内存驻留式文件型病毒的通用攻击方式

第 卷 第 期年 月 微 计 算 机 应 用 , 内存驻留式文件型病毒的通用攻击方式 邱 劲 松上海交通大学 摘婆 本文通过对存储驻留式文件型病毒传播特性的解读 提出了一种防御该类别病毒 的 通用办法 并给出实现这些方式的程序流程图。 一、 问题的强调 计算机病毒的预防能 以借助使用测试工具、 解毒软件等方式来进行 , 但这种方式均为消极被动防御式 , 它不能防止未知的跟新发生 的计算机病毒 。 只有采用通用的防御方式, 即不论是 已知病毒 , 还是未知的或新发生 的病毒均可进行攻击 , 才能更有效地攻击计算机病毒 , 这是未来计算机病毒防治的发展方 向。 从计算机病毒的分类来看 , 可 以分为操作系统型和文件型两大类 文件型 中又分为内存驻留式和非驻 留式两类 , 其中操作系统型病毒虽然传染能力强 , 但其隐蔽性差 , 可 以借助查看系统内存、 区、 引导文件等方式很容易判断 , 而且即使不使用来历不 明的磁盘启动 机器 , 就可防止该类病毒的入侵 。 而文件型病毒多附在能执行文件 和 里 面 , 隐蔽性极强 , 很难发现 ,往往到看到病毒时驻留型病毒, 病毒的传播尚未更广泛 了 在文件型病毒中 , 内存驻留式又 占绝大多数 在我国再次看到的 , ,等都 属 此类驻留型病毒, 并且其传染能力也很强 , 所 以 , 对 内存驻留式文件型病毒的通用性防御 , 已经变成如何有效地防御计算机病毒的关键 。

二 、 内存驻留式文件型病毒的传播特性 内存驻留式文件型病毒的模型与操作系统型病毒模型更相近 , 它只是由安装 、 传染 、 破坏三个模块组成 。 在上述三个模块中 , 两者在破坏模块上是一致的 , 即在某个特定条件下执行某些特定的操作 如 日星期五删文件等 , 而在其它两个模块上则略有不 同 在安装组件中 , 操作系统型病毒一般是借助将 自身搬移到 内存高端 , 并接管相应的中止 一般为来进行的 , 而存储驻留式文件型病毒则是借助驻留内存和接管 中 断 来 进行的 这主要是 由于 系统功能调用中断 是 系统的核心 , 系统中的文件操作 文件的开 、 闭、 读、 写 、 运行等 都是通过调用该中断进行的 在传染模块中 , 由于存储 驻留式文件型病毒感染文件 , 所 以病毒截流 中与文件操作有关的子功能 , 如子功能 、 文件开启 子功能 等 , 这与操作系统型病 毒 截 流 图 内存驻留式文件型病毒的传播过程 中的读 二 或写 二 等子功能更相 似 所 以说 , 理解了操作系统型病毒的传播特性后 , 对存储驻留式文件型病毒的传播特性也有不难理解的 。 内存驻留式文件型病毒的传播基本过程是 当该类型病毒运行时 , 首先查看系统中有无病 毒 自 身 , 如 果无 , 就驻留内存 , 接管 中断 , 为 以后的传染 做打算 , 并运行以前的程序 , 如果有 , 就不驻留, 只运行原有程序 。

而 当病毒驻 留内存后 , 其传染过程如图 所示 。 从 图中能 以看出 , 该类别病毒是借助新提高的传染模块 , 在 系统进行有 关 文件操作时传染的 病毒在感染的同时 , 监视这些特定条件 , 当条件满足时 , 执行其破坏部分 。 从上述预测能 以看出 , 该类别病毒具备 以下三个特 征 常驻内存修改 中断向量 , 截流有关文件操作 在进行有关文件操作时传播 , 即在进行有关文件操作时 , 具有写盘操作 三 、 通用性防御方式的推动 通过对存储驻 留式文件型病毒传播饥理 的剖析可 以看出 , 要对该类别病毒进行通用性防御 , 必须从该类别病毒的特点入手 。 这是因为这种特点是

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-141253-1.html