東華大學(xué)計(jì)算機(jī)病毒實(shí)驗(yàn)一引導(dǎo)型病毒實(shí)驗(yàn)報(bào)告材料

1、文檔 實(shí)驗(yàn)一 引導(dǎo)型病毒實(shí)驗(yàn) 1. 實(shí)驗(yàn)?zāi)康?通過實(shí)驗(yàn)，了解引導(dǎo)區(qū)病毒的感染對象和感染特征，重點(diǎn)學(xué)習(xí)引導(dǎo)病毒的感染機(jī)制和恢復(fù)感染染毒文件的方法，提高匯編語言的使用能力。 2. 實(shí)驗(yàn)內(nèi)容 本實(shí)驗(yàn)需要完成的內(nèi)容如下： 引導(dǎo)階段病毒由軟盤感染硬盤實(shí)驗(yàn)。通過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象 和步驟，學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。 DOS運(yùn)行時病毒由硬盤感染軟盤的實(shí)現(xiàn)。通過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟，學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。 3. 實(shí)驗(yàn)環(huán)境 VMWare Workstation 5.5.3 MS-DOS 7.10 4. 實(shí)驗(yàn)步驟與結(jié)果 第一步： 1、 打開VMware

2、Workstation，新建虛擬機(jī)，過程如下： 然后點(diǎn)next，點(diǎn)NEXT, 硬盤大小可自行分配，大概1G左右就ok,一直到完成為止。 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 文檔 第二步：MYDOS 裝 1安 文檔 到為，AGREE動虛擬機(jī)電源，自動從虛擬軟驅(qū)進(jìn)入安裝過程，一路點(diǎn)2 啟NEXT reboot的硬盤區(qū)，點(diǎn)擊，然后。fat32虛擬機(jī)系統(tǒng)生成一塊 文檔 而后選擇安yes,到重寫，AGREEMBR 選次進(jìn)入安裝引導(dǎo)過程，一路點(diǎn)3 再NEXTadd-on安裝。并取消DOS onlydos71裝目錄C：目錄。在選擇DOS commands 。的安裝復(fù)

3、選項(xiàng)。然后一路點(diǎn)NEXT，AGREEenable umb memory 選擇 IDE/ATAPI 和在下一個頁面里選擇load both cd/dvd 文檔 文檔 文檔 文檔 第三步：步驟如課本實(shí)驗(yàn)一 行虛擬機(jī)，檢查目前虛擬硬盤是否含有病毒。1 運(yùn) 加入軟驅(qū)，運(yùn)行虛擬機(jī)：將2 virus.img 文檔 文檔 刪除虛擬軟盤，通過硬盤引導(dǎo)3、 DOS系統(tǒng)按任意鍵進(jìn)入 文檔 快速格式化軟盤。 、通過命令format A:/q 4 文檔 empty.img軟驅(qū)中加入引導(dǎo)。如下： 5、 文檔 5. 病毒代碼分析 傳染模塊主要代碼及傳染過程說明； i. 2 ，為;cx此時為1inc cx mov ds:s

4、i+offset reg_cx,cx 寫入一個扇區(qū)mov ax, 0301h ; 面的0;寫入硬盤mov dx, 0080h 1 ;開始寫入 int 13h boot_dos jb boot_dos ;不成功轉(zhuǎn)到 個字 mov cl, 21h 33;準(zhǔn)備搬移 mov di, 01beh ;從內(nèi)存高端的03beh搬移到 01beh，此處正是病毒程序的駐留區(qū)mov si, 03beh ;內(nèi)存高端的 開始搬移rep movsw ; mov ax, 0301h ;準(zhǔn)備向硬盤寫入一個扇區(qū)xor bx, bx 1 置 inc cx ;cx 扇區(qū)0面道10int 13h ; 寫入物理硬盤call near

5、ptr install int 13h 安裝病毒的; 文檔 mov dx, 0080h ;讀硬盤0head ;開始讀取 /* 讀取正常的引導(dǎo)扇 int 13h 區(qū),以備安裝 病毒的int 13h 后正常啟動 call near ptr install 傳染過程說明： 先判斷機(jī)器從哪里啟動，如是從硬盤啟動,直接安裝病毒到int 13h,通過int 13h 感染軟盤。讀取軟盤0面0道1扇區(qū)到病毒常駐段偏移地址為0200h，讀取成功轉(zhuǎn)read_succ處理，否則軟驅(qū)復(fù)位。讀取操作次數(shù)減1，不為0再次讀取，否則退出。讀取成功后，以vir_init處一個字的機(jī)器碼為特征碼進(jìn)行比較，判斷軟盤是否已經(jīng)染毒，

6、如果未染毒，則進(jìn)行傳染。若已染毒，則退出。 若是從軟盤啟動，需傳染硬盤。將讀到的正常引導(dǎo)記錄保存道0道2扇，寫入一個扇區(qū)，再寫入硬盤1的0面，寫入不成功轉(zhuǎn)到boot_dos，判斷是否已被傳染。寫入成功則準(zhǔn)備替換引導(dǎo)扇區(qū)，保留硬盤分區(qū)表，準(zhǔn)備搬移33個字，從內(nèi)存高端的03beh搬移到內(nèi)存高端的01beh，搬移后將cx置1，寫入物理硬盤0面0道1扇區(qū)。 ii. 表現(xiàn)模塊的主要代碼及現(xiàn)象說明； waitstart: loop waitstart call clearstr /顯示空字符串,抹去剛畫的笑臉符 mov ax,0100h int 16h jz nextloop ret ;調(diào)用10h中斷將字

7、符串打印到屏幕上 dispstr: 文檔 mov ax, cs mov es, ax mov ax, offset bootmessage mov bp, ax ; es:bp = 串地址 ; cx = 串長度 mov cx, 5 ; ah = 13, al = 01h mov ax, 01301h mov bx, 000ch (bl = 0ch,高亮) ; 頁號為0(bh = 0) 黑底紅字mov dh, 5 mov dl, col int 10h ; 10h 號中斷 ret ;用空格清除上一次的輸入 clearstr: mov ax, cs mov es, ax mov ax, offse

8、t clearmessage mov bp, ax mov cx, 5 mov ax, 01301h mov bx, 000ch mov dh, 5 mov dl, col int 10h ret 現(xiàn)象：黑屏幕上笑臉符自左自右反復(fù)顯示，有動態(tài)效果。 iii.說明該病毒觸發(fā)傳染的條件； 文檔 病毒會將正常的引導(dǎo)記錄存在：硬盤，0面0道2扇區(qū)。取出的地址如果不是0道2扇區(qū)則系統(tǒng)一定是從軟盤啟動，此時需要傳染硬盤 。如果是0道2扇區(qū)則一定從硬盤啟動,直接安裝 病毒到int 13h,通過int 13h 感染軟盤。 傳染硬盤時，要先讀硬盤0面0道1扇區(qū)得內(nèi)容到病毒駐留區(qū)段并偏移512個字節(jié)，把讀到的內(nèi)容

9、的第一個字取出與06ebh相比，判斷是否已被傳染。如果比較結(jié)果相等，說明硬盤先前已傳染，就不再次傳染，直接調(diào)用子程序，安裝病毒的int 13h。不相等，說明硬盤沒有被傳染，跳轉(zhuǎn)到傳染程序。 iv. 說明病毒表現(xiàn)模塊觸發(fā)的條件。 開啟電腦（或虛擬機(jī)），電腦（或虛擬機(jī)）開始引導(dǎo)啟動時，因?yàn)檎５囊龑?dǎo)的位置已變?yōu)椴《境绦颍源藭r立刻運(yùn)行病毒。將病毒的程序碼搬移到1k高地址區(qū)，置搬移數(shù)量及搬移目的地址的偏移地址(段地址es先前已放置)，開始搬移256個字，也就是512個字節(jié)(一個扇區(qū))。再轉(zhuǎn)到藏身區(qū)繼續(xù)執(zhí)行 。病毒程序?qū)⒃?k的駐留地區(qū)繼續(xù)執(zhí)行，觸發(fā)表現(xiàn)模塊，程序即進(jìn)入黑屏幕上自左至右反復(fù)顯示笑臉符的主循環(huán)。 6. 總結(jié)與心得 本次實(shí)驗(yàn)過程為先建立一個虛擬機(jī)，運(yùn)行虛擬機(jī)，檢查虛擬硬盤是否含有病毒。 然后將有毒軟盤加入軟驅(qū)，這時病毒尋找DOS引導(dǎo)區(qū)的位置，并將DOS引導(dǎo)區(qū)移到其它位置，將自己寫入原DOS引導(dǎo)區(qū)的位置。病毒占據(jù)物理位置并獲得控制權(quán)（在啟動虛擬機(jī)時獲得）。病毒引導(dǎo)程序運(yùn)行后，病毒駐留內(nèi)存，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容。虛擬機(jī)運(yùn)行，發(fā)現(xiàn)虛擬機(jī)已經(jīng)染毒。 將染毒虛擬軟盤刪除，通過硬盤引導(dǎo)，病毒依然存在。 用format A:/q 格式化硬盤A盤后，運(yùn)行虛擬機(jī)，虛擬機(jī)依然有病毒。 通過此實(shí)驗(yàn)，我也算認(rèn)識到