1.3计算机病毒的结构 计算机病毒的种类很多,但是它们的主要结构是类似的, 般需要包含4部分:引导部分、传染部分、表现部分和 破坏部分。 (1)引导部分:就是病毒程序的初始化部分。它的作用 是将病毒的主体加载到内存,为传染部分做准备(如驻留 内存、修改中断、修改高端内存、保存原中断向量等操 作) (2)传染部分:作用是将病毒代码复制到传染目标上去 传染需要一定的条件。不同类型的病毒在传染方式、传染 条件上各不相同。进行传播之前,先要判断传染条件。 (3)表现部分:作用是在被传染系统上表现出特定现象 大部分病毒都是在一定条件下才会触发表现部分的。 (4)破坏部分:作用是产生破坏被传染系统的行为
1.1.3 计算机病毒的结构 计算机病毒的种类很多,但是它们的主要结构是类似的, 一般需要包含4部分:引导部分、传染部分、表现部分和 破坏部分。 (1)引导部分:就是病毒程序的初始化部分。它的作用 是将病毒的主体加载到内存,为传染部分做准备(如驻留 内存、修改中断、修改高端内存、保存原中断向量等操 作)。 (2)传染部分:作用是将病毒代码复制到传染目标上去。 传染需要一定的条件。不同类型的病毒在传染方式、传染 条件上各不相同。进行传播之前,先要判断传染条件。 (3)表现部分:作用是在被传染系统上表现出特定现象。 大部分病毒都是在一定条件下才会触发表现部分的。 (4)破坏部分:作用是产生破坏被传染系统的行为
1.2计算机病毒原理 返回
1.2 计算机病毒原理 返回
2.1计算机病毒的引导过程 计算机病毒的引导过程一般分为三步:驻留内存、窃取控制 权和恢复系统功能。 驻留内存 病毒要发挥其破坏作用,多数要驻留内存。为了驻留内存, 就必须开辟内存空间或覆盖系统占用的部分内存空间。 2.窃取控制权 计算机病毒驻留内存后,接下来的工作是取代或扩充系统原 有功能,并窃取系统的控制权。 3.恢复系统功能 计算杋病毒窃取系统控制权后,就要开始潜伏等待,即根据 其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行 传染和破坏。然而,病毒为了隐蔽自己,驻留内存后还要恢 复系统,使系统不致死机
1.2.1 计算机病毒的引导过程 计算机病毒的引导过程一般分为三步:驻留内存、窃取控制 权和恢复系统功能。 1. 驻留内存 病毒要发挥其破坏作用,多数要驻留内存。为了驻留内存, 就必须开辟内存空间或覆盖系统占用的部分内存空间。 2. 窃取控制权 计算机病毒驻留内存后,接下来的工作是取代或扩充系统原 有功能,并窃取系统的控制权。 3. 恢复系统功能 计算机病毒窃取系统控制权后,就要开始潜伏等待,即根据 其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行 传染和破坏。然而,病毒为了隐蔽自己,驻留内存后还要恢 复系统,使系统不致死机
1.2.2计算机病毒的触发机制 下面例举一些病毒的触发(激活)条件。 (1)日期/时间触发:计算机病毒读取系统时钟,判断是否激活。例如: PETER-2,在每年2月27日会提出3个问题,答错后会将硬盘加密 Yankee doodle,在每天下午5时发作。 “黑色星期五”,逢13日的星期五发作。 “上海一号”,在每年的三、六、九月的13日发作。 1998年2月,台湾省的陈盈豪,编写出了破坏性极大的 Windows恶性病毒 CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄地潜伏在网上的 些供人下载的软件中。可是,两个月的时间,被人下载的不多,到了4 月26日,病毒只在台湾省少量发作,并没引起重视。陈盈豪又炮制 CIH-1.3版,并将破坏时间设在6月26日。7月,又炮制出了CⅢH-1.4版。这 次,他干脆将破坏时间设为每个月的26日
1.2.2 计算机病毒的触发机制 下面例举一些病毒的触发(激活)条件。 (1)日期/时间触发:计算机病毒读取系统时钟,判断是否激活。例如: PETER-2,在每年2月27日会提出3个问题,答错后会将硬盘加密。 Yankee Doodle,在每天下午5时发作。 “黑色星期五” ,逢13日的星期五发作。 “上海一号” ,在每年的三、六、九月的13日发作。 1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒 CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄地潜伏在网上的 一些供人下载的软件中。可是,两个月的时间,被人下载的不多,到了4 月26日,病毒只在台湾省少量发作,并没引起重视。陈盈豪又炮制了 CIH-1.3版,并将破坏时间设在6月26日。7月,又炮制出了CIH-1.4版。这 次,他干脆将破坏时间设为每个月的26日
(2)计数器触发:计算机病毒内部设定一个计数单元,对系 统事件进行计数,判定是否激活。例如,2708病毒当系统启 动次数达到32次时被激活,发起对串、并口地址的攻击。 3)键盘触发:当敲入某些字符时触发(如AIDS病毒,在敲 如A、Ⅰ、D、S时发作)、或以击键次数(如 Devil' s Dance病 毒在用户第2000次击键时被触发)或组合键等为激发条件 (如 Invader病毒在按下Ctr1+Alt+Del键时发作)。 (4)启动触发:以系统的启动次数作为触发条件。例如 Anti-Tei和 Telecom病毒当系统第400次启动时被激活。 5)感染触发:以感染文件个数、感染序列、感染磁盘数 感染失败数作为触发条件。例如, Black monday病毒在运行 第240个染毒程序时被激活;ⅦHP2病毒每感染8个文件就会触 发系统热启动操作等。 (6)组合条件触发:用多种条件综合使用,作为计算机病毒 的触发条件
(2)计数器触发:计算机病毒内部设定一个计数单元,对系 统事件进行计数,判定是否激活。例如,2708病毒当系统启 动次数达到32次时被激活,发起对串、并口地址的攻击。 (3)键盘触发:当敲入某些字符时触发(如AIDS病毒,在敲 如A、I、D、S时发作)、或以击键次数(如Devil’s Dance病 毒在用户第2000次击键时被触发)或组合键等为激发条件 (如Invader病毒在按下Ctrl+Alt+Del键时发作)。 (4)启动触发:以系统的启动次数作为触发条件。例如 Anti-Tei和Telecom病毒当系统第400次启动时被激活。 (5)感染触发:以感染文件个数、感染序列、感染磁盘数、 感染失败数作为触发条件。例如,Black Monday病毒在运行 第240个染毒程序时被激活;VHP2病毒每感染8个文件就会触 发系统热启动操作等。 (6)组合条件触发:用多种条件综合使用,作为计算机病毒 的触发条件