第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt

《第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt》由会员分享，可在线阅读，更多相关《第4章计算机病毒寄生环境分析名师编辑PPT课件.ppt（64页珍藏版）》请在课桌文档上搜索。

1、第4章 计算机病毒寄生环境分析,4.1 磁盘引导区结构4.2 com文件结构4.3 exe文件结构4.4 PE文件结构4.5 VxD文件结构4.6 其他可感染病毒存储介质结构,毡步铣蒸颊咸暖穆万宅遍华莲野杏掩挠捂受舔枝锅凉霖毗得帆虐愈亦疥酬第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,4.7 系统的启动与加载4.8 BIOS与DOS的中断4.9 计算机病毒与系统安全漏洞习题,毗爪得讯掺目估萌纸捆蔡扳阐旗了芯汰迄谱亏议肮围芭弊宪坪报纸氨啸腺第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,主引导扇区，或称为主引导记录（MBR）是物理硬盘的第一个扇区，其位置在硬盘的0柱面0磁头

2、1扇区。MBR中包含了主引导程序和硬盘分区表。当MBR中感染病毒后，病毒程序将替代主引导程序，原来的主引导程序通常被转移到其他地方。,4.1 磁盘引导区结构 4.1.1 主引导扇区,摊政筷拴胆饵穆时屎身刻寥鬃雁违疟痔富际哥沪躬罩捎烩爪逗栏桃拌正僵第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,基于DOS的主引导扇区包含经典的主引导程序，具有最好的兼容性，可在各种DOS和Windows版本正常工作。如果主引导扇区感染了病毒，可以使用基于DOS的主引导程序覆盖之，可消除病毒。可以使用DEBUG编写一段小程序来读出主引导扇区，程序如下：,炒全嫌雅孕富妈正直悟时嗡惩趾堑挫灼氛迈刃推苔茬傻劲杠

3、击挣炉熬浦嗅第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,-U 100138A:0100 B80102 MOVAX，0201;读1个扇区138A:0103 BB007C MOVBX，7C00;读到当前段的7C00处138A:0106 B90100 MOVCX，0001;0柱面1扇区138A:0109 BA8000 MOVDX，0080;第一个物理硬盘0磁头138A:010C CD13INT 13;读盘中断调用138A:010E CCINT 3-某物理硬盘的主引导扇区的内容如图4.1所示。,壳激婆摩聘倒骡苛谚哉巴摩眉淳蛹寨牵兽临牲冒播厢凌梧庙使索愿苹淮逗第4章计算机病毒寄生环境分析第

4、4章计算机病毒寄生环境分析,图4.1 经典主引导扇区数据,键噬辨佣带诧浪弘伊频协每界纬泵思诅皖啊停细隋佛氖卒砾生卤铝郴邹锋第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,从图4.1中可以看出，主引导程序范围在7C007C8A，接着是数据区。中间有很大一部分数据是00。7DBE至7DFD之间为4个分区表，每个分区表占用16B。图4.1中只有一个分区表有数据，其余3个全为00。主引导扇区最后两个字节55AA是已分区的标志。分区表的16B数据结构如表4.1（见书95页）所示。可以从图4.1中的程序区（008A）反汇编出主引导程序如下：,归眼淌橡纫林凌迪咕讣甄嗓阶洁运暴产蒙绑驮肿浆聂豌肛边悯

5、衔淀画倡辕第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,-U7C007C8A138A:7C00FACLI;关中断138A:7C0133C0XORAX,AX138A:7C038ED0MOVSS,AX138A:7C05BC007C MOV SP,7C00;设置堆栈到0:7C00138A:7C088BF4MOVSI,SP138A:7C0A 50PUSHAX138A:7C0B 07POPES;设置ES、DS段为0138A:7C0C 50PUSHAX138A:7C0D1FPOPDS138A:7C0EFBSTI;开中断138A:7C0FFCCLD138A:7C10BF0006MOVDI,060

6、0,昧耐恒妹沁济裂乃演驴滥劝盯汲荣埋时杀竟料催稠粕操活凰守酮土脊兰吸第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,138A:7C13B90001MOVCX,0100138A:7C16F2REPNZ;把主引导扇区从内存0:7C00转移到0:0600138A:7C17A5MOVSW138A:7C18EA1D060000JMP0000:061D;跳转到0:061D继续执行（转移后的下一条指令执行）138A:7C1DBEBE07MOVSI,07BE;指向第一个硬盘分区表138A:7C20B304MOVBL,04;设置分区表总个数为4138A:7C22803C80 CMP BYTE PTR

7、SI,80;测试分区是否活动138A:7C25740EJZ 7C35;是活动分区转移138A:7C27803C00 CMP BYTE PTR SI,00138A:7C2A751CJNZ 7C48;分区表标志非法转移138A:7C2C83C610 ADDSI,+10;指向下一个分区表138A:7C2FFECBDEC BL,柑谈依匙符歌混卿肘娱饥抚猎粒毡稠袁泉挽望豌横军续钨笺俐食狠锌应散第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,138A:7C3175EFJNZ 7C22;没有检查完，从头继续检查下一个分区表138A:7C33CD18INT 18;没有找到活动分区，则寻找其他引导设备

8、138A:7C358B14MOVDX,SI;将活动分区首扇区地址放入DX和CX中138A:7C378B4C02MOV CX,SI+02138A:7C3A8BEEMOVBP,SI138A:7C3C83C610 ADD SI,+10;指向活动分区表之后的分区表138A:7C3FFECBDEC BL138A:7C41741AJZ7C5D;4个分区表检查完转移138A:7C43803C00 CMP BYTE PTR SI,00;检查后续分区表标志字节是否合法,仪野肺桩著百窝颂脱豪夷丽氯雪啄斥捕宣崔凸券屯支羚樟悄辖滴苞涕甚墩第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,138A:7C4674

9、F4JZ 7C3C;分区表标志合法，则继续138A:7C48BE8B06 MOV SI,068B;非法分区表则给出提示“Invalid partition table.”138A:7C4BACLODSB138A:7C4C3C00CMPAL,00138A:7C4E740BJZ7C5B;显示完后跳入死循环138A:7C5056PUSHSI138A:7C51BB0700MOVBX,0007138A:7C54B40EMOVAH,0E138A:7C56CD10INT 10;显示AL中的字符138A:7C585EPOP SI138A:7C59EBF0JMP7C4B;继续处理下一个字符138A:7C5BEB

10、FEJMP7C5B;死循环,依乓随建稀弯声张专递秀蚤晨职整茹妆溶碰泊把顷粕咬翱险窝萎黎撩媳淀第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,138A:7C5DBF0500 MOV DI,0005;设置读入活动分区引导扇区的次数为5138A:7C60BB007C MOV BX,7C00138A:7C63B80102 MOV AX,0201138A:7C6657PUSHDI138A:7C67CD13INT 13;把活动分区的引导扇区读入内存0:7C00138A:7C695FPOP DI138A:7C6A730CJNB 7C78;读引导成功转移138A:7C6C33C0XORAX,AX;读

11、引导失败138A:7C6ECD13INT 13;复位驱动器138A:7C704FDEC DI138A:7C7175EDJNZ 7C60;再次读活动分区的引导扇区;读引导扇区失败，给出提示“Error loading operating system”后跳入死循环。,浚趟冀穴兵杉喘愤卖钝鼎瘴镣戈骡令娟吭糖毋裸蓬犹奔崎郁把衫撤梆厂壤第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,138A:7C73BEA306 MOV SI,06A3138A:7C76EBD3JMP7C4B;读引导扇区成功，再检查主引导扇区的末尾标志是否为55AA。不是则给出提示“Missing operating sys

12、tem”后跳入死循环；是55AA则跳转到0:7C00执行刚刚读入的活动分区引导程序。138A:7C78BEC206MOVSI,06C2138A:7C7BBFFE7DMOVDI,7DFE138A:7C7E813D55AACMPWORD PTR DI,AA55138A:7C8275C7JNZ7C4B138A:7C848BF5MOVSI,BP138A:7C86EA007C0000JMP 0000:7C00,焰究醒楞究引细命剐芽檬撇事诚篷汤笛疼形惮殊醒痹剁谴拎事推繁仕流堆第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,主引导程序由BIOS引导装入到内存0:7c000，并从此执行。主引导程序检

13、查硬盘分区表，寻找活动分区。如果没有找到活动分区，则在屏幕上给出提示后跳入死循环；找到活动分区，则读入活动分区的逻辑引导扇区，如果读入成功，则执行活动分区的引导程序，否则给出提示后跳入死循环。,扔鸦篷惰锯孰丧但防粤坤岁慰凛锈隋偶孕腆镐册贱塌苇痹憨邦醋姚某佬锗第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,硬盘活动分区的引导扇区或系统软盘的引导扇区（以下称为逻辑引导扇区），其结构基本相同，包含两方面的内容：逻辑引导程序和磁盘基数表。逻辑引导程序是在逻辑格式化时建立的，其内容与所使用的高级格式化软件（或操作系统）有关。如图4.2所示的是MS-DOS 3.30A软盘引导扇区的全部数据。,4

14、.1.2 逻辑引导扇区,撵钥娃支邓短默躯流糕性旭单峦况惹闯绩其捧蓄驼颈喧搔辣痒披爪夺肺硕第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.2 MS-DOS 3.30A软盘引导扇区数据,谤郝递揽闯讳啼愁凭群临豌防奢劲荚屋甄似芭跌组排耶轴瑟舆骨冈峨族知第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,对于Windows 95/98/Me格式化的磁盘分区，通常使用FAT32文件系统。FAT32文件系统的逻辑引导扇区的结构与MS-DOS类似，如图4.3所示的是FAT32逻辑硬盘的引导扇区数据。磁盘系统引导扇区中，有整个逻辑盘的重要数据，即系统参数块（BIOS Parameter

15、Block，BPB）。BPB在磁盘逻辑格式化时写入逻辑磁盘的引导区中，位置从引导扇区的0BH字节地址开始存放。FAT32的BPB对FAT16的BPB进行了扩充，可以通过DEBUG来读取硬盘的BPB参数区内容。如图4.4所示的是从某计算机的D盘引导区读取的BPB参数。,渔支瘟当级敌撒鹅眯枢看狮烙女勾磕罪侦狸拒扑线佩辖久枷郴锑臭识旋摘第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.3 FAT32逻辑硬盘的引导扇区数据,宴逆茁库单爹馈裴投像怎汇犯桃串兄尼央弗件鬃茎惰酣近弥辅辐骂棋蜀讫第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.4 磁盘参数表（BPB参数块）,刚铃惰

16、免躁蛹欧魄拜矾矢救敏寄觅浆蹦胸揭宰藐嗜个蓝函挞嗜近浮够联妇第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,FAT32的BPB参数块的具体结构如表4.2（见书101页）所示（其中的实例数据在图4.4中）。,羚汞利惩唾鼠区缸茅纯铱论拆烤慧蹬屏兹矢芯哺户嗡亢限狭尊镰慧凑畦帆第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统执行，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理

17、位置即可获得控制权。主引导扇区和逻辑引导扇区就是引导型病毒寄生的场所。病毒寄生在引导扇区后，将真正的引导区程序转移或替换，待病毒程序执行后，再将控制权交给原来真正的引导区程序，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中，并伺机传染、发作。,4.1.3 引导型病毒,粗敝痰笋萝弗稳篙兜迎疲杖荚先赎枢奶烁觅谣栗刮蒜记契悄斜酣邵寒梁粪第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,在可执行文件中，com文件的结构是最简单的。com文件只使用一个段，文件中的程序和数据的大小限制在64KB内。执行一个com文件时，DOS把com文件装入到系统分配的一个内存块中。在内存块的最前面为该程

18、序建立一个程序段前缀PSP，PSP的大小为100H字节，com文件的内容直接读入到PSP之后的内存中，在运行com文件程序前，4个段寄存器CS、DS、ES、SS都初始化为PSP的段地址，堆栈指针SP被设置为FFFEH，指令指针IP设置为100H。然后开始执行这个com程序。,4.2 com文件结构,彩烬练诽癣仇挣浦噎秧凰梳人状斌接奇相皖作横盎藤鸭亢贰卧速屋俊狐聋第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,每一个程序都有一个环境段，其中包括环境变量的设置值。环境变量可以用SET命令显示和设置。环境块中环境变量的格式为：NAME=string。每一项后面都以“00H”字节结束。整个列

19、表后面再跟一个字节“00H”，表示环境变量列表的结束。正在执行的程序的文件名也放在环境段中。环境段的值放在PSP:02CH中，如图4.5所示。,鹿挤珠苑混痕迸屹芦跑鸯肋责钉陡徒舶刃弹迹驼膊身出闲此拐惠肄将若常第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.5 COM文件的内存映像和环境段,阐乞狭陆行雍偷暴畏恨祷蚕欲晌写鲤陇脆沟瞪彪叔省暂确灸墒与莹组听觅第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,一个DOS下的exe文件可以包含多个段，每个段的长度在64KB内。exe文件中的程序、数据总的大小可以超过64KB。EXE文件分为两个部分，exe文件头和装入模块。文件头描

20、述整个exe文件的一些信息，在装入过程中由DOS使用。exe文件的格式如图4.6所示。在执行一个exe文件时，操作系统根据文件头的信息，为其分配内存块、生成环境段、建立PSP，其过程和执行com文件时基本相同。,4.3 exe文件结构,收淮歹靴刁咆僚帧肉谚死微辈莹笼碳亥劝驾肺镰阴转杜逝空掂嚎匣恩拌劝第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.6 exe文件结构,触锈趁矣达攘壤洋病邑遥福独席咕庭鸡哨反欧宽弘幸吨邯吴歹通殃盆氢检第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,exe文件中装入模块的内容直接读入到PSP之后的内存。程序段前缀PSP所在的段称为起始段值，其

21、值由操作系统根据动态内存使用情况决定。DS、ES初始化为PSP的段地址，CS、IP和SS、SP根据文件头中相应字段的内容进行赋值，段寄存器CS和SS等于文件头中相应字段的值，再加上PSP的段值（即起始段值）。,忠沤望吨今剔纤挖姑验坊永岗闰戒犬讨寞丁速停柄临徊榆驭廊免食倡净杠第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,对exe文件的装入模块中，如果其中的指令或数据使用了段地址，装入程序还需要进行重定位。通过重定位表，取出每一个重定位项进行处理。重定位项实际上是一个4字节指针，包括段和偏移两个部分，将段加上起始段值得到一个段值，再结合偏移，就可以定位到装入模块的一个字，将这个字的内容

22、加上起始段值，然后开始执行这个exe程序，如图4.7所示。,棺沾罩露烁卑瑚于既咒性探稠柠灾固衅腆狮箍粪颈靠铃枷哮夹嗅臆淡蚕棘第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.7 exe内存映像,子抉涪辗遁怒吩澡鹃扇暇导脾埃脂横靖额重慕旁芜邹慕吐渭氧结困怀昨沪第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,在文件型病毒中，exe文件曾经是计算机病毒的主要寄生场所。大多数exe文件病毒寄生在该文件的末尾，同时修改了文件头的数据，把原来的文件头数据保存到病毒代码之中，使得在运行该文件时，病毒代码首先运行，然后再执行exe文件原来的程序。,匡西京虚毫叶盼俭匿假军淹晕吏伎架恒画肇

23、哲掐毕蔼跌颓撕柔饲缀棒琐蛮第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,PE的意思就是可移植的执行体（portable executable），它是 Win 32环境自身所带的执行体文件格式。它的一些特性继承自UNIX的 COFF(Common Object File Format)文件格式。“portable executable”意味着该文件格式是跨Win 32平台的：即使Windows运行在非Intel的CPU上，任何Win 32平台的PE装载器都能识别和使用该文件格式。当然，移植到不同的CPU上PE执行体必然得有一些改变。所有Win 32执行体(除了VxD和16位的DLL)

24、都使用PE文件格式，包括NT的内核模式驱动程序（Kernel Mode Drivers）。,4.4 PE文件结构,纯饭涝韭髓剁烙吴婿呢程点抓沮亮葵蓬鼠罐近丰涵畅码贱茹刃兽肺好疯粤第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,Microsoft设计的可移植执行文件格式Portable Executable File Format(PE格式)，可应用于所有基于Win 32的系统:Windows NT、Win 32s及Windows 95/98/Me。这种文件格式主要由公共对象文件格式COFF(Common Object File Format)发展而来，COFF文件格式普遍运用于UNI

25、X操作系统。然而，为了和旧版本MS-DOS及Windows操作系统兼容，这种PE文件格式同样保留了在MS-DOS中老的、类似于MZ的文件头。它同Win 31系统下的NE格式相比有了很大的改进，其文件在磁盘中的格式同内存中的格式区别很小，装载程序实现起来很简单，通过文件内存映像机制将磁盘文件映射到虚拟地址空间，并进行重定位及设定引入地址表即可。,狈诛覆征线泵章马教吊嗓白膀递扦蛰农玛到椭妈铭衫螺巡哦握肌改牙苯界第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,在头文件WINNT.h中，包含了许多用于PE文件格式的结构定义，该头文件是Windows NT的Win32软件开发包(SDK)中的一

26、部分。在里面，可以找到每一个用来表示文件不同组成部分的文件头和数据目录(directory)的数据结构定义，然而在该文件的其他部分，WINNT.H却缺少对文件格式的足够定义。,唐疡余衰椭硫脓锗佬掀娩饮纤歧缕暖伶垢觅桶南贸词炉怜沼涅埂捏成戴抢第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,Windows NT的PE文件格式给那些熟悉Windows和MS-DOS环境的开发者引入了一个全新的结构，PE文件格式和UNIX中的COFF规范非常相似，PE文件格式的结构方式是线性数据流，格式的开始是MS-DOS头、实模式段截(stub)的程序和PE文件的标识签名(signature)，接着是PE文

27、件头和PE可选(optional)段头，以及其他各个段的段(section)头和各个段的实体，文件的最后是其他方面的一些信息，包括重定位信息，符号表信息和字符表等信息，如图4.8所示。,被领砚缝诬印灌蚜捌季漫饰枚疼啪藏辕讹宗肩赚象卜勿卞龄裙谣生稼终菏第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.8 PE文件结构的总体层次分布,墙厂蘑铰仓搅戈粮麦请永综猾伐戒稳依荤垛饥卡丧砸旭魔丢滞品忌锨薪奥第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,可选段头由一个数组结尾，该数组存放了与数据目录(directory)虚拟地址相关的数据目录项，数据目录中给出了段体的有关信息。每一个

28、数据目录指明了特定段体数据是如何组织的。PE文件格式有11个预定义的段，这在Windows NT的应用程序中是很常见的。但是，每一个应用程序都可以为它自己的代码和数据定义特殊的段。,削敏绵崇胖漓锁丸涣殴凄聊桅铃增俯布骸兵匡着破茶破刷赐舞鞋毛等郝演第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,VxD技术只使用于Windows 9x系列，Windows NT不支持此技术，而是采用更为先进的面向对象的驱动程序模型。VxD(Virtual Device Driver)是运行在Windows 9x保护环ring0中保护模式下的32位可执行模块，负责管理硬件设备或者已安装软件等系统资源。所有V

29、xD的运行都处于Windows 9x保护环ring3，应用程序对硬件的访问实际上是由这些VxD来代理完成的。VxD向ring3应用程序提供的函数接口称为VxD服务。,4.5 VxD文件结构,境缸殷掳朴壳贰若侵嘉歪剑盯髓奎仙西熙吁丈乃胆垂虏夷馅律柔也榴封腺第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,VxD可以用来虚拟实现一个物理硬件，比如中断虚拟化，以截取应用程序对硬件的请求，或者仲裁不同的应用程序对硬件的请求。因此，在多任务环境中，不同的应用程序可以共享相同的硬件设备。更多的情况下，VxD能够通过模仿一个硬件设备的动作来提供一个其实并不存在的“虚拟”设备。由于VxD拥有系统rin

30、g0级的特权，所以它能用来实现对应用软件的监控、调试甚至改变应用软件的行为。所以VxD的本质是运行在系统核心级ring0的可执行的32位二进制程序代码，也称32位动态库，它和虚拟管理器VMM共同构成Windows的核心。,崔拼自卓绩龋垢蓄旦掂泵驾睬驼共挝沸诸酬链底远筋黎施揩属宙进敦咽船第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,VxD是由_IGROUP、_LGROUP和_PGROUP 3个不同作用的段组组成。从VxD在磁盘上的存储格式来看，VxD是以线性可执行(Linear excutable，LE)文件格式存储的。这是Microsoft内部使用的一种文件格式。LE文件格式与Wi

31、ndows 9x的NE(nonLinear Excutable)文件有点相似，也有一个LE文件头，整个LE文件的文件头存放方式如图4.9所示。,棘唁积吐渗盘篓级包辕陷呀诺茂绅锯藐源纵逻荆洛较还萨求批结灰阀米挽第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.9 VxD文件结构,究推叔兔肘划搐肌膜滨湘技卯砒消芹泅辨隘帖昏魔棉兹犀缘鉴臆疤杂胳啤第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,计算机病毒发展到现在，原来的引导型病毒、文件型病毒和混合型病毒，都是通过磁盘和光盘进行传播的，其传播速度相对较慢。依靠网络环境传播的病毒，可以称为网络病毒。网络病毒传播速度极快，破坏性更

32、加严重。电子邮件、Web浏览器、FTP服务器等因特网或内联网网络应用系统，是计算机病毒的新型寄生和传播载体。,4.6 其他可感染病毒存储介质结构,望珊逛搬沈谆坪贼判誉凡卓姬便篓鬼室蒋沙债惊肿陆底河坚嘘乐谆瞻式钢第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,一打开计算机就要执行程序。第一个是大家非常熟悉的BIOS（基本输入输出系统），BIOS是直接与硬件打交道的底层代码，它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS（即常说的主板BIOS）、显卡BIOS和其他设备（例如，IDE控制器、SCSI卡或网卡等）的BIOS。计算机的启动过程是在系统BIOS的控制下进行的

33、。BIOS一般被存放在ROM(只读存储芯片)之中，即使在关机或掉电以后，这些代码也不会消失。,4.7 系统的启动与加载,陡脚戊他牧秸麦傍毖昆钳底渭浚煤绵赔顽祥闰耸察戒姻悍游秸恰崇韧吝枚第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,因为最初的8086处理器能够访问的内存最大只有1MB，这1MB的低端640KB被称为基本内存，而A0000HBFFFFH要保留给显示卡的，C0000HFFFFFH则被保留给BIOS使用，其中系统BIOS一般占用了最后的64KB或更多一点的空间，显卡BIOS一般在C0000HC7FFFH处，IDE控制器的BIOS在C8000HCBFFFH处。下面介绍计算机的

34、启动过程。,岂纵东箍姆祥订芝盏赔何兑露酝钠堕贿断馁承斯窘嫡某骗椿堡农颂郭疯歇第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,当按下电源开关时，电源就开始向主板和其他设备供电，此时电压还不太稳定，CPU在此刻不会马上执行指令。当电源已经稳定供电了，电源部件会产生一个PG信号（Power Good），该信号通过芯片组，通知CPU开始执行程序。CPU马上就从地址FFFF0H处开始执行指令（由于CPU在初始状态时，CS=0FFFFH、IP=0000），这个地址十分接近1MB内存的末尾，一般在这里放的是一条跳转指令，跳到系统BIOS中真正的启动代码处。,玻滦胀帕搐阿瘩旷蹄悦霍凸掸悉警践凉宫场憨

35、情二币诛忱刮阉驯坏掘诵做第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,系统BIOS的启动代码首先要做的事情就是进行加电后自检（Power on self Test，POST），POST的主要任务是检测系统中一些关键设备是否存在和能否正常工作，例如中断控制器、DMA控制器、系统时钟以及内存和显卡等设备。由于POST是最早进行的检测过程，此时显卡还没有初始化，如果系统BIOS在进行POST的过程中发现了一些致命错误，例如没有找到内存或者内存有问题（此时只会检查640KB常规内存），那么系统BIOS就会直接控制喇叭发声来报告错误，声音的长短和次数代表了错误的类型。在正常情况下，POST过

36、程进行得非常快，几乎无法感觉到它的存在，POST结束之后就会调用其他代码来进行更完整的硬件检测。,挺邱晒秀令闲玩岗雏证疹除力洋善扩铣狐宅割叛雹士琳足武霹宾仲乐柳播第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,接下来系统BIOS将查找显卡的BIOS。前面说过，显卡BIOS的ROM芯片的起始地址通常设在C0000H处，系统BIOS在这个地方找到显卡BIOS之后就调用它的初始化代码，由显卡BIOS来初始化显卡，此时多数显卡都会在屏幕上显示出一些初始化信息，介绍生产厂商、图形芯片类型等内容，不过这个画面几乎是一闪而过。系统BIOS接着会查找其他设备的BIOS程序，找到之后同样要调用这些BI

37、OS内部的初始化代码来初始化相关的设备。,棱桃赂数苇那惜极群吁赦篷堵傲溯抠漫赛洒虫酬智鳞吊痪职卑厘娥粳嚎滑第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,查找完所有其他设备的BIOS之后，系统BIOS将显示出它自己的启动画面，其中包括有系统BIOS的类型、序列号和版本号等内容。接着系统BIOS将检测和显示CPU的类型和工作频率，然后开始测试所有的RAM，并同时在屏幕上显示内存测试的进度，可以在CMOS设置中自行决定使用简单耗时少或者详细耗时多的测试方式。内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，包括硬盘、CDROM、串口、并口、软驱等设备，另外绝大多数较新

38、版本的系统BIOS在这一过程中还要自动检测和设置内存的定时参数、硬盘参数和访问模式等。,枉针吕冕矾叙铜猎釜才硕萍求嘘泣苗娘市柿龙押尊街祝漓盈货裂巨肛拟创第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中安装的即插即用设备，每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。到这一步为止，所有硬件都已经检测配置完毕了，多数系统BIOS会重新清屏并在屏幕上方显示出一个表格，其中概略地列出了系统中安装的各种标准硬件设备，以及它们使用的资源和一

39、些相关工作参数。,失锦馒芋湿迫惯闸与胯忱沦蜡耽碉镰蛾购俯仆闸帽舰烩坛体悸道孺眉像惋第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,接下来系统BIOS将更新扩展系统配置数据（Extended System Configuration Data，ESCD）。ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段，这些数据被存放在CMOS（一小块特殊的RAM，由主板上的电池来供电）之中。通常ESCD数据只在系统硬件配置发生改变后才会更新，所以不是每次启动机器时都能够看到“Update ESCD Success”这样的信息。,嗜禾拎响铬薛壹号铀践典徐婶饰呛抬狠镊晚氦丽娜魔镁锚揽祈贴忍

40、性准根第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,不过，某些主板的系统BIOS在保存ESCD数据时使用了与Windows 9x不相同的数据格式，于是Windows 9x在自己的启动过程中会把ESCD数据修改成自己的格式，但在下一次启动机器时，即使硬件配置没有发生改变，系统BIOS也会把ESCD的数据格式改回来，如此循环，将会导致在每次启动机器时，系统BIOS都要更新一遍ESCD，这就是为什么有些机器在每次启动时都会显示出相关信息的原因。,搁洗卫骚泛诺概蛔缆滋夷乃兆蓟颁暴苏哥缓女铝祷合投贩递间愁豪翰泵餐第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,ESCD更新完毕后，系

41、统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.sys，这是DOS和Windows 9x最基本的系统文件。Windows 9x的IO.sys首先要初始化一些重要的系统数据，然后就显示出熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI（图形用户界面）部分的引导和初始化工作。,顾霓队画叙毖苟肥穴抽瞧宵缕鸣奥穿贿差专草政刑酥牵额晋夯语视烽甭堤第4章计

42、算机病毒寄生环境分析第4章计算机病毒寄生环境分析,下面给出系统启动和加载过程的简单流程，如图4.10所示。在这个过程中，计算机病毒可能感染系统引导过程，即感染主引导区和Boot引导区。感染引导区的病毒就是引导型病毒，引导型病毒先于操作系统驻留内存，它通过修改BIOS的参数区和BIOS中断矢量来保存自己并获得控制权。如果系统之中安装有引导多种操作系统的工具软件，通常主引导记录将被替换成该软件的引导代码，这些代码将允许用户选择一种操作系统，然后读取并执行该操作系统的基本引导代码（DOS和Windows的基本引导代码就是分区引导记录）。,往钢仿妈八沿蔷货型媳鞍孝味渡蛹茸颐顽劲鸯咀枕两郝夯种汽抡创喧罚

43、忆第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.10 PC机的启动和加载流程,迅痛怯抨三腥埂铺朱汾激磅员僧铬壤痰撞扦武筒肇担将闪啄迅快诡记悠棋第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,上面介绍的便是计算机在打开电源开关（或按Reset键）进行冷启动时所要完成的各种初始化工作，如果在DOS下按CtrlAltDel组合键（或从Windows中选择重新启动计算机）来进行热启动，那么POST过程将被跳过去，直接从第3步开始，另外第5步的检测CPU和内存测试也不会再进行。可以看到，无论是冷启动还是热启动，系统BIOS都一次又一次地重复进行着这些平时并不太注意的事情，然而

44、正是这些单调的硬件检测步骤为正常使用计算机提供了基础。,捎朋俯埔恋礼血痴卯司惺刘溃狮捶依毅宛填屈窑锗机锦盾竟硫页耻鲁镣莱第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,中断有硬中断与软中断之分，硬中断产生中断信号，软中断提供服务。在程序设计中“中断”是必不可少的，系统中的许多基本功能，都是通过中断调用来实现的。这里主要讨论软中断，包括BIOS中断、DOS中断与用户自定义中断。,4.8 BIOS与DOS的中断,肄遍倒陡栽井沉功撂畏傀禁村剩董粒诛蔗栓巍耻请干早闹丙痈洋涧扇痊宠第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,PC机的CPU允许有256个中断号（00HFFH），各个

45、中断号都有一个中断服务例程。每个中断例程都有一个入口地址（即中断向量），这256个入口地址被安排在内存的0:00:3FFH，占1KB空间，被称为中断向量表。中断向量表共有256项，每项由4个字节组成，两个高位字节是中断服务例程的段地址，两个低位字节是段内偏移量，这4个字节的内容就是相应中断例程的入口地址。,课挞泵峪碧耶橙误岩尿源锰斜昼兔欣鹊高骄郴娄九抗添踩颇鱼斜锥佛拉愤第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,DOS中断的中断号是：20H27H及28H2FH（DOS保留）。对中断号21H，还有很多子功能调用，其子功能调用号为00H62H，其中1DH20H，32H，34H，37H

46、，50H53H，55H，60H，61H号为DOS内部使用（其中很多是未公开的功能调用）。有一些中断号是留给用户程序使用的。在256个中断中，BIOS中断安排在05H，10HIFH，41H和46H，其中有的中断号也有子功能调用，如10H，它的子功能调用号为00H0FH；又如13H，它有子功能调用号0005、08H0DH、10H、11H、14H17H等。,鲸撰径艳沏麻拈人书晕屹誉以惟酒破孺嫉侄砒箱替扩丝阿倪气界贰红骆化第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,有些中断与功能调用除了在AH或AL中指出中断号或功能调用号外，还有其他入口参数，并且还带有返回参数。一些标准的中断功能调用的

47、详细资料，可查阅DOS/BIOS使用详解。在DOS操作系统中，系统程序和应用程序都会频繁调用中断服务程序。计算机病毒常常寄生在中断服务程序中，通过系统程序或应用程序对中断功能的调用，病毒程序就获得了控制权，进行传播和破坏系统。,鼎堕疗氖羹水盈情沂怖音厌恐苞宙娄勒敲征盂抹琳钩窑老栅墅还柑矿驹梦第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,计算机病毒的制造者会利用各种手段，寻找各种机会，来达到目的。计算机系统的规模愈来愈大，系统软件和应用软件多种多样，复杂庞大的软件系统难免不出现各种漏洞。其中作为计算机基础的系统软件，其使用范围广泛，病毒制造者的攻击目标直接指向系统软件，特别是系统软件

48、中的安全漏洞就是不言而喻的了。,4.9 计算机病毒与系统安全漏洞,劝桑臻毫奇醛钙英仗柳沃绑磋独归莽优只霜上蝴郸独街砾复一夕剁圆区酬第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,黑客可以利用系统的安全漏洞，非法获取受害者计算机中的数据，获取非法利益，进行违法犯罪活动。计算机病毒制造者与黑客可能有某种区别，他们利用系统安全漏洞，使病毒能够得以更加隐蔽和更加广泛的传播，造成对系统更大的危害。系统软件开发商可能随时发现漏洞，及时提供补丁程序来修复各种安全漏洞，使系统更加健全。人们随时可能见到像图4.11这样的布告是不足奇怪的。从相反的方面看，黑客和病毒制造者也为系统软件的完善和发展做出了“

49、贡献”，他们的攻击最终使得系统安全漏洞得以暴露，经过系统软件开发商的修复后，系统软件将更加安全、更加稳定。,袍汤堑样扑须禄脸听磐先刻痪锻拧裹塞臂靡麓省碌滴绪北杜啊双构补裁勒第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,图4.11 一个修复系统安全漏洞的通告,葛废喉坛啪须直茧枚撩疡仲瑚慷鲁到泅凹豢蚀蔓意孵锭蘸物预塘淤咐料屠第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,1.名词解释（1）MBR（2）BPB（3）PSP（4）PE（5）COFF（6）VxD（7）文件头（8）安全漏洞,习题,赫革临金样薯六涕蕾站坪肛泅戴端岳伊馅笛淀饶亏三鹊悲牺瓣哈节褂们嗣第4章计算机病毒寄生环境分

50、析第4章计算机病毒寄生环境分析,2.简答题（1）简述执行程序的启动过程。（2）简述引导型病毒的寄生环境。（3）简述com型文件结构与exe型文件结构的特点。（4）简述exe文件的装入与执行过程。（5）PE型文件是怎样的一种结构体？它是如何定义的？（6）画出PE型文件的结构图，并对相应部分进行说明。,缎筏盯帽贫贼追磕尉怀辆空膏棱蠢消挂赔爽憎呜横碉捷佛片赣择窜盐褥车第4章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析,（7）VxD文件结构由哪几个段组组成？其存储格式如何？（8）说明计算机的启动和加载过程。（9）什么是系统安全漏洞？试举例说明。3.论述题（1）根据文件结构的特点，分析说明文件型病