1、目 錄下一頁(yè)退 出上一頁(yè)第第6 6章章 PEPE文件型病毒文件型病毒CIH V1.2CIH V1.2機(jī)理機(jī)理 6.1 6.1 關(guān)于關(guān)于PE格式格式EXE文件頭的分析文件頭的分析6.2 6.2 CIH v1.2病毒代碼結(jié)構(gòu)分析病毒代碼結(jié)構(gòu)分析6.3 6.3 感染文件的加載執(zhí)行感染文件的加載執(zhí)行6.4 6.4 文件感染工作原理文件感染工作原理6.5 6.5 CIH v1.2病毒的發(fā)現(xiàn)與消除病毒的發(fā)現(xiàn)與消除目 錄下一頁(yè)退 出上一頁(yè)6.1 6.1 關(guān)于關(guān)于PEPE格式格式EXEEXE文件頭的分析文件頭的分析1 1、PEPE文件的文件的DOSDOS頭結(jié)構(gòu)頭結(jié)構(gòu)typedef structtypedef

2、struct _IMAGE_DOS_HEADER _IMAGE_DOS_HEADER 00 WORD e_magic00 WORD e_magic; / ; / 版本號(hào)版本號(hào)02 WORD e_cblp02 WORD e_cblp; / ; / 最后一頁(yè)字節(jié)數(shù)最后一頁(yè)字節(jié)數(shù)04 WORD e_cp04 WORD e_cp; / ; / 文件頁(yè)數(shù)文件頁(yè)數(shù)06 WORD e_crlc06 WORD e_crlc; / ; / 重定位標(biāo)志重定位標(biāo)志08 WORD e_cparhdr08 WORD e_cparhdr; / ; / 文件頭大小文件頭大小0A WORD e_minalloc0A WORD

3、 e_minalloc; / ; / 需要的最小內(nèi)存需要的最小內(nèi)存0C WORD e_maxalloc0C WORD e_maxalloc; / ; / 需要的最大內(nèi)存需要的最大內(nèi)存0E WORD e_ss0E WORD e_ss; / SS; / SS初始值初始值1010WORD e_spWORD e_sp; / SP; / SP初始值初始值12 WORD e_csum12 WORD e_csum; / ; / 校驗(yàn)和校驗(yàn)和14 WORD e_ip14 WORD e_ip; / IP; / IP初始值初始值16 WORD e_cs16 WORD e_cs; / CS; / CS初始值初始值1

4、8 WORD e_lfarlc18 WORD e_lfarlc; / ; / 重定位表重定位表1A WORD e_ovno1A WORD e_ovno; / ; / 覆蓋號(hào)覆蓋號(hào)1C WORD e_res4; / 1C WORD e_res4; / 保留字保留字24 WORD e_oemid24 WORD e_oemid; / OEM ; / OEM 標(biāo)示碼標(biāo)示碼26 WORD e_oeminfo26 WORD e_oeminfo; / OEM ; / OEM 信息信息28 WORD e_res210; / 28 WORD e_res210; / 保留字保留字3C LONG e_lfanew3

5、C LONG e_lfanew; / ; / 新新exeexe頭地址頭地址 IMAGE_DOS_HEADER, IMAGE_DOS_HEADER, * *PIMAGE_DOS_HEADER;PIMAGE_DOS_HEADER;目 錄下一頁(yè)退 出上一頁(yè)6.1 6.1 關(guān)于關(guān)于PEPE格式格式EXEEXE文件頭的分析文件頭的分析2 2、擴(kuò)展頭結(jié)構(gòu)之一：、擴(kuò)展頭結(jié)構(gòu)之一：IMAGE_FILE_HEADER 偏移大小含義結(jié)構(gòu)定義變量名00H04HPE文件標(biāo)識(shí)“PE”Signature文件頭文件頭04H02H運(yùn)行平臺(tái)Machine06H02H塊數(shù)目NumberOfSections08H04H文件創(chuàng)建時(shí)間

6、和日期TimeDateStamp0CH04H指向符號(hào)表（用于調(diào)試）PointerToSymbolTable10H04H符號(hào)表中符號(hào)個(gè)數(shù)（用于調(diào)試）NumberOfSymbols14H02HIMAGE_OPTIONAL_HEADER32結(jié)構(gòu)大小SizeOfOptionalHeader16H02H文件屬性Characteristics目 錄下一頁(yè)退 出上一頁(yè)6.1 6.1 關(guān)于關(guān)于PEPE格式格式EXEEXE文件頭的分析文件頭的分析3 3、擴(kuò)展頭結(jié)構(gòu)二：擴(kuò)展頭結(jié)構(gòu)二：IMAGE_OPTIONAL_HEADER 18H02H標(biāo)志字（總是010BH）Magic1AH01H鏈接器主版本號(hào)MajorLin

7、kerVersion1BH01H鏈接器副版本號(hào)MinorLinkerVersion1CH04H代碼段大小SizeOfCode20H04H已初始化數(shù)據(jù)大小SizeOfInitializedData24H04H未初始化數(shù)據(jù)大小SizeOfUninitializedData28H04H程序執(zhí)行入口RVAAddressOfEntryPoint2CH04H代碼段起始RVABaseOfCode30H04H數(shù)據(jù)段起始RVABaseOfData34H04H程序默認(rèn)裝入的基址RVAImageBase38H04H內(nèi)存中的塊對(duì)齊顆粒SectionAlignment3CH04H文件中的塊對(duì)齊顆粒FileAlignme

8、nt40H02H操作系統(tǒng)主版本號(hào)MajorOperatingSystemVersion42H02H操作系統(tǒng)副版本號(hào)MinorOperatingSystemVersion44H02H用戶自定義主版本號(hào)MajorImageVersion46H02H用戶自定義副版本號(hào)MinorImageVersion48H02H所需子系統(tǒng)主版本號(hào)MajorSubsystemVersion4AH02H所需子系統(tǒng)副版本號(hào)MinorSubsystemVersion4CH04HWin32版本號(hào)（保留）Win32VersionValue目 錄下一頁(yè)退 出上一頁(yè)6.1 6.1 關(guān)于關(guān)于PEPE格式格式EXEEXE文件頭的分析文

9、件頭的分析3 3、擴(kuò)展頭結(jié)構(gòu)二：擴(kuò)展頭結(jié)構(gòu)二：IMAGE_OPTIONAL_HEADER 50H04H內(nèi)存中整個(gè)PE映像尺寸SizeOfImage54H04H部首+塊表大小SizeOfHeaders58H04H校驗(yàn)和CheckSum5CH02H文件的子系統(tǒng)Subsystem5EH02HDll特征DllCharacteristics60H04H初始化時(shí)的堆棧大小SizeOfStackReserve64H04H初始化時(shí)實(shí)際提交的堆棧大小SizeOfStackCommit68H04H初始化時(shí)保留的堆大小SizeOfHeapReserve6CH04H初始化時(shí)實(shí)際提交的堆大小SizeOfHeapComm

10、it70H04H加載器標(biāo)志LoaderFlags74H04H數(shù)據(jù)目錄結(jié)構(gòu)的數(shù)量NumberOfRvaAndSizes78HB0H數(shù)據(jù)目錄表(16個(gè)表)DataDirectory目 錄下一頁(yè)退 出上一頁(yè)6.1 6.1 關(guān)于關(guān)于PEPE格式格式EXEEXE文件頭的分析文件頭的分析4 4、入口表每個(gè)表項(xiàng)入口表每個(gè)表項(xiàng)28h字節(jié)的意義字節(jié)的意義 入口表偏移字節(jié)數(shù)意義00h08h邏輯分段的段名串08h04h本段實(shí)際占用字節(jié)數(shù)0Ch04h本段進(jìn)入內(nèi)存后的內(nèi)存地址偏移10h04h本段分配的字節(jié)數(shù)14h04h本段在文件中的邏輯地址偏移18h04h保留，00000000h1Ch04h保留，00000000h20

11、h04h保留，00000000h24h04h本段加載標(biāo)志值目 錄下一頁(yè)退 出上一頁(yè)6.1 6.1 關(guān)于關(guān)于PEPE格式格式EXEEXE文件頭的分析文件頭的分析5 5、CIH病毒代碼組合表病毒代碼組合表 項(xiàng)內(nèi)存起始地址數(shù)據(jù)長(zhǎng)度6亂碼5亂碼亂碼400000000h亂碼300403020h000000D9h2004022AEh00000152h1000001C0h目 錄下一頁(yè)退 出上一頁(yè)6.2 6.2 CIH v1.2CIH v1.2病毒代碼結(jié)構(gòu)分析病毒代碼結(jié)構(gòu)分析1 1、宏觀劃分、宏觀劃分 CIHCIH病毒病毒v1.2v1.2代碼長(zhǎng)度代碼長(zhǎng)度10031003字節(jié)，即字節(jié)，即000003EBh000

12、003EBh字字節(jié)。宏觀上可以分為兩大塊：節(jié)。宏觀上可以分為兩大塊： 一塊為感染文件的執(zhí)行代碼部分，主要用于獲得一塊為感染文件的執(zhí)行代碼部分，主要用于獲得系統(tǒng)最高運(yùn)行級(jí)別系統(tǒng)最高運(yùn)行級(jí)別0 0，申請(qǐng)系統(tǒng)頁(yè)并且駐留病毒，申請(qǐng)系統(tǒng)頁(yè)并且駐留病毒代碼，并且接管打開(kāi)文件的系統(tǒng)調(diào)用；代碼，并且接管打開(kāi)文件的系統(tǒng)調(diào)用； 另一塊為感染另一塊為感染PE EXEPE EXE文件的執(zhí)行代碼部分，它主文件的執(zhí)行代碼部分，它主要用于修改文件頭數(shù)據(jù)，尋找空閑空間后寫入病要用于修改文件頭數(shù)據(jù)，尋找空閑空間后寫入病毒代碼；然后根據(jù)當(dāng)前日期判斷是否破壞硬盤數(shù)毒代碼；然后根據(jù)當(dāng)前日期判斷是否破壞硬盤數(shù)據(jù)和據(jù)和BIOSBIOS設(shè)

13、置程序。設(shè)置程序。 目 錄下一頁(yè)退 出上一頁(yè)6.2 6.2 CIH v1.2CIH v1.2病毒代碼結(jié)構(gòu)分析病毒代碼結(jié)構(gòu)分析2 2、微觀劃分、微觀劃分 CIH病毒的第一塊代碼又可以分為兩部分：病毒的第一塊代碼又可以分為兩部分：第一部分為感染文件執(zhí)行的主程序，長(zhǎng)度第一部分為感染文件執(zhí)行的主程序，長(zhǎng)度為為00000063h字節(jié)，第二部分為盜用中斷門字節(jié)，第二部分為盜用中斷門03h的代碼，的代碼， 長(zhǎng)度為長(zhǎng)度為00000055h。這兩部分代。這兩部分代碼的長(zhǎng)度和為碼的長(zhǎng)度和為000000B8h，必須連續(xù)存放。，必須連續(xù)存放。這就是為什么這就是為什么CIH病毒要求被感染文件的文病毒要求被感染文件的文件

14、頭，除去件頭，除去CIH病毒組合表占用數(shù)據(jù)空間后病毒組合表占用數(shù)據(jù)空間后至少應(yīng)有至少應(yīng)有000000B8h字節(jié)的空閑空間的理由。字節(jié)的空閑空間的理由。 目 錄下一頁(yè)退 出上一頁(yè)6.2 6.2 CIH v1.2CIH v1.2病毒代碼結(jié)構(gòu)分析病毒代碼結(jié)構(gòu)分析3 3、微觀劃分、微觀劃分 CIH病毒的第二塊代碼可以分為三個(gè)部分：病毒的第二塊代碼可以分為三個(gè)部分：第一部分為感染文件的主程序，第二部分第一部分為感染文件的主程序，第二部分為感染文件的執(zhí)行程序，第三部分為輔助為感染文件的執(zhí)行程序，第三部分為輔助模塊程序段。主程序用于調(diào)用執(zhí)行程序，模塊程序段。主程序用于調(diào)用執(zhí)行程序，執(zhí)行程序負(fù)責(zé)感染文件，是執(zhí)

15、行程序負(fù)責(zé)感染文件，是CIH病毒的精華病毒的精華部分。部分。 目 錄下一頁(yè)退 出上一頁(yè)6.2 6.2 CIH v1.2CIH v1.2病毒代碼結(jié)構(gòu)分析病毒代碼結(jié)構(gòu)分析4 4、占用內(nèi)存結(jié)構(gòu)、占用內(nèi)存結(jié)構(gòu)內(nèi)存地址偏移數(shù)據(jù)長(zhǎng)度意 義0028h:C0EEA000h00000063h病毒代碼第一塊第一部分0028h:C0EEA063h00000055h病毒代碼第一塊第二部分0028h:C0EEA0B8h00000026h病毒代碼第二塊第一部分0028h:C0EEA0DEh00000004h保存正常打開(kāi)文件調(diào)用地址0028h:C0EEA0E2h000002C9h病毒代碼第二塊第二部分0028h:C0EEA

16、3ABh0000000Ch病毒代碼第二塊第三部分模塊10028h:C0EEA3B7h00000013h病毒代碼第二塊第三部分模塊20028h:C0EEA3CAh00000014h保存文件指令修改表數(shù)據(jù)0028h:C0EEA3DEh0000000Dh病毒特征字符串0028h:C0EEA3EBh00000001h文件感染工作標(biāo)志0028h:C0EEA3ECh00000004h保留0028h:C0EEA3F0h0000007Fh保存文件路徑串0028h:C0EEA46Fh00000032h文件頭部分?jǐn)?shù)據(jù)讀寫緩沖區(qū)0028h:C0EEA4A1h000000A0h入口表數(shù)據(jù)讀寫緩沖區(qū)， 長(zhǎng)度與文件有關(guān)0

17、028h:C0EEA541h00000028h病毒代碼組合表數(shù)據(jù)讀寫緩沖區(qū)目 錄下一頁(yè)退 出上一頁(yè)6.3 6.3 感染文件的加載執(zhí)行感染文件的加載執(zhí)行1 1、主程序的工作流程主程序的工作流程 入口入口 取取: IDT: IDT基址基址 取取: INT 03H: INT 03H偏移及特權(quán)，偏移及特權(quán)， 存入存入EBPEBP 置置: INT 03H: INT 03H新入口及描述符新入口及描述符 申請(qǐng)申請(qǐng): : 系統(tǒng)頁(yè)，系統(tǒng)頁(yè)， 防止跟蹤執(zhí)行防止跟蹤執(zhí)行 組合組合: CIH: CIH病毒的分塊代碼病毒的分塊代碼 接管接管: : 系統(tǒng)打開(kāi)文件調(diào)用系統(tǒng)打開(kāi)文件調(diào)用 恢復(fù)恢復(fù): : 正常正常INT 03H

18、INT 03H入口入口 設(shè)置設(shè)置: : 文件正常執(zhí)行入口地址文件正常執(zhí)行入口地址 正常執(zhí)行感染文件正常執(zhí)行感染文件目 錄下一頁(yè)退 出上一頁(yè)6.3 6.3 感染文件的加載執(zhí)行感染文件的加載執(zhí)行2 2、盜用中斷門盜用中斷門03H的程序分析的程序分析 判斷操作系統(tǒng)是否感染病毒。判斷操作系統(tǒng)是否感染病毒。 系統(tǒng)已經(jīng)感染則越過(guò)代碼組合程序段。系統(tǒng)已經(jīng)感染則越過(guò)代碼組合程序段。 請(qǐng)求分配系統(tǒng)頁(yè)以駐留內(nèi)存。請(qǐng)求分配系統(tǒng)頁(yè)以駐留內(nèi)存。 掛接鉤子，掛接鉤子， 以截取系統(tǒng)打開(kāi)文件的系統(tǒng)調(diào)以截取系統(tǒng)打開(kāi)文件的系統(tǒng)調(diào)用。用。 目 錄下一頁(yè)退 出上一頁(yè)6.4 6.4 文件感染工作原理文件感染工作原理主要程序段的工作原理

19、主要程序段的工作原理 判斷非判斷非VM模式下文件是否感染了病毒。模式下文件是否感染了病毒。 計(jì)算文件頭空閑空間，能否容納至少計(jì)算文件頭空閑空間，能否容納至少B9h字節(jié)。字節(jié)。 找到分區(qū)空閑空間，寫入病毒代碼。找到分區(qū)空閑空間，寫入病毒代碼。 直至病毒代碼全部寫完。直至病毒代碼全部寫完。 寫入文件頭修改數(shù)據(jù)及病毒分塊代碼。寫入文件頭修改數(shù)據(jù)及病毒分塊代碼。 判斷是否判斷是否4月月26日，否則返回。日，否則返回。 破壞破壞BIOS設(shè)置程序，硬盤數(shù)據(jù)。設(shè)置程序，硬盤數(shù)據(jù)。 目 錄下一頁(yè)退 出上一頁(yè)6.5 6.5 CIH v1.2CIH v1.2病毒的發(fā)現(xiàn)與消除病毒的發(fā)現(xiàn)與消除1 1、DEBUGDEB

20、UG下文件感染下文件感染CIHCIH病毒的判斷病毒的判斷 (1) (1) 將可執(zhí)行文件復(fù)制一份，將可執(zhí)行文件復(fù)制一份， 擴(kuò)展名改為擴(kuò)展名改為DATDAT等；用等；用DEBUGDEBUG打開(kāi)可疑打開(kāi)可疑PEPE格式格式EXEEXE文件，文件， 如果文件為如果文件為PEPE格式且擴(kuò)展文件格式且擴(kuò)展文件頭起始數(shù)據(jù)的前一個(gè)字節(jié)為頭起始數(shù)據(jù)的前一個(gè)字節(jié)為55H55H， 則文件已經(jīng)被則文件已經(jīng)被CIHCIH病毒病毒處理過(guò)處理過(guò). . 在在DEBUGDEBUG提供的內(nèi)存地址，該字節(jié)一般在提供的內(nèi)存地址，該字節(jié)一般在XXXX:017FXXXX:017F處。處。(2) (2) 接著在接著在XXXX:01A8XX

21、XX:01A8處讀處處讀處EIPEIP的相對(duì)值，的相對(duì)值， 找到該指令的找到該指令的文件入口偏移。如果入口指令的代碼連續(xù)為下述指令碼：文件入口偏移。如果入口指令的代碼連續(xù)為下述指令碼： 55 8D 44 24 F8 33 DB 64 87 03 E8 00 00 00 0055 8D 44 24 F8 33 DB 64 87 03 E8 00 00 00 00 5B 5B則該文件基本上感染則該文件基本上感染CIHCIH病毒病毒. .這一步也可以用這一步也可以用SOFT-ICESOFT-ICE打開(kāi)打開(kāi)* *.EXE.EXE文件，按文件，按F8F8讀入文件代碼，如果讀入文件代碼，如果CS:EIPC

22、S:EIP處指令為感處指令為感染文件執(zhí)行的指令相同，則可以確定感染染文件執(zhí)行的指令相同，則可以確定感染CIHCIH病毒病毒. .目 錄下一頁(yè)退 出上一頁(yè)6.5 6.5 CIH v1.2CIH v1.2病毒的發(fā)現(xiàn)與消除病毒的發(fā)現(xiàn)與消除1 1、 DEBUGDEBUG下文件感染下文件感染CIHCIH病毒的判斷病毒的判斷 (3) (3) 最后，搜索可疑文件全部代碼，如果找到最后，搜索可疑文件全部代碼，如果找到CIH v1.2 CIH v1.2 TTITTTIT等字符串，則可以完全肯定可疑文件感染了等字符串，則可以完全肯定可疑文件感染了CIHCIH病毒。病毒。 在在DEBUGDEBUG打開(kāi)可執(zhí)行文件的復(fù)

23、制文件時(shí)，打開(kāi)可執(zhí)行文件的復(fù)制文件時(shí)， 可以用以下指可以用以下指令搜索上述字符串令搜索上述字符串: : S XXXX:0100 LFF00 CIH v1.2 TTIT S XXXX:0100 LFF00 CIH v1.2 TTIT如果文件較長(zhǎng)，占用了多個(gè)段如果文件較長(zhǎng)，占用了多個(gè)段( (從從BXBX的值可以看出的值可以看出) )，可以將，可以將XXXXhXXXXh加上加上1000h1000h后，后， 將搜索范圍擴(kuò)展為將搜索范圍擴(kuò)展為FFF0hFFF0h，依次使用，依次使用上述指令，搜索各個(gè)段的代碼。如：上述指令，搜索各個(gè)段的代碼。如： -S (1+X)XXX:0000 LFFF0 CIH v1

24、.2 TTIT-S (1+X)XXX:0000 LFFF0 CIH v1.2 TTIT只要搜索指令執(zhí)行完成后，顯示了一個(gè)地址，則表示找到了只要搜索指令執(zhí)行完成后，顯示了一個(gè)地址，則表示找到了病毒版本信息，文件感染病毒版本信息，文件感染CIHCIH病毒確信無(wú)疑。病毒確信無(wú)疑。目 錄下一頁(yè)退 出上一頁(yè)6.5 6.5 CIH v1.2CIH v1.2病毒的發(fā)現(xiàn)與消除病毒的發(fā)現(xiàn)與消除2 2、SOFT-ICESOFT-ICE環(huán)境下環(huán)境下文件感染文件感染CIH病毒的判斷病毒的判斷 可以利用以下指令來(lái)搜索文件中的病毒版本信息字符串：可以利用以下指令來(lái)搜索文件中的病毒版本信息字符串： S CS:00400000 L00018000 CIH v1.2 TTITS CS:00400000 L00018000 CIH v1.2 TTIT只要搜索指令執(zhí)行完成后，顯示了一個(gè)地址，則表示找到了只要搜索指令執(zhí)行完成后，顯示了一個(gè)地址，則表示找到了病毒版本信息，文件感染病毒版本信息，文件感染CIHCIH病毒確信無(wú)疑。其中，病毒確信無(wú)疑。其中，00400000h00400000h為一般可執(zhí)行文件讀入內(nèi)存后的基址，為一般可執(zhí)行文件讀入內(nèi)存后的基址，00018000h00018000h為系統(tǒng)為可執(zhí)行文件分配的內(nèi)存長(zhǎng)度為系統(tǒng)為可執(zhí)行文件分配的內(nèi)存長(zhǎng)度( (以以E