眾所周知,威金類病毒,通常會感染計算機內的可執行檔案。
透過一些觀察我們可以發現此間病毒的原理是檔案捆綁,所以理論上所有的可執行檔案都會被感染的。因此中過此類病毒後,所有的程式都必須更新一下避免重蹈覆轍。但是在被感染的檔案中我們發現這樣一個奇特的現象——有些圖示被模糊了。
中毒的圖示(圖1)
正常的圖示(圖2)
這是什麼原因造成的呢?懷著這個疑問,我於是開啟了原始程式的圖示。
不難看出圖中的圖示就是中毒後顯示的圖示,然而這個檔案並未中毒何來中毒之談?原來啊圖示設計者或者應為負責,或者是設計習慣,通常都會建立多個圖示以便在不同的系統環境,不同的圖示顯示大小中來正確的,清晰的顯示圖示,因此都會建立多種圖示色彩模式,多種形狀大小。
我們看看原始圖示的樣子,以便對圖示大小的概念更加深刻些。
理解了這些,我們為接下來病毒捆綁的原理做一些講解。病毒捆綁即打包合併正常檔案的時候,通常會讀取正常檔案的圖示,這時它會選擇讀取到的檔案的第一個圖示,也就是我們如圖2所見到的圖示。
這樣的話如果有些檔案的第一位置圖示很小,那麼在當你的螢幕顯示圖示大小大於該圖示的大小那麼該圖示便會被放大。你也許會問,為什麼有些圖示並不會變的模糊,下面將用一個例項進行簡單講解。
在上面兩張圖中,我們看到兩個相同的圖示,一個是中了毒的檔案的圖示,另一個是正常檔案的圖示。但是沒有什麼不同啊?
的確是如此。根據上一小段,我們瞭解到了病毒讀取圖示的一些方式,那我們可不可以這樣猜想,該檔案圖示的設計者只為該檔案設定了256色的圖示,而沒考慮16色的圖示?
由此圖,我們的結論得到了證實。
聰明的讀者可能想到,為什麼(圖1)中的“單位換算小精靈.exe”這個軟體它的圖示沒了,變成一個奇怪的圖示,而且如果機器中過毒的朋友不難發現,有些檔案的圖示都變成了那種奇怪的樣子?他們難道有什麼相同的地方?他們難道是病毒作者的惡搞?我們依然遵循前文的思想,開啟看看正常檔案的圖示。
由上圖不難發現,該檔案圖示的作者居然沒為圖示製作第二張不同大小或者色彩模式的圖示,只是為檔案建了一個圖示。
或許是病毒編寫者的疏忽,他所編寫的病毒捆綁無法識別只有一個圖示的檔案的圖示,“認為此檔案沒有圖示”,因此就用自制的圖示替代上了。
由此最終證明我們最初的猜想,病毒編寫者只染毒檔案設定了一種圖示色彩模式,和一種形狀大小,而沒有完整考慮到不同系統環境的圖示顯示情況。從而造成了病毒感染檔案後,檔案圖示會變模糊這一現象。