计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(19)

病毒也可能截取INT 13H中断，当发现有读硬盘主引导区或DOS 分区的操作时，将控制用原来的正确内容交给用户，以迷惑用户。 4. 不使用明显的感染标志 病毒不再简单地根据某个标志判断病毒本身是否已经存在，而是经过一系列相关运算来判断某个文件是否感染。 4.5.4 加密技术处理 1. 对程序段动态加密 病毒采取一边执行一边译码的方法，即后边的机器码是与前边的某段机器码运算后还原的，而用DEBUG 等调试工具把病毒从头到尾打印出来，打印出的程序语句将是被加密的，无法阅读。 2. 对显示信息加密 如新世纪病毒在发作时，将显示一页书信，但是作者对此段信息进行加密，从而不可能通过直接调用病毒体的内存映象寻找到它的踪影。 3. 对宿主程序段加密 病毒将宿主程序入口处的几个字节经过加密处理后存储在病毒体内，这给杀毒修复工作带来很大困难。 4.5.5 病毒体繁衍不同变种 目前病毒已经具有许多智能化的特性，如自我变形、自我保护、自我恢复等。在不同宿主程序中的病毒代码，不仅绝大部分不相同，且变化的代码段的相对空间排列位置也有变化。病毒能自动化整为零，分散潜伏到各种宿主中。 对不同的感染目标，分散潜伏的宿主也不一定相同，在活动时又能自动组合成一个完整的病毒。

大多数简单的计算机病毒通过向它们感染的文件复制它们自己的拷贝进行工作。当一个被感染的程序执行时，病毒就会控制机器，并企图感染其他程序。这种计算机病毒很容易被检测出来，只要在文件中搜索从病毒体中提取出来的特定字节串（或特征码）就可以检测出来，因为这种病毒每次感染新文件时都复制与它自己完全相同的拷贝。多态病毒由一个不变的病毒程序组成。在病毒传播的时候这个病毒程序被从一个文件向另一个文件复制。病毒体一般被加密，以便在反病毒程序检测时隐藏起来。 已加密的病毒要想正确执行，必须解密自己已加密的部分。这种解密通常由病毒解密程序来完成。当一个被感染的程序启动时，病毒解密程序就会控制计算机，并且解密病毒体的其余部分，这样它就能正常执行了。解密后把控制传送给已解密的病毒体以便病毒的传播。第一个非多态的加密病毒使用的解密程序在一次感染到另一次感染之间是完全相同的。即使病毒的整体被加密隐藏起来，反病毒软件搜索不到的病毒解密程序代码仍然可以把这些病毒检测出来。多态病毒弥补了简单加密病毒隐藏自己的不足之处。 当多态病毒感染一个新的可执行文件时，它会产生一个不同于其他被感染文件的新的解密程序。 这种病毒包含一种简单的机器代码，通常称为变形引擎，它可以从头开始建立随机的机器语言解密程序。

在许多多态病毒中，变形引擎会产生在所有被感染的文件能相同的解密程序，每一个程序使用不同的指令序列完成其目标。在传染过程中，病毒把它的一份拷贝附加到新的目标文件之前，病毒使用一个互补的解密程序来加密它的这份拷贝。在加密了病毒体之后，病毒就会把新产生的解密程序与加密的病毒体和变形引擎附加到目标可执行文件上。 因此，不仅病毒体被加密，而且病毒的解密程序也会在每一个被感染的程序中使用不同的机器语言指令序列。 多态解密程序采取多种不同的形式，因此根据这种程序的出现识别病毒感染是很困难的。经过这种新的多态病毒感染的文件在不同的感染文件之间相似性极少，使得反病毒检测成为一项艰难的任务。 4.6 杀毒软件技术 4.6.1 病毒扫描程序 病毒扫描程序是在文件和引导记录中搜索病毒的程序。要想让病毒扫描程序检测出新病毒，反病毒软件开发者要特别编写扫描程序来检测每一种新病毒。病毒扫描程序只能检测出它已经知道的病毒。而对于防止新病毒和未知病毒感染几乎没有什么帮助。多数杀毒软件在它们的反病毒产品套件中提供某种类型的病毒扫描程序。 第一个反病毒扫描程序使用简单的串扫描算法。这种扫描程序搜索程序文件和引导记录的每一个字节，查找病毒的字节序列。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-19.html