引导型病毒分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019年1月11日
第4页
计算机病毒分析与防治教程
清华大学出版社
2.1.1 磁盘数据结构
2019年1月11日
第5页
计算机病毒分析与防治教程
清华大学出版社
引导扇区
2019年1月11日
第6页
计算机病毒分析与防治教程
清华大学出版社
扇区分布
FAT32表项意义
序号
1
表项值 0x00000000 0x00000002~0xffffffff 0xfffffff0~0xfffffff6 0xfffffff7 0xfffffff8~0xffffffff
2019年1月11日
第12页
计算机病毒分析与防治教程
清华大学出版社
2.2.2 一个引导型病毒分析
2019年1月11日
第13页
计算机病毒分析与防治教程
清华大学出版社
2.3 实验1:引导程序设计
编写代码 实现步骤
2019年1月11日
第14页
计算机病毒分析与防治教程
清华大学出版社
实现步骤
(1) 准备系统盘 选择一张软盘,在 DOS 下执行 Format A:/S ,表示格式化 软盘且向它复制DOS系统文件。 (2) 备份主引导扇区数据到软盘 可以编写一个程序实现,也可以用 Debug实现。这样做的目 的是,万一系统崩溃了,还可以用软盘启动恢复。如果用 Debug,步骤如下: ① 建 立 一 个 文 件 , 如 ddd.txt , 随 便 敲 入 几 个 字 母 , 如 “aaaaaaaaaaaaaa”。 ② 用命令Debug ddd.txt,将该文件装载到内存。用命令 d可以看到文件在内存中位置为126C:0100H~126C:010DH
2019年1月11日 第15页
计算机病毒分析与防治教程
清华大学出版社
2019年1月11日
第16页
计算机病毒分析与防治教程
清华大学出版社
读主引导扇区数据
2019年1月11日
第17页
计算机病毒分析与防治教程
清华大学出版社
保存内存数据到文件
2019年1月11日
第18页
计算机病毒分析与防治教程
清华大学出版社
程序常驻内存
2019年1月11日
第9页
计算机病毒分析与防治教程
Fra Baidu bibliotek
清华大学出版社
2.2 引导型病毒
引导型病毒原理 一个引导型病毒分析
2019年1月11日
第10页
计算机病毒分析与防治教程
清华大学出版社
2.2.1 引导型病毒工作原理
引导型病毒是一种在ROM BIOS之后,系统引导时 出现的病毒,它先于操作系统,依托的环境是BIOS中断 服务程序。引导型病毒是利用操作系统的引导模块放在某 个固定的位置,并且控制权的转交方式是以物理位置为依 据,而不是以操作系统引导区的内容为依据,因而病毒占 据该物理位置即可获得控制权,而将真正的引导区内容搬 家转移或替换,待病毒程序执行后,将控制权交给真正的 引导区内容,使得这个带病毒的系统看似正常运转,而病 毒已隐藏在系统中并伺机传染、发作。
2019年1月11日
第11页
计算机病毒分析与防治教程
清华大学出版社
感染前后比较
● 软盘中毒前的正常开机程序:开机→执行BIOS→自我测试POST→填 入 中 断 向 量 表 → 启 动 扇 区 (Boot sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 ● 软盘中毒之后的开机程序:开机→执行BIOS→自我测试POST→填 入 中 断 向 量 表 → 开 机 型 病 毒 → 启 动 扇 区 (Boot Sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 ● 硬盘中毒前的正常开机程序:开机→执行BIOS→自我测试POST→填 入 中 断 向 量 表 → 硬 盘 分 区 表 (Partition Table)→ 启 动 扇 区 (Boot Sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。 ● 硬盘中毒之后的开机程序:开机→执行BIOS→自我测试POST→填 入中断向量表→硬盘分割表(Partition Table)→开机型病毒→启动扇区 (Boot Sector)→IO.SYS→MSDOS.SYS→COMMAND.COM。
2019年1月11日
第20页
计算机病毒分析与防治教程
清华大学出版社
2.5 清除病毒程序设计
用未被病毒感染的带系统的软盘启动后, 用int 13h的功能2在磁盘中寻找被病毒藏 匿的原引导扇区代码,用功能3将其回写到 本来位置即可。
2019年1月11日
第21页
第2页
计算机病毒分析与防治教程
清华大学出版社
教学过程
预备知识 引导型病毒 实验1:引导程序设计 实验2:接管中断程序设计 清除病毒程序设计
2019年1月11日
第3页
计算机病毒分析与防治教程
清华大学出版社
2.1 预备知识
● 磁盘数据结构 ● DOS启动过程 ● 读写扇区方式 ● 程序常驻内存
簇描述信息含义 未使用的簇 一个已分配的簇号 保留的簇 坏簇 文件结束簇 第7页
2
3
4
5
2019年1月11日
计算机病毒分析与防治教程
清华大学出版社
读写扇区方式
Int 13h 用Debug的命令L和W可以读写分区的扇区 ReadFile
2019年1月11日
第8页
计算机病毒分析与防治教程
清华大学出版社
计算机病毒分析与防治教程
清华大学出版社
教学目标
系统引导过程 引导型病毒原理 中断与中断程序设计 清除病毒方法
2019年1月11日
第1页
计算机病毒分析与防治教程
清华大学出版社
教学重点
引导扇区分析 读写扇区方式 程序常驻内存 引导程序设计 接管中断程序设计
2019年1月11日
移动主引导扇区数据
2019年1月11日
第19页
计算机病毒分析与防治教程
清华大学出版社
2.4 实验2:接管中断程序设计
代码演示了在DOS启动前,是如何接管int 13h,使自己的int 13h是如何常驻内存。 其中涉及到了0:413h处数据的修改,如何 计算自己的int 13h的长度,如何将自己复 制到内存高端等。