荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (平淡), 信区: Virus
标 题: 如何编制DOS下的病毒(4)
发信站: 荔园晨风BBS站 (Wed Sep 5 13:22:00 2001), 转信
如何编制DOS下的病毒(4)
文章类型:病毒与杀毒 文章加入时间:2001年9月4日17:31
----------------------------------------------------------------------------
----
!
一般的,引导型病毒是把原来的主引导记录保存后用自己的程序替代掉原来的主引导
记录。启动时,当病毒体得到控制权,在做完了自己的处理后,病毒将保存的原主引导
记录读入0:7C00,然后将控制权交给原主引导记录进行启动。这类病毒对硬盘的感染一
般是在用带毒软盘启动的时候,对软盘的感染一般是在当系统带毒时对软盘操作时。
编写主引导记录病毒需要了解的几点
1、用什么来保存原始主引导记录。
众所周知的,文件型病毒用以保存被感染修改的部分是文件。引导型病毒是否也可以
使用文件存储被覆盖的引导记录呢?答案是否定的。由于主引导记录病毒先于操作系统
执行,因而不能使用操作系统的功能调用,而只能使用BIOS的功能调用或者使用直接的
IO设计。一般的,使用BIOS的磁盘服务将主引导记录保存于绝对的扇区内。由于零道零
面二扇区是保留扇区,因而通常使用它来保存。
2、需要掌握的BIOS磁盘服务功能调用。
INT 13H 子功能 02H 读扇区
其调用方法为:
入口为:
AH=02H
AL=读入的扇区数
CH=磁道号
CL=扇区号(从1开始)
DH=头号
DL=物理驱动器号
ES:BX-->要填充的缓冲区
返回为: 当CF置位时表示调用失败
AH=状态
AL=实际读入的扇区数
INT 13H 子功能03H写扇区
其调用方法为:
入口为:
AH=03H
AL=写入的扇区数
CH=磁道号
CL=扇区号(从1开始)
DH=头号
DL=物理驱动器号
ES:BX-->缓冲区
返回为: 当CF置位时表示调用失败
AH=状态
AL=实际写入的扇区数
3。这类病毒通过什么来进行感染
通常的,这类病毒通过截获中断向量INT 13H 进行系统监控。当存在有关于软盘或硬
盘的磁盘读写时, 病毒将检测其是否干净,若尚未感染则感染之。
4。驻留的位置
通常病毒通过修改基本内存的大小来获取自己驻留的空间。基本内存大小的存储位置
在40H:13H,单位为KB。病毒体存在于最后的几K内存中。
文章出处:第八军团
文章作者:小魔神
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.127]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店