文件型電腦病毒介紹
文件型電腦病毒介紹
要了解文件型病毒的原理,首先要了解文件的結(jié)構(gòu).COM 文件比較簡單, 病毒要感染COM文件有兩種方法,一種是將病毒加在COM前部,一種是加在文件尾部,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的文件型電腦病毒介紹!希望對你有幫助!見下圖:
文件型電腦病毒介紹:
A B
-------- ---------------
|-病毒 | |JMP XXXX:XXXX| (原文件的前3字節(jié)被修改)
-------- ---------------
|原文件| ├ 原程序 ┤
-------- --------------
├ 病毒 ┤
--------------
EXE 文件比較復(fù)雜,每個EXE文件都有一個文件頭,結(jié)構(gòu)如下:
EXE文件頭信息
-------------------------------------
├偏移量┤ 意義 ┤
├00h-01h ┤MZ'EXE文件標(biāo)記 ┤
├2h-03h ┤文件長度除512的余數(shù) ┤
├04h-05h ┤...............商 ┤
├06h-07h ┤重定位項的個數(shù) ┤
├08h-09h ┤文件頭除16的商 ┤
├0ah-0bh ┤程序運行所需最小段 數(shù) ┤
├0ch-0dh ┤..............大..... ┤
├oeh-0fh ┤堆棧段的段值 (SS) ┤
├10h-11h ┤........sp ┤
├12h-13h ┤文件校驗和 ┤
├14h-15h ┤IP ┤
├16h-17h ┤CS ┤
├18h-19h ┤............ ┤
├1ah-1bh ┤............ ┤
├1ch ┤............ ┤
------------------------------------
當(dāng)DOS加載EXE文件時,根據(jù)文件頭信息,調(diào)入一定長度的文件,設(shè)置SS,SP 從CS:IP 開始執(zhí)行.病毒一般將自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件長度信息和SS,SP。
文件型電腦病毒介紹基本原理:
當(dāng)被感染程序執(zhí)行之后,病毒會立刻(入口點被改成病毒代碼)或者在隨后的某個時間("無入口點病毒")獲得控制權(quán),獲得控制權(quán)后,病毒通常會進(jìn)行下面的操作(某個具體的病毒不一定進(jìn)行了所有這些操作,操作的順序也很可能不一樣):
· 內(nèi)存駐留的病毒首先檢查系統(tǒng)可用內(nèi)存,查看內(nèi)存中是否已經(jīng)有病毒代碼存在,如果沒有將病毒代碼裝入內(nèi)存中。非內(nèi)存駐留病毒會在這個時候進(jìn)行感染,查找當(dāng)前目錄、根目錄或者環(huán)境變量PATH中包含的目錄,發(fā)現(xiàn)可以被感染的可執(zhí)行文件就進(jìn)行感染。
環(huán)境變量:首先在DOS操作系統(tǒng)下出現(xiàn),是由操作系統(tǒng)保存,對所有程序都一樣的一些定義的值,比如說環(huán)境變量PATH是執(zhí)行程序時搜索的路徑列表,環(huán)境變量PROMPT是執(zhí)行DOS命令時的提示信息。在視窗操作系統(tǒng)下也有環(huán)境變量,但是除了搜索路徑以外的視窗操作系統(tǒng)的環(huán)境變量基本上在DOS框里面才會用到。
· 執(zhí)行病毒的一些其他功能,比如說破壞功能,顯示信息或者病毒精心制作的動畫等等,對于駐留內(nèi)存的病毒來說,執(zhí)行這些功能的時間可以是開始執(zhí)行的時候,也可以是滿足某個條件的時候,比如說定時或者當(dāng)天的日期是13號恰好又是星期五等等。為了實現(xiàn)這種定時的發(fā)作,病毒往往會修改系統(tǒng)的時鐘中斷,以便在合適的時候激活。
· 完成這些工作之后,將控制權(quán)交回被感染的程序。為了保證原來程序的正確執(zhí)行,寄生病毒在執(zhí)行被感染程序的之前,會把原來的程序還原,伴隨病毒會直接調(diào)用原來的程序,覆蓋病毒和其他一些破壞性感染的病毒會把控制權(quán)交回DOS操作系統(tǒng)。
· 對于內(nèi)存駐留病毒來說,駐留時會把一些DOS或者基本輸入輸出系統(tǒng)(BIOS)的中斷指向病毒代碼,比如說INT13H或者INT 21H,這樣系統(tǒng)執(zhí)行正常的文件/磁盤操作的時候,就會調(diào)用病毒駐留在內(nèi)存中的代碼,進(jìn)行進(jìn)一步的破壞或者感染。
看了“文件型電腦病毒介紹”文章的還看了:
3.電腦病毒分類介紹