浅谈电脑病毒传染过程
病毒给大家带来的太多的危害,所有使用电脑的人几乎都中过病毒。中毒让我们心有余息。如何杀毒,如何防范,成为了重要的话题。今天给大家介绍一下病毒传染的一般过程,让大家在使用电脑之时,对中毒有一点认识和防范意识。 首先,在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。 可执行文件感染病毒后又怎样感染新的可执行文件? 可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。 一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作: (1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒; (2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中; (3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。 操作系统型病毒是怎样进行传染的? 正常的PC DOS启动过程是: (1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测; (2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处; (3)转入Boot执行之; (4)Boot判断是否为系统盘, 如果不是系统盘则提示:
否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件; (5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存; (6)系统正常运行, DOS启动成功。 如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为: (1)将Boot区中病毒代码首先读入内存的0000: 7C00处; (2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行; (3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作; (4)病毒程序全部被读入内存后才读入正常的Boot内 |