DOS病毒的基本原理與DOS病毒分析_第1頁
DOS病毒的基本原理與DOS病毒分析_第2頁
DOS病毒的基本原理與DOS病毒分析_第3頁
DOS病毒的基本原理與DOS病毒分析_第4頁
DOS病毒的基本原理與DOS病毒分析_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、1會計學DOS病毒的基本原理與病毒的基本原理與DOS病毒分析病毒分析病毒在感染前的病毒在感染前的Var2位置位置病毒感染病毒感染HOST后后Var2的位置的位置變量Var2VIRUS00400000004010 xx變量Var2的實際位置HOST變量Var2VIRUS00400000004010 xxvar1的形式進行變量var1的重定位引導型病毒基本原理引導型病毒基本原理引導型病毒引導型病毒13H中斷中斷帶 毒 硬 盤 引 導BIOS將 硬 盤 主 引 導 區(qū)讀 到 內(nèi) 存 0:7C00處控 制 權(quán) 轉(zhuǎn) 到 主 引 導 程 序(病 毒 )將 0:413單 元 的 值減 少 1K(或 nK)計

2、 算 可 用 內(nèi) 存 高 端 地 址 ,將 病 毒 移 到 高 端 繼 續(xù) 執(zhí) 行修 改 INT 13H地 址 , 指 向 病 毒 傳 染 段 ,將 原 INT 13H地 址 保 存 在 某 一 單 元病 毒 任 務 完 成 ,將 原 引 導 區(qū) 調(diào) 入 0:7C00執(zhí) 行系 統(tǒng) 正 常 引 導病毒13H中斷入口在讀寫軟盤?此軟盤有毒?對其傳染執(zhí)行原INT 13H否否是是量,也可發(fā)現(xiàn)病毒的存在提取引導區(qū)提取引導區(qū)C:debugC:debug-L100 -L100 盤號盤號 0 10 1-n dosboot.62s-n dosboot.62s-rcx-rcxCX 0000CX 0000:200:

3、200-W-W-Q-Q覆蓋引導區(qū)覆蓋引導區(qū)C:debugC:debug-n dosboot.62s-n dosboot.62s-L-L-w100 -w100 盤號盤號 0 10 1-q-qn備份主引導扇區(qū)/引導扇區(qū),清除引導型病毒時,只需將備份內(nèi)容寫回相應扇區(qū)即可文件型病毒的基本原理文件型病毒的基本原理運行含有病毒的HOST程序HOST程序和病毒均載入內(nèi)存時機成熟?病毒發(fā)作有其它無毒程序被載入內(nèi)存?感染被載入的程序HOST程序退出?病毒常駐內(nèi)存HOST程序退出內(nèi)存文件大小膨脹YYYPSP程序代碼數(shù)據(jù)堆棧地址內(nèi)容xxxx:0000CS、DS、SS、ESCS:IP=CS:0100SS:SP=SS:

4、FFFFPROMPT=$P$G 00PATH=C:DOS;C:TASMBIN 00COMSPEC=C:COMMAND.COM 0000C:VIRUSHOSTHOST_COM.COM 00環(huán)境段的內(nèi)容:病毒在病毒在.COM文件頭部文件頭部病毒在病毒在.COM文件尾部文件尾部病毒HOSTHOST前3字節(jié)被修改JMP XXXX:XXXXHOST病毒運行病毒代碼保存當前目錄路徑信息找到?在當前目錄搜索.COM文件搜索下一個.COM文件清除文件屬性以讀寫方式打開目標文件host_?已感染?寫入感染標志寫入病毒代碼在文件首添加JMP恢復文件日期關(guān)閉文件恢復文件屬性達到感染次數(shù)?爆發(fā):顯示感染信息恢復當前路

5、徑信息在內(nèi)存中恢復宿主退出?退出將控制權(quán)轉(zhuǎn)交給宿主將上一級目錄作為新的當前目錄當前目錄是根目錄?否是否是否是否是C:ren host_ host_comC:ren host_ host_comC:debug host_comC:debug host_com-rcx-rcxCX 226 CX 226 文件長度文件長度:50 :50 文件長度減去文件長度減去1D6h(1D6h(病毒長度病毒長度) )-m103 L50 100 -m103 L50 100 把從把從103h103h到文件尾的代碼寫回原文件到文件尾的代碼寫回原文件-w-wWrinting 50 bytesWrinting 50 byte

6、s-q-qC:ren host_com host_C:ren host_com host_EXE文件結(jié)構(gòu)文件結(jié)構(gòu)EXE文件的內(nèi)存映像文件的內(nèi)存映像偏偏移移量量內(nèi)內(nèi) 容容00h-01hMZ EXE文件標記02h-03h文件最后一個扇區(qū)(頁)字節(jié)數(shù)04h-05h文件的總扇區(qū)(頁)數(shù)06h-07h重定位項的個數(shù)08h-09h文件頭大小除16的商0ah-0bh程序運行所需最小段數(shù)(16字節(jié)的倍數(shù))0ch-0dh程序運行所需最大段數(shù)(16字節(jié)的倍數(shù))oeh-0fh初始化堆棧段(SS初值,相對于載入模塊)10h-11h初始化堆棧指針(SP初值)12h-13h文件校驗和14h-15h初始代碼段指針(IP初值)16h-17h初始代碼段段地址(CS初值,相對于載入模塊)18h-19h第一個重定位項的偏移量1ah-1bh覆蓋號重定位表.格式化區(qū)文件頭載入模塊PSP數(shù)據(jù)程序代碼堆棧地址內(nèi)容xxxx:0000DS、ESDS:0100CS:IPSS:SP何,清除過程基本上是病毒感染的逆過程運行含有病毒的程序HOST和病毒均載入內(nèi)存時機成熟?病毒發(fā)作感染其它BOOT區(qū)和文件HOST退出?病毒常駐內(nèi)存HOST退出內(nèi)存文件大小膨脹YY傳染內(nèi)存感染自己的BOOT區(qū)病毒寫入引導扇區(qū)n后修改入口地址,以便激活自己并感染引導扇區(qū)和文件n病毒的加密變形病毒在感染前的病毒在感染前的Var2位

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論