当前位置:主页   - 电脑 - 信息安全 - 病毒防治
计算机病毒传染的一般过程是怎样的
来源:网络   作者:黑基 大C    更新时间:2010-09-26
收藏此页】    【字号    】    【打印】    【关闭

在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。

可执行文件感染病毒后又怎样感染新的可执行文件?

可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。

一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:

(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;

(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;

(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。

操作系统型病毒是怎样进行传染的?

正常的PC DOS启动过程是:

(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;

(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;

(3)转入Boot执行之;

(4)Boot判断是否为系统盘, 如果不是系统盘则提示;

non-system disk or disk error

Replace and strike any key when ready

否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件;

(5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存;

(6)系统正常运行, DOS启动成功。

如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:

(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;

(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;

(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作;

(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;

(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。

如果发现有可攻击的对象, 病毒要进行下列的工作:

(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;

(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;

(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染

其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明