引导区病毒

西安邮电学院计算机病毒实验报告书院系名称：通信与信息工程学院专业名称信息安全班级：安全0804班学生姓名：余伟东（0608-3121）实验时间：2011年06月23日一．实验流程本实验步骤重点在于如何让学生手动清除引导区病毒。引导区病毒已存在DOS系统环境的C:\T目录下，文件名为MVBT.EXE，在执行病毒程序前首先将磁盘（硬盘）的MBR备份至软盘。感染病毒后，要求学生通过三种不同的方式清除引导区病毒，即恢复MBR。二．使用DEBUG查看MBR（1）打开实验系统环境进入DOS命令提示符“C:\”下。命令行下输入如下代码，(A命令中输入汇编指令前的地址已略去)。命令会中断在调试中断指令INT3处，记录AX寄存器内容0050。（2）使用“D200”命令查看读出的MBR，使用“U200”查看反汇编后的MBR指令,理解如下代码段的含义：上面代码实现了MBR引导记录将自己迁移0：61B地址并转入继续执行的操作。「注」如在输入汇编指令过程中输入错误，可以双击回车键退出汇编状态，使用A出错汇编语句起始地址命令来修正错误并从出错的位置继续输入。分析完毕后，通过DEBUG命令将读出的MBR保存到虚拟软盘中，待后继实验步骤使用，在进行具体操作前，请确定虚拟软盘是否已经“插入”MS-DOS“软驱”中，具体做法如下：首先键入“Q”退出DEBUG控制台，在DOS命令提示符下键入命令：A:。若提示命令如图31-1-1左所示，则表示软盘已在“软驱”内，直接进行步骤三操作；若提示命令如图31-1-1右所示，则需进行“插入”软盘操作。「说明」虚拟机“插入”软盘操作：返回至查看菜单“VM”｜“RemovableDevices”｜“Floppy”项前是否有对号，以确认虚拟机是否连有软盘镜像文件，如没有可以使用“Floppy”菜单下的“Edit”项启动软盘编辑界面，确定“Devicestatus”中的“Connected”和“Connectatpoweron”为被选状态，选择“Usefloppyimage：”并使用“Browse”浏览到虚拟机所在目录的floppy下选择A.img文件，点“OK”返回，虚拟机主页面即可使用软驱A：，如软盘镜像已满，可以使用磁盘命令format或文件操作命令del，格式化或删除A：盘中的文件以释放软盘空间。图31-1-1查看主机软驱中是否已插入软盘三．保存MBR至软盘重新进入DEBUG控制台，输入RCX指令修改CX寄存器中值为十六进制200（十进制512,MBR扇区大小），输入RBX指令修改BX寄存器中值为十六进制0，使用“nA:\a.dat”指定输出文件路径名称，使用“W200”命令保存刚才导出的MBR数据。如果操作成功，将会有写入磁盘数据数量的提示信息。使用“Q”退出DEBUG。四．感染引导区病毒实验中使用的MVBT.EXE病毒，其特点是，感染系统以后，修改系统13H中断，将原MBR拷贝到C：0，H：0，S：2扇区，当系统时间大于12：00且有磁盘读写操作时，病毒执行激活代码，显示“VIRUSISACTIVED!”，并死机，否则在启动时显示“THISISAVIRUSTEST!”等提示信息。进入C:\T目录下，输入MVBT.EXE启动引导区病毒，使用shutdown-r命令重新启动系统，注意观察系统，当DOS启动前出现“THISISAVIRUSTEST!”提示时表示病毒感染成功。通过如下方法来测试病毒激活：使用time12：00将系统时间设置为12：00，重新启动系统，当系统启动调用INT13H中断时病毒代码激活，出现病毒发作特征。五．利用DEBUG清除引导区病毒在清除病毒之前，首先调整DOS系统当前时间，具体做法如下：使用虚拟机工具重启按钮重新启动虚拟机，当系统刚启动时，按F2进入虚拟机BIOS设置程序的Main页面下（点完重启键应让鼠标点入虚拟机，使键盘输入焦点移到虚拟机中，否则虚拟机不会响应键盘操作。）使用↑↓键移动光标(按回车在子项中移动光标)到SystemTime：处调整系统时间到10：00，按F10并按回车保存设置，重新启动系统，进入C:\命令行，启动DEBUG准备进行下一步操作。这里我们提供三种清除引导区病毒的方式，也是三种恢复MBR的方式。（1）使用DEBUG恢复存储在C：0，H：0，S：2扇区的备份MBR，实现系统恢复。在DEBUG控制台下输入指令A（进入汇编编辑模式）后继续输入如下命令：然后再启动DEBUG利用D200和U200命令查看MBR分区数据，并与导出到A:\a.dat文件中的数据比较是否一致。重启系统验证病毒是否已被清除。查看a.dat文件数据代码如下：（2）使用DEBUG和备份的A:\a.bat文件恢复MBR，实现系统恢复。DEBUG命令行下输入如下代码：重新启系统验证命令执行结果。（3）使用FDisk命令修复引导扇区,实现系统恢复。命令行下输入命令：fdisk/mbr，修复MBR（主引导记录），重启系统验证实验结果。实验心得：通过这次实验，我充分认识到病毒理论知识的重要性，并且亲身实践操作各种软件，对病毒进行分析，总结各种类型的病毒的特点，研究病毒的感染特点和感染途径，学习了如何检查，删除病毒，并且在实验中充分接触虚拟机的各种应用。实验过程中，需要预习实验要求和实验目，原理等等相关资料，做到有目标性的操作，不盲目，细心仔细的按照实验步骤进行试验，截取实验结果图片，保存实验过程的各种数据，做好实验。