|
| 计算机病毒的传染机制 |
| 来源:网络 时间:2006-2-18 |
|
计算机病毒的传染机制
1.计算机病毒的传染方式
所谓传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程。这种载体一般为磁 盘或磁带,它是计算机病毒赖以生存和进行传染的媒介。但是,只有载体还不足以使病毒得到传播。促成病毒的传染 还有一个先决条件,可分为两种情况,或者叫做两种方式。
其中一种情况是,用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上。或者是通过网络 上的信息传递,把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。
另外一种情况是,计算机病毒是以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的 状态下,只要传染条件满足,病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算 机病毒的主动传染。
2.计算机病毒的传染过程
对于病毒的被动传染而言,其传染过程是随着拷贝磁盘或文件工作的进行而进行的,而对于计算机病毒的主动传 染而言,其传染过程是这样的:在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存, 并在系统内存中监视系统的运行。在病毒引导模块将病毒传染模块驻留内存的过程中,通常还要修改系统中断向量入 口地址(例如int 13h或int 21h),使该中断向量指向病毒程序传染模块。这样,一旦系统执行磁盘读写操作或系统 功能调用,病毒传染模块就被激活,传染模块在判断传染条件满足的条件下, 利用系统int 13h读写磁盘中断把病毒 自身传染给被读写的磁盘或被加载的程序,也就是实施病毒的传染,然后再转移到原中断服务程序执行原有的操作。
计算机病毒的传染方式基本可分为两大类,一是立即传染,即病毒在被执行到的瞬间,抢在宿主程序开始执行前, 立即感染磁盘上的其他程序,然后再执行宿主程序;二是驻留内存并伺机传染,内存中的病毒检查当前系统环境,在 执行一个程序或d1r等操作时传染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后, 仍可活动, 直至关闭计算机。
3.系统型病毒传染机理
计算机软硬盘的配置和使用情况是不同的。软盘容量小,可以方便地移动交换使用,在计算机运行过程中可能多 次更换软盘;硬盘作为固定设备安装在计算机内部使用,大多数计算机配备一只硬盘。系统型病毒针对软硬盘的不同 特点采用了不同的传染方式。
系统型病毒利用在开机引导时窃获的int 13控制权,在整个计算机运行过程中随时监视软盘操作情况, 趁读写软盘的时机读出软盘引导区,判断软盘是否染毒,如未感染就按病毒的寄生方式把原引导区写到软盘另一位置,把病 毒写入软盘第一个扇区,从而完成对软盘的传染。染毒的软盘在软件交流中又会传染其他计算机。由于在每个读写阶 段病毒都要读引导区,既影响微机工作效率,又容易因驱动器频繁寻道而造成物理损伤。
系统型病毒对硬盘的传染往往是在计算机上第一次使用带毒软盘进行的,具体步骤与软盘传染相似,也是读出引导区判断后写入病毒。
4.文件型病毒传染机理
当执行被传染的.com或.exe可执行文件时,病毒驻人内存。一旦病毒驻人内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足,利用int 13h将病毒链接到可执行文件的首部或尾部或中间,并存入磁盘中;
(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
文件型病毒通过与磁盘文件有关的操作进行传染,主要传染途径有:
(1)加载执行文件
文件型病毒驻内存后,通过其所截获的int 21中断检查每一个加载运行可执行文件进行传染。 加载传染方式每次传染一个文件,即用户准备运行的那个文件,传染不到那些用户没有使用的文件。
(2)列目录过程
一些病毒编制者可能感到加载传染方式每次传染一个文件速度较慢,不够过瘾,于是后来造出通过列目录传染的 病毒。 在用户列硬盘目录的时候,病毒检查每一个文件的扩展名,如果是可执行文件就调用病毒的传染模块进行传染。 这样病毒可以一次传染硬盘一个于目录下的全部可执行文件。dir是最常用的dos命令,每次传染的文件又多,所以病 毒的扩散速度很快,往往在短时间内传遍整个硬盘。 对于软盘而言,由于读写速度比硬盘慢得多,如果一次传染多个文件所费时间较长,容易被用户发现,所以病毒 “忍痛”放弃了一些传染机会,采用列一次目录只传染一个文件的方式。
(3)创建文件过程
创建文件是dos内部的一项操作,功能是在磁盘上建立一个新文件。 已经发现利用创建文件过程把病毒附加到新 文件上去的病毒,这种传染方式更为隐蔽狡猾。因为加载传染和列目录传染都是病毒感染磁盘上原有的文件,细心的 用户往往会发现文件染毒前后长度的变化,从而暴露病毒的踪迹。而创建文件的传染手段却造成了新文件生来带毒的 奇观。好在一般用户很少去创建一个可执行文件,但经常使用各种编译、连接工具的计算机专业工作者应该注意文件 型病毒发展的这一动向,特别在商品软件最后生成阶段严防此类病毒。
摘自陈立新《计算机病毒防治百事通》清华大学出版社。 | |
