文件型電腦病毒介紹

　　要了解文件型病毒的原理,首先要了解文件的結(jié)構(gòu).COM 文件比較簡單, 病毒要感染COM文件有兩種方法,一種是將病毒加在COM前部,一種是加在文件尾部，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的文件型電腦病毒介紹!希望對你有幫助!見下圖:

　　文件型電腦病毒介紹：

　　A B

　　-------- ---------------

　　|-病毒 | |JMP XXXX:XXXX| (原文件的前3字節(jié)被修改)

　　-------- ---------------

　　|原文件| ├ 原程序 ┤

　　-------- --------------

　　├ 病毒 ┤

　　--------------

　　EXE 文件比較復(fù)雜,每個(gè)EXE文件都有一個(gè)文件頭,結(jié)構(gòu)如下:

　　EXE文件頭信息

　　-------------------------------------

　　├偏移量┤ 意義 ┤

　　├00h-01h ┤MZ'EXE文件標(biāo)記 ┤

　　├2h-03h ┤文件長度除512的余數(shù) ┤

　　├04h-05h ┤...............商 ┤

　　├06h-07h ┤重定位項(xiàng)的個(gè)數(shù) ┤

　　├08h-09h ┤文件頭除16的商 ┤

　　├0ah-0bh ┤程序運(yùn)行所需最小段 數(shù) ┤

　　├0ch-0dh ┤..............大..... ┤

　　├oeh-0fh ┤堆棧段的段值 (SS) ┤

　　├10h-11h ┤........sp ┤

　　├12h-13h ┤文件校驗(yàn)和 ┤

　　├14h-15h ┤IP ┤

　　├16h-17h ┤CS ┤

　　├18h-19h ┤............ ┤

　　├1ah-1bh ┤............ ┤

　　├1ch ┤............ ┤

　　------------------------------------

　　當(dāng)DOS加載EXE文件時(shí),根據(jù)文件頭信息,調(diào)入一定長度的文件,設(shè)置SS,SP 從CS:IP 開始執(zhí)行.病毒一般將自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件長度信息和SS,SP。

　　文件型電腦病毒介紹基本原理：

　　當(dāng)被感染程序執(zhí)行之后，病毒會(huì)立刻(入口點(diǎn)被改成病毒代碼)或者在隨后的某個(gè)時(shí)間("無入口點(diǎn)病毒")獲得控制權(quán)，獲得控制權(quán)后，病毒通常會(huì)進(jìn)行下面的操作(某個(gè)具體的病毒不一定進(jìn)行了所有這些操作，操作的順序也很可能不一樣):

　　· 內(nèi)存駐留的病毒首先檢查系統(tǒng)可用內(nèi)存，查看內(nèi)存中是否已經(jīng)有病毒代碼存在，如果沒有將病毒代碼裝入內(nèi)存中。非內(nèi)存駐留病毒會(huì)在這個(gè)時(shí)候進(jìn)行感染，查找當(dāng)前目錄、根目錄或者環(huán)境變量PATH中包含的目錄，發(fā)現(xiàn)可以被感染的可執(zhí)行文件就進(jìn)行感染。

　　環(huán)境變量:首先在DOS操作系統(tǒng)下出現(xiàn)，是由操作系統(tǒng)保存，對所有程序都一樣的一些定義的值，比如說環(huán)境變量PATH是執(zhí)行程序時(shí)搜索的路徑列表，環(huán)境變量PROMPT是執(zhí)行DOS命令時(shí)的提示信息。在視窗操作系統(tǒng)下也有環(huán)境變量，但是除了搜索路徑以外的視窗操作系統(tǒng)的環(huán)境變量基本上在DOS框里面才會(huì)用到。

　　· 執(zhí)行病毒的一些其他功能，比如說破壞功能，顯示信息或者病毒精心制作的動(dòng)畫等等，對于駐留內(nèi)存的病毒來說，執(zhí)行這些功能的時(shí)間可以是開始執(zhí)行的時(shí)候，也可以是滿足某個(gè)條件的時(shí)候，比如說定時(shí)或者當(dāng)天的日期是13號恰好又是星期五等等。為了實(shí)現(xiàn)這種定時(shí)的發(fā)作，病毒往往會(huì)修改系統(tǒng)的時(shí)鐘中斷，以便在合適的時(shí)候激活。

　　· 完成這些工作之后，將控制權(quán)交回被感染的程序。為了保證原來程序的正確執(zhí)行，寄生病毒在執(zhí)行被感染程序的之前，會(huì)把原來的程序還原，伴隨病毒會(huì)直接調(diào)用原來的程序，覆蓋病毒和其他一些破壞性感染的病毒會(huì)把控制權(quán)交回DOS操作系統(tǒng)。

　　· 對于內(nèi)存駐留病毒來說，駐留時(shí)會(huì)把一些DOS或者基本輸入輸出系統(tǒng)(BIOS)的中斷指向病毒代碼，比如說INT13H或者INT 21H，這樣系統(tǒng)執(zhí)行正常的文件/磁盤操作的時(shí)候，就會(huì)調(diào)用病毒駐留在內(nèi)存中的代碼，進(jìn)行進(jìn)一步的破壞或者感染。
看了“文件型電腦病毒介紹”文章的還看了：

1.電腦病毒分類介紹大全有哪些

2.電腦病毒類型及介紹

3.電腦病毒分類介紹

4.電腦病毒及特征介紹