学习啦 > 学习电脑 > 电脑安全 > 病毒知识 > 文件型电脑病毒介绍

文件型电脑病毒介绍

时间: 林辉766 分享

文件型电脑病毒介绍

  要了解文件型病毒的原理,首先要了解文件的结构.COM 文件比较简单, 病毒要感染COM文件有两种方法,一种是将病毒加在COM前部,一种是加在文件尾部,下面由学习啦小编给你做出详细的文件型电脑病毒介绍!希望对你有帮助!见下图:

  文件型电脑病毒介绍:

  A B

  -------- ---------------

学习啦在线学习网   |-病毒 | |JMP XXXX:XXXX| (原文件的前3字节被修改)

  -------- ---------------

  |原文件| ├ 原程序 ┤

学习啦在线学习网   -------- --------------

  ├ 病毒 ┤

学习啦在线学习网   --------------

  EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下:

学习啦在线学习网   EXE文件头信息

  -------------------------------------

学习啦在线学习网   ├偏移量┤ 意义 ┤

学习啦在线学习网   ├00h-01h ┤MZ'EXE文件标记 ┤

  ├2h-03h ┤文件长度除512的余数 ┤

  ├04h-05h ┤...............商 ┤

  ├06h-07h ┤重定位项的个数 ┤

  ├08h-09h ┤文件头除16的商 ┤

学习啦在线学习网   ├0ah-0bh ┤程序运行所需最小段 数 ┤

学习啦在线学习网   ├0ch-0dh ┤..............大..... ┤

  ├oeh-0fh ┤堆栈段的段值 (SS) ┤

学习啦在线学习网   ├10h-11h ┤........sp ┤

  ├12h-13h ┤文件校验和 ┤

学习啦在线学习网   ├14h-15h ┤IP ┤

学习啦在线学习网   ├16h-17h ┤CS ┤

学习啦在线学习网   ├18h-19h ┤............ ┤

学习啦在线学习网   ├1ah-1bh ┤............ ┤

学习啦在线学习网   ├1ch ┤............ ┤

  ------------------------------------

学习啦在线学习网   当DOS加载EXE文件时,根据文件头信息,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件长度信息和SS,SP。

  文件型电脑病毒介绍基本原理:

学习啦在线学习网   当被感染程序执行之后,病毒会立刻(入口点被改成病毒代码)或者在随后的某个时间("无入口点病毒")获得控制权,获得控制权后,病毒通常会进行下面的操作(某个具体的病毒不一定进行了所有这些操作,操作的顺序也很可能不一样):

学习啦在线学习网   · 内存驻留的病毒首先检查系统可用内存,查看内存中是否已经有病毒代码存在,如果没有将病毒代码装入内存中。非内存驻留病毒会在这个时候进行感染,查找当前目录、根目录或者环境变量PATH中包含的目录,发现可以被感染的可执行文件就进行感染。

  环境变量:首先在DOS操作系统下出现,是由操作系统保存,对所有程序都一样的一些定义的值,比如说环境变量PATH是执行程序时搜索的路径列表,环境变量PROMPT是执行DOS命令时的提示信息。在视窗操作系统下也有环境变量,但是除了搜索路径以外的视窗操作系统的环境变量基本上在DOS框里面才会用到。

  · 执行病毒的一些其他功能,比如说破坏功能,显示信息或者病毒精心制作的动画等等,对于驻留内存的病毒来说,执行这些功能的时间可以是开始执行的时候,也可以是满足某个条件的时候,比如说定时或者当天的日期是13号恰好又是星期五等等。为了实现这种定时的发作,病毒往往会修改系统的时钟中断,以便在合适的时候激活。

  · 完成这些工作之后,将控制权交回被感染的程序。为了保证原来程序的正确执行,寄生病毒在执行被感染程序的之前,会把原来的程序还原,伴随病毒会直接调用原来的程序,覆盖病毒和其他一些破坏性感染的病毒会把控制权交回DOS操作系统。

  · 对于内存驻留病毒来说,驻留时会把一些DOS或者基本输入输出系统(BIOS)的中断指向病毒代码,比如说INT13H或者INT 21H,这样系统执行正常的文件/磁盘操作的时候,就会调用病毒驻留在内存中的代码,进行进一步的破坏或者感染。
看了“文件型电脑病毒介绍”文章的还看了:

1.电脑病毒分类介绍大全有哪些

2.电脑病毒类型及介绍

3.电脑病毒分类介绍

4.电脑病毒及特征介绍

619032