复旦大学信息安全课件第6章典型计算机病毒分析

《复旦大学信息安全课件第6章典型计算机病毒分析》由会员分享，可在线阅读，更多相关《复旦大学信息安全课件第6章典型计算机病毒分析（79页珍藏版）》请在金锄头文库上搜索。

1、第第6章 典型计算机病毒分析章 典型计算机病毒分析目前计算机病毒的种类日趋增加，为了有效地防范计算机病毒，分析典型计算机病毒是必要的。目前计算机病毒的种类日趋增加，为了有效地防范计算机病毒，分析典型计算机病毒是必要的。从现象中认识事物的本质，掌握其规律从现象中认识事物的本质，掌握其规律从而找出防范计算机病毒的方法和措施从而找出防范计算机病毒的方法和措施进而发展计算机系统安全的技术和理论进而发展计算机系统安全的技术和理论6.1大麻病毒大麻病毒大麻病毒又名石头病毒，是一种系统引导型病毒，它攻击软盘的引导区或硬盘的主引导区，是恶性的计算机病毒。大麻病毒又名石头病毒，是一种系统引导型病毒，它攻击软盘的

2、引导区或硬盘的主引导区，是恶性的计算机病毒。6.1.1大麻病毒的表现症状大麻病毒的表现症状“Your PC is Now Stoned”。蜂鸣器会发出一响声。蜂鸣器会发出一响声。当提示字符闪过之后，机器并无其他异常现象，但对某些硬盘和软盘可能无法再使用。当提示字符闪过之后，机器并无其他异常现象，但对某些硬盘和软盘可能无法再使用。大麻病毒的传染途径主要是：大麻病毒的传染途径主要是：或是在有病毒的机器上对软盘作了读写操作，或是在有病毒的机器上对软盘作了读写操作，或是用带毒软盘启动系统，或是用带毒软盘启动系统，或是把带毒系统盘整盘拷贝。或是把带毒系统盘整盘拷贝。6.1.2大麻病毒的工作原理大麻病毒的

3、工作原理大麻病毒包括引导模块、传染模块和表现模块大麻病毒包括引导模块、传染模块和表现模块用带毒盘引导系统时，引导模块首先运行，如果是软盘启动，则有八分之一的可能调用表现模块，表现模块只在这一时刻才可能执行。用带毒盘引导系统时，引导模块首先运行，如果是软盘启动，则有八分之一的可能调用表现模块，表现模块只在这一时刻才可能执行。传染模块分两部分，第一部分用来传染硬盘，在引导模块执行时被调用，第二部分用来传染传染模块分两部分，第一部分用来传染硬盘，在引导模块执行时被调用，第二部分用来传染A驱动器中的软盘，驱动器中的软盘，它是通过调用磁盘操作中断它是通过调用磁盘操作中断INT13H获得执行权的获得执行权

4、的大麻病毒程序的有效长度不到一个扇区，全部藏身于硬盘的主引导扇区和软盘的引导扇区中。大麻病毒程序的有效长度不到一个扇区，全部藏身于硬盘的主引导扇区和软盘的引导扇区中。当系统启动时，大麻病毒首先进入内存并将原属于磁盘操作系统的控制权交给大麻病毒的主程序，当系统启动时，大麻病毒首先进入内存并将原属于磁盘操作系统的控制权交给大麻病毒的主程序，该程序获得控制权后，即作下列工作：该程序获得控制权后，即作下列工作：(1)将病毒程序存放到内存的某一位置保护起来，随时准备攻击用户的磁盘。将病毒程序存放到内存的某一位置保护起来，随时准备攻击用户的磁盘。(2)保存原来的保存原来的INT13H中断向量，并修改正常的

5、中断向量，并修改正常的INT13H中断服务程序的向量，使之指向病毒的中断服务程序的向量，使之指向病毒的INT13H中断服务程序。中断服务程序。(3)判断是否从带毒判断是否从带毒A盘启动。若是的，则立即调用传染模块的第一部分，然后调用表现模块。盘启动。若是的，则立即调用传染模块的第一部分，然后调用表现模块。(4)无论是从硬盘还是软盘启动，最终都要跳到无论是从硬盘还是软盘启动，最终都要跳到0000:7c00处，执行正常的引导程序。处，执行正常的引导程序。病毒启动盘为软盘？ N Y N Y N Y N Y Y N Y N 启动将病毒区的第09-0c字节处保存原INT13中断向量修改INT13中断向量

6、将病毒程序传送到自己定义的附加段ES:0000处复位磁盘系统将0008处的软硬盘标志位置0将放在0道1面3扇区的引导系统读入0000：7c00处将放在0道0头7扇区的硬盘主引导系统读入0000：7c00处当前时间值是8FFEH的倍数？显示字符Your PC is now stoned!跳0000：7c00处执行真正的硬盘引导是读写操作？是访问A盘？引导扇区前4个字节是否为EA0500c0？原BOOT写入0道1面3扇区将病毒程序写入0道1面1 扇区转原INT13H把硬盘的0道0头1扇区读入ES:200处ES:200处的第一和第二字节值是否为EA0500c0？将0008处的软硬标志位置02将ES:

7、200处的硬盘主引导程序放道硬盘的0道0头7扇区把硬盘分区信息表移到病毒程序的后面把带有分区信息表的病毒程序放入硬盘的物理0扇区跳0000:7c00处执行真正的软盘引导大麻病毒对硬盘主引导扇区及软盘引导扇区内容移动的位置是固定的。大麻病毒对硬盘主引导扇区及软盘引导扇区内容移动的位置是固定的。感染硬盘时，主引导记录被移到感染硬盘时，主引导记录被移到0道道0面面7扇区。扇区。此时，若此时，若DOS分区的隐含扇区数为分区的隐含扇区数为11H或或17H，则，则0面面0道道7扇区空出不使用，病毒不会给系统造成破坏；扇区空出不使用，病毒不会给系统造成破坏；如果隐含扇区数为如果隐含扇区数为1，则，则0面面0

8、道道7扇区为扇区为FAT表，这样当表，这样当DOS把这里的主引导记录当做把这里的主引导记录当做FAT表进行修改分配，则主引导记录失效，导致硬盘无法引导系统。表进行修改分配，则主引导记录失效，导致硬盘无法引导系统。对软盘感染时，大麻病毒不区分软盘种类，把原对软盘感染时，大麻病毒不区分软盘种类，把原BOOT区内容写入区内容写入0道道1面面3扇区，这样对某些软盘可能造成破坏。扇区，这样对某些软盘可能造成破坏。 扇区分配软盘BOOTFAT1FAT2根目录区数据区每道扇区数360KB01-23-45-1112-91.2MB01-78-1415-2829-156.1.3大麻病毒的防治大麻病毒的防治1.对软

9、盘的检测和消除对软盘的检测和消除读出软盘的引导扇区内容与正常引导记录和病毒程序进行比较，就可确定该软盘是否感染了大麻病毒。读出软盘的引导扇区内容与正常引导记录和病毒程序进行比较，就可确定该软盘是否感染了大麻病毒。如果确定软盘已感染了大麻病毒，则只需把如果确定软盘已感染了大麻病毒，则只需把1面面0道道3扇区的原扇区的原DOS引导记录写回到引导扇区即可。引导记录写回到引导扇区即可。2.对硬盘的检测和消除对硬盘的检测和消除硬盘的硬盘的0面面0道道1扇区为主引导扇区，借助于汇编程序，把主引导扇区内容读到内存指定位置，确定是否感染大麻病毒。扇区为主引导扇区，借助于汇编程序，把主引导扇区内容读到内存指定位

10、置，确定是否感染大麻病毒。在确定硬盘上存在大麻病毒之后，编写汇编程序，把放在在确定硬盘上存在大麻病毒之后，编写汇编程序，把放在0面面0道道7扇区的硬盘主引导记录写回到主引导区。扇区的硬盘主引导记录写回到主引导区。如果硬盘已不能引导，则说明主引导记录已被破坏。如果硬盘已不能引导，则说明主引导记录已被破坏。恢复主引导记录。通常可先从同样机型、同样恢复主引导记录。通常可先从同样机型、同样DOS版本做的分区且分区大小一样、不带毒的机器，用汇编程序读出主引导记录，再把它写入一个文件。然后用软盘启动出现故障的机器，并把前面得到的文件装入内存，最后把内存中存放的正常主引导记录写回到主引导扇区，重新启动系统。

11、版本做的分区且分区大小一样、不带毒的机器，用汇编程序读出主引导记录，再把它写入一个文件。然后用软盘启动出现故障的机器，并把前面得到的文件装入内存，最后把内存中存放的正常主引导记录写回到主引导扇区，重新启动系统。6.2 六六四病毒四病毒当满足一定条件时，在硬盘启动过程中会显示“当满足一定条件时，在硬盘启动过程中会显示“Bloody!Jun.4,1989”。与大麻病毒相同的是在软盘和硬盘的存储方式也是不一样的。与大麻病毒相同的是在软盘和硬盘的存储方式也是不一样的。在软盘上也是存放在在软盘上也是存放在1面面0道道3扇区，扇区，但在硬盘上是占据但在硬盘上是占据0道道0面面6扇区，此外该病毒还可传染扇区

12、，此外该病毒还可传染B驱动器中的软盘。驱动器中的软盘。开始修改INT13中断向量病毒放入内存高端最后2K有无软盘？读硬盘0面0道6扇区读软盘1面0道3扇区正常引导记录放到0000:7c00正常引导记录放到0000:7c00内部计数器符合条件吗？显示“Blood Jun.4,1989”内部计数器加1读入硬盘0面0道1扇区硬盘有病毒吗？主引导记录放在0面0道6扇区，病毒部分放在0面0道1扇区跳0000:7c00执行正常引导记录6.3 米开郎基罗病毒米开郎基罗病毒米开郎基罗病毒又称“米氏”病毒，这个名称来源于它的发作日期：每年的米开郎基罗病毒又称“米氏”病毒，这个名称来源于它的发作日期：每年的3月月

13、6日，而这一天恰是意大利画家米开郎基罗的生日。日，而这一天恰是意大利画家米开郎基罗的生日。3.3.1“米氏”病毒的特点“米氏”病毒的特点病毒程序占据一个扇区，共病毒程序占据一个扇区，共512字节。对于硬盘占据主引导扇区，而对于软盘则占据引导扇区。字节。对于硬盘占据主引导扇区，而对于软盘则占据引导扇区。当用带有病毒的磁盘启动系统时，病毒程序首先进入内存，减少内存总量当用带有病毒的磁盘启动系统时，病毒程序首先进入内存，减少内存总量2KB，并修改系统的，并修改系统的INT 13H中断向量，使其指向病毒的传染模块，从而获得对系统的控制权。中断向量，使其指向病毒的传染模块，从而获得对系统的控制权。“米氏

14、”病毒对硬盘和“米氏”病毒对硬盘和360KB软盘的传染与大麻病毒类似。与大麻病毒不同的有以下软盘的传染与大麻病毒类似。与大麻病毒不同的有以下3点点1.对对1.2MB软盘传染时，是将正常引导扇区内容放到根目录最后一个扇区，即软盘传染时，是将正常引导扇区内容放到根目录最后一个扇区，即1面面0道道0EH扇区。扇区。2.用破坏程序段代替大麻病毒的表现程序段。用破坏程序段代替大麻病毒的表现程序段。3.病毒程序标识不同。病毒程序标识不同。6.3.2病毒的作用机制病毒的作用机制“米氏”病毒的引导过程与大麻病毒完全相同“米氏”病毒的引导过程与大麻病毒完全相同由于它占据了软盘的引导扇区或硬盘的主引导扇区，故系统

15、启动时，病毒程序首先被装入内存，并获得对系统的控制权，由于它占据了软盘的引导扇区或硬盘的主引导扇区，故系统启动时，病毒程序首先被装入内存，并获得对系统的控制权，病 毒 程 序 在 驻 留 内 存 后 ， 修 改 系 统 的病 毒 程 序 在 驻 留 内 存 后 ， 修 改 系 统 的INT13H中断向量，使之指向病毒的传染部分。中断向量，使之指向病毒的传染部分。然后系统判断系统日期，若发现为然后系统判断系统日期，若发现为3月月6日，则执行破坏程序，破坏系统的硬盘和工作软盘。日，则执行破坏程序，破坏系统的硬盘和工作软盘。“米氏”病毒对硬盘的传染和对软盘的传染是不同的“米氏”病毒对硬盘的传染和对软

16、盘的传染是不同的首先判断是否有该病毒的标识，以决定是否传染。首先判断是否有该病毒的标识，以决定是否传染。当用带毒软盘引导系统时，若硬盘无病毒标识，就先将硬盘主引导扇区中的数据移到硬盘的另一扇区当用带毒软盘引导系统时，若硬盘无病毒标识，就先将硬盘主引导扇区中的数据移到硬盘的另一扇区，再向硬盘主引导扇区写入病毒程序。再向硬盘主引导扇区写入病毒程序。对软盘传染时，只传染对软盘传染时，只传染A驱动器中所操作的软盘，因此除了判断病毒标识外，还要判断驱动器号。驱动器中所操作的软盘，因此除了判断病毒标识外，还要判断驱动器号。如果对如果对A驱动器中的盘进行任何读写操作时，病毒程序的传染部分首先获得控制权，在确定该软盘没有该病毒标识后，就将病毒程序传染到该磁盘上。驱动器中的盘进行任何读写操作时，病毒程序的传染部分首先获得控制权，在确定该软盘没有该病毒标识后，就将病毒程序传染到该磁盘上。为麻痹用户，病毒程序会将包含为麻痹用户，病毒程序会将包含DOS两个隐含模块名称的引导扇区中后两个隐含模块名称的引导扇区中后21H字节内容移到病毒程序尾部字节内容移到病毒程序尾部由于用户查看引导扇区时，常要查看这一内容，对用