常驻型计算机病毒工作原理,复习计算机病毒分析与防范

复习计算机病毒分析与防范

2016-04-25

…

引导型病毒的工作原理

在BIOS后，操作系统前，通过中断服务程序(向量表 INT 13H)，占据物理位置(常驻内存高端)，替换、截获系统中断从而伺机传染发作。

主引导扇区BS的结构

MBR主引导记录、DPT(Disk Partition Table)分区信息、结束标志(AA55H)。

DPT结构(16字节)一字节：分区状态、活动分区判定

一字节：开始磁头

.75字节(00 0001)：右边六位为起始扇区号

1.25字节 上面左边两位加上这里八位：起始柱面号

一字节：分区类型，0B为FAT32，83为Linux，07为ntfs，05是扩展分区

三字节：分区结束的磁头，扇区，柱面号

四字节：线性寻址方式下的分区相对扇区地址

四字节：该分区占用的 总扇区数

PE文件结构

MZ文件头(4D5A)，DOS插桩程序，NT映像头(Signature、FileHeader、OptionalHeader)，节表，节(包含引入引出节)。

为什么要重定位技术

病毒要用到变量，但依附到程序上时位置变化就不能正常使用，这里需要用到重定位。

如何实现重定位call跳到下一条指令，使下一条指令感染后的实际地址进栈。

用pop或mov exx,[esp] 去除栈顶内容，这样就得到了感染后下一条指令的实际地址。

令V_start为感染前call的下一条指令地址。Var_lable为感染前变量地址。于是变量Var的实际地址为Base + (OffSet(Var_Lable) - OffSet(V_start))

蠕虫和普通病毒的对比

病毒：寄生存在、插入宿主复制、宿主运行时传染、针对本地、user触发、影响文件系统、user水平决定传播、摘除还原

蠕虫：独立存在、拷贝自身复制、系统漏洞传染、针对网络、自身触发、影响网络系统性能、user水平不影响、补丁还原

判断PE文件的方法

mz头4d5a，pe头(nt映像头signature)50450000。

感染PE文件的方法/如何实现添加新节判断MZ、PE、感染标记

获得数据目录Directory个数(每个8字节)

获得节表起始位置(Directory偏移地址+目录字节数)、最后节表的末尾偏移(节表起始位置+节个数*28H)

新节写入节表节名8

节的实际字节数4

本节开始偏移地址(上一节开始偏移地址+(上节大小/节对齐+1)*节对齐)

本节对齐后大小

本节在文件中的开始位置(上节文件开始位置+上节对齐后大小)

修改nt映像头节表数

替换AddressOfEntryPoint为病毒入口

更新pe映像尺寸SizeOfImage(原SizeOfImage+病毒节对齐后大小)

写入感染标记，病毒代码，设置当前位置为文件末尾

系统引导过程开机

BIOS加电自检，电源稳定后，CPU从内存地址ffff:0000处开始执行

BS读入 0000:7c00

检查0000：7def 是否为0xaa55

跳转到0000:7c00处执行MBR

以下由MBR程序执行

MBR将自己复制到0000:0600处

在主分区表中搜索是否有活动分区

将活动分区的第一个扇区读入0000:7c00

检查0000：7def 是否为0xaa55

跳转到0000:7c00处继续执行启动程序

病毒如何常驻内存

将自身复制到内存高端(10 0000H之后)，修改内存容量标志单元(0000:0413处)，减去病毒长度，使得常驻内存；然后将原int 13h磁盘中断服务程序的中断向量保存，并修改其指向病毒代码

引导型病毒特点在操作系统之前进入内存

减少操作系统所掌管的内存大小

修改int 13h 的中断向量，指向内存高端

必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次

把感染的主引导扇区或引导扇区和未感染的进行比较，若不一样，有毒。

节表

储存了每个节(数目由NumberOfSection决定)的具体信息，每个节信息大小为28H/40。

引入引出节

引入表exe：是用来描述可执行文件需要调用的外部函数(API)。

引出表dll：DLL向PE提供的导出函数信息的列表，通常这些信息包含了导出的函数名和函数的地址。

动态获取api

LoadLibrary加载一个DLL，返回DLL地址。

GetProcAddress通过DLL地址和API函数名获得API函数的地址。

木马结构

木马软件一般由木马配置程序、控制端程序和被控端程序三部分组成。