当前位置:文档之家 › 第4章 DOS病毒的基本原理与DOS病毒分析

第4章 DOS病毒的基本原理与DOS病毒分析

  • 格式:ppt
  • 大小:165.50 KB
  • 文档页数:22

下载文档原格式

  / 22

合集下载

DoS 攻击及解决方案

DoS 攻击及解决方案

DoS 攻击及解决方案简介:DoS(Denial of Service)攻击是指恶意用户或黑客通过发送大量的请求或占用系统资源,导致目标服务器无法正常提供服务或响应其他合法用户的请求。

本文将详细介绍DoS攻击的原理、类型以及常见的解决方案。

一、DoS 攻击原理DoS攻击的基本原理是通过消耗目标系统的资源,使其无法正常运行或提供服务。

攻击者通常会利用目标系统的漏洞或弱点,发送大量的请求或占用系统资源,从而耗尽目标系统的计算能力、带宽或存储空间。

二、DoS 攻击类型1. 带宽消耗型攻击:攻击者通过发送大量的数据包,占用目标系统的带宽,使其无法响应合法用户的请求。

常见的带宽消耗型攻击包括洪水攻击(Flood Attack)和分布式拒绝服务攻击(DDoS)。

2. 资源消耗型攻击:攻击者通过耗尽目标系统的计算能力或存储空间,使其无法正常运行。

常见的资源消耗型攻击包括Ping of Death攻击、TCP SYN洪水攻击和Slowloris攻击。

3. 协议攻击:攻击者利用目标系统的协议漏洞,发送特定的恶意请求,导致目标系统崩溃或无法提供服务。

常见的协议攻击包括ICMP洪水攻击和Smurf攻击。

三、DoS 攻击解决方案1. 流量过滤:使用防火墙或入侵检测系统(IDS)来过滤恶意流量,识别并阻止DoS攻击流量的进入目标系统。

2. 带宽扩展:增加带宽容量,以便能够承受更大规模的攻击流量,确保正常用户的请求能够得到响应。

3. 负载均衡:通过将流量分散到多个服务器上,以减轻单一服务器的负载压力,提高系统的可用性和抗攻击能力。

4. 流量限制:限制单个IP地址或特定IP段的流量速率,防止攻击者通过发送大量请求来占用系统资源。

5. 弹性云服务:利用云计算技术,将系统部署在弹性云平台上,根据需要自动调整资源分配,提高系统的弹性和抗攻击能力。

6. 安全更新和漏洞修复:及时更新系统和应用程序的安全补丁,修复已知的漏洞,以减少攻击者利用系统漏洞进行DoS攻击的可能性。

第4章 DOS病毒解析

第4章 DOS病毒解析
由于引导型病毒普遍身材较小,所以使用减少计算机
可用基本内存的方式是最合适的,具体的方法在第2章 已经讲过。实际上,计算机可用基本内存也是存放在 内存的一个特殊地点的,那就是40H:13H。在这里面 存放的数值就是计算机当前的可用基本内存,单位为
KB。病毒一般选择地址最高位作为驻留地点。
4.1 引导型病毒(续)
• 先检查内存中是否已经有本类病毒存在,如果没有就将自己读入,然 后驻留内存。 • 获取当前环境,决定是否满足感染条件,如果满足就开始感染。 • 修改相关中断,使这些中断指向自己。 • 将控制权交还给原宿主,让它执行,这样可以避免用户的怀疑。 • 监视系统的一举一动,一旦有机会就进行破坏活动。
以上就是文件型病毒被触发后一定要做的事情。相对于不同的系 统和病毒,这些工作的程序可以有所调整。
4.1 引导型病毒(续) 大麻病毒会将内存容量减少2KB,但实际上只使
用1KB。它驻留内存,而且在引导区有病毒体,
所以杀毒工作必须保证内存全部清空,否则只能 是“春风吹又生”。 大麻病毒本身的结构中没有设定独立的破坏模块, 但是上面说到由于它存放原引导扇区的位置十分 敏感,所以会给中毒计算机带来文件丢失的后果, 它还是有相当破坏力的。
4.1 引导型病毒(续)
引导文件的保存
引导型病毒的宿主就是引导区,而不是特定的文件。引导区有MBR和BR两种文件,这在第2章 已经详细讲过了。因此,相对地也可以将引导型病毒分为MBR型和BR型。MBR型最典型的就是 下面大家将要看到的大麻病毒,它们占据硬盘的0磁道0柱面1扇区;BR病毒则是以小球病毒为 代表,它们把自己放在硬盘或软盘的逻辑0扇区。 MBR的作用就是用来加载系统,它的长度最大只有一个扇区,就在硬盘的0磁道0柱面1扇区, 放在这个物理位置的程序一定先于系统执行。因此,病毒会将这个地方的真正的MBR移开,然 后将自己放入,从而保证先于系统运行。等处理工作完成,病毒再用指令跳转到原MBR所在地, 将它读入系统0000:7C00处,让它来启动系统。原MBR的保存地点是有讲究的,必须要保证 MBR不会被覆盖破坏。一般的做法是将原MBR移动到0磁道0柱面2扇区,因为这里是保留扇区。 但是这就导致了另一个问题:引导型病毒又是怎么来保存原MBR的呢?显然,覆盖写入是绝对 不行的,这样只会让自己也一起死掉。同时,由于MBR是先于系统运行的,所以操作系统的中 断调用在这时是不能使用的。于是,来看下面的问题:BIOS磁盘功能中断调用。

计算机病毒与反病毒技术 课后习题答案

计算机病毒与反病毒技术 课后习题答案

注:12.19更新第三章第2题、第5题的感染机制答案《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。

1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是:Worm。

3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是:Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。

宏病毒的前缀是:Macro。

6、后门病毒后门病毒的前缀是:Backdoor。

7、病毒种植程序病毒后门病毒的前缀是:Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。

8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。

9.玩笑病毒玩笑病毒的前缀是:Joke。

10.捆绑机病毒捆绑机病毒的前缀是:Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。

网络传播,又分为因特网传播和局域网传播两种。

DoS 攻击及解决方案

DoS 攻击及解决方案

DoS 攻击及解决方案简介:DoS(Denial of Service)攻击是一种旨在使网络服务不可用的恶意行为。

攻击者通过发送大量的请求或者占用网络资源,使目标系统无法正常响应合法用户的请求。

本文将详细介绍DoS攻击的原理、常见类型以及解决方案。

一、DoS攻击原理:DoS攻击的基本原理是通过消耗目标系统的资源,使其无法正常提供服务。

攻击者可以利用系统的弱点或者发送大量的请求来实现这一目的。

主要的DoS攻击类型包括以下几种:1. SYN Flood攻击:攻击者发送大量的TCP连接请求(SYN包),但不完成三次握手过程,从而耗尽目标系统的资源,导致无法处理正常用户的请求。

2. UDP Flood攻击:攻击者发送大量的UDP数据包到目标系统,占用其带宽和处理能力,导致系统无法正常运行。

3. ICMP Flood攻击:攻击者发送大量的ICMP Echo请求到目标系统,使其无法正常响应合法用户的请求。

4. HTTP Flood攻击:攻击者发送大量的HTTP请求到目标网站,占用其带宽和服务器资源,导致网站无法正常提供服务。

二、DoS攻击解决方案:为了应对DoS攻击,可以采取以下解决方案来保护目标系统的安全和稳定:1. 流量过滤:通过使用防火墙或者入侵检测系统(IDS)等工具,对流入的网络流量进行过滤和监控。

可以根据流量的源地址、协议等进行过滤,阻挠潜在的攻击流量进入目标系统。

2. 负载均衡:使用负载均衡器来分发请求,将流量均匀分散到多个服务器上。

这样可以提高系统的处理能力和容错能力,抵御DoS攻击的影响。

3. 增加带宽:通过增加网络带宽,可以增加系统的处理能力,从而更好地应对DoS攻击。

同时,也可以使用流量限制和速率限制等策略,限制来自单个IP地址的流量。

4. 弹性扩展:在系统设计中考虑弹性扩展的能力,可以根据流量的变化自动扩展或者缩减系统的资源。

这样可以在遭受DoS攻击时,通过增加资源来保持系统的正常运行。

DOS病毒

DOS病毒

既感染主引导区或引导区,又感染感染文件的病毒被称为混合型病毒。如:“幽灵”病毒(ONEHALF), Natas病毒等。
DOS引导型病毒分为单纯引导型病毒、文件/引导混合型病毒,该类病毒一般会感染主引导记录和DOS引导记 录,将病毒体直接写入对应的扇区内,在BIOS执行完毕,将硬盘引导记录调入内存,并开始引导时,病毒就已经 进入内存。一般情况下该类病毒修改INT13的中断服务程序,以达到获取控制权的目的。在发生磁盘IO时,INT13 被调用,病毒就开始传染和发作。严重时此类病毒会将引导记录和分区表同时篡改,造成整个计算机内磁盘数据 的丢失,危害极大。
分类和原理
文件型病毒
引导性病毒
DOS病毒的绝大部分是感染DOS可执行文件,如:。EXE,。COM,甚至是。BAT等文件。这类病毒被称为文件 型病毒。像“黑色星期五”、“1575"、“卡死脖”病毒(CASPER)等就是文件型病毒。
DOS文件型病毒一般通过将病毒本体链接到可执行文件(。EXE、。COM)上进行保存自身,并在该可执行文 件得到执行后,主动或被动的找到其他可执行文件进行感染,复制自身代码,并在适当的时机发作,破坏计算机 内的文件。DOS文件型病毒常见的攻击对象有命令解释器command和DOS系统的可执行文件等。例如:在病毒进入 内存并得到执行,普通的一个dir /a/s命令可以感染该目录及子目录下的所有可执行文件。
EXE文件结构
EXE文件比较复杂,每个EXE文件都有一个文件头,结构如下: EXE文件头信息 ――――――――――――――――――― ├偏移量 ┤ 意义 ┤ ├00h-01h ┤MZ‘EXE文件标记 ┤ ├2h-03h ┤文件长度除512的余数 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位项的个数 ┤ ├08h-09h ┤文件头除16的商 ┤ ├0ah-0bh ┤程序运行所需最小段数 ┤ ├0ch-0dh ┤..............大.... ┤

第4章DOS病毒的基本原理与DOS病毒分析1PPT课件

第4章DOS病毒的基本原理与DOS病毒分析1PPT课件

病毒任务完成, 将 原 引 导 区 调 入 0:7C00执 行
原引导扇
系统正常引导
区的内容 要保护好
引导型病毒基本原理
病 毒 13H中 断 入 口
否 在读写软盘?
病毒被激活之后,即可根据感染条件实施暗地感染 、根据爆发破坏条件破坏系统并表现自己
引导型病毒 INT 13H
调用BIOS磁盘服务功能读写扇区
调用INT 13H子功能02H读扇区 调用INT 13H子功能03H写扇区
引导型病毒
调用BIOS磁盘服务功能读写扇区
A:\>debug
-a100
13AD:0100 mov ax,0201
读 到 内 存 0:7C00处
常规内存大小
控制权转到主引导程序
(病 毒 )
将 0:413单 元 的 值 减 少 1K(或 nK)
计算可用内存高端地址, 将病毒移到高端继续执行
INT 13H 中断功能
对磁盘扇 区的读写
修 改 INT 13H地 址 , 指 向 病 毒 传 染 段 , 将 原 INT 13H地 址 保 存 在 某 一 单 元
13AD:010C int 13
//执行命令
13AD:010E int 3 13AD:010E
//终止命令
Int 13H 需要的参数有哪些?
-g=100
//执行100开始的命令,遇到int 3会自动终止
-d 600
//查看扇区内容,一共512字节
引导型病毒
引导型病毒样例分析
该引导型病毒,通过截流盗取INT 13H中断监视系 统的运行并感染软盘引导扇区、硬盘主引导扇区
物理位置
引导型病毒
引导型病毒的思想
引导型病毒是一种在ROM BIOS之后,系统引导时 出现的病毒,它先于操作系统,依托的环境是 BIOS中断服务程序。

DoS攻击原理和防御方法

TCP/IP协议的权限DoS (拒绝服务攻击)----- Denial of Service该攻击的原理是利用TCP报文头来做的文章.下面是TCP数据段头格式。

Source Port和 Destination Port :是本地端口和目标端口Sequence Number 和 Acknowledgment Number :是顺序号和确认号,确认号是希望接收的字节号。

这都是32位的,在TCP流中,每个数据字节都被编号。

Data offset :表明TCP头包含多少个32位字,用来确定头的长度,因为头中可选字段长度是不定的。

Reserved : 保留的我不是人,现在没用,都是0接下来是6个1位的标志,这是两个计算机数据交流的信息标志。

接收和发送断根据这些标志来确定信息流的种类。

下面是一些介绍: URG:(Urgent Pointer field significant)紧急指针。

用到的时候值为1,用来处理避免TCP 数据流中断ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。

PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。

RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。

如果接收到RST位时候,通常发生了某些错误。

SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,CK=0,连接响应时,SYN=1,ACK=1。

即,SYN和ACK来区分Connection Request和Connection Accepted。

FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送。

DoS 攻击及解决方案

DoS 攻击及解决方案概述:在网络安全领域中,拒绝服务攻击(Denial of Service,简称DoS)是一种恶意行为,旨在通过使目标系统或网络资源无法提供正常服务来瘫痪或限制其可用性。

本文将介绍DoS攻击的原理和常见类型,并提供一些解决方案来减轻和防止这类攻击对系统和网络的影响。

1. DoS 攻击原理:DoS攻击的基本原理是通过向目标系统发送大量的请求或者占用大量的系统资源,使目标系统无法正常响应合法用户的请求。

攻击者通常利用网络的弱点或者系统的漏洞来实施攻击。

下面是一些常见的DoS攻击类型:1.1 SYN Flood 攻击:攻击者通过向目标系统发送大量伪造的TCP连接请求(SYN包),占用目标系统资源,导致合法用户无法建立有效连接。

1.2 ICMP Flood 攻击:攻击者利用Internet控制消息协议(ICMP)发送大量的伪造请求,使目标系统的网络带宽被占满,导致合法用户无法正常访问。

1.3 UDP Flood 攻击:攻击者发送大量伪造的用户数据报协议(UDP)数据包到目标系统,占用目标系统的网络带宽和系统资源,导致合法用户无法正常访问。

1.4 HTTP Flood 攻击:攻击者通过发送大量的HTTP请求到目标系统,占用目标系统的网络带宽和服务器资源,使合法用户无法正常访问网站。

2. DoS 攻击解决方案:为了减轻和防止DoS攻击对系统和网络的影响,可以采取以下解决方案:2.1 流量过滤和限制:通过使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备,对网络流量进行过滤和限制。

这些设备可以根据预定的规则过滤掉来自攻击者的恶意流量,并限制对目标系统的访问请求。

2.2 负载均衡和流量分发:通过使用负载均衡器和流量分发器,将来自用户的请求分散到多个服务器上。

这样可以减轻单个服务器的压力,提高系统的可用性,并且能够在一定程度上抵御DoS攻击。

2.3 增加带宽和资源:通过增加网络带宽和系统资源,可以提高系统的处理能力和容量,从而减轻DoS攻击对系统的影响。

第4章DOS病毒的基本原理与DOS病毒分析

恢ห้องสมุดไป่ตู้当前路径信息 在内存中恢复宿主
写入感染标志 写入病毒代码 在 文 件 首 添 加 JMP
是 退出?
恢复文件日期
将控制权转交给宿主
关闭文件
恢复文件属性 退出


达到感染次数?
15
4.3 文件型病毒的基本原理
4.3.2 感染COM文件
• 感染原理与清除
– 本示例病毒通过在宿主程序前添加3字节(跳转到病毒代码的3字节 JMP指令),在运行宿主程序时即获取控制权限,搜索并感染目标 文件;每感染一个目标文件,感染计数器增1,若感染数量达到设 定值,则爆发(显示“Virus infection test!”等信息)
19
4.4 混合型病毒的基本原理
混合型病毒的基本原理
• 混合型病毒,有时也称多型病毒,是结合了引导型和文件 型两种病毒、而互为感染的病毒,感染文件和引导扇区两 种目标。这样的病毒,通常都具有复杂的算法,它们使用 非常规的办法侵入系统,同时使用了加密和变形算法
运行含有病毒的程序
HOST和病毒 均载入内存
变 量 Var2的 实际位置
变 量 Var2 VIRUS
病毒在感染前的Var2位置
病毒感染HOST后Var2的位置
2
4.1 病毒的重定位
4.1.2 病毒如何重定位
call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中
xxxx:0000 PSP 数据
DS、ES

DS:0100 CS:IP
文 件 头
式 化 区
程序代码
SS:SP

DoS 攻击及解决方案

DoS 攻击及解决方案简介:DoS(Denial of Service)攻击是一种恶意行为,旨在通过超负荷或破坏目标系统的资源,使其无法正常提供服务。

本文将详细介绍DoS攻击的原理、常见类型以及解决方案。

一、DoS攻击原理DoS攻击利用目标系统的弱点或漏洞,通过发送大量请求、耗尽系统资源或破坏网络连接,使目标系统无法正常工作。

攻击者可以利用多种方式进行DoS攻击,包括但不限于以下几种:1. 带宽洪泛攻击(Bandwidth Flooding Attack):攻击者通过向目标系统发送大量的数据流量,占用目标系统的带宽资源,从而导致系统无法正常处理合法请求。

2. SYN Flood攻击:攻击者向目标系统发送大量伪造的TCP连接请求(SYN 包),目标系统会为每个连接请求分配资源,最终导致系统资源耗尽,无法处理其他合法请求。

3. ICMP洪泛攻击(Ping Flood):攻击者通过发送大量的ICMP Echo请求(Ping包),占用目标系统的网络带宽和处理能力,使其无法正常响应其他请求。

4. 慢速攻击(Slowloris Attack):攻击者通过发送大量的半开连接,占用目标系统的连接资源,使其无法接受新的连接请求。

二、DoS攻击的解决方案为了有效应对DoS攻击,以下是一些常见的解决方案:1. 流量过滤和防火墙配置通过配置防火墙规则,过滤掉来自可疑IP地址的流量,可以有效减少DoS攻击的影响。

此外,还可以使用入侵检测系统(IDS)和入侵防御系统(IPS)来实时监测和阻止恶意流量。

2. 带宽扩容和负载均衡增加网络带宽可以提高系统的抗DoS攻击能力。

此外,使用负载均衡设备可以将流量分散到多个服务器上,从而减轻单个服务器的负载压力。

3. SYN Cookies和连接限制使用SYN Cookies技术可以防止SYN Flood攻击。

SYN Cookies将一部分连接状态信息存储在客户端,从而减轻服务器的负担。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机病毒与反病毒技术
合肥工业大学计算机与信息学院
张仁斌
第4章
DOS病毒的基本原理与DOS病毒分析 DOS病毒的基本原理与DOS病毒分析
主要内容
病毒重定位的含义与基本方法 引导型病毒的基本原理 文件型病毒的基本原理 感染COM文件的基本方法及 文件的基本方法及COM文件病毒的清除 感染 文件的基本方法及 文件病毒的清除 感染EXE文件的基本方法及 文件的基本方法及EXE文件病毒的清除 感染 文件的基本方法及 文件病毒的清除
引导型病毒的缺点
• 传染速度慢 • 杀毒容易
计算机病毒与反病毒技术 合肥工业大学计算机学院 张仁斌 9
4.2 引导型病毒
4.2.4 引导型病毒的特点与清除
引导型病毒的判断与清除
由于引导程序本身完成的功能比较简单,所以我们可以判 由于引导程序本身完成的功能比较简单, 断该引导程序的合法性(看 指令的合法性) 断该引导程序的合法性 看JMP指令的合法性 指令的合法性 病毒驻留在内存,时刻监视系统的运行,伺机感染。 病毒驻留在内存,时刻监视系统的运行,伺机感染。缩小 内存大小值,影响读写文件速度。检查引导扇区、 内存大小值,影响读写文件速度。检查引导扇区、检查内 存容量可以发现病毒
病毒 HOST
病毒在.COM文件头部 文件头部 病毒在
HOST 病毒
ቤተ መጻሕፍቲ ባይዱ
病毒在.COM文件尾部 文件尾部 病毒在
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
14
4.3 文件型病毒的基本原理
运行病毒代码
4.3.2 感染 感染COM文件 文件
示例病毒 com_v主 主 流程
否 当前目录 是根目录? 是
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
1
4.1 病毒的重定位
4.1.1 病毒为什么需要重定位
病毒不可避免也要用到变量(常量 , 病毒不可避免也要用到变量 常量),当病毒感染 常量 HOST程序后,由于其依附到不同 程序后, 程序后 由于其依附到不同HOST程序中的 程序中的 位置各有不同,病毒随着HOST载入内存后,病毒 载入内存后, 位置各有不同,病毒随着 载入内存后 中的各个变量(常量 常量)在内存中的位置自然也会随着 中的各个变量 常量 在内存中的位置自然也会随着 00400000 发生变化
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
3
4.2 引导型病毒
4.2.1 引导型病毒的基本原理
带毒硬盘引导
病毒13H中断入口
BIOS将硬盘主引导区 读到内存0:7C00处 控制权转到主引导程序 (病毒) 将0:413单元的值 减少1K(或nK) 计算可用内存高端地址, 将病毒移到高端继续执行 修改INT 13H地址,指向病毒传染段, 将原INT 13H地址保存在某一单元 病毒任务完成, 将原引导区调入0:7C00执行 系统正常引导
调用BIOS磁盘服务功能读写扇区 调用 磁盘服务功能读写扇区
调用INT 13H子功能 子功能02H读扇区 调用 子功能 读扇区 调用INT 13H子功能 子功能03H写扇区 调用 子功能 写扇区
计算机病毒与反病毒技术 合肥工业大学计算机学院 张仁斌 5
4.2 引导型病毒
4.2.3 引导型病毒样例分析
保存当前目录路径信息 在当前目录 搜索.COM文件 否 找到? 清除文件属性 以读写方式 打开目标文件 host_? 搜索下一个 .COM文件 否
将上一级目录作 为新的当前目录
已感染? 爆发:显示感染信息 恢复当前路径信息 在内存中恢复宿主 是 退出? 将控制权转交给宿主 退出 是 写入感染标志 写入病毒代码 在文件首添加JMP 恢复文件日期 关闭文件 恢复文件属性
如果主引导区感染了病毒,用格式化程序FORMAT不能清 如果主引导区感染了病毒,用格式化程序 不能清 除该病毒(BR病毒可以用 病毒可以用FORMAT清除 清除) 除该病毒 病毒可以用 清除 可以用FDisk/MBR命令修复 命令修复MBR、清除该病毒,但可能导 可以用 命令修复 、清除该病毒, 致硬盘主分区信息丢失而造成用户数据丢失 备份主引导扇区/引导扇区 清除引导型病毒时, 引导扇区, 备份主引导扇区 引导扇区,清除引导型病毒时,只需将备 份内容写回相应扇区即可
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
13
4.3 文件型病毒的基本原理
4.3.2 感染 感染COM文件 文件
病毒感染.COM文件一般有两种方法,一种是将病 文件一般有两种方法, 病毒感染 文件一般有两种方法 毒加在.COM前部,一种是加在文件尾部 前部, 毒加在 前部
JMP XXXX:XXXX HOST前3字节 被修改
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
11
4.3 文件型病毒的基本原理
4.3.1 文件型病毒的基本原理
运行含有病毒的HOST程序 HOST程序和病毒 均载入内存
有其它无毒程序 被载入内存? Y 感染 被载入的程序
HOST程序 退出? Y 病毒常驻内存
时机成熟? Y 病毒发作
HOST程序退出内存 文件大小膨胀
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
10
4.3 文件型病毒的基本原理
4.3.1 文件型病毒的基本原理
无论是.COM文件还是 文件还是.EXE文件,还是操作系统的 文件, 无论是 文件还是 文件 可执行文件(包括 包括.SYS、.OVL、.PRG、.DLL文件 文件) 可执行文件 包括 、 、 、 文件 当启动已感染文件型病毒的程序(HOST程序 时 程序)时 ,当启动已感染文件型病毒的程序 程序 暂时中断该程序,病毒完成陷阱(激活条件 激活条件)的布 ,暂时中断该程序,病毒完成陷阱 激活条件 的布 感染工作后,再继续执行HOST程序,使计算 程序, 置、感染工作后,再继续执行 程序 机使用者初期觉得可正常执行,而实际上,在执行 机使用者初期觉得可正常执行,而实际上, 期间,病毒已暗做传染的工作,时机成熟时, 期间,病毒已暗做传染的工作,时机成熟时,病毒 发作 文件型病毒寄生在文件中, 文件型病毒寄生在文件中,这是文件型病毒与引导 型病毒的差别所在
在读写软盘? 是 此软盘有毒? 否 对其传染


执行原INT 13H
引导型病毒基本原理 计算机病毒与反病毒技术
引导型病毒13H中断 中断 引导型病毒 合肥工业大学计算机学院 张仁斌
4
4.2 引导型病毒
4.2.2 引导型病毒的触发与 引导型病毒的触发与INT 13H
引导型病毒的触发
用染毒盘启动计算机时,引导型病毒先于操作系统获取系 用染毒盘启动计算机时, 统控制权(被首次激活 被首次激活), 统控制权 被首次激活 ,处于动态 因首次激活时修改INT 13H入口地址使其指向病毒中断服 因首次激活时修改 入口地址使其指向病毒中断服 务程序, 务程序,从而处于可激活态 当系统/用户进行磁盘读写时调用 用户进行磁盘读写时调用INT 13H,调用的实际上 当系统 用户进行磁盘读写时调用 , 是病毒的中断服务程序,从而激活病毒, 是病毒的中断服务程序,从而激活病毒,使病毒处于激活 态 病毒被激活之后,即可根据感染条件实施暗地感染、 病毒被激活之后,即可根据感染条件实施暗地感染、根据 爆发破坏条件破坏系统并表现自己
计算机病毒与反病毒技术 合肥工业大学计算机学院 张仁斌 7
4.2 引导型病毒
4.2.3 引导型病毒样例分析
在恢复引导区之前,应清除内存中的病毒或使内存 在恢复引导区之前, 中的病毒处于灭活状态 用干净软盘引导启动系统, 用干净软盘引导启动系统,可以清除内存中的病毒 也可采用如下方法将内存中的病毒灭活: ,也可采用如下方法将内存中的病毒灭活:

计算机病毒与反病毒技术
合肥工业大学计算机学院
达到感染次数?

张仁斌
15
4.3 文件型病毒的基本原理
004010xx HOST
00400000 004010xx 变量Var2 VIRUS
病毒在感染前的Var2位置 位置 病毒在感染前的 计算机病毒与反病毒技术
变量Var2的 实际位置 变量Var2 VIRUS
病毒感染HOST后Var2的位置 后 病毒感染 的位置 合肥工业大学计算机学院 张仁斌 2
4.1 病毒的重定位
计算机病毒与反病毒技术
合肥工业大学计算机学院
张仁斌
8
4.2 引导型病毒
4.2.4 引导型病毒的特点与清除
引导型病毒的几个技术要点与特点
驻留内存 隐形技术 加密技术 引导型病毒的优点
• 隐蔽性强、兼容性强,只要编写的好,是不容易 隐蔽性强、兼容性强,只要编写的好, 发现的 • 通用于 通用于DOS、Windows、Windows 9x操作系统 、 、 操作系统
文件型病毒的基本原理 计算机病毒与反病毒技术 合肥工业大学计算机学院 张仁斌 12
4.3 文件型病毒的基本原理
4.3.2 感染 感染COM文件 文件
.COM 文件结构比较简单,是一种单段执行结构 文件结构比较简单, .COM文件包含程序的一个绝对映像 文件包含程序的一个绝对映像
其文件代码和运行时内存映像完全相同, 其文件代码和运行时内存映像完全相同,起始执 行偏移地址为100H,对应于文件的偏移0 行偏移地址为 ,对应于文件的偏移 MS-DOS通过直接把该映像从文件拷贝到内存而 通过直接把该映像从文件拷贝到内存而 加载.COM程序 程序, 加载.COM程序,不作任何改变
内容 CS、DS、SS、ES PSP CS:IP=CS:0100 程序代码 数据 堆栈 SS:SP=SS:FFFF 地址 xxxx:0000 环境段的内容: PROMPT=$P$G 00 PATH=C:\DOS;C:\TASM\BIN 00 COMSPEC=C:\ 00 00 C:\VIRUS\HOST\HOST_ 00