网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

   
专 题 栏 目
相 关 文 章

DDR3该退休了? DDR4内存
绝招两则 深入玩好远程桌
如何通过Firefox深入使用
金山软件深入加强合作 增
微软 Windows XP SP3深入
美图:深入体验Vista 54
深入了解:腾讯回收QQ号
使用手机QQ前要了解的必
用MSN Messenger了解网络
带你了解 腾讯QQ秀勋章问

 
深入了解计算机病毒传染的过程           
深入了解计算机病毒传染的过程
作者:陈鹏 文章来源:eNet 点击数: 更新时间:2009-9-11 23:19:40
 




 

  在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。

  可执行文件感染病毒后又怎样感染新的可执行文件

  可执行文件.COM或.EXE感染上了病毒,例如黑色星期五病毒,它驻入内存的条件是在执行被传染的文件时进入内存的。

  一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:

  (1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;

  (2)当条件满足,利用INT 13H将病毒链接到可执行文件的首部或尾部或中间,并存大磁盘中;

  (3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。

  操作系统型病毒是怎样进行传染的

  正常的PC DOS启动过程是:

  (1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;

  (2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000:7C00处;

  (3)转入Boot执行之;

  (4)Boot判断是否为系统盘,如果不是系统盘则提示;

non-system disk or disk error
Replace and strike any key when ready

  否则,读入IBM BIO.COM和IBM DOS.COM两个隐含文件;

  (5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件,将COMMAND.COM装入内存;

  (6)系统正常运行,DOS启动成功。

  如果系统盘已感染了病毒,PC DOS的启动将是另一番景象,其过程为:

  (1)将Boot区中病毒代码首先读入内存的0000:7C00处;

  (2)病毒将自身全部代码读入内存的某一安全地区、常驻内存,监视系统的运行;

  (3)修改INT 13H中断服务处理程序的入口地址,使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作,修改INT13H中断服务程序的入口地址是一项少不了的操作;

  (4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000:7C00处,进行正常的启动过程;

  (5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。

  如果发现有可攻击的对象,病毒要进行下列的工作:

  (1)将目标盘的引导扇区读入内存,对该盘进行判别是否传染了病毒;

  (2)当满足传染条件时,则将病毒的全部或者一部分写入Boot区,把正常的磁盘的引导区程序写入磁盘特写位置;

  (3)返回正常的INT 13H中断服务处理程序,完成了对目标盘的传染。



【责任编辑 徐洋】

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客