?? 病毒要如何去取得控制權.txt
字號:
發信人: aeroboy (為人民服務), 信區: security
標 題: 病毒要如何去取得控制權
發信站: 北大 (Tue Mar 28 23:25:00 2000), 轉信
而病毒要如何去取得控制權呢?大體而言病毒都是朝BIOS呼叫
及 DOS呼叫兩方面著手。會寫常駐程式的人應知道我的意思:取得
中斷進入點。方式則千奇百怪,如早期的正常方式( Int21h's 25h
& 35h),中期的單步中斷(MacGyver 1.0) 及最近流行的字串比對
法( MacGyver4.0 & T4-Virion)(但此法對BIOS會有不相容的情形
。這些我會在第二部分說明。
通常正常的中斷呼叫程序為:
┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐
│ 中斷產生 │→│ DOS 處理 │→│ BIOS 處理│→│ 硬體 I/O │
└─────┘ └─────┘ └─────┘ └─────┘
而當病毒試圖去入侵記憶體時,它可能會有兩種侵入的方式:
┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐
│ 中斷產生 │→│ DOS 處理 │→│ BIOS 處理│→│ 硬體 I/O │
└─────┘↑└─────┘↑└─────┘ └─────┘
↑ ↑
※病毒攔截 ※ ※病毒攔截 ※
其中※的方式就是取得 DOS的進入點(當然還有分是末端進入
點還是原始進入點),而※的方式就是取得BIOS的原始進入點。
當病毒侵入記憶體後,便是和開機型病毒相同,藉由磁碟的作
動來達到復制的目的(為所欲為啦)。由於近年各式各樣的程式愈
來愈多,檔案型的病毒也就愈來愈猖獗啦!
但是,提到這,也不得不先提一下防毒程式的工作方式。通
常防毒程式的工作場合有二:
┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐
│ 中斷產生 │→│ DOS 處理 │→│ BIOS 處理│→│ 硬體 I/O │
└─────┘↑└─────┘↑└─────┘ └─────┘
↑ ↑
※防毒程式 ※ ※防毒程式 ※
可以看到,防毒程式的動作竟和病毒十分相似?。∈聦嵣弦彩侨?
此,很多防毒的技巧都是病毒先「發明」出來的啦!但是,為什麼防
毒程式仍然每每會被高強的病毒穿過呢?不知大家有沒有發現,雖然
位置相同,病毒和防毒程式卻還是有先後的關系?舉例來說,若今天
有一只病毒利用特殊方法拿到BIOS原始進入點,那結果不就成了:
┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐
│ 中斷產生 │→│ DOS 處理 │→→→│ BIOS 處理│→│ 硬體 I/O │
└─────┘↑└─────┘↑ ↑└─────┘ └─────┘
↑ ↑ ↑
※防毒程式 ※ ↑ ※病毒攔截※
※防毒程式 ※
這樣病毒就可以低於防毒程式,甚至擾亂防毒程式??!
--
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -