计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(13)

有些直接操作病毒只在当前目录下搜索要感染的新文件，其他直接操作病毒可能要感染硬盘或DOS路径下每一个文件。直接操作病毒还必须确定它所定位的当前文件是否属于要感染的类型。许多病毒只感染.COM文件或.EXE文件，但是不会两者都感染；如果一个直接操作，.COM感染病毒要感染.EXE程序，则很可能使这个程序崩溃。直接操作病毒执行后会有效地把自己从内存中清除。因此，如果用户在执行完感染程序后再执行任何未感染的程序，这些程序并不会被感染。 内存驻留文件病毒的工作方式类似于相应的引导记录病毒。当一个被感染的程序启动时，病毒会把它自己安装成操作系统中的内存驻留服务提供者。从这时开始，任何时候当DOS或其他程序要读写执行或访问一个程序时，病毒就会控制计算机。然后当用户引用程序文件时病毒就会感染它们。 5 文件病毒的潜在破坏 文件病毒引起的大多数损害源于有故障的病毒代码。文件感染病毒所做的这种无意的损害通常只会影响容易替换的程序文件，而不是宝贵的数据文件。对程序文件损害最一般的形式可能是由于不正确的感染技术。 例如，.COM格式的文件被DOS限制不能超过65280字节长。 如果一个病毒感染的文件的长度已接近这个限制，病毒的加入可能会使可执行文件的长度超过这个限制。

如果用户以后要执行这个感染的程序，DOS就会拒绝执行。Windows可执行文件也使用这一机制把DOS 程序与Windows 程序结合起来。每一个Windows的.EXE文件都有一个所谓的“DOS stub”程序，如果程序以DOS执行，这个“DOS stub”程序就会显示“This program requires Microsoft Windows”消息。在这些文件中，在大多数情况下DOS程序的内存映射大小小于2KB。在.EXE文件中，这个程序的更大的Windows组件跟在这个短小的DOS内存映射之后。因此，即使Windows组件有5KB大小，如果用户从DOS下运行这个程序，只有2048字节的可执行部分不会被读入内存并执行。 然而，如果用户从Windows下运行这个程序，Windows 就会正确地把这个文件标识为特殊的Windows可执行文件类型，并且正确地装入和执行它的Windows部分，而不是“DOS stub”。 有些文件病毒在感染重复的.EXE文件时不考虑上面所说的问题。这些病毒可能不故意地覆盖跟在映射之后的重复数据或代码，或者由于实际文件大小和程序内存映射大小的差异不正确地计算出新的入口点，这就会导致程序完全崩溃或运行错误。

3. 伴随型病毒 伴随型病毒也感染程序文件。然而，它们是唯一不把自己附加到已存在的程序文件中的病毒。 伴随型病毒会创建一个新文件，并且让DOS执行这个新程序而不是原来的程序，从而进行感染。伴随型病毒使用许多策略，例如用同一个文件名，在同一个目录下创建一个.COM文件代替已存在的.EXE文件。 4.3 宏病毒 所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。在Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。”Word宏是使用Word Basic语言来编写的。 4.3.1 宏病毒的行为和特征 所谓“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows、Windows95、98、NT、OS/2、Macintosh System7等操作系统上执行病毒行为。 1. 宏病毒行为机制 Word模式定义出一种文件格式，将文档资料以及该文档所需要的宏合在一起放在后缀为.DOC的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方法。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-13.html