摘要:
dos 内存驻留病毒下面这个病毒不像之前的文件感染病毒那么简单了这是一个驻留内存病毒,所谓内存驻留病毒就是当程序结束之后还会有内存没有被释放,这就恐怖了可以利用这个修改中断让dos听你的话。为了能驻留内存就必须使程序结束后需要的内存不被释放这就要靠mcb这个内存管理控制块。mcb的相关概念查阅http://hi.baidu.com/dp282074009/blog/item/560e3319b642037ddab4bda6.html病毒行为:更改21号中断 4B00h的功能 使其实现感染.com文件的功能流程:判断是否已经主流内存,如果没有进行内存驻留 获取mcb的段址 更改节大小为病毒预留空 阅读全文
摘要:
dos 运行期.exe文件感染病毒 还是如此的菜原谅我吧 病毒行为:感染.com文件 修改被感染文件的SS:SP流程:恢复被感染的文件的 cs:ip ss:sp 搜索.exe 如果是正确的.exe文件并且没有被感染过 ,打开文件保存文件信息 ,进行感染修改测试:ip ss:sp, 添加病毒代码 ,恢复文件信息 ,关闭文件用到的中断与上篇.com文件的感染相同dos下com文件与exe文件最大的不同就是头,com文件只有程序映像是从100h起的绝对映像。exe文件包括一个可重新定位的程序映像,还包含一个文件头用来重定位。文件头包括cs ss ip sp 文件头大小等敏感信息就是将要利用到的。反汇 阅读全文
摘要:
dos 蹩脚的.com文件感染病毒的分析病毒行为:感染com文件就这么蹩脚 第一次做分析 原谅我如此之菜吧流程:恢复已感染文件的头三个字节 查找.com后缀文件 判断是否是真实的com文件 如果是打开文件 保存前三个字节属性等信息 添加病毒代码 添加跳转 恢复属性等关闭文件 下面是用到的中断 psp dta结构可以去看雪上查查0F 打开文件 DS:DX=FCB首地址 AL=00 文件找到AL=FF 文件未找到 10 关闭文件 DS:DX=FCB首地址 AL=00 目录修改成功AL=FF 目录中未找到文件 11 查找第一个目录项 DS:DX=FCB首地址 AL=00 找到AL=FF 未找到 12 阅读全文