计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(12)

接着将全部病毒程序移到内存的高端，完成病毒的安装。最后，病毒程序再将原系统正常的引导扇区内容调到内存的0：7C00H处，并转去执行正常的系统引导。在用户看来系统已正常引导，丝毫觉察不出病毒的入侵。 火炬病毒的传染过程是这样的，用软盘启动系统时，病毒把硬盘的主引导扇区读入内存，检查主引导扇区的1BCH处有无病毒标记，如果有，则放弃传染，若没有，则将病毒标记写到1BCH处，然后将分区信息写到病毒尾部的46B，利用这保留的分区信息，病毒仍然能够启动系统，但硬盘分区表的信息却永久地丢失了。病毒程序驻留内存并成功地启动DOS后，将修改中断向量INT 13H，此时所有的读写操作都首先到病毒的传播部分。若执行的是读操作，其软盘引导扇区的1BCH处无病毒标记，则进行传染。 病毒的破坏方式是对硬盘的主引导扇区直接覆盖，而对软盘引导扇区的内容只进行迁移。运行中，病毒首先取出系统的日期和时间进行判断，如果满足条件则进行破坏，病毒主要是破坏软盘和硬盘的引导扇区。 2. 文件病毒 文件病毒使用可执行文件作为传播的媒介，使用DOS的.COM、.EXE和.SYS文件中的一种或多种作为攻击目标。 1 .COM文件的感染：COM文件格式是DOS可执行文件格式中最简单的一种。

装入过程也最简单，DOS直接把程序读入内存，然后跳到程序映射中的第一条指令。进行这个动作时，这个程序就完全控制了计算机，直到它最后终止时把控制返回给DOS。 病毒常用的一种方法是把它自己附加到被感染程序的最后，只修改可执行文件映射前面的几条指令。此前它必须记录宿主程序原来的入口指令，这样它完成后就可以修复宿主程序。这种感染方法称为后置，因为病毒把它的代码放到宿主程序的最后。 病毒也可以通过修改可执行文件映射的前部指令来感染.COM文件。病毒可以把自己插入.COM文件的前部，把原来的程序移到病毒代码的后面。整个病毒就被放到可执行文件映射的前部，当程序装入时它就会首先执行，称为前置。用于感染.COM文件的另一种方法为覆盖。使用这种技术的病毒通常编写得非常野蛮，它用病毒代码直接覆盖宿主程序的开始部分来感染.COM程序。所有方法都在.COM文件的入口点修改指令，以保证被感染的程序一经装入就会使病毒获得对计算机的控制。 2 .EXE文件的感染：.EXE文件有一个入口点变量，它通过程序头标的代码段（CS）和指令指针（IP）标识。 在最一般的.EXE感染中，病毒完成以下操作序列：在宿主程序中记录宿主程序自己的原来入口点，这样它以后就可以正常执行宿主程序；把它自己的一份拷贝附加到宿主程序的最后；在.EXE文件的头标改变入口点（使用CS和IP域）以直指病毒代码；在头标中改变其他域以反映病毒的存在，包括程序的装入映射大小域。

这种感染方法保证一旦可执行文件映射装入内存并执行，病毒就能得到控制。 3 .SYS文件的感染：.SYS文件格式很独特，它有两个入口点：Interrupt和Strategy。当操作系统在引导期间装入文件时，这两个入口点都独立地执行，都在设备驱动器文件头标中标识，当用户装入感染的.SYS文件时，病毒可以通过感染每一个入口来感染计算机。 因此.SYS文件的感染过程类似于.EXE文件。设备驱动器感染病毒要完成以下动作序列：选择要修改的程序入口点；在宿主程序中记录宿主程序原来的入口点，以后就可以执行原来的Strategy或Interrupt例程；把它自己的一份拷贝附加到宿主程序的最后；在.SYS头标中改变这两个入口点中的一个或两个，使之指向病毒代码。 4 直接操作和内存驻留文件感染病毒 文件感染病毒分为直接操作和内存驻留文件感染病毒两种。被感染的文件一执行，直接操作文件感染病毒就感染目录上或硬盘上某个地方的其他程序文件。内存驻留文件感染病毒使用类似于引导感染病毒使用的方法把自己装入计算机的内存中。如果病毒断定计算机内存中没有它自己的拷贝，再把自己安装为驻留的服务提供者。 直接操作病毒使用与包含特定文本串的文件查找程序定位相同的方式，利用这些服务定位感染新文件。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-12.html