计算机病毒分析与防治简明教程 ch02 引导型病毒分析

1、计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第1页第第2章章 引导型病毒分析引导型病毒分析 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社教学目标教学重点教学过程计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第2页教学目标教学目标l系统引导过程系统引导过程 l引导型病毒原理引导型病毒原理 l中断与中断程序设计中断与中断程序设计l清除病毒方法清除病毒方法计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第3页教学重点教

2、学重点l引导扇区分析引导扇区分析 l读写扇区方式读写扇区方式 l程序常驻内存程序常驻内存 l引导程序设计引导程序设计 l接管中断程序设计接管中断程序设计计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第4页教学过程教学过程l预备知识预备知识 l引导型病毒引导型病毒 l实验实验1：引导程序设计：引导程序设计 l实验实验2：接管中断程序设计：接管中断程序设计 l清除病毒程序设计清除病毒程序设计 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第5页2.1 预备知识预备知识 磁盘数据结构磁盘数据结构 DO

3、S启动过程启动过程 读写扇区方式读写扇区方式 程序常驻内存程序常驻内存 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第6页2.1.1 2.1.1 磁盘数据结构磁盘数据结构 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第7页引导扇区引导扇区计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第8页扇区分布扇区分布 FAT32表项意义序号表项值簇描述信息含义 10 x00000000未使用的簇 20 x000000020 xffffffff一个已分配的

4、簇号 30 xfffffff00 xfffffff6 保留的簇 4 0 xfffffff7 坏簇 50 xfffffff80 xffffffff文件结束簇计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第9页读写扇区方式读写扇区方式 lIntInt 13h 13h l用用DebugDebug的命令的命令L L和和W W可以读写分区的扇区可以读写分区的扇区 lReadFileReadFile 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第10页程序常驻内存程序常驻内存 计算机病毒分析与防治教程计算

5、机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第11页2.2 2.2 引导型病毒引导型病毒 l引导型病毒原理引导型病毒原理 l一个引导型病毒分析一个引导型病毒分析 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第12页2.2.1 2.2.1 引导型病毒工作原理引导型病毒工作原理 引导型病毒是一种在引导型病毒是一种在ROM BIOS之后，系统引导时之后，系统引导时出现的病毒，它先于操作系统，依托的环境是出现的病毒，它先于操作系统，依托的环境是BIOS中断中断服务程序。引导型病毒是利用操作系统的引导模块放在某服务程序。引导型病

6、毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作毒已隐藏在系统中并伺机传染、发作。计

7、算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第13页感染前后比较感染前后比较 软盘中毒前的正常开机程序：开机软盘中毒前的正常开机程序：开机执行执行BIOS自我测试自我测试POST填填入中断向量表入中断向量表启动扇区启动扇区(Boot sector)IO.SYSMSDOS.SYSCOMMAND.COM。 软盘中毒之后的开机程序：开机软盘中毒之后的开机程序：开机执行执行BIOS自我测试自我测试POST填填入 中 断 向 量 表入 中 断 向 量 表 开 机 型 病 毒开 机 型 病 毒 启 动 扇 区启 动 扇 区 ( B o o t Sector

8、)IO.SYSMSDOS.SYSCOMMAND.COM。 硬盘中毒前的正常开机程序：开机硬盘中毒前的正常开机程序：开机执行执行BIOS自我测试自我测试POST填填入中断向量表入中断向量表硬盘分区表硬盘分区表(Partition Table)启动扇区启动扇区(Boot Sector)IO.SYSMSDOS.SYSCOMMAND.COM。 硬盘中毒之后的开机程序：开机硬盘中毒之后的开机程序：开机执行执行BIOS自我测试自我测试POST填填入中断向量表入中断向量表硬盘分割表硬盘分割表(Partition Table)开机型病毒开机型病毒启动扇区启动扇区(Boot Sector)IO.SYSMSDOS

9、.SYSCOMMAND.COM。 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第14页2.2.2 2.2.2 一个引导型病毒分析一个引导型病毒分析 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第15页2.3 2.3 实验实验1 1：引导程序设计：引导程序设计 l编写代码编写代码 l实现步骤实现步骤 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第16页实现步骤实现步骤 (1) 准备系统盘准备系统盘 选择一张软盘，在选择一张软盘，在DOS下执行

10、下执行Format A:/S，表示格式化，表示格式化软盘且向它复制软盘且向它复制DOS系统文件。系统文件。 (2) 备份主引导扇区数据到软盘备份主引导扇区数据到软盘可以编写一个程序实现，也可以用可以编写一个程序实现，也可以用Debug实现。这样做的目实现。这样做的目的是，万一系统崩溃了，还可以用软盘启动恢复。如果用的是，万一系统崩溃了，还可以用软盘启动恢复。如果用Debug，步骤如下：，步骤如下： 建立一个文件，如建立一个文件，如dddddd.txt.txt，随便敲入几个字母，如，随便敲入几个字母，如“aaaaaaaaaaaaaaaaaaaaaaaaaaaa”。 用命令用命令Debug ddd

11、Debug ddd.txt.txt，将该文件装载到内存。用命令，将该文件装载到内存。用命令d d可以看到文件在内存中位置为可以看到文件在内存中位置为126126C:0100HC:0100H126C:010DH126C:010DH 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第17页计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第18页读主引导扇区数据读主引导扇区数据 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第19页保存内存数据到文件保存内

12、存数据到文件 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第20页移动主引导扇区数据移动主引导扇区数据 计算机病毒分析与防治教程计算机病毒分析与防治教程 清华大学出版社清华大学出版社2022年2月6日第21页2.4 2.4 实验实验2 2：接管中断程序设计：接管中断程序设计 l代码演示了在代码演示了在DOSDOS启动前，是如何接管启动前，是如何接管intint 13h13h，使自己的，使自己的intint 13h 13h是如何常驻内存。是如何常驻内存。其中涉及到了其中涉及到了0:413h0:413h处数据的修改，如何处数据的修改，如何计算自己的计算自己的intint 13h 13h的长度，如何将自己复的长度，如何将自己复制到内存高端等。制到内存高端等。 计算机病毒分析与防治教程计算机病毒分析与