● 计算机病毒传染的一般过程 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (想你！！), 信区: Virus
标  题: 计算机病毒传染的一般过程
发信站: 荔园晨风BBS站 (Tue Feb 26 12:24:46 2002), 站内信件

------------------------------------------------------------------------
--------
　　在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常
驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足
条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用
系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其
他系统。
　　
　　可执行文件感染病毒后又怎样感染新的可执行文件?
　　
　　可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条
件是在执行被传染的文件时进入内存的。
　　一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下
操作：
　　
　　（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了
病毒；
　　
　　（2）当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间
, 并存大磁盘中；
　　
　　（3）完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
　　
　　操作系统型病毒是怎样进行传染的?
　　
　　正常的PC DOS启动过程是：
　　
　　（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检
测；
　　
　　（2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存
的0000: 7C00处；
　　
　　（3）转入Boot执行之；
　　
　　（4）Boot判断是否为系统盘, 如果不是系统盘则提示；
　　non-system disk or disk error
　　Replace and strike any key when ready
　　否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件；
　　
　　（5）执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存
；
　　
　　（6）系统正常运行, DOS启动成功。
　　如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为：
　　
　　（1）将Boot区中病毒代码首先读入内存的0000: 7C00处；
　　
　　（2）病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的
运行；
　　
　　（3）修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执
行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改
INT13H中断服务程序的入口地址是一项少不了的操作；
　　
　　（4）病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00
处, 进行正常的启动过程；
　　
　　（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
　　
　　如果发现有可攻击的对象, 病毒要进行下列的工作：
　　
　　（1）将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒；
　　
　　（2）当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的
磁盘的引导区程序写入磁盘特写位置；
　　
　　（3）返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。

--

   ╭────────────────────────────╮
   │    等你一生，你或许觉得太长，而我却觉得那只是一瞬间！  │
   ╰────────────────────────────╯

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店