复旦大学信息安全课件第6章典型计算机病毒分析
79页1、第第6章 典型计算机病毒分析章 典型计算机病毒分析目前计算机病毒的种类日趋增加,为了有效地防范计算机病毒,分析典型计算机病毒是必要的。目前计算机病毒的种类日趋增加,为了有效地防范计算机病毒,分析典型计算机病毒是必要的。从现象中认识事物的本质,掌握其规律从现象中认识事物的本质,掌握其规律从而找出防范计算机病毒的方法和措施从而找出防范计算机病毒的方法和措施进而发展计算机系统安全的技术和理论进而发展计算机系统安全的技术和理论6.1大麻病毒大麻病毒大麻病毒又名石头病毒,是一种系统引导型病毒,它攻击软盘的引导区或硬盘的主引导区,是恶性的计算机病毒。大麻病毒又名石头病毒,是一种系统引导型病毒,它攻击软盘的引导区或硬盘的主引导区,是恶性的计算机病毒。6.1.1大麻病毒的表现症状大麻病毒的表现症状“Your PC is Now Stoned”。蜂鸣器会发出一响声。蜂鸣器会发出一响声。当提示字符闪过之后,机器并无其他异常现象,但对某些硬盘和软盘可能无法再使用。当提示字符闪过之后,机器并无其他异常现象,但对某些硬盘和软盘可能无法再使用。大麻病毒的传染途径主要是:大麻病毒的传染途径主要是:或是在有病毒的机器
2、上对软盘作了读写操作,或是在有病毒的机器上对软盘作了读写操作,或是用带毒软盘启动系统,或是用带毒软盘启动系统,或是把带毒系统盘整盘拷贝。或是把带毒系统盘整盘拷贝。6.1.2大麻病毒的工作原理大麻病毒的工作原理大麻病毒包括引导模块、传染模块和表现模块大麻病毒包括引导模块、传染模块和表现模块用带毒盘引导系统时,引导模块首先运行,如果是软盘启动,则有八分之一的可能调用表现模块,表现模块只在这一时刻才可能执行。用带毒盘引导系统时,引导模块首先运行,如果是软盘启动,则有八分之一的可能调用表现模块,表现模块只在这一时刻才可能执行。传染模块分两部分,第一部分用来传染硬盘,在引导模块执行时被调用,第二部分用来传染传染模块分两部分,第一部分用来传染硬盘,在引导模块执行时被调用,第二部分用来传染A驱动器中的软盘,驱动器中的软盘,它是通过调用磁盘操作中断它是通过调用磁盘操作中断INT13H获得执行权的获得执行权的大麻病毒程序的有效长度不到一个扇区,全部藏身于硬盘的主引导扇区和软盘的引导扇区中。大麻病毒程序的有效长度不到一个扇区,全部藏身于硬盘的主引导扇区和软盘的引导扇区中。当系统启动时,大麻病毒首先进入内存
3、并将原属于磁盘操作系统的控制权交给大麻病毒的主程序,当系统启动时,大麻病毒首先进入内存并将原属于磁盘操作系统的控制权交给大麻病毒的主程序,该程序获得控制权后,即作下列工作:该程序获得控制权后,即作下列工作:(1)将病毒程序存放到内存的某一位置保护起来,随时准备攻击用户的磁盘。将病毒程序存放到内存的某一位置保护起来,随时准备攻击用户的磁盘。(2)保存原来的保存原来的INT13H中断向量,并修改正常的中断向量,并修改正常的INT13H中断服务程序的向量,使之指向病毒的中断服务程序的向量,使之指向病毒的INT13H中断服务程序。中断服务程序。(3)判断是否从带毒判断是否从带毒A盘启动。若是的,则立即调用传染模块的第一部分,然后调用表现模块。盘启动。若是的,则立即调用传染模块的第一部分,然后调用表现模块。(4)无论是从硬盘还是软盘启动,最终都要跳到无论是从硬盘还是软盘启动,最终都要跳到0000:7c00处,执行正常的引导程序。处,执行正常的引导程序。病毒启动盘为软盘? N Y N Y N Y N Y Y N Y N 启动将病毒区的第09-0c字节处保存原INT13中断向量修改INT13中断向量
4、将病毒程序传送到自己定义的附加段ES:0000处复位磁盘系统将0008处的软硬盘标志位置0将放在0道1面3扇区的引导系统读入0000:7c00处将放在0道0头7扇区的硬盘主引导系统读入0000:7c00处当前时间值是8FFEH的倍数?显示字符Your PC is now stoned!跳0000:7c00处执行真正的硬盘引导是读写操作?是访问A盘?引导扇区前4个字节是否为EA0500c0?原BOOT写入0道1面3扇区将病毒程序写入0道1面1 扇区转原INT13H把硬盘的0道0头1扇区读入ES:200处ES:200处的第一和第二字节值是否为EA0500c0?将0008处的软硬标志位置02将ES:200处的硬盘主引导程序放道硬盘的0道0头7扇区把硬盘分区信息表移到病毒程序的后面把带有分区信息表的病毒程序放入硬盘的物理0扇区跳0000:7c00处执行真正的软盘引导大麻病毒对硬盘主引导扇区及软盘引导扇区内容移动的位置是固定的。大麻病毒对硬盘主引导扇区及软盘引导扇区内容移动的位置是固定的。感染硬盘时,主引导记录被移到感染硬盘时,主引导记录被移到0道道0面面7扇区。扇区。此时,若此时,若DOS分区
5、的隐含扇区数为分区的隐含扇区数为11H或或17H,则,则0面面0道道7扇区空出不使用,病毒不会给系统造成破坏;扇区空出不使用,病毒不会给系统造成破坏;如果隐含扇区数为如果隐含扇区数为1,则,则0面面0道道7扇区为扇区为FAT表,这样当表,这样当DOS把这里的主引导记录当做把这里的主引导记录当做FAT表进行修改分配,则主引导记录失效,导致硬盘无法引导系统。表进行修改分配,则主引导记录失效,导致硬盘无法引导系统。对软盘感染时,大麻病毒不区分软盘种类,把原对软盘感染时,大麻病毒不区分软盘种类,把原BOOT区内容写入区内容写入0道道1面面3扇区,这样对某些软盘可能造成破坏。扇区,这样对某些软盘可能造成破坏。 扇区分配软盘BOOTFAT1FAT2根目录区数据区每道扇区数360KB01-23-45-1112-91.2MB01-78-1415-2829-156.1.3大麻病毒的防治大麻病毒的防治1.对软盘的检测和消除对软盘的检测和消除读出软盘的引导扇区内容与正常引导记录和病毒程序进行比较,就可确定该软盘是否感染了大麻病毒。读出软盘的引导扇区内容与正常引导记录和病毒程序进行比较,就可确定该软盘是否感染
《复旦大学信息安全课件第6章典型计算机病毒分析》由会员东***分享,可在线阅读,更多相关《复旦大学信息安全课件第6章典型计算机病毒分析》请在金锄头文库上搜索。
幼儿园大班科学活动《智能留言机》课件
幼儿园大班语言绘本阅读《手电筒看见了什么》PPT
幼儿园小班科学《教宝宝认识动物》课件
幼儿园中班语言《灰狼家的小饭桶们》教案
【国家审计报告】审计报告W-06审计处罚决定书
【企业财务管理办法】会计档案管理办法
【员工主动离职-风险防范】劳动争议判决书
【员工被动离职-后续工作】70-070员工违反有关商业秘密的约定可以索赔吗
【员工被动离职-辞退申请】第六节 员工任免通知书
【员工被动离职-后续工作】70-050因员工的原因使服务期无法完成可以索赔吗
企业岗位管理制度12办公室行为规范
企业岗位管理制度30离职人员薪资发放通知单
幼儿园春游活动美丽的公园教案
呼职院电力机车制动机讲义11高速列车和重载列车制动
武理工《运输管理》教案第1章 运输系统
中海大海洋化学讲义02海洋的形成和海水的组成——兼论地球上水的起源、变迁和循环
武理工船舶柴油机习题库及答案04燃油喷射和燃烧
厦大海洋生态学课件07海洋初级生产力
华北理工水声学课件05声波在目标上的反射和散射-1目标强度及常见声纳目标的目标强度的一般特征
武理工船舶结构与设备课件02船体结构与管系-4专用船特殊船体结构特点
2024-03-26 33页
2023-07-05 6页
2023-01-18 51页
2022-10-13 8页
2022-08-03 9页
2022-08-03 35页
2022-08-03 9页
2022-08-03 10页
2022-08-03 9页
2022-08-01 60页