6.7.2病毒的工作原理 黑色星期五病毒包含三个模块:引导模 块、传染模块和表现破坏模块。 运行受感染的文件时,病毒程序首先运 对于尚未感染该病毒的系统,它将 修改系统的INT2I和INT8H中断向量, 使其指向病毒的传染模块和表现/破坏模 块,并把病毒程序(约18KB)移到内存 某个地方驻留。 在完成把自身引导驻留在内存的工作后 才去执行原来的可执行文件
6.7.2病毒的工作原理 黑色星期五病毒包含三个模块:引导模 块、传染模块和表现破坏模块。 运行受感染的文件时,病毒程序首先运 行,对于尚未感染该病毒的系统,它将 修改系统的INT 21H和INT 8H中断向量, 使其指向病毒的传染模块和表现/破坏模 块,并把病毒程序(约1.8KB)移到内存 某个地方驻留。 在完成把自身引导驻留在内存的工作后 才去执行原来的可执行文件
在病毒处于激活状态的系统中,每运行一个文件,病毒程序 将予以检查,若是已带毒的c0m文件,则转向原文件开头 正常执行文件主体;若是exe文件或是未受感染的com文件 则保存文件的属性日期,对文件进行传染。 病毒传染部分将首先判断是COM文件还是EXE文件,如果 是COM文件,则判断是否有病毒标设;如果是EXE文件则 不判断病毒标设直接进行传染。 病毒程序还将只读文件修改为普通文件,从而实施传染。 对exe文件把病毒程序链接在文件的尾部,其中第一次感染 时,将根据文件长度的不同,增加字节数在1809-1823之间, 以后每次感染增加1808字节,直到程序无法运行或盘满为止 当盘空间小于2K字节时,病毒程序就不对文件感染。 对com文件则把病毒链接在文件的前头。 最后病毒程序把修改后的带毒文件写回磁盘,恢复文件的原 有属性,完成传染模块的操作
在病毒处于激活状态的系统中,每运行一个文件,病毒程序 将予以检查,若是已带毒的.com文件,则转向原文件开头, 正常执行文件主体;若是.exe文件或是未受感染的.com文件, 则保存文件的属性日期,对文件进行传染。 病毒传染部分将首先判断是COM文件还是EXE文件,如果 是.COM文件,则判断是否有病毒标设;如果是.EXE文件则 不判断病毒标设直接进行传染。 病毒程序还将只读文件修改为普通文件,从而实施传染。 对.exe文件把病毒程序链接在文件的尾部,其中第一次感染 时,将根据文件长度的不同,增加字节数在1809 -1823之间, 以后每次感染增加1808字节,直到程序无法运行或盘满为止。 当盘空间小于2 K字节时,病毒程序就不对文件感染。 对.com文件则把病毒链接在文件的前头。 最后病毒程序把修改后的带毒文件写回磁盘,恢复文件的原 有属性,完成传染模块的操作
病毒的破坏模块: 由于病毒的引导机制已修改INT8H指向 病毒程序,因此就判断时间计数是否为 7F9H(约半小时左右) 若是则在屏幕左下角处出现一闪烁小方 块, ■若系统日期是13日星期五时,病毒将删 除当前运行文件,即每运行一个文件, 该文件即被删除
病毒的破坏模块: 由于病毒的引导机制已修改INT8H指向 病毒程序,因此就判断时间计数是否为 7F90H(约半小时左右), 若是则在屏幕左下角处出现一闪烁小方 块, 若系统日期是13日星期五时,病毒将删 除当前运行文件,即每运行一个文件, 该文件即被删除
6.73病毒的诊治 鉴别系统是否感染黑色星期五病毒方法是 比较简单的。 对于静态病毒可检查文件是否有黑色星期 五病毒程序的特征字符,,com文件特征字 符在文件的前端,而exe文件则位于文件的 尾部。 若要检查内存中是否有病毒,则可编制一 个短小的测试程序,在运行后再检查该文 件长度是否增大了1800字节左右,并进 步考察该程序是否有病毒的特征字符
6.7.3病毒的诊治 鉴别系统是否感染黑色星期五病毒方法是 比较简单的。 对于静态病毒可检查文件是否有黑色星期 五病毒程序的特征字符,.com文件特征字 符在文件的前端,而.exe文件则位于文件的 尾部。 若要检查内存中是否有病毒,则可编制一 个短小的测试程序,在运行后再检查该文 件长度是否增大了1800字节左右,并进一 步考察该程序是否有病毒的特征字符
在发现系统有病毒后,即可用无毒的系统盘重 新启动系统,去掉内存中的病毒,对刚才使用 过的文件检测静态病毒。 对染毒的.com文件可直接删去文件前部的 18KB字节即可。 但清除.exe文件中的病毒程序比较麻烦。因为黑 色星期五病毒对exe文件的传染是以存储容量为限制的 多次传染。传染过程是修改文件头,使之指向文件尾, 而后将病毒程序链接在文件的尾部。 所以对,exe文件的消毒应是恢复文件头、删去文件尾的 过程。这就需要正确查到病毒开始的标识串 并找到在病毒程序下面的SS、SP、CS和IP值,并计算 出正常文件的CS和IP这两个参数值
在发现系统有病毒后,即可用无毒的系统盘重 新启动系统,去掉内存中的病毒,对刚才使用 过的文件检测静态病毒。 对染毒的. com文件可直接删去文件前部的 1.8KB字节即可。 但清除.exe文件中的病毒程序比较麻烦。因为黑 色星期五病毒对.exe文件的传染是以存储容量为限制的 多次传染。传染过程是修改文件头,使之指向文件尾, 而后将病毒程序链接在文件的尾部。 所以对.exe文件的消毒应是恢复文件头、删去文件尾的 过程。这就需要正确查到病毒开始的标识串。 并找到在病毒程序下面的SS、SP、CS和IP值,并计算 出正常文件的CS和IP这两个参数值