怎么写DOS病毒

自磁芯大战以来，病毒从DOS时代的病毒发展到WINDOS系统的病毒，从变形、加密到智能化现在的病毒是让人防不胜防，现在网络上病毒大肆泛滥，给人们带来的很大的危害，本人在此仅做抛砖引玉，介绍病毒的原理，希望大家共同研究交流。（本文参考了网络上的部分文章，并引用了部分内容。） 要学DOS下的病毒，首先你必须要学会或掌握汇编语言。DOS下病毒一般分为引导型病毒、文件型病毒、混合型病毒等。大部分病毒是感染COM和EXE文件，因此你必须了解COM文件和EXE文件结构。 一 .COM文件结构及原理 .COM 文件比较简单，.COM文件包含程序的一个绝对映象―――就是说,为了运行程序准确的处理器指令和内存中的数据，MS-DOS通过直接把该映象从文件拷贝到内存而加载.COM程序，它不作任何改变。为加载一个.COM程序，MS-DOS首先试图分配内存,因为.COM程序必须位于一个64K的段中，所以.COM文件的大小不能超过65,024(64K减去用于PSP的256字节和用于一个起始堆栈的至少256字节)。如果MS-DOS不能为程序、一个PSP、一个起始堆栈分配足够内存，QQ:9750406则分配尝试失败。否则，MS-DOS分配尽可能多的内存(直至所有保留内存)，即使.COM程序本身不能大于64K。在试图运行另一个程序或分配另外的内存之前,大部分.COM程序释放任何不需要的内存。 分配内存后，MS-DOS在该内存的头256字节建立一个PSP，如果PSP中的第一个FCB含有一个有效驱动器标识符，则置AL为00h,否则为0FFh。MS-DOS还置AH为00h或0FFh，这依赖于第二个FCB是否含有一个有效驱动器标识符。建造PSP后,MS-DOS在PSP后立即开始(偏移100h)加载.COM文件，它置SS,DS和ES为PSP的段地址，接着创建一个堆栈.为创建一个堆栈，MS-DOS置SP为0000h,若已分配了至少64K内存;否则,它置寄存器为比所分配的字节总数大2的值.最后，它把0000h推进栈（这是为了保证与在早期MS-DOS版本上设计的程序的兼容性）。MS-DOS通过把控制传递偏移100h处的指令而启动程序.程序设计者必须保证.COM文件的第一条指令是程序的入口点。注意，因为程序是在偏移100h处加载，因此所有代码和数据偏移也必须相对于100h.汇编语言程序设计者可通过置程序的初值为100h而保证这 一点(例如通过在原程序的开始使用语句org 100h). 二 EXE文件结构 EXE 文件比较复杂，每个EXE文件都有一个文件头,结构如下： EXE文件头信息 ――――――――――――――――――― ├ 偏移量 ┤　　 意义　　　　　 　 　┤ ├00h-01h ┤MZ‘EXE文件标记　　　　 ┤ ├2h-03h　┤文件长度除512的余数　 ┤ ├04h-05h ┤...............商　 ┤ ├06h-07h ┤重定位项的个数　　 　 　┤ ├08h-09h ┤文件头除16的商　　 　 ┤ ├0ah-0bh ┤程序运行所需最小段数 ┤ ├0ch-0dh ┤..............大.... ┤ ├oeh-0fh ┤堆栈段的段值 (SS)　 　┤ ├10h-11h ┤........sp　　　　　 ┤ ├12h-13h ┤文件校验和　　　　　　 ┤ ├14h-15h ┤IP　　　　　　　　　　 ┤ ├16h-17h ┤CS　　　　　　　　　　 ┤ ├18h-19h ┤............　 ┤ ├1ah-1bh ┤............　　　 　┤ ├1ch　　 ┤............　　　 　　┤ ――――――――――――――――――――――――― .EXE文件包含一个文件头和一个可重定位程序映象。文件头包含MS-DOS用于加载程序的信息，例如程序的大小和寄存器的初始值。文件头还指向一个重定位表，该表包含指向程序映象中可重定位段地址的指针链表。文件头的形式与EXEHEADER结构对应： EXEHEADER STRUC exSignature dw 5A4Dh ;.EXE标志 exExraBytes dw ? ;最后(部分)页中的字节数 exPages dw ? ;文件中的全部和部分页数 exRelocItems dw ? ;重定位表中的指针数 exHeaderSize dw ? ;以字节为单位的文件头大小 exMinAlloc dw ? ;最小分配大小 exMaxAlloc dw ? ;最大分配大小 exInitSS dw ? ;初始SS值 exInitSP dw ? ;初始SP值 exChechSum dw ? ;补码校验值 exInitIP dw ? ;初始IP值 exInitCS dw ? ;初始CS值 exRelocTable dw ? ;重定位表的字节偏移量 exOverlay dw ? ;覆盖号 EXEHEADER ENDS程序映象，包含处理器代码和程序的初始数据，紧接在文件头之后。它的大小以字节为单位，等于.EXE文件的大小减去文件头的大小，也等于exHeaderSize的域的值乘以16。MS-DOS通过把该映象直接从文件拷贝到内存加载.EXE程序然后调整定位表中说明的可重定位段地址。 定位表是一个重定位指针数组，每个指向程序映象中的可重定位段地址。文件头中的exRelocItems域说明了数组中指针的个数,exRelocTable域说明了分配表的起始文件偏移量。每个重定位指针由两个16位值组成:偏移量和段值。 为加载.EXE程序，MS-DOS首先读文件头以确定.EXE标志并计算程序映象的大小。然后它试图申请内存。首先，它计算程序映象文件的大小加上PSP的大小再加上EXEHEADER结构中的exMinAlloc域说明的内存大小这三者之和，如果总和超过最大可用内存块的大小。则MS-DOS停止加载程序并返回一个出错值。否则面，它计算程序映象的大小加上PSP的大小再加上EXEHEADER结构中exMaxAlloc域说明的内存大小之和，如果第二个总和小于最大可用内存块的大小，则MS-DOS 分配计算得到的内存量。否则，它分配最大可用内存块。分配完内存后，MS-DOS确定段地址，也称为起始段地址，MS-DOS从此处加载程序映象。如果exMinAlloc域和exMaxAlloc域中的值都为零，则MS-DOS把映象尽可能地加载到内存最高端。否则，它把映象加载到紧挨着PSP域之上。接下来，MS-DOS读取重定位表中的项目调整所有由可重定位指针说明的段地址。对于重定位表中的每个指针，MS-DOS寻找程序映象中相应的可重定位段地址，并把起始段地址加到它之上。一旦调整完毕，段地址便指向了内存中被加载程序的代码和数据段。 MS-DOS在所分配内存的最低部分建造256字节的PSP，把AL和AH设置为加载 .COM程序时所设置的值。MS-DOS使用文件头中的值设置SP与SS，调整SS初始值，把起始地址加到它之上。MS-DOS还把ES和DS设置为PSP的段地址.最后，MS-DOS从程序文件头读取CS和IP的初始值,把起始段地址加到CS之 上，把控制转移到位于调整后地址处的程序。 三、引导型病毒原理 了解引导型病毒的原理，首先要了解引导区的结构。软盘只有一个引导区，称为DOS BOOT SECTER ，只要软盘做了格式化，就会存在。其作用为查找盘上有无IO.SYS DOS.SYS,若有则引导，若无则显示‘NO SYSTEM DISK...’等信息。硬盘有两个引导区，在0面0道1扇区的称为主引导区，内有主引导程序和分区表，主引导程序查找激活分区，该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。 ***3.5”软盘格式*** 3.5”软盘是双面的，所以零磁道有正反两面，正面为0-17扇区， 反面是18-35扇区。 0 扇区： Boot area (引导扇区)； 1 - 9 扇区： 1st FAT area (第一张文件分配表)； 10 - 18 扇区： 2st FAT area (第二张文件分配表)； 19 - 32 扇区： Root dir area(也叫 File Directory Table,FDT) 文件目录表(根目录) 33-2879 扇区： Data area (数据区) ***硬盘的主引导记录结构*** 硬盘的主引导记录结构 偏移　机器码　符号指令　说明 0000　FA　CLI　;屏蔽中断 0001　33C0　XOR　AX,AX 0003　8ED0　MOV　SS,AX　;(SS)=0000H 0005　BC007C　MOV　SP,7C00　;(SP)=7C00H 0008　8BF4　MOV　SI,SP　;(SI)=7C00H 000A　50　PUSH　AX 000B　07　POP　ES　;(ES)=0000H 000C　50　PUSH　AX 000D　1F　POP　DS　;(DS)=0000H 000E　FB　STI 000F　FC　CLD 0010　BF0006　MOV　DI,0600 0013　B90001　MOV　CX,0100　;共512字节 0016　F2　REPNZ 0017　A5　MOVSW　;主引导程序把自己从0000:7C00处搬到 ;0000:0600处,为Dos分区的引导程序腾 ;出空间 0018　EA1D060000　JMP　0000:061D　;跳到0000:061D处继续执行,实际上就是 ;执行下面的MOV指令(001D偏移处) 001D　BEBE07　MOV　SI,07BE　;07BE-0600=01BE,01BE是分区表的首址 0020　B304　MOV　BL,04　;分区表最多4项,即最多4个分区 0022　803C80　CMP　BYTE　PTR　[SI],80　;80H表示活动分区 0025　740E　JZ　0035　;找到活动分区则跳走 0027　803C00　CMP　BYTE　PTR　[SI],00　;00H为有效分区的标志 002A　751C　JNZ　0048　;既非80H亦非00H则分区表无效 002C　83C610　ADD　SI,+10　;下一个分区表项,每项16字节 002F　FECB　DEC　BL　;循环计数减一 0031　75EF　JNZ　0022　;检查下一个分区表项 0033　CD18　INT　18　;4个都不能引导则进入ROM　Basic 0035　8B14　MOV　DX,[SI] 0037　8B4C02　MOV　CX,[SI+02]　;取活动分区的引导扇区的面,柱面,扇区 003A　8BEE　MOV　BP,SI　;然后继续检查后面的分区表项 003C　83C610　ADD　SI,+10 003F　FECB　DEC　BL 0041　741A　JZ　005D　;4个都查完则去引导活动分区 0043　803C00　CMP　BYTE　PTR　[SI],00　;00H为分区有效标志 0046　74F4　JZ　003C　;此分区表项有效则继续查下一个 0048　BE8B06　MOV　SI,068B　;068B-0600=018B,取"无效分区"字符串 004B　AC　LODSB　;从字符串中取一字符 004C　3C00　CMP　AL,00　;00H表示串尾 004E　740B　JZ　005B　;串显示完了则进入死循环 0050　56　PUSH　SI 0051　BB0700　MOV　BX,0007 0054　B40E　MOV　AH,0E 0056　CD10　INT　10　;显示一个字符 0058　5E　POP　SI 0059　EBF0　JMP　004B　;循环显示下一个字符 005B　EBFE　JMP　005B　;此处为死循环 005D　BF0500　MOV　DI,0005　;读入活动分区的引导扇,最多试读5次 0060　BB007C　MOV　BX,7C00 0063　B80102　MOV　AX,0201 0066　57　PUSH　DI 0067　CD13　INT　13　;读 0069　5F　POP　DI 006A　730C　JNB　0078　;读盘成功则跳走 006C　33C0　XOR　AX,AX 006E　CD13　INT　13　;读失败则复位磁盘 0070　4F　DEC　DI 0071　75ED　JNZ　0060　;不到5次则再试读 0073　BEA306　MOV　SI,06A3　;06A3-0600=00A3,即"Error　loading"串 0076　EBD3　JMP　004B　;去显示字符串,然后进入死循环 0078　BEC206　MOV　SI,06C2　;06C2-0600=00C2,即"Missing.."串 0076　EBD3　JMP　004B　;去显示字符串,然后进入死循环 0078　BEC206　MOV　SI,06C2　;06C2-0600=00C2,即"Missing.."串 007B　BFFE7D　MOV　DI,7DFE　;7DFE-7C00=01FE,即活动分区的引导扇 ;区的最后两字节的首址 007E　813D55AA　CMP　WORD　PTR　[DI],AA55;最后两字节为AA55H则有效 0082　75C7　JNZ　004B　;无效则显示字符串并进入死循环 0084　8BF5　MOV　SI,BP 0086　EA007C0000　JMP　0000:7C00　;有效则跳去引导该分区 0080　49　6E　76　61　6C　Inval 0090　69　64　20　70　61　72　74　69-74　69　6F　6E　20　74　61　62　id　partition　tab 00A0　6C　65　00　45　72　72　6F　72-20　6C　6F　61　64　69　6E　67　le.Error　loading 00B0　20　6F　70　65　72　61　74　69-6E　67　20　73　79　73　74　65　operating　syste 00C0　6D　00　4D　69　73　73　69　6E-67　20　6F　70　65　72　61　74　m.Missing　operat 00D0　69　6E　67　20　73　79　73　74-65　6D　00　00　FB　4C　38　1D　ing　system...L8. 00E0　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 00F0　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0100　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0110　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0120　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0130　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................  0140　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0150　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0160　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0170　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0180　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 0190　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 01A0　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 01B0　00　00　00　00　00　00　00　00-00　00　00　00　00　00　80　01　................;分区表 01C0　01　00　06　0F　7F　9C　3F　00-00　00　F1　59　06　00　00　00　......?....Y.... 01D0　41　9D　05　0F　FF　38　30　5A-06　00　40　56　06　00　00　00　A....80Z..@V.... 01E0　00　00　00　00　00　00　00　00-00　00　00　00　00　00　00　00　................ 01F0　00　00　00　00　00　00　00　00-00　00　00　00　00　00　55　AA　..............U. 使用INT　13H的02功能调用把位于硬盘保留扇区中0道0头1扇区处的硬盘主引导记录读到内存的ES:BX处。现在把读出程序代码进行如下分析： 1、移动主引导记录程序 0E74:7C00　33C0　XOR　AX,AX　；AX清零 0E74:7C02　8ED0　MOV　SS,AX　；SS清零 0E74:7C04　BC007C　MOV　SP,7C00　；SP=7C00，堆栈设在0：7C00H 0E74:7C07　FB　STI　；开中断 0E74:7C08　50　PUSH　AX 0E74:7C09　07　POP　ES　；ES=0 0E74:7C0A　50　PUSH　AX 0E74:7C0B　1F　POP　DS　；DS=0 0E74:7C0C　FC　CLD 0E74:7C0D　BE1B7C　MOV　SI,7C1B　；源地址为0：7C1BH 0E74:7C10　BF1B06　MOV　DI,061B　；目的地址为0：061BH 0E74:7C13　50　PUSH　AX 0E74:7C14　57　PUSH　DI 0E74:7C15　B9E501　MOV　CX,01E5　；移动01E5字节 0E74:7C18　F3　REPZ　；将主引导记录从0：7C1B-0：7DFF 0E74:7C19　A4　MOVSB　；移至0：061B-0：07FF 0E74:7C1A　CB　RETF　；转移到0：061B，继续执行程序 2、顺序查找四个硬盘分区表，寻找自举标志 0E74:061B　BEBE07　MOV　SI,07BE　；SI指向硬盘分区表1的自举标志 0E74:061E　B104　MOV　CL,04　；查找四个分区 0E74:0620　382C　CMP　[SI],CH 0E74:0622　7C09　JL　062D　；如果[SI]的第7位为1，即为自 ；举标志，转062DH 0E74:0624　7515　JNZ　063B　；如果[SI]不为0，出错，转063BH 0E74:0626　83C610　ADD　SI,+10　；依次检验四个分区表，直至找到 0E74:0629　E2F5　LOOP　0620　；自举标志 0E74:062B　CD18　INT　18　；找不到自举标志，进入BOOT异 ；常处理程序。 0E74:062D　8B14　MOV　DX,[SI]　；保存自举驱动器号于DL中 0E74:062F　8BEE　MOV　BP,SI　；保存自举分区地址指针于BP 0E74:0631　83C610　ADD　SI,+10　；继续检验自举分区后的分区 0E74:0634　49　DEC　CX　；自举标志，直至四个分区都 0E74:0635　7416　JZ　064D　；检查完 0E74:0637　382C　CMP　[SI],CH　；若其余的自举标志不为0，出错 0E74:0639　74F6　JZ　0631 3、出错，写屏幕程序段 0E74:063B　BE1007　MOV　SI,0710　；错误信息输出，死循环 0E74:063E　4E　DEC　SI 0E74:063F　AC　LODSB 0E74:0640　3C00　CMP　AL,00 0E74:0642　74FA　JZ　063E 0E74:0644　BB0700　MOV　BX,0007 0E74:0647　B40E　MOV　AH,0E 0E74:0649　CD10　INT　10 0E74:064B　EBF2　JMP　063F 硬盘主引导记录程序的功能是读出自举分区的BOOT程序，并把控制转移到分区BOOT程序。整个程序流程如下： 1　将本来读入到0：7C00H处的硬盘主引导记录程序移至0：61BH处； ⑵　顺序读入四个分区表的自举标志，以找出自举分区，若找不到，转而执行INT18H的BOOT异常执行中断程序； ⑶　找到自举分区后，检测该分区的系统标志，若为32位FAT表或16位FAT表但支持13号中断的扩展功能，就转到执行13号中断的41号功能调用进行安装检验，检验成功，就执行42号扩展读功能调用把BOOT区程序读入到内存0：7C00H处，成功，跳到第⑸步，若读失败或系统标志为其它，就调用13号中断的读扇区功能调用把BOOT读到0：7C00H； ⑷　用13号中断的读扇区功能时，用两种方式分别进行5次试读。第一种方式是直接从自举分区的头扇区读入BOOT程序，若读成功，但结束标志不是55AA，则改用第二种方式，又如果用第一种方式试读五次均不成功，就改用第二种方式。若两种方式试读均失败，就转到出错处理程序； ⑸　读入BOOT区程序成功，转至0：7C00H处执行BOOT程序。