學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識(shí) > 文件型電腦病毒介紹

文件型電腦病毒介紹

時(shí)間: 林輝766 分享

文件型電腦病毒介紹

  要了解文件型病毒的原理,首先要了解文件的結(jié)構(gòu).COM 文件比較簡(jiǎn)單, 病毒要感染COM文件有兩種方法,一種是將病毒加在COM前部,一種是加在文件尾部,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的文件型電腦病毒介紹!希望對(duì)你有幫助!見下圖:

  文件型電腦病毒介紹:

  A B

  -------- ---------------

  |-病毒 | |JMP XXXX:XXXX| (原文件的前3字節(jié)被修改)

  -------- ---------------

  |原文件| ├ 原程序 ┤

  -------- --------------

  ├ 病毒 ┤

  --------------

  EXE 文件比較復(fù)雜,每個(gè)EXE文件都有一個(gè)文件頭,結(jié)構(gòu)如下:

  EXE文件頭信息

  -------------------------------------

  ├偏移量┤ 意義 ┤

  ├00h-01h ┤MZ'EXE文件標(biāo)記 ┤

  ├2h-03h ┤文件長(zhǎng)度除512的余數(shù) ┤

  ├04h-05h ┤...............商 ┤

  ├06h-07h ┤重定位項(xiàng)的個(gè)數(shù) ┤

  ├08h-09h ┤文件頭除16的商 ┤

  ├0ah-0bh ┤程序運(yùn)行所需最小段 數(shù) ┤

  ├0ch-0dh ┤..............大..... ┤

  ├oeh-0fh ┤堆棧段的段值 (SS) ┤

  ├10h-11h ┤........sp ┤

  ├12h-13h ┤文件校驗(yàn)和 ┤

  ├14h-15h ┤IP ┤

  ├16h-17h ┤CS ┤

  ├18h-19h ┤............ ┤

  ├1ah-1bh ┤............ ┤

  ├1ch ┤............ ┤

  ------------------------------------

  當(dāng)DOS加載EXE文件時(shí),根據(jù)文件頭信息,調(diào)入一定長(zhǎng)度的文件,設(shè)置SS,SP 從CS:IP 開始執(zhí)行.病毒一般將自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件長(zhǎng)度信息和SS,SP。

  文件型電腦病毒介紹基本原理:

  當(dāng)被感染程序執(zhí)行之后,病毒會(huì)立刻(入口點(diǎn)被改成病毒代碼)或者在隨后的某個(gè)時(shí)間("無入口點(diǎn)病毒")獲得控制權(quán),獲得控制權(quán)后,病毒通常會(huì)進(jìn)行下面的操作(某個(gè)具體的病毒不一定進(jìn)行了所有這些操作,操作的順序也很可能不一樣):

  · 內(nèi)存駐留的病毒首先檢查系統(tǒng)可用內(nèi)存,查看內(nèi)存中是否已經(jīng)有病毒代碼存在,如果沒有將病毒代碼裝入內(nèi)存中。非內(nèi)存駐留病毒會(huì)在這個(gè)時(shí)候進(jìn)行感染,查找當(dāng)前目錄、根目錄或者環(huán)境變量PATH中包含的目錄,發(fā)現(xiàn)可以被感染的可執(zhí)行文件就進(jìn)行感染。

  環(huán)境變量:首先在DOS操作系統(tǒng)下出現(xiàn),是由操作系統(tǒng)保存,對(duì)所有程序都一樣的一些定義的值,比如說環(huán)境變量PATH是執(zhí)行程序時(shí)搜索的路徑列表,環(huán)境變量PROMPT是執(zhí)行DOS命令時(shí)的提示信息。在視窗操作系統(tǒng)下也有環(huán)境變量,但是除了搜索路徑以外的視窗操作系統(tǒng)的環(huán)境變量基本上在DOS框里面才會(huì)用到。

  · 執(zhí)行病毒的一些其他功能,比如說破壞功能,顯示信息或者病毒精心制作的動(dòng)畫等等,對(duì)于駐留內(nèi)存的病毒來說,執(zhí)行這些功能的時(shí)間可以是開始執(zhí)行的時(shí)候,也可以是滿足某個(gè)條件的時(shí)候,比如說定時(shí)或者當(dāng)天的日期是13號(hào)恰好又是星期五等等。為了實(shí)現(xiàn)這種定時(shí)的發(fā)作,病毒往往會(huì)修改系統(tǒng)的時(shí)鐘中斷,以便在合適的時(shí)候激活。

  · 完成這些工作之后,將控制權(quán)交回被感染的程序。為了保證原來程序的正確執(zhí)行,寄生病毒在執(zhí)行被感染程序的之前,會(huì)把原來的程序還原,伴隨病毒會(huì)直接調(diào)用原來的程序,覆蓋病毒和其他一些破壞性感染的病毒會(huì)把控制權(quán)交回DOS操作系統(tǒng)。

  · 對(duì)于內(nèi)存駐留病毒來說,駐留時(shí)會(huì)把一些DOS或者基本輸入輸出系統(tǒng)(BIOS)的中斷指向病毒代碼,比如說INT13H或者INT 21H,這樣系統(tǒng)執(zhí)行正常的文件/磁盤操作的時(shí)候,就會(huì)調(diào)用病毒駐留在內(nèi)存中的代碼,進(jìn)行進(jìn)一步的破壞或者感染。
看了“文件型電腦病毒介紹”文章的還看了:

1.電腦病毒分類介紹大全有哪些

2.電腦病毒類型及介紹

3.電腦病毒分類介紹

4.電腦病毒及特征介紹

619032