| 病毒原理 |
|
精华序号:164
来自论坛:小熊在线 《软件论坛》
内容说明:近日看到一篇文章,还不错,比较适合初学者,大家读读吧! 《序言》
-
扫盲帖~(4283字) 武汉浩浩 (279571)于2003/06/27(11:23:28)..
近日看到一篇文章,还不错,比较适合初学者,大家读读吧!
《序言》
病毒可查资料非常少,想得到最新的技术比登天还难!有些书籍中都是些STONE、
13TH FRIDAY之类老掉牙的病毒,还很难买到。俺个人认为这是非常不好的。就象中国
的性教育,越是封闭,越是神秘,越是出事!1996年是病毒出现最多的一年,几乎到处
都可能感染到病毒,弄得人心惶惶,受害者无数。之所以会造成这样的局面,俺认为
是由于绝大多数用户对病毒的原理不了解才造成病毒的横行。对于精通病毒原理的人
来说病毒是毫无攻击力的。所以俺认为要消灭病毒只有通过以下方法:
...人人皆知病毒原理-----------》人人会杀毒----》病毒从世界消失。
(资本主义或社会主义初级阶段) (社会主义) (这要到共产主义!)
对于只有会编写病毒才会杀病毒这点,俺深有体会。以前,俺绞尽脑汁想要分析病毒,
却始终不得要领,后来尝试编写病毒,才彻底搞清病毒的原理。会编写怎样的病毒就会
杀怎样的病毒,俺不会编写变型病毒,就不会杀变型病毒。
> 但要申明:编写病毒并传播对社会造成危害是违法的,如果编写病毒只在自己的电脑上
> 实验,并严格控制使病毒不传播出去,则是个人的自由!
最近的KV300病毒事件则是最好的证明,看来王江明是编写病毒的高手,自然是杀毒
的高手,不过将病毒释放到忠实用户的电脑中,使盗版用户无法用过1997年则是违法行
为 !违法必究!执法必严!
综上所述,要彻底消灭病毒,只有依靠大多数人的智慧,不能靠少数编写杀毒软件
的人!俺碰到了知音,友岸 BBS 的站长---梁少侠,使俺有了发挥的地方。无论你现在
正在编写病毒、还是编写杀毒软件、还是病毒的受害者都欢迎你们来到本信区,畅所欲
言,无任何限制。如果你在编写病毒害人,如果你在编写杀毒软件骗人钱财(并非所有
杀毒软件),或着两者都是,都请放下屠刀,立地成佛,将你们的经验公之于众,为反
病毒事业尽力!如果你深受病毒之害而无法消除,让我们共同探讨,帮你度过难关 !
本人清除病毒的功力非常有限,撰写此文的目的仅仅为了抛砖引玉,引出各路高人,
本文有何错误和不妥之处,敬请批评指正!另外本人上传了一个压缩包,内含14种病毒
和G2病毒生产机样本供给研究。欢迎上传病毒样本但必须注明带病毒,否则......!
... 上篇、《病毒原理》
看完此文以后,你可以初步掌握病毒的原理,将消除对病毒的神秘感,将不会再
恐惧病毒。如果,你很熟悉汇编,则可以轻而易举的编写病毒,不过一切后果自负!
> 再次声明:编写病毒并传播对社会造成危害是违法的,如果编写病毒只在自己的电脑
> 上实验,并严格控制使病毒不传播出去,则是个人的自由!不要忘记我们研究病毒的
> 最终目的是为了消灭病毒!
***** 一、引导型病毒******
病毒能感染的只有可执行代码,在电脑中可执行代码只有引导程序和可执行文件,
当然,还有一类特殊的病毒,如WORD宏病毒,当然宏也是可执行代码。病毒感染BIOS
也是有可能的,不过并无太大意义,因为,现在的FLASHROM的BIOS都是可以写保护的,
再说,万一出事,用无毒的再写一遍即可。所以,一般将病毒分为引导型,文件型,或
是混合型。
想要了解引导型病毒的原理,首先要了解引导区的结构。软盘只有一个引导区,称
为DOS BOOT SECTER ,只要软盘已格式化,就已存在。其作用为查找盘上有无IO.SYS
DOS.SYS,若有则引导,若无则显示‘NO SYSTEM DISK...’等信息。硬盘有两个引导区,
在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区,
该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘
DOS引导扇区。
下面给出基本引导病毒的原理图:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
带毒硬盘引导
├┤
\/
BIOS将硬盘主引导区
读到内存0:7C00处 ;这是千古不变的,不知谁定的.
控制权转到主引导程序
├┤(病毒)
\/
将0:413单元的值减少1K ;BIOS上机自检,将常规内存大小存入0:413;
├┤ (或nK) -1K 后,系统以后将不在访问最高段的1K内存
\/
计算可用内存高段地址
将病毒移到高段继续执行
├┤
\/
修改INT13地址,指向病毒传染段
将原INT13地址保存在某一单元
├┤
\/
病毒任务完成,将原引导区调
入0:7C00执行
├┤
\/
机器正常引导
带毒软盘引导 病毒13号中断入口
├┤ ├┤
\/ \/
判断硬盘是否有毒, 是在读写软盘吗?-----否
若无毒则传染 ├┤是 ├┤
├┤ \/ ├┤
\/ 此软盘有毒吗?---是 ├┤
以下同上 ├┤否 ├┤ ├┤
\/ ├┤ ├┤
(传染时将病毒写入 对其传染 ├┤ ├┤
主引导扇区,将原 ├┤ ├┤ ├┤
引导程序存入某一 \/ \/ \/
扇区) 执行原INT 13另一张软盘B. 1 & 2 都是在一台干净机上完成.
∶ 3.拿B 到你的染毒机器上用: 把那b1.com 和b2.exe copy-> 硬盘,
∶ rename-> b1.v_c 和 b2.v_e, 把B的引导区 存入文件b3.v_b.
∶ 把它们(b1.v_c, b2.v_e, b3.v_b)upload上来就行了.
∶ 最好把A盘的b1.com,b2.exe和引导区也upload, 以供对照.
∶ 7.如果是慢性病毒,可能需要多重复几次才行.还可以在b1.asm中
∶ 插入若干条 nop ,来增大b1.com b1.exe 文件的长度.
if是系统类的病毒,then 用一干净的盘(diskettes)放进driver
一读就ok!but without any write-protected!
use debug...
-l100 0 0 1
-na:virus
-rcx 200
-w
-q
ok.
--
※ 来源:.国家智能中心曙光站 bbs.ncic.ac.cn.[FROM: jet]
BBS水木清华站∶精华区BBS水木清华站∶精华区
发信人: Jun_Fang@bbs.ustc.edu.cn (别扭), 信区: Virus
标 题: Virus FAQ
发信站: 中国科大BBS站 (Sun Aug 31 15:07:59 1997)
转信站: swjtubbs!swjtunews!sjtunews!ustcnews!ustcbbs
注:这些问答面对普通计算机用户,因此尽量避免出现技术细节、使用专业用语。
问题 1:对染毒软盘进行 dir 操作会感染病毒吗?
问题 2:是否将文件改为只读方式就不会感染病毒?
问题 3:病毒会感染写保护的磁盘吗?
问题 4:Word 文档不是可执行文件(非 .COM .EXE 文件),为什么也会有病毒?
问题 5:数据文件会感染病毒吗? 比如是否会感染 PCX、JPEG、TIF 等图形文件。
问题 6:使用反病毒软件可以防范所有病毒吗?
问题 7:杀毒软件杀毒后,能让文件完全恢复原样吗?
问题 8:文件损坏是病毒干的吗?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 1:对染毒软盘进行 dir 操作会感染病毒吗?
不会。如果计算机的内存没有病毒,那么只有在执行了带有病毒的程序(文件)
后,才会感染计算机。而 dir 命令由于是 DOS 的内部命令,不需要执行任何外部
的程序(文件),因此对染毒软盘进行 dir 操作不会感染病毒。
不过需要注意的是,如果计算机内存已有病毒(或者说:计算机已染毒),如果
对没有染病毒的软盘进行 dir 操作,就可能感染软盘。说可能会感染是因为有些
病毒不会通过 dir 操作传播。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 2:是否将文件改为只读方式就不会感染病毒?
不对。这对防范病毒没有任何用处。既然你可以通过计算机将文件改为只读方
式,那以传播自身为目的的病毒当然也可以通过计算机将文件改回可写的方式。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 3:病毒会感染写保护的磁盘吗?
不会。写保护和文件只读方式不同,设置文件只读方式是通过计算机,所以病
毒能插上一手;可是写保护非要人手参与不可,病毒可没办法把写保护弄掉。何况
计算机不能对写保护磁盘进行改写,这是没有任何操作可以改变的(除非你把驱动
器弄坏)。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 4:Word 文档不是可执行文件(非 .COM .EXE 文件),为什么也会有病毒?
病毒是一段程序。COM 文件和 EXE 文件实际上是一段程序,Word 中因为可以
包含一段程序,因此有病毒丝毫不奇怪。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 5:数据文件会感染病毒吗? 比如是否会感染 PCX、JPEG、TIF 等图形文件。
一般不会。因为病毒是一段程序,而数据文件一般不包含程序,当然就不会感
染病毒。PCX、JPEG、TIF 等图形文件因为肯定不包含程序,所以可能不会感染病
毒。不过有些病毒会破坏各种文件,所以备份数据文件还是非常必要的。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 6:使用反病毒软件可以防范所有病毒吗?
这是不可能的。可以用很简单的推理说明:没有任何方法可以识别出病毒
(象人脑一样聪明的计算机除外)。最有效的防范是:首先加强管理、提高警惕,经
常备份数据、文件,然后使用一些防病毒软件。使用防病毒软件是为了辅助防毒,
它不可能是刀枪不入的保镖。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 7:杀毒软件杀毒后,能让文件完全恢复原样吗?
有些病毒破坏了文件的某些内容,在杀除这种病毒后是不能恢复文件的原貌的。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
问题 8:文件损坏是病毒干的吗?
有许多原因能导致计算机故障,比如电压不稳、磁盘质量差能导致文件损坏等
等。
--
我们还年轻,我们是单身汉,我们是男人,所以我们很懒。
※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]
BBS水木清华站∶精华区BBS水木清华站∶精华区
发信人: kav (KAV), 信区: Virus
标 题: 关于"带毒杀毒"
发信站: BBS 水木清华站 (Mon May 5 12:17:49 1997)
许多AV软件中均有"带毒杀毒"功能, 但其内幕如何呢?
本人认为, 还是不要相信它们为好. 例如, VRVNT中的"带毒杀毒"是这样实现的:
1. 使用Tunneling技术, 单步跟踪INT13, 直至段地址大于C000, 将此地址
作为新的INT13地址;
2. 单步跟踪INT21, 并对所经历的每一代码段计算指令数, 最后将指令数最
多的段作为新的INT21地址.
很显然, 这种方法问题多多. 例如, 不能对付不修改中断向量的病毒, 当使用磁盘
CACHE时可能导致不一致性等等.
但用干净软盘启动是否是万能的呢? 一般均认为如此, 但实际上有时也有问题. 如:
假如一个病毒将硬盘数据加密而在驻留内存时动态解密之(如ONE_HALF), 则用软盘
启动就不能看到硬盘上的正确数据, 用硬盘带毒启动反而可以看到正确数据.
因此, 本人认为需要一种智能方法. 但在它出现之前, 大家还是用干净软盘启动再
杀毒为好.
版权归狂飙论坛所有,不得擅自转载
本论坛由小熊在线(www.beareyes.com)joyt制作及维护