荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (矛盾(期盼&害怕)---2001.12.9), 信区: Virus
标 题: 病毒是如何工作的?(三)
发信站: 荔园晨风BBS站 (Fri Oct 26 12:01:22 2001), 转信
病毒是如何工作的
病毒以不同的方式工作,不过有一些基本的步骤:
首先,病毒要感染系统。它通常成为被感染程序文件(COM,EXE或引导扇区)
的一部分。以前,程序几乎毫无例外地都是通过受感染软盘的流传而传播的。而现
在,病毒则经常是由网络下载而来,比如作为试用程序安装文件的一部分、某个程
序使用的宏、或者电子邮件附件。
需要注意的是:电子邮件内容本身不可能是病毒。病毒是程序,它必须被执行
才能激活。病毒当作电子邮件的附件进行传播,但是,如果不运行它,它就什么也
做不了。只有启动附件(通常是双击附件)时,才会使这种病毒得到执行。有一种
简单的方法,有助于保护你免受这种病毒危害:从不打开可执行文件附件(EXE或
COM文件)或者程序文件使用的数据文件(如OFFICE文件,里面可能包含有宏)附
件。至于图片、声音和其它类型的文件,则是安全的。
带毒程序到达系统之后,病毒也就驻留在PC上,就象特洛伊木马程序一样。它
隐藏在其它程序或文件里,和宿主程序一起启动。在被感染的可执行文件里,病毒
对原来的程序做了实质的修改,使得原来的代码指向病毒代码,在启动程序代码的
同时也启动病毒代码。典型的情况是:程序跳转到病毒代码,执行病毒代码,然后
再跳转回原来的代码。这样,病毒被激活,系统也就被感染了。
一旦被激活,病毒或者立即进行破坏-如果它是直接行动型的病毒;或者驻留
在后台,使用操作系统允许的TSR(终止驻留)过程,作为常驻内存程序。多数病
毒是第二种类型,叫做常驻型病毒。因为TSR程序可以进行的活动范围很广,从启
动程序、备份文件一直到监视键盘或鼠标活动(甚至更多)。所以一个常驻型病毒
,可以设计成去做许多操作系统能做的事。使用炸弹,它可以等待触发它的事件,
然后在系统上活动。有一件它能做的事是扫描磁盘或者网络磁盘,查找其它正在运
行的(或者可执行的)程序,然后把自身拷贝到这些程序上,把它们也全都感染。
--
┏──┓ ┏──┓
│┏──┓ ┌以 ┐ ┌─速 │┏──┓
━┼思念┼━━───────────────────────┼蔓延┼─ -→
┗──┛│─总是 ─┘ 让人 ─难以接受的 ──┘ 度─ ┗──┛│
┗──┛ ┗──┛
___________________________________________________________________ xhjx
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店