引导型病毒原理 了解引导型病毒的原理,首先要了解引导区的结构。软盘只有一个引导区,称为DOS BOOT SECTER ,只要软盘做了格式化,就会存在。其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导,若无则显示‘NO SYSTEM DISK...’等信息。硬盘有两个引导区,在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区,该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。 ***3.5”软盘格式*** 3.5”软盘是双面的,所以零磁道有正反两面,正面为0-17扇区, 反面是18-35扇区。 0 扇区: Boot area (引导扇区); 1 - 9 扇区: 1st FAT area (第一张文件分配表); 10 - 18 扇区: 2st FAT area (第二张文件分配表); 19 - 32 扇区: Root dir area(也叫 File Directory Table,FDT) 文件目录表(根目录) 33-2879 扇区: Data area (数据区) ***硬盘的主引导记录结构*** 硬盘的主引导记录结构 偏移 机器码 符号指令 说明 0000 FA CLI ;屏蔽中断 0001 33C0 XOR AX,AX 0003 8ED0 MOV SS,AX ;(SS)=0000H 0005 BC007C MOV SP,7C00 ;(SP)=7C00H 0008 8BF4 MOV SI,SP ;(SI)=7C00H 000A 50 PUSH AX 000B 07 POP ES ;(ES)=0000H 000C 50 PUSH AX 000D 1F POP DS ;(DS)=0000H 000E FB STI 000F FC CLD 0010 BF0006 MOV DI,0600 0013 B90001 MOV CX,0100 ;共512字节 0016 F2 REPNZ 0017 A5 MOVSW ;主引导程序把自己从0000:7C00处搬到 ;0000:0600处,为Dos分区的引导程序腾 ;出空间 0018 EA1D060000 JMP 0000:061D ;跳到0000:061D处继续执行,实际上就是 ;执行下面的MOV指令(001D偏移处) 001D BEBE07 MOV SI,07BE ;07BE-0600=01BE,01BE是分区表的首址 0020 B304 MOV BL,04 ;分区表最多4项,即最多4个分区 0022 803C80 CMP BYTE PTR [SI],80 ;80H表示活动分区 0025 740E JZ 0035 ;找到活动分区则跳走 0027 803C00 CMP BYTE PTR [SI],00 ;00H为有效分区的标志 002A 751C JNZ 0048 ;既非80H亦非00H则分区表无效 002C 83C610 ADD SI,+10 ;下一个分区表项,每项16字节 002F FECB DEC BL ;循环计数减一 0031 75EF JNZ 0022 ;检查下一个分区表项 0033 CD18 INT 18 ;4个都不能引导则进入ROM Basic 0035 8B14 MOV DX,[SI] 0037 8B4C02 MOV CX,[SI+02] ;取活动分区的引导扇区的面,柱面,扇区 003A 8BEE MOV BP,SI ;然后继续检查后面的分区表项 003C 83C610 ADD SI,+10 003F FECB DEC BL 0041 741A JZ 005D ;4个都查完则去引导活动分区 0043 803C00 CMP BYTE PTR [SI],00 ;00H为分区有效标志 0046 74F4 JZ 003C ;此分区表项有效则继续查下一个 0048 BE8B06 MOV SI,068B ;068B-0600=018B,取"无效分区"字符串 004B AC LODSB ;从字符串中取一字符 004C 3C00 CMP AL,00 ;00H表示串尾 004E 740B JZ 005B ;串显示完了则进入死循环 0050 56 PUSH SI 0051 BB0700 MOV BX,0007 0054 B40E MOV AH,0E 0056 CD10 INT 10 ;显示一个字符 0058 5E POP SI 0059 EBF0 JMP 004B ;循环显示下一个字符 005B EBFE JMP 005B ;此处为死循环 005D BF0500 MOV DI,0005 ;读入活动分区的引导扇,最多试读5次 0060 BB007C MOV BX,7C00 0063 B80102 MOV AX,0201 0066 57 PUSH DI 0067 CD13 INT 13 ;读 0069 5F POP DI 006A 730C JNB 0078 ;读盘成功则跳走 006C 33C0 XOR AX,AX 006E CD13 INT 13 ;读失败则复位磁盘 0070 4F DEC DI 0071 75ED JNZ 0060 ;不到5次则再试读 0073 BEA306 MOV SI,06A3 ;06A3-0600=00A3,即"Error loading"串 0076 EBD3 JMP 004B ;去显示字符串,然后进入死循环 0078 BEC206 MOV SI,06C2 ;06C2-0600=00C2,即"Missing.."串 0076 EBD3 JMP 004B ;去显示字符串,然后进入死循环 0078 BEC206 MOV SI,06C2 ;06C2-0600=00C2,即"Missing.."串 007B BFFE7D MOV DI,7DFE ;7DFE-7C00=01FE,即活动分区的引导扇 ;区的最后两字节的首址 007E 813D55AA CMP WORD PTR [DI],AA55;最后两字节为AA55H则有效 0082 75C7 JNZ 004B ;无效则显示字符串并进入死循环 0084 8BF5 MOV SI,BP 0086 EA007C0000 JMP 0000:7C00 ;有效则跳去引导该分区 0080 49 6E 76 61 6C Inval 0090 69 64 20 70 61 72 74 69-74 69 6F 6E 20 74 61 62 id partition tab 00A0 6C 65 00 45 72 72 6F 72-20 6C 6F 61 64 69 6E 67 le.Error loading 00B0 20 6F 70 65 72 61 74 69-6E 67 20 73 79 73 74 65 operating syste 00C0 6D 00 4D 69 73 73 69 6E-67 20 6F 70 65 72 61 74 m.Missing operat 00D0 69 6E 67 20 73 79 73 74-65 6D 00 00 FB 4C 38 1D ing system...L8. 00E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 00F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0100 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0110 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0120 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0130 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0140 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0150 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0160 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0170 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0180 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 0190 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 01A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 01B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................;分区表 01C0 01 00 06 0F 7F 9C 3F 00-00 00 F1 59 06 00 00 00 ......?....Y.... 01D0 41 9D 05 0F FF 38 30 5A-06 00 40 56 06 00 00 00 A....80Z..@V.... 01E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 01F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U. 使用INT 13H的02功能调用把位于硬盘保留扇区中0道0头1扇区处的硬盘主引导记录读到内存的ES:BX处。现在把读出程序代码进行如下分析: 1、移动主引导记录程序 0E74:7C00 33C0 XOR AX,AX ;AX清零 0E74:7C02 8ED0 MOV SS,AX ;SS清零 0E74:7C04 BC007C MOV SP,7C00 ;SP=7C00,堆栈设在0:7C00H 0E74:7C07 FB STI ;开中断 0E74:7C08 50 PUSH AX 0E74:7C09 07 POP ES ;ES=0 0E74:7C0A 50 PUSH AX 0E74:7C0B 1F POP DS ;DS=0 0E74:7C0C FC CLD 0E74:7C0D BE1B7C MOV SI,7C1B ;源地址为0:7C1BH 0E74:7C10 BF1B06 MOV DI,061B ;目的地址为0:061BH 0E74:7C13 50 PUSH AX 0E74:7C14 57 PUSH DI 0E74:7C15 B9E501 MOV CX,01E5 ;移动01E5字节 0E74:7C18 F3 REPZ ;将主引导记录从0:7C1B-0:7DFF 0E74:7C19 A4 MOVSB ;移至0:061B-0:07FF 0E74:7C1A CB RETF ;转移到0:061B,继续执行程序 2、顺序查找四个硬盘分区表,寻找自举标志 0E74:061B BEBE07 MOV SI,07BE ;SI指向硬盘分区表1的自举标志 0E74:061E B104 MOV CL,04 ;查找四个分区 0E74:0620 382C CMP [SI],CH 0E74:0622 7C09 JL 062D ;如果[SI]的第7位为1,即为自 ;举标志,转062DH 0E74:0624 7515 JNZ 063B ;如果[SI]不为0,出错,转063BH 0E74:0626 83C610 ADD SI,+10 ;依次检验四个分区表,直至找到 0E74:0629 E2F5 LOOP 0620 ;自举标志 0E74:062B CD18 INT 18 ;找不到自举标志,进入BOOT异 ;常处理程序。 0E74:062D 8B14 MOV DX,[SI] ;保存自举驱动器号于DL中 0E74:062F 8BEE MOV BP,SI ;保存自举分区地址指针于BP 0E74:0631 83C610 ADD SI,+10 ;继续检验自举分区后的分区 0E74:0634 49 DEC CX ;自举标志,直至四个分区都 0E74:0635 7416 JZ 064D ;检查完 0E74:0637 382C CMP [SI],CH ;若其余的自举标志不为0,出错 0E74:0639 74F6 JZ 0631 3、出错,写屏幕程序段 0E74:063B BE1007 MOV SI,0710 ;错误信息输出,死循环 0E74:063E 4E DEC SI 0E74:063F AC LODSB 0E74:0640 3C00 CMP AL,00 0E74:0642 74FA JZ 063E 0E74:0644 BB0700 MOV BX,0007 0E74:0647 B40E MOV AH,0E 0E74:0649 CD10 INT 10 0E74:064B EBF2 JMP 063F 硬盘主引导记录程序的功能是读出自举分区的BOOT程序,并把控制转移到分区BOOT程序。整个程序流程如下: 1 将本来读入到0:7C00H处的硬盘主引导记录程序移至0:61BH处; ⑵ 顺序读入四个分区表的自举标志,以找出自举分区,若找不到,转而执行INT18H的BOOT异常执行中断程序; ⑶ 找到自举分区后,检测该分区的系统标志,若为32位FAT表或16位FAT表但支持13号中断的扩展功能,就转到执行13号中断的41号功能调用进行安装检验,检验成功,就执行42号扩展读功能调用把BOOT区程序读入到内存0:7C00H处,成功,跳到第⑸步,若读失败或系统标志为其它,就调用13号中断的读扇区功能调用把BOOT读到0:7C00H; ⑷ 用13号中断的读扇区功能时,用两种方式分别进行5次试读。第一种方式是直接从自举分区的头扇区读入BOOT程序,若读成功,但结束标志不是55AA,则改用第二种方式,又如果用第一种方式试读五次均不成功,就改用第二种方式。若两种方式试读均失败,就转到出错处理程序; ⑸ 读入BOOT区程序成功,转至0:7C00H处执行BOOT程序。
|
[【电脑技术】]引导型病毒原理