計算機病毒執行機制 (轉)

worldblog發表於2007-12-12
計算機病毒執行機制 (轉)[@more@]

  自從的出現和推廣,計算機就像其附屬品一樣接踵而來。自早期的蘋果機和IBM8086家用機以來,計算機的發展速度日新月異。計算機病毒也隨之不斷的發展,手段也是層出不窮。從早期耳熟能詳的黑色星期五到現在臭名昭著的和尼姆達,危害度越來越大。但其根本的核心的執行機制卻未曾改變過。:namespace prefix = o ns = "urn:schemas--com::office" />

 一.  病毒的駐留(初始化)部分
  當執行了帶有病毒的宿主.exe或是.com更可能是現在流行的.vbs的指令碼檔案,即啟用了病毒的駐留。一般駐留程式會佔據宿主檔案的一部分,因此駐留程式首先會恢復這一部分的宿主程式;其次可能會判斷是否已駐留了病毒,如果已駐留了則轉去宿主程式,沒有則將病毒程式駐留到記憶體中,駐留完成後再轉去執行原宿主程式。大部分的病毒的駐留(初始化)部分都採用的這種,差別就在各種病毒的實現方法不同而已,DIR病毒首先修改該執行檔案目錄項中的首鏃,首先調入記憶體的是位於尾鏃的病毒程式,即啟用了該病毒的駐留程式。

二.  病毒的傳染傳播部分
  這個部分是病毒執行的一個核心部分,計算機病毒就像人體病毒一樣會傳染,無法感染其他細胞的病毒,總會死在白血球抗體的手上,同樣無法感染其他檔案的計算機病毒也是無法生存的。在攻擊傳染這部分所使用的手段也是各有各的不同,但其主要還是實現象沒有染毒的檔案傳染病毒這一目標。有些病毒透過攔截中斷向量,對申請中斷的檔案一一檢測,如沒有感染病毒則對其進行感染再去執行原中斷,如是帶毒檔案的話則直接執行原中斷。採用這種手段的有Yankee病毒,Dir病毒還有臭名昭著的CIH。還有的病毒則是對磁碟上所有可感染的檔案進行掃描,對其中沒有感染的檔案進行感染。最近十分流行的Nimda病毒在單機上就是採用這種感染方式的。隨著的迅速發展越來越多的病毒開始透過網路傳播,常見的病毒是透過掃描Microsoft 系列或是其他的通訊簿選取其中的幾位或是所有人的進行傳送以染毒檔案為附件的郵件。或是針對各種的系統進行感染傳播。

三.  病毒的攻擊表現部分
  早期的計算機病毒多帶有惡作劇性質,例如一段,或是在螢幕上顯示一副圖片等。而隨這病毒編制者水平的提高,計算機病毒攻擊的從簡單的惡作劇向檔案,系統發展,自從臺灣同胞陳盈豪的CIH開創攻擊計算機的先河後。現在的計算機病毒的表現往往是極具破壞性的,不是系統崩潰就是硬體損壞。其表現時間也從早期的感染就發作到現在的沒到具體時間才發作的。歷史上有名的黑色星期五病毒每當星期五有逢每月的13號才發作。

四.  病毒的反反病毒技術
  病毒與反病毒是一對矛盾。病毒要能更有破壞性,其針對反病毒常用的手段要採用相應的手段,如破壞跟蹤技術常用的手段是破壞INT 3h和INT 5h這兩個中斷。有些病毒如對其使用Debug程式的話,如果病毒已經駐留在記憶體中的話,他會隱藏病毒體這一部分,使除錯清楚過程中大大增加了難度。有些做的更絕的病毒例如求職信病毒他的宿主檔案每當被執行時,他會自動掃描程式中反病毒軟體的程式並將其關閉,這樣他就能堂而皇之的避過反病毒軟體大搖大擺的感染系統。

  以上就是病毒的四大執行機制,針對其執行機制可以更好的編制反病毒軟體。這就所謂的道高一尺,魔高一丈有多厲害的病毒,就有剋制他的反病毒軟體。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752043/viewspace-991932/,如需轉載,請註明出處,否則將追究法律責任。

相關文章