返回
tpvo-3783病毒的分析和防治

tpvo-3783病毒的分析和防治

ID:9491291

大小:63.50 KB

页数:9页

时间:2018-05-01

tpvo-3783病毒的分析和防治_第1页
tpvo-3783病毒的分析和防治_第2页
tpvo-3783病毒的分析和防治_第3页
tpvo-3783病毒的分析和防治_第4页
tpvo-3783病毒的分析和防治_第5页
资源描述:

《tpvo-3783病毒的分析和防治》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Tpvo/3783病毒的分析和防治~教育资源库病毒介绍:TPVO/3783病毒是一种传染性、隐蔽性都很强的病毒,它的独到之处是可以传染SBACKUP、TELIX七个程序读出的文件却是带毒的,所以被这些压缩程序压进文件包或用TELIX通过调制解调器传到其他地方的文件是带毒的,由此可见该病毒在隐藏和传播上的用心良苦。该病毒在传染硬盘主引导区时隐藏于0柱面0头5扇区,传染软盘引导区时隐藏于新格式化的第81个磁道,传染文件时附在文件尾部,病毒本身不加密。当带毒的B存在,病毒会驻留在UMB中,该病毒驻留内存后截取INT21H和INT13H中断,来完成对文件和引导区的传染

2、,在截取INT21H时,该病毒采取了与众不同的方法。下面是INT21H内部片断,在中断程序完成了初始化后,将AH中的功能号放在BX中再乘2,再用查表的办法得到相应子程序的地址,然后用近调用来执行相应子程序,具体见下:...FDC8:41988ADCMOVBL,AH;AH为子功能号FDC8:419AD1E3SHLBX,1;放于BX中再乘2...FDC8:41EA2E8B9F9E3EMOVBX,CS:[BX+3E9E];3E9E为各功能地址表的基地址FDC8:41EF36871EEA05XCHGBX,SS:[05EA];调用地址在05EA中FDC8:41F4368

3、E1EEC05MOVDS,SS:[05EC]FDC8:41F936FF16EA05CALLSS:[05EA];调用相应功能的子程序...病毒在驻留时先截取INT2AH,在INT2AH中检测到使用的堆栈为MSDOS.SYS堆栈段时,表示中断由INT21H发出,这时由中断返回地址得到MSDOS.SYS程序段的段地址,再查找以上几句指令并将CALLSS:[05EA]改为CALLXXXX:053D指向病毒代码,在完成修改、传染等功能后再转向原来的INT21H执行。由于这一段代码在INT21H的第一百多句以后,当使用DOS=HIGH参数启动时这一段代码被移到HMA中,所

4、以该病毒的截取手段有很大的欺骗性,不但能骗过几乎所有内存监视程序,而且即使用手工反汇编INT21H中断程序都不一定能觉察到异常之处。在截取INT13H时,病毒先使用未公开中断INT2FH的1300H功能来得到DOS内部设备驱动程序使用的原始INT13H地址,然后在BIOS中随机寻找一个中断号大于E0H号的INTXX代码,将这个中断向量指向病毒的INT13H服务程序,然后将DOS保存的原始INT13H地址改成指向BIOS中的INTXX指令,使得在不同的计算机中指向病毒程序的中断向量号都不相同。2.传染及其他部分病毒截取INT13H来传染磁盘的引导区,在进行普通的

5、读写功能时,病毒并不传染,所以磁盘读写速度并不明显减慢,只有在对磁盘的引导区进行读写时,病毒才进行传染。传染硬盘主引导区时,病毒隐藏在保留磁道0柱面0头第5扇区开始的8个扇区中,原引导记录被保存在0柱面0头第13扇区。一般软盘只有80个磁道,病毒在传染软盘引导记录时,先格式化出一个第81磁道,再将自身隐藏于第81磁道1扇区开始的8个扇区中,原引导记录被保存在第81磁道第9扇区。当有程序读取引导记录时,病毒将原引导记录读出送回。病毒截取INT21H来完成可执行文件的传染和一些欺骗功能,在INT21H的11H、12H、4EH、4FH匹配文件寻找功能中,病毒返回正确

6、的文件长度和时间,在57H读写文件时间功能中,病毒返回正确的文件时间,在3FH读文件功能中,如果读到文件被修改的部分,病毒将返回正确的内容,在40H写文件功能中,如果写已被传染的文件,病毒将文件复原,到以后关闭文件时重新传染。结果在应用软件看来,带毒文件没有任何异常之处。</p>当执行INT21H的3DH打开文件、3EH关闭文件、43H文件属性功能、56H文件改名、4BH执行文件时,病毒对文件进行传染,传染后病毒附于文件尾部,文件开始指针被指向病毒入口处。对于.文件,病毒将文件第一句指令改为JMPXXXX跳转到病毒入口处,对于普通.EXE文件,病毒

7、将文件入口指针指向病毒入口处,将堆栈指向病毒尾部200H处。下面详细分析病毒对WINDOWS可执行文件的修改,由于WINDOWS可执行文件的资料很少见,这里先简单介绍一下WINDOWS文件的结构:WINDOWS文件由DOS执行部分和WINDOWS执行部分组成,DOS部分只是简单的打印一句提示信息即退出,WINDOWS部分以覆盖的方式位于文件后部。文件报头分两部分,第一部分为普通的.EXE文件报头,第二部分为NE新格式可执行报头,有关部分说明如下:普通.EXE文件报头18H字重分配表偏移(WINDOWS文件必须大于0040H)3CH双字NE可执行报头在程序中的偏

8、移NE可执行报头00H2123下一页友

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。