Gather ye rosebuds while ye may

复习计算机病毒分析与防范


引导型病毒的工作原理

在BIOS后,操作系统前,通过中断服务程序(向量表 INT 13H),占据物理位置(常驻内存高端),替换、截获系统中断从而伺机传染发作。

主引导扇区BS的结构

MBR主引导记录、DPT(Disk Partition Table)分区信息、结束标志(AA55H)。

DPT结构(16字节)

  • 一字节:分区状态、活动分区判定
  • 一字节:开始磁头
  • .75字节(00 0001):右边六位为起始扇区号
  • 1.25字节 上面左边两位加上这里八位:起始柱面号
  • 一字节:分区类型,0B为FAT32,83为Linux,07为ntfs,05是扩展分区
  • 三字节:分区结束的磁头,扇区,柱面号
  • 四字节:线性寻址方式下的分区相对扇区地址
  • 四字节:该分区占用的 总扇区数

PE文件结构

MZ文件头(4D5A),DOS插桩程序,NT映像头(Signature、FileHeader、OptionalHeader),节表,节(包含引入引出节)。

为什么要重定位技术

病毒要用到变量,但依附到程序上时位置变化就不能正常使用,这里需要用到重定位。

如何实现重定位

  1. call跳到下一条指令,使下一条指令感染后的实际地址进栈。
  2. 用pop或mov exx,[esp] 去除栈顶内容,这样就得到了感染后下一条指令的实际地址。
  3. 令V_start为感染前call的下一条指令地址。Var_lable为感染前变量地址。于是变量Var的实际地址为Base + (OffSet(Var_Lable) - OffSet(V_start))

蠕虫和普通病毒的对比

病毒:寄生存在、插入宿主复制、宿主运行时传染、针对本地、user触发、影响文件系统、user水平决定传播、摘除还原
蠕虫:独立存在、拷贝自身复制、系统漏洞传染、针对网络、自身触发、影响网络系统性能、user水平不影响、补丁还原

判断PE文件的方法

mz头4d5a,pe头(nt映像头signature)50450000。

感染PE文件的方法/如何实现添加新节

  1. 判断MZ、PE、感染标记
  2. 获得数据目录Directory个数(每个8字节)
  3. 获得节表起始位置(Directory偏移地址+目录字节数)、最后节表的末尾偏移(节表起始位置+节个数*28H)
  4. 新节写入节表
    1. 节名8
    2. 节的实际字节数4
    3. 本节开始偏移地址(上一节开始偏移地址+(上节大小/节对齐+1)*节对齐)
    4. 本节对齐后大小
    5. 本节在文件中的开始位置(上节文件开始位置+上节对齐后大小)
  5. 修改nt映像头节表数
  6. 替换AddressOfEntryPoint为病毒入口
  7. 更新pe映像尺寸SizeOfImage(原SizeOfImage+病毒节对齐后大小)
  8. 写入感染标记,病毒代码,设置当前位置为文件末尾

系统引导过程

  1. 开机
  2. BIOS加电自检,电源稳定后,CPU从内存地址ffff:0000处开始执行
  3. BS读入 0000:7c00
  4. 检查0000:7def 是否为0xaa55
  5. 跳转到0000:7c00处执行MBR
  6. 以下由MBR程序执行
  7. MBR将自己复制到0000:0600处
  8. 在主分区表中搜索是否有活动分区
  9. 将活动分区的第一个扇区读入0000:7c00
  10. 检查0000:7def 是否为0xaa55
  11. 跳转到0000:7c00处继续执行启动程序

病毒如何常驻内存

将自身复制到内存高端(10 0000H之后),修改内存容量标志单元(0000:0413处),减去病毒长度,使得常驻内存;然后将原int 13h磁盘中断服务程序的中断向量保存,并修改其指向病毒代码

引导型病毒特点

  1. 在操作系统之前进入内存
  2. 减少操作系统所掌管的内存大小
  3. 修改int 13h 的中断向量,指向内存高端
  4. 必定驻留硬盘的主引导扇区或引导扇区,并且只驻留一次
  5. 把感染的主引导扇区或引导扇区和未感染的进行比较,若不一样,有毒。

节表

储存了每个节(数目由NumberOfSection决定)的具体信息,每个节信息大小为28H/40。

引入引出节

引入表exe:是用来描述可执行文件需要调用的外部函数(API)。
引出表dll:DLL向PE提供的导出函数信息的列表,通常这些信息包含了导出的函数名和函数的地址。

动态获取api

LoadLibrary加载一个DLL,返回DLL地址。
GetProcAddress通过DLL地址和API函数名获得API函数的地址。


木马结构

木马软件一般由木马配置程序、控制端程序和被控端程序三部分组成。