计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(9)

4 计算机病毒经常使用的中断 多数病毒经常使用磁盘服务中断和时钟中断。 ① INT 13H是ROMBIOS软中断。该中断的向量地址为0000：004CH~0000：004FH。在中断处理程序的入口处测试DL。若DL值小于80H，则对软盘操作，若大于或等于80H，则对硬盘操作，具体功能号放置在AH中。病毒常利用的功能是与此相关的几个参数： AH：功能号，AH 02时读磁盘；AH 03时写磁盘； AH：读/写扇区数（软盘 8，硬盘 128）； DH：磁头号（软盘0~1，硬盘0~7）； DL：驱动器号（软盘0~1，硬盘80~81H）； CH：扇区号；（软盘1~9，硬盘1~17）； ES：BX：读/写缓冲区地址。 ② INT 25H、INT 26H磁盘逻辑扇区读/写中断，是专门用来对磁盘扇区进行绝对读/写操作的两个中断。 ③ INT 1CH间隔时钟中断是一个伪中断，其服务程序仅有IRET（中断返回）一条指令。该中断由定时器在修正、日历计数后，每55ms调用一次。利用INT 1CH这个特性，可以修改其中断向量指向用户进程而使用户进程每55ms被调用一次。 ④ INT 8H时钟中断是ROMBIOS硬中断，其向量地址为0000：0020H~0000：0023H。

该中断处理来自系统时钟8253通道0的中断。每秒钟发出18.2次中断，每次间隔时间约55ms。每中断一次，日历计数低位加1。中断65535次正好是1小时，当计满24小时后，时钟数据被置0重新计数。计算机病毒程序经常利用INT 8H每隔55ms中断一次的特点将病毒程序的表现部分引入到INT 8H服务程序之前，使之在满足条件时连续执行。 ⑤ INT 10H屏幕显示中断，向量地址为0000：0040H~0000：0043H。该中断提供有关屏幕显示方式选择、光标控制、图形滚动和设置字符属性等20个子程序。这些子程序通过设置AH调用号来调用。许多病毒程序都是通过INT 10H来达到显示的目的。如“雨点”病毒，大量调用INT 10H，使屏幕上的ASCII字符像雨点样纷纷下落，形成“雨点”。 ⑥ INT 20H程序正常结束中断是DOS软中断，其向量地址为0000：0080~0000：0083。病毒程序通过修改INT 24H中断向量设置新的错误程序：如“黑色星期五”等病毒在向可执行文件传染病毒时，首先将系统的INT 24H中断屏蔽起来，不显示此时的读写操作中的任何错误信息，以使病毒的传播过程隐蔽。 ⑦ INT 21H系统功能调用中断是一个功能众多、使用方便的系统服务程序，它提供了0~63H共84个子功能程序，是操作系统的内核模块IBMDOS.COM的主要组成部分。

其中部分功能有：字符输入输出、日期和时间、内存分配、网络功能调用、读取设置中断向量、文件操作、磁盘控制等。 计算机病毒充分利用了中断程序的强大功能调用，以达到其各种目的，所以对中断知识的了解和熟练掌握是分析判断病毒存在与否的重要途径。 4.2.2 常见DOS病毒分析 1. 引导记录病毒 并不一定是只有可引导的磁盘才能传播引导记录病毒，所有软盘在格式化期间都创建了引导记录程序。如果一个磁盘有引导记录病毒，当计算机要从这个软盘或硬盘引导时，病毒就被激活。甚至计算机不能从感染的磁盘启动时，它也运行自举例程，这正是病毒激活所需要的。就像驻留程序一样，大多数引导记录病毒在内存中要安装自己，并且把自己挂到计算机的BIOS和操作系统提供的各种系统服务中。只要计算机是开着的，病毒在内存中就在活动，就可以通过感染访问计算机的软盘来不断传播。 1 软引导记录病毒 寄生在软盘引导记录的病毒称为软引导记录病毒。 该病毒除了可以感染软盘引导记录外，还可以感染硬盘的主引导区或活动分区引导记录。软盘作为病毒的载体，使病毒能够从一个硬盘传播到另一个硬盘。在病毒把它自己放到硬盘上之后，又不可避免地感染其他的软盘。 软引导记录病毒在系统重置期间获取计算机的控制。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-9.html