1---現在的病毒有很多種分類方式,不過依據病毒的感染目標可將病毒分為引導型病毒、檔案病毒以及混合型病毒。
2---引導型病毒,對於軟盤而言,在軟盤上一般有乙個稱作dos boot section 區,該區是軟盤的引導區,其作用是尋找軟盤上的檔案io.sys和dos.sys檔案,
若都找到則成功引導軟盤啟動,否則提示"no system disk"或其它錯誤;而對於硬碟而言,硬碟分為主引導區和從引導區,主引導區在0
0面0道1扇區,其作用是主引導程式的存放點以及分割槽表的存放點,主引導程式會查詢啟用區,然後從引導區存放在該區的1扇區,即1扇區為
dos boot disk。對於絕大數病毒而言,它感染的主要是硬碟的主引導扇區和軟盤的dos boot disk扇區。
引導型病毒入侵原理:
電腦開機-->載入bios程式-->bios程式將硬碟主引導區讀到記憶體0:7c00處,進而將控制權交給引導程式-->病毒將0:413
的內容減1k(bios在之前已經將記憶體大小讀到該位址處),這樣做使得系統以後訪問不到高1k的位址-->計算可用高段位址可用區,將病毒
移動到該處繼續執行-->修改系統中斷,將int13的位址指向病毒程式,而原來的int13位址儲存在病毒知道的某單元內-->當病毒所要
分析:優點:隱蔽性強,相容性強,只要編的好,是不容易發現的,通用於dos windows win95 作業系統.
缺點:很多,傳染速毒慢,一定要帶毒軟盤啟動才能傳到硬碟,防毒容易,只需改寫引導區即可,如: fdisk/mbr ,kv200/k. kv200能查出所有引導型病毒,底
板能對引導區寫保護,所以現在純引導型病毒已很少了。
3-檔案型病毒
.com檔案:該型別的病毒是將病毒插在檔案的頭部或者尾部,檔案格式為
[病毒 jmp xxx][修改原檔案的前三個位元組]
原檔案--原檔案
原檔案--原檔案
[病毒]
.exe檔案:病毒一般將自己加在檔案的末端,並修改cs,ip的值指向病毒程式起始位址,並同時修改檔案長度ss,sp
exe 檔案比較複雜,每個exe檔案都有乙個檔案頭,結構如下:
exe檔案頭資訊
----------------------------------
├ 偏移量 ┤ 意義 ┤
---------------------------------
├00h-01h ┤mz'exe檔案標記 ┤
├02h-03h ┤檔案長度除512的餘數 ┤
├04h-05h ┤檔案長度除512的商 ┤
├06h-07h ┤重定位項的個數 ┤
├08h-09h ┤檔案頭除16的商 ┤
├0ah-0bh ┤程式執行所需最小段數 ┤
├0ch-0dh ┤程式執行所需最大段數 ┤
├oeh-0fh ┤堆疊段的段值 (ss) ┤
├10h-11h ┤........sp ┤
├12h-13h ┤檔案校驗和 ┤
├14h-15h ┤ip ┤
├16h-17h ┤cs ┤
├18h-19h ┤............ ┤
├1ah-1bh ┤............ ┤
├1ch-xxh ┤............ ┤
-------------------------------------
當dos載入exe檔案時,根據檔案頭資訊,調入一定長度的檔案,設定ss,sp從cs:ip 開始執行.病毒一般將自己加在檔案的末端,並修改cs,ip
的值指向
病毒起始位址,並修改檔案長度資訊和ss,sp.
4--混合型病毒:既能感染引導區,又能感染檔案的病毒。但並非簡單的將檔案型病毒和引導型病毒簡單的加在一起,其中有乙個轉換過程,
這是最關鍵的。一般採取以下手法:檔案中的病毒執行時將病毒寫入引導區,這時很容易理解的。染毒硬碟啟動時,用引導型病毒的方
法駐留記憶體,但此時dos並未載入,無法修改int21,也就無法感染檔案,可以用這樣的辦法,修改int 8 ,儲存int 21目前的位址,用
int 8服務程式監測int 21的位址是否改變,若改變則說明dos已載入,則可修改int 21指向病毒傳染段。
注:參考51cto文章:
計算機病毒
人的身體受到病毒的感染會發生健康問題,計算機也是如此。計算機病毒對於我們來說並不陌生,但是我們對於病毒的原理及維護的一些知識卻存在一定的欠缺,在本教程中,我們就對此進行了解。編製者在電腦程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式 被稱為計算機病毒 ...
計算機病毒
人的身體受到病毒的感染會發生健康問題,計算機也是如此。計算機病毒對於我們來說並不陌生,但是我們對於病毒的原理及維護的一些知識卻存在一定的欠缺,在本教程中,我們就對此進行了解。編製者在電腦程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式 被稱為計算機病毒 ...
計算機病毒簡述
一 簡述計算機病毒結構 1.計算機病毒中符號的含義 表示定義 表示語句標號 語句分隔符 賦值或比較符 表示一組語句序列 2.計算機病毒通常包含以下幾個模組 1 觸發模組 這部分用來控制病毒的傳播和發作 2 傳播模組 這部分主要負責病毒的感染和傳播 3 表現模組 也稱為破壞模組。這部分決定了病毒破壞的...