第02章文檔文件單一型病毒grave機理文檔

1、目 錄下一頁退 出上一頁第第2 2章章 文件單一型病毒文件單一型病毒GRAVE機理機理 2.1 GRAVE2.1 GRAVE病毒概述病毒概述2.2 2.2 感染文件的加載執(zhí)行感染文件的加載執(zhí)行 2.3 2.3 盜用中斷的工作原理盜用中斷的工作原理 2.4 2.4 反反GRAVE病毒病毒 2.5 2.5 病毒數(shù)據(jù)的磁盤映象病毒數(shù)據(jù)的磁盤映象 目 錄下一頁退 出上一頁2.1 2.1 GRAVEGRAVE病毒概述病毒概述1 1、是一種具有自舉、隱藏功能，僅僅、是一種具有自舉、隱藏功能，僅僅感染類型可執(zhí)行文件的文件型病毒。由于感染類型可執(zhí)行文件的文件型病毒。由于在該病毒出現(xiàn)時，在該病毒出現(xiàn)時，NENE

2、類型類型EXEEXE文件已經(jīng)出現(xiàn)，文件已經(jīng)出現(xiàn)，PEPE類型類型EXEEXE文件尚未出現(xiàn)，所以在病毒程序中，僅文件尚未出現(xiàn)，所以在病毒程序中，僅僅判斷以避免感染僅判斷以避免感染NENE類型的類型的EXEEXE文件。文件。2 2、病毒感染的可執(zhí)行文件，其文件長、病毒感染的可執(zhí)行文件，其文件長度增加度增加047EH 047EH 字節(jié)，若字節(jié)，若BIOSBIOS時鐘的分鐘值適當，時鐘的分鐘值適當，還會以高亮閃爍的方式顯示以下提示信息：還會以高亮閃爍的方式顯示以下提示信息： Buglar/HBuglar/H 這表示可執(zhí)行文件已經(jīng)感了病毒。這表示可執(zhí)行文件已經(jīng)感了病毒。 目 錄下一頁退 出上一頁2.1

3、2.1 GRAVEGRAVE病毒概述病毒概述3 3、病毒對文件名中含有字符病毒對文件名中含有字符V 或者或者S的可執(zhí)行文件不予感染。對文件名的可執(zhí)行文件不予感染。對文件名前兩個字符是下列組合之一者，也不予感前兩個字符是下列組合之一者，也不予感染：染： CL; HW; TB; F-; WC; TK等等等等 病毒明顯的破壞作用沒有什么，病毒明顯的破壞作用沒有什么，但在感染病毒的可執(zhí)行文件運行完成前，但在感染病毒的可執(zhí)行文件運行完成前，病毒程序會占用內存高端病毒程序會占用內存高端0560H字節(jié)。字節(jié)。目 錄下一頁退 出上一頁2.1 2.1 GRAVEGRAVE病毒概述病毒概述4 4、GRAVEGRA

4、VE病毒有一些特殊的地方處理病毒有一些特殊的地方處理方式值得說明方式值得說明 ： GRAVE病毒特別設置，通過虛設的病毒特別設置，通過虛設的DOS調調用功能用功能F078H，實現(xiàn)內存是否感染病毒的判，實現(xiàn)內存是否感染病毒的判斷，與斷，與EXEBUG相比，這是一個很大的進步。相比，這是一個很大的進步。GRAVE感染的感染的EXE文件類型，不是通過文件文件類型，不是通過文件名中的擴展名來判斷，而是根據(jù)文件的第名中的擴展名來判斷，而是根據(jù)文件的第一個字是否一個字是否4D5AH或者或者5A4DH來判斷，對來判斷，對NE類型類型EXE可執(zhí)行文件不予感染?？蓤?zhí)行文件不予感染。 目 錄下一頁退 出上一頁2.

5、1 2.1 GRAVEGRAVE病毒概述病毒概述 GRAVE替換的正常替換的正常EXE文件頭數(shù)據(jù)，是通文件頭數(shù)據(jù)，是通過加密后實現(xiàn)存儲的。加密后的代碼存儲過加密后實現(xiàn)存儲的。加密后的代碼存儲在附加于感染文件尾數(shù)據(jù)塊偏移量在附加于感染文件尾數(shù)據(jù)塊偏移量0403H處。處。GRAVE病毒的加密規(guī)律是：病毒的加密規(guī)律是： X XOR 7776H = Y 其中，其中，X為原值，為原值，7776H為密碼值，為密碼值，Y為加密為加密后的值，后的值，XOR為異或操作。有趣的是，由密為異或操作。有趣的是，由密碼值碼值Y獲得原值獲得原值X的譯碼過程和加密規(guī)律一的譯碼過程和加密規(guī)律一樣：樣： Y XOR 7776H

6、 = X目 錄下一頁退 出上一頁2.1 2.1 GRAVEGRAVE病毒概述病毒概述 GRAVE病毒將感染文件增加病毒將感染文件增加047EH字節(jié)，即字節(jié)，即1150字節(jié)。字節(jié)。 但是，在對磁盤文件做操作時，但是，在對磁盤文件做操作時，用戶看到的文件長度仍然是原來的文件長用戶看到的文件長度仍然是原來的文件長度，主要是盜用中斷度，主要是盜用中斷21H修改了文件長度。修改了文件長度。這也是常見的計算機病毒使用的技術之一。這也是常見的計算機病毒使用的技術之一。目 錄下一頁退 出上一頁2.2 2.2 感染文件的加載執(zhí)行感染文件的加載執(zhí)行 圖(2.1.1) GRAVEGRAVE感染感染EXEEXE文件后

7、代碼分布示意圖文件后代碼分布示意圖EXE 文件頭數(shù)據(jù)結構可執(zhí)行文件本身的代碼#GRAVE病毒的代碼*CS:0000#*CS:IP目 錄下一頁退 出上一頁2.2 2.2 感染文件的加載執(zhí)行感染文件的加載執(zhí)行 1、文件感染型病毒、文件感染型病毒GRAVE，其感染的可執(zhí)行文件中，其感染的可執(zhí)行文件中，病毒程序段緊隨可執(zhí)行文件原來的程序段后面存病毒程序段緊隨可執(zhí)行文件原來的程序段后面存放。放。2、GRAVE病毒在調整病毒在調整CS:IP的相對值時，以病毒代的相對值時，以病毒代碼的第一個字節(jié)所在節(jié)的第一個字節(jié)，作為新的碼的第一個字節(jié)所在節(jié)的第一個字節(jié)，作為新的代碼段指針代碼段指針CS:0000；而病毒程

8、序第一個字節(jié)相對；而病毒程序第一個字節(jié)相對本節(jié)第一個字節(jié)的偏移量作為本節(jié)第一個字節(jié)的偏移量作為IP的相對值。的相對值。 例如：例如：DOS6.22中的中的DEBUG.EXE最后一節(jié)占用最后一節(jié)占用了了6個字節(jié)，所以，在感染個字節(jié)，所以，在感染GRAVE病毒后，病毒程病毒后，病毒程序調整的序調整的IP的相對值為的相對值為0006H。教材的程序在分析。教材的程序在分析時，就是以此為基礎的。時，就是以此為基礎的。 目 錄下一頁退 出上一頁2.2 2.2 感染文件的加載執(zhí)行感染文件的加載執(zhí)行 主要程序段的執(zhí)行過程：主要程序段的執(zhí)行過程： 解密文件原來的解密文件原來的SS:SP, CS:IPSS:SP,

9、 CS:IP和負累加和和負累加和 。 判斷病毒是否接管中斷判斷病毒是否接管中斷21H21H，已經(jīng)盜用中斷，已經(jīng)盜用中斷21H21H，則跳轉，則跳轉去正常執(zhí)行文件。去正常執(zhí)行文件。 否則，計算盜用中斷程序的駐留地址否則，計算盜用中斷程序的駐留地址ES:AX, GRAVEES:AX, GRAVE病毒病毒占用內存高端占用內存高端0560H0560H字節(jié)，即字節(jié)，即0056H0056H節(jié)。節(jié)。 將病毒程序段移到將病毒程序段移到ES:DI,ES:DI,完成病毒程序駐留內存的功能。完成病毒程序駐留內存的功能。 設置中斷設置中斷21H21H的新入口地址為的新入口地址為9FAA:00589FAA:0058。

10、恢復恢復SS:SPSS:SP和和CS:IPCS:IP的相對值的相對值，正常執(zhí)行文件正常執(zhí)行文件。目 錄下一頁退 出上一頁2.3 2.3 盜用中斷的工作原理盜用中斷的工作原理 1、盜用中斷、盜用中斷21H的工作原理的工作原理 GRAVE病毒接管的病毒接管的DOS功能調用有：功能調用有： 虛設的功能號虛設的功能號F078HF078H，病毒用來判斷是否感染計算機系統(tǒng)。，病毒用來判斷是否感染計算機系統(tǒng)。 用用FCBFCB查找文件，查找文件，功能號功能號11H11H。 打開文件，打開文件，功能號功能號12H12H。 讀寫文件屬性，讀寫文件屬性，功能號功能號3DH3DH。 取磁盤空間，取磁盤空間，功能號功

11、能號43H43H。 刪除文件，刪除文件，功能號功能號13H13H。 執(zhí)行文件，執(zhí)行文件，功能號功能號36H36H。 打開文件，打開文件，功能號功能號4BH4BH。 創(chuàng)建文件，創(chuàng)建文件，功能號功能號6CH6CH 設置磁盤傳送地址，設置磁盤傳送地址，功能號功能號1AH1AH。目 錄下一頁退 出上一頁2.3 2.3 盜用中斷的工作原理盜用中斷的工作原理 2、盜用中斷、盜用中斷21H的工作原理的工作原理 GRAVE病毒接管上述病毒接管上述DOS功能調用的目的在于，獲得操作功能調用的目的在于，獲得操作系統(tǒng)磁盤傳送緩沖區(qū)的地址，所有操作系統(tǒng)提供給用戶可系統(tǒng)磁盤傳送緩沖區(qū)的地址，所有操作系統(tǒng)提供給用戶可執(zhí)行

12、文件的信息，必須經(jīng)過執(zhí)行文件的信息，必須經(jīng)過GRAVE病毒預處理后，再提供病毒預處理后，再提供給用戶。這樣，處于用戶與操作系統(tǒng)程序之間的給用戶。這樣，處于用戶與操作系統(tǒng)程序之間的GRAVE病病毒就可以完成：毒就可以完成： 正?？蓤?zhí)行文件的傳染；正常解釋執(zhí)行感染病毒的可正常可執(zhí)行文件的傳染；正常解釋執(zhí)行感染病毒的可執(zhí)行文件；提供用戶一份正常的文件數(shù)據(jù)，讓用戶感覺到執(zhí)行文件；提供用戶一份正常的文件數(shù)據(jù)，讓用戶感覺到可執(zhí)行文件沒有受到任何破壞?？蓤?zhí)行文件沒有受到任何破壞。目 錄下一頁退 出上一頁2.3 2.3 盜用中斷的工作原理盜用中斷的工作原理 3、盜用中斷、盜用中斷24H的工作原理的工作原理 中

13、斷程序如下：中斷程序如下： 9FAA:042B 32 C0 XOR AL,AL 9FAA:042B 32 C0 XOR AL,AL 9FAA:042D CF RETF 9FAA:042D CF RETF 因此，它僅僅因此，它僅僅將將AL清零作為返回值，不做其它任何操清零作為返回值，不做其它任何操作，這樣，就有效地掩蓋了病毒程序漏洞帶來的出錯提示，作，這樣，就有效地掩蓋了病毒程序漏洞帶來的出錯提示，避免引起用戶的警惕。避免引起用戶的警惕。目 錄下一頁退 出上一頁2.4 2.4 反反GRAVEGRAVE病毒病毒 消除消除GRAVE病毒對病毒對EXE文件的影響，應該注意一下幾點：文件的影響，應該注意

14、一下幾點： 內存是否感染病毒，可以通過虛設的內存是否感染病毒，可以通過虛設的DOS調用功能調用功能F078H實現(xiàn)，該功能調用是實現(xiàn)，該功能調用是GRAVE病毒特別設置的。病毒特別設置的。 這里，我們不通過查找文件的方式獲得文件相關的參數(shù)，這里，我們不通過查找文件的方式獲得文件相關的參數(shù)，而是直接通過而是直接通過DOS功能調用來實現(xiàn)。功能調用來實現(xiàn)。 對文件的修改等操作，全部與系統(tǒng)文件表對文件的修改等操作，全部與系統(tǒng)文件表SFT結構聯(lián)接起結構聯(lián)接起來進行。來進行。 GRAVE感染的感染的EXE文件類型，不是通過文件名中的擴展名文件類型，不是通過文件名中的擴展名來判斷，而是根據(jù)文件的第一個字是否來

15、判斷，而是根據(jù)文件的第一個字是否4D5AH或者或者5A4DH來判斷。來判斷。目 錄下一頁退 出上一頁2.4 2.4 反反GRAVEGRAVE病毒病毒 GRAVE替換的正常替換的正常EXE文件頭數(shù)據(jù)，是通過加密后實現(xiàn)存文件頭數(shù)據(jù)，是通過加密后實現(xiàn)存儲的，因此，恢復文件正常文件頭數(shù)據(jù)時，要解密后寫入。儲的，因此，恢復文件正常文件頭數(shù)據(jù)時，要解密后寫入。加密后的代碼存儲在附加于感染文件尾數(shù)據(jù)塊偏移量加密后的代碼存儲在附加于感染文件尾數(shù)據(jù)塊偏移量0403H處。處。GRAVE病毒的加密規(guī)律是：病毒的加密規(guī)律是： X XOR 7776H = Y （XOR為異或操作）為異或操作） 其中，其中，X為原值，為原

16、值，Y為加密后的值。有趣的是，由密碼值為加密后的值。有趣的是，由密碼值Y獲得原值獲得原值X的譯碼過程和加密規(guī)律一樣：的譯碼過程和加密規(guī)律一樣： Y XOR 7776H = X GRAVE病毒將感染文件增加病毒將感染文件增加047E字節(jié)，在恢復文件數(shù)據(jù)時，字節(jié)，在恢復文件數(shù)據(jù)時，需要將這些病毒代碼刪除。需要將這些病毒代碼刪除。 目 錄下一頁退 出上一頁2.5 2.5 病毒數(shù)據(jù)的磁盤映象病毒數(shù)據(jù)的磁盤映象 表（表（2.5.12.5.1）病毒程序使用的變量空間）病毒程序使用的變量空間地址字節(jié)數(shù)意 義9FAA:0004001AH提示信息串AT THE GRAVE OF GRANDMA.9FAA:00A70004HDOS正常中斷21H入口地址9FAA:03600002H正常執(zhí)行文件最后一節(jié)占用的字節(jié)數(shù)9FAA:0403000BH文件SS:SP,負累加和及CS:IP相對值的加密值9FAA:040E