xcopy.exe/xcopy32.exe/xcopy.mod初探
测试环境
1、D6(VirtualPC下的MS-DOS6.22)
2、D7(VirtualPC下的MS-DOS7.10)
3、HX(VirtualPC下的MS-DOS7.10下的HX DOS Extender)
4、D8(VirtualPC下的WindowsME启动盘)
5、98(VirtualPC下的Windows98Se)
6、XP(WinXPsp2);
测试样本
1、98的xcopy.exe/xcopy32.exe/xcopy.mod,来自Win98SE中文版(OEM)CD;
2、ME(WindowsME)的xcopy.exe/xcopy32.exe/xcopy.mod,来自];
3、D7的xcopy.exe,来自];
4、HX支持的xcopy.exe,来自];
5、XP的xcopy.exe,来自%systemroot%\system32\;
6、D6的xcopy.exe,来自DOS\;
通过使用fc对样本进行相似度验证,综合来自]的信息,各样本的相似性归纳如下:
1、95/97(Win95OSR2)的xcopy增加了xcopy32.exe,98/ME再增加了xcopy32.mod,XP则又向D6回归,只保留了全新的xcopy.exe;
2、98/ME的同版本的xcopy.exe/xcopy32.exe内容完全一致,98与ME版本之间则略有差别;
3、95/97的xcopy.exe和98/ME的xcopy.exe/xcopy32.exe的大小完全一致(3878),内容略有差别;
4、95/97的xcopy32.exe和98/ME的xcopy32.mod大小相近(分别为40960/41472/41472/41472),内容相似;
5、D6/D7/HX/XP的xcopy.exe互相之间、与其他样本之间大小和内容都有较大差别(大小分别为16850/24560/17408/30720);
通过在相应平台下的实地测试,各样本的依赖性归纳如下:
1、95/97的xcopy.exe依赖于xcopy32.exe;
2、98/ME的xcopy.exe/xcopy32.exe依赖于xcopy32.mod;
3、D6/D7的xcopy.exe未发现显式依赖的文件;
4、HX的xcopy.exe依赖于hdpmi32.dll等HX DOS Extender的支持库;
5、XP的xcopy.exe依赖于msvcrt.dll/ADVAPI32.dll/KERNEL32.dll/NTDLL.DLL/ulib.dll/ifsutil.dll等库文件
通过使用UltraEdit的观察,各样本的结构特征归纳如下:
1、98/ME的xcopy32.mod同时具有可执行程序的MZ段和PE段,且两段中均有较长的代码;
2、D7的xcopy.exe没有PE段代码,其MZ段与98的xcopy32.mod的MZ段具有很高的相似度;
3、HX的xcopy.exe的MZ段代码很短,其PE段与98的xcopy32.mod的PE段具有很高的相似度;
4、XP的xcopy.exe为普通的32位PE程序,其MZ段代码很短,其PE段与其它样本有较大差异;
5、D6的xcopy.exe为普通的16位MZ程序,没有PE段代码,其MZ段与其它样本有较大差异;
通过在相应平台下的实地测试和UltraEdit的观察,各样本的功能特征归纳如下:
1、D6的xcopy.exe支持的功能开关有: ,不支持长文件名和隐藏、系统属性文件;
2、98的xcopy32.mod的MZ段支持的开关同1,但未在命令行帮助中列出,不支持长文件名和隐藏、系统属性文件;
3、ME的xcopy32.mod的MZ段支持的开关同2相比,增加了,不支持长文件名,支持隐藏、系统属性文件(但命令行帮助中仍注明不支持);
4、98/ME的xcopy32.mod的PE段支持的开关同1相比,增加了 ,但未在帮助中列出,支持长文件名和隐藏、系统属性文件;
6、D7的xcopy.exe的功能特征同3;
7、HX的xcopy.exe的功能特征同4;
8、XP的xcopy.exe支持的开关同4相比,增加了...] ,支持长文件名和隐藏、系统属性文件;
通过在相应平台下的实地测试,各样本的平台适应性归纳如下:
1、98/ME的xcopy32.mod改扩展名为.exe后,可在98/XP下正常运行;
2、HX的xcopy.exe,可在D6/D7/D8/98/XP下正常运行,但在以硬盘方式启动的D6/D7/D8下运行时会出现异常];
3、其他的xcopy.exe/xcopy32.exe仅在相同版本的平台下可以正常运行,其它平台均显示错误的版本提示“Incorrect MS-DOS version”;
4、XP的xcopy.exe在D6/D7/D8下运行仅显示无法运行的提示信息“This program cannot be run in DOS mode. ”;
5、XP的xcopy.exe在98下运行弹出对话提示“找不到所需的 .DLL 文件 - ULIB.DLL”
根据以上信息,可以推断得出以下结论:
1、95/97的xcopy32.exe和98/ME的xcopy32.mod均属于DOS/WIN双栖性可执行程序,可分别在16位DOS环境下和32位WIN环境下独立运行;
2、95/97的xcopy.exe和98/ME的xcopy.exe/xcopy32.exe均属于寄生性可执行程序,调用xcopy32.exe和xcopy32.mod的代码运行;
3、D7的xcopy.exe为98的xcopy32.mod剪除PE段后的修改而得;
4、HX的xcopy.exe为98的xcopy32.mod缩略MZ段功能代码后修改而得;
5、xcopy的长文件名仅由PE段代码提供,同时需要相应库文件的支持;
6、xcopy的版本检查限制仅存在于MZ段代码中,可以通过搜索十六进制串并替换为来解除;
权衡所有的xcopy版本,可以筛选出两个通用性和可用性都较强的版本:
1、ME的xcopy32.mod改扩展名为.exe并解除版本检查限制的版本,其优点是单一文件可独立运行,其缺点是在DOS下无法支持长文件名和PE扩展开关;此版本附件中已提供;
2、可在硬盘方式启动的DOS下运行的HX的xcopy.exe,其优点是支持所有的PE扩展开关和长文件名,其缺点是需要附加的库文件支持,文件体积较大;此版本需要Wengier兄进行修改后得到;
]
http://www.lagmonster.org/docs/DOS7/z-xcopy.html
File Name Dos Ver. Win Ver. Size Date Source
Xcopy.exe 7.0 Win95 3 878-1 11/07/95 win95_09.cab
7.1 Win95 (OSR2.x) 3 878-2 24/08/96 win95_14.cab
Win98 3 878-3 11/05/98 win98_43.cab
Win98 SE 3 878-3 23/04/99 win98_47.cab
Xcopy32.exe 7.0 Win95 40 960 11/07/95 win95_09.cab
7.1 Win95 (OSR2.x) 41 472-4 24/08/96 win95_14.cab
Win98 3 878-3 11/05/98 win98_43.cab
Win98 SE 3 878-3 23/04/99 win98_47.cab
Xcopy32.mod 7.1 Win98 41 472-5 11/05/98 win98_45.cab
Win98 SE 41 472-6 23/04/99 win98_51.cab
]
Exception 0D
EAX=00400000 EBX=0000008F ECX=00110000 EDX=00000000 ESI=00400080
EDI=00005504 EBP=00005516 ESP=00226FF8 EFL=00090246 EIP=00002F21
CS=0097 (00110000,0000554F,00FB) SS=00BF (00000000,FFFFFFFF,CFF3)
DS=00BF (00000000,FFFFFFFF,CFF3) ES=00BF (00000000,FFFFFFFF,CFF3)
FS=00E7 (00400040,00000FBF,00F3) GS=0000 (********,********,****)
LDTR=0020 (FF809000,00000FFF,0082) TR=0018 (000066A8,00000067,008B)
ERRC=0000 (********,********,****) PTE 1. Page LDT=00363467
GDTR=03FF:FF802400 IDTR=07FF:FF802800 PTE CR2=00000006
CR0=80000033 CR2=00227000 CR3=0035B000 CR4=00000200 TSS:ESP0=00000804
DR0-3=00000000 00000000 00000000 00000000 DR6=FFFF0FF0 DR7=00000400
LPMS Sel/Cnt=0087/0001 RMS=C776:0200 open RMCBs=0000/0000 ISR=0000
=FB E8 CA FE E8 E5 03 72 58 E8 9F 01
=0000 0000 0000 0000 ????
terminate (c)lient or (s)erver now?
]
http://www.cn-dos.net/forum/viewthread.php?tid=2134
http://www.cn-dos.net/msdos71/msdos71f.zip
http://zhenlove.com.cn/cndos/msdos71/dos71cd.zip
]
http://www.cn-dos.net/forum/viewthread.php?tid=19730
http://www.cn-dos.net/forum/attachment.php?aid=1147&checkid=2e046&download=1
]
http://www.cn-dos.net/forum/viewthread.php?tid=21695
http://zhenlove.com.cn/cndos/soft/doscp.zip