒 ❖ COM文件被载入内存后的格式
EXE文件型病毒 MZ文件头格式 令偏移大小 描述 00 2 bytes EXE文件类型标记:4d5ah 2 bytes 文件的最后一个扇区的字节数 04 2 bytes 文件的总扇区数 文件大小=(总扇区数-1)*512+最后一页字节数 2 byte 重定位项的个数 2 bytes exe文件头的大小(16 bytes* this value) 0a 2 bytes 最小分配数(16 bytes* this value 2 bytes 最大分配数(16 bytes* thisvalue) Oe 2 bytes 堆栈初始段址(SS) 10 2 bytes 堆栈初始指针(SP) 2 bytes 补码校验和 2 bytes 初始代码段指针(IP) 16 2 bytes 初始代码段段址(CS) 2 bytes 定位表的偏移地址 2 bytes 覆盖号 The overlay number make by link
EXE文件型病毒 ❖ MZ文件头格式 ❖ 偏移 大 小 描述 ❖ 00 2 bytes .EXE 文件类型标记:4d5ah ❖ 02 2 bytes 文件的最后一个扇区的字节数 ❖ 04 2 bytes 文件的总扇区数 文件大小=(总扇区数-1)*512+最后一页字节数 ❖ 06 2 bytes 重定位项的个数 ❖ 08 2 bytes exe文件头的大小 (16 bytes*this value) ❖ 0a 2 bytes 最小分配数(16 bytes*this value) ❖ 0c 2 bytes 最大分配数(16 bytes*this value) ❖ 0e 2 bytes 堆栈初始段址(SS) ❖ 10 2 bytes 堆栈初始指针(SP) ❖ 12 2 bytes 补码校验和 ❖ 14 2 bytes 初始代码段指针(IP) ❖ 16 2 bytes 初始代码段段址(CS) ❖ 18 2 bytes 定位表的偏移地址 ❖ 1a 2 bytes 覆盖号The overlay number make by link
混合型病毒 冷什么是混合型病毒? ☆所谓混合型病毒,就是指既可以感染引导区又可以 感染文件的病毒。 但是这种病毒绝对不是引导区病毒和文件型病毒的 简单相加。 冷文件型病毒大多采用ⅠNT21H,但是引导型病毒是 在引导阶段进行感染驻留,这时DOS系统还没有启 动,因此混合型病毒此时无法采用21号中断。如何 解决这个问题?
混合型病毒 ❖ 什么是混合型病毒? ❖所谓混合型病毒,就是指既可以感染引导区又可以 感染文件的病毒。 ❖但是这种病毒绝对不是引导区病毒和文件型病毒的 简单相加。 ❖文件型病毒大多采用INT 21H,但是引导型病毒是 在引导阶段进行感染驻留,这时DOS系统还没有启 动,因此混合型病毒此时无法采用21号中断。如何 解决这个问题?