病毒要如何去取得控制权.txt

当今

发信人: aeroboy (为人民服务), 信区: security 
标  题: 病毒要如何去取得控制权 
发信站: 北大 (Tue Mar 28 23:25:00 2000), 转信 
  
而病毒要如何去取得控制权呢？大体而言病毒都是朝BIOS呼叫 
     及 DOS呼叫两方面着手。会写常驻程式的人应知道我的意思：取得 
     中断进入点。方式则千奇百怪，如早期的正常方式( Int21h's 25h 
     & 35h)，中期的单步中断（MacGyver 1.0) 及最近流行的字串比对 
     法（ MacGyver4.0 & T4-Virion)(但此法对BIOS会有不相容的情形 
     。这些我会在第二部分说明。 
  
         通常正常的中断呼叫程序为： 
  
    ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐ 
    │ 中断产生 │→│ DOS 处理 │→│ BIOS 处理│→│ 硬体 I/O │ 
    └─────┘  └─────┘  └─────┘  └─────┘ 
  
         而当病毒试图去入侵记忆体时，它可能会有两种侵入的方式： 
  
    ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐ 
    │ 中断产生 │→│ DOS 处理 │→│ BIOS 处理│→│ 硬体 I/O │ 
    └─────┘↑└─────┘↑└─────┘  └─────┘ 
                  ↑              ↑ 
              ※病毒拦截  ※  ※病毒拦截  ※ 
  
         其中※的方式就是取得 DOS的进入点（当然还有分是末端进入 
     点还是原始进入点），而※的方式就是取得BIOS的原始进入点。 
  
         当病毒侵入记忆体後，便是和开机型病毒相同，藉由磁碟的作 
     动来达到复制的目的（为所欲为啦）。由於近年各式各样的程式愈 
     来愈多，档案型的病毒也就愈来愈猖獗啦！ 
  
         但是，提到这，也不得不先提一下防毒程式的工作方式。通 
     常防毒程式的工作场合有二： 
  
    ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐ 
    │ 中断产生 │→│ DOS 处理 │→│ BIOS 处理│→│ 硬体 I/O │ 
    └─────┘↑└─────┘↑└─────┘  └─────┘ 
                  ↑              ↑ 
             ※防毒程式  ※  ※防毒程式  ※ 
  
         可以看到，防毒程式的动作竟和病毒十分相似！！事实上也是如 
     此，很多防毒的技巧都是病毒先「发明」出来的啦！但是，为什麽防 
     毒程式仍然每每会被高强的病毒穿过呢？不知大家有没有发现，虽然 

     位置相同，病毒和防毒程式却还是有先後的关系？举例来说，若今天 
     有一只病毒利用特殊方法拿到BIOS原始进入点，那结果不就成了： 
  
   ┌─────┐  ┌─────┐      ┌─────┐  ┌─────┐ 
   │ 中断产生 │→│ DOS 处理 │→→→│ BIOS 处理│→│ 硬体 I/O │ 
   └─────┘↑└─────┘↑  ↑└─────┘  └─────┘ 
                 ↑              ↑  ↑ 
            ※防毒程式  ※       ↑ ※病毒拦截※ 
                            ※防毒程式  ※ 
  
          这样病毒就可以低於防毒程式，甚至扰乱防毒程式！！ 
  
--