傳統(tǒng)計(jì)算機(jī)病毒的工作機(jī)制及發(fā)作表現(xiàn)

傳統(tǒng)計(jì)算機(jī)病毒的工作機(jī)制及發(fā)作表現(xiàn)計(jì)算機(jī)病毒的工作機(jī)制病毒的工作步驟分析 計(jì)算機(jī)病毒的引導(dǎo)機(jī)制 計(jì)算機(jī)病毒的傳染機(jī)制 計(jì)算機(jī)病毒的觸發(fā)機(jī)制 計(jì)算機(jī)病毒的破壞機(jī)制 計(jì)算機(jī)病毒的傳播機(jī)制計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)計(jì)算機(jī)病毒發(fā)作時(shí)表現(xiàn)計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)

2.1病毒的工作步驟分析計(jì)算機(jī)病毒的引導(dǎo)模塊 計(jì)算機(jī)病毒的感染模塊 計(jì)算機(jī)病毒的表現(xiàn)模塊從本質(zhì)上來(lái)看，病毒程序可以執(zhí)行其他程序所能執(zhí)行的一切功能。但是，與普通程序又不同的是病毒必須將自身附著在其他程序上。病毒程序所依附的其他程序稱為宿主程序。當(dāng)用戶運(yùn)行宿主程序時(shí)，病毒程序被激活，并開始執(zhí)行。一旦病毒程序被執(zhí)行，它就能執(zhí)行一切意想不到的功能（如感染其他程序、刪除文件等）。從病毒程序的生命周期來(lái)看，它一般會(huì)經(jīng)歷4個(gè)階段：潛伏階段、傳染階段、觸發(fā)階段和發(fā)作階段。該過(guò)程如圖2-1所示。在潛伏階段，病毒程序處于休眠狀態(tài)，用戶根本感覺(jué)不到病毒的存在，但并非所有病毒均會(huì)經(jīng)歷潛伏階段。如果某些事件發(fā)生（如特定的日期、某個(gè)特定的程序被執(zhí)行等），病毒就會(huì)被激活，并從而進(jìn)入傳染階段。處于傳染階段的病毒，將感染其他程序——將自身程序復(fù)制到其他程序或者磁盤的某個(gè)區(qū)域上。經(jīng)過(guò)傳染階段，病毒程序已經(jīng)具備運(yùn)行的條件，一旦病毒被激活，則進(jìn)入觸發(fā)階段。圖2-1病毒程序的生命周期圖2-2病毒程序的典型組成示意圖計(jì)算機(jī)病毒的引導(dǎo)模塊計(jì)算機(jī)病毒引導(dǎo)模塊主要實(shí)現(xiàn)將計(jì)算機(jī)病毒程序引入計(jì)算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動(dòng)狀態(tài)。引導(dǎo)模塊需要提供自保護(hù)功能，從而避免在內(nèi)存中的自身代碼不被覆蓋或清除。一旦引導(dǎo)模塊將計(jì)算機(jī)病毒程序引入內(nèi)存后，它還將為傳染模塊和表現(xiàn)模塊設(shè)置相應(yīng)的啟動(dòng)條件，以便在適當(dāng)?shù)臅r(shí)候或者合適的條件下激活傳染模塊或者觸發(fā)表現(xiàn)模塊。計(jì)算機(jī)病毒的感染模塊計(jì)算機(jī)病毒的傳染模塊有兩個(gè)功能：其一是依據(jù)引導(dǎo)模塊設(shè)置的傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件；其二是如果傳染條件滿足，則啟動(dòng)傳染功能，將計(jì)算機(jī)病毒程序附加到其他宿主程序上。計(jì)算機(jī)病毒的表現(xiàn)模塊表現(xiàn)模塊功能也包括兩個(gè)部分：其一是根據(jù)引導(dǎo)模塊設(shè)置的觸發(fā)條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足所需要的觸發(fā)條件；其二是一旦觸發(fā)條件滿足，則啟動(dòng)計(jì)算機(jī)病毒程序，按照預(yù)定的計(jì)劃執(zhí)行（如刪除程序、盜取數(shù)據(jù)等）。BootingModel（）/*引導(dǎo)模塊*/{

將計(jì)算機(jī)病毒程序寄生于宿主程序中；啟動(dòng)自保護(hù)功能；設(shè)置傳染條件；設(shè)置激活條件；加載計(jì)算機(jī)程序；計(jì)算機(jī)病毒程序隨宿主程序地運(yùn)行進(jìn)入系統(tǒng)；}InfectingModel（）/*傳染模塊*/{

按照計(jì)算機(jī)病毒目標(biāo)實(shí)現(xiàn)傳染功能；}BehavingModel（）/*表現(xiàn)模塊*/{

按照計(jì)算機(jī)病毒目標(biāo)實(shí)現(xiàn)表現(xiàn)功能；}main（）/*計(jì)算機(jī)病毒主程序*/{BootingModel（）；

while（1）

{

尋找感染對(duì)象；

If（如果感染條件不滿足）

continue；

InfectingModel（）；

if（激活條件不滿足）

continue；

behavingModel（）；運(yùn)行宿主程序；

if（計(jì)算機(jī)病毒程序需要退出）

exit（）；

}}2.2計(jì)算機(jī)病毒的引導(dǎo)機(jī)制計(jì)算機(jī)病毒的寄生對(duì)象 計(jì)算機(jī)病毒的寄生方式 計(jì)算機(jī)病毒的引導(dǎo)過(guò)程計(jì)算機(jī)病毒的寄生對(duì)象寄生在計(jì)算機(jī)硬盤的主引導(dǎo)扇區(qū)中寄生在計(jì)算機(jī)磁盤邏輯分析引導(dǎo)扇區(qū)中寄生在可執(zhí)行程序中計(jì)算機(jī)病毒的寄生方式計(jì)算機(jī)病毒的寄生方式有兩種：一種是采用替代法；另一種是采用鏈接法。這兩種寄生方式分別如圖2-3和圖2-4所示圖2-3替代法圖2-4鏈接法計(jì)算機(jī)病毒的引導(dǎo)過(guò)程計(jì)算機(jī)病毒的引導(dǎo)過(guò)程一般包括以下3方面。駐留內(nèi)存獲取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能2.3計(jì)算機(jī)病毒的傳染機(jī)制計(jì)算機(jī)病毒的傳染方式 計(jì)算機(jī)病毒的傳染過(guò)程 系統(tǒng)型計(jì)算機(jī)病毒傳染機(jī)理 文件型計(jì)算機(jī)病毒傳染機(jī)理計(jì)算機(jī)病毒的傳染方式一種方式是計(jì)算機(jī)病毒的被動(dòng)傳染。用戶在復(fù)制磁盤或文件時(shí)，把一個(gè)計(jì)算機(jī)病毒由一個(gè)信息載體復(fù)制到另一個(gè)信息載體上。當(dāng)然，也可能通過(guò)網(wǎng)絡(luò)上的信息傳遞，把一個(gè)計(jì)算機(jī)病毒程序從一方傳遞到另一方。另外一種方式是計(jì)算機(jī)病毒的主動(dòng)傳染。計(jì)算機(jī)病毒以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及計(jì)算機(jī)病毒程序處于激活狀態(tài)為先決條件。此外，按照計(jì)算機(jī)病毒傳染的時(shí)間性，其傳染方式也可分為立即傳染和伺機(jī)傳染。計(jì)算機(jī)病毒的傳染過(guò)程對(duì)于計(jì)算機(jī)病毒的被動(dòng)傳染而言，其傳染過(guò)程是隨著復(fù)制磁盤或文件工作的進(jìn)行而進(jìn)行的。而對(duì)于計(jì)算機(jī)病毒的主動(dòng)傳染而言，其傳染過(guò)程是：在系統(tǒng)運(yùn)行時(shí)，計(jì)算機(jī)病毒通過(guò)計(jì)算機(jī)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。發(fā)現(xiàn)被傳染的目標(biāo)（1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了計(jì)算機(jī)病毒。（2）當(dāng)條件滿足，利用INT13H將計(jì)算機(jī)病毒鏈接到可執(zhí)行文件的首部、尾部或中間，并存入空間大的磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。操作系統(tǒng)型計(jì)算機(jī)病毒的傳染過(guò)程正常的計(jì)算機(jī)DOS啟動(dòng)過(guò)程如下。已感染了計(jì)算機(jī)病毒系統(tǒng)的啟動(dòng)過(guò)程如下。（1）將Boot區(qū)中的計(jì)算機(jī)病毒代碼首先讀入內(nèi)存的0000：7C00處。（2）計(jì)算機(jī)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存，監(jiān)視系統(tǒng)的運(yùn)行。（3）修改INT13H中斷服務(wù)處理程序的入口地址，使之指向計(jì)算機(jī)病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N計(jì)算機(jī)病毒要感染軟盤或者硬盤，都離不開對(duì)磁盤的讀寫操作，修改INT13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作。（4）計(jì)算機(jī)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000：7C00處，進(jìn)行正常的啟動(dòng)過(guò)程。（5）計(jì)算機(jī)病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤或非系統(tǒng)盤。如果發(fā)現(xiàn)有可攻擊的對(duì)象，計(jì)算機(jī)病毒還要進(jìn)行下列的工作。（1）將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存，對(duì)該盤進(jìn)行判別是否傳染了計(jì)算機(jī)病毒。（2）當(dāng)滿足傳染條件時(shí)，則將計(jì)算機(jī)病毒的全部或者一部分寫入Boot區(qū)，把正常的磁盤的引導(dǎo)區(qū)程序?qū)懭氪疟P特寫位置。（3）返回正常的INT13H中斷服務(wù)處理程序，完成對(duì)目標(biāo)盤的傳染。系統(tǒng)型計(jì)算機(jī)病毒傳染機(jī)理系統(tǒng)型計(jì)算機(jī)病毒利用在開機(jī)引導(dǎo)時(shí)竊獲的INT13控制權(quán)，在整個(gè)計(jì)算機(jī)運(yùn)行過(guò)程中隨時(shí)監(jiān)視軟盤操作情況，趁讀寫軟盤的時(shí)機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按計(jì)算機(jī)病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把計(jì)算機(jī)病毒寫入軟盤第一個(gè)扇區(qū)，從而完成對(duì)軟盤的傳染。染毒的軟盤在軟件交流中又會(huì)傳染其他計(jì)算機(jī)。文件型計(jì)算機(jī)病毒傳染機(jī)理當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí)，進(jìn)行如下操作。（1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了計(jì)算機(jī)病毒。（2）當(dāng)條件滿足，利用INT13H將計(jì)算機(jī)病毒鏈接到可執(zhí)行文件的首部、尾部或中間，并存入磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。文件型計(jì)算機(jī)病毒通過(guò)與磁盤文件有關(guān)的操作進(jìn)行傳染，主要的傳染途徑如下。（1）加載執(zhí)行文件文件型計(jì)算機(jī)病毒駐內(nèi)存后，通過(guò)其所截獲的INT21中斷檢查每一個(gè)加載運(yùn)行可執(zhí)行文件進(jìn)行傳染。傳染不到那些用戶沒(méi)有使用的文件。（2）列目錄過(guò)程一些計(jì)算機(jī)病毒編制者可能感到加載傳染方式每次傳染一個(gè)文件速度較慢，于是后來(lái)制造出通過(guò)列目錄傳染的計(jì)算機(jī)病毒。（3）創(chuàng)建文件過(guò)程2.4計(jì)算機(jī)病毒的觸發(fā)機(jī)制日期觸發(fā)時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動(dòng)觸發(fā)訪問(wèn)磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā)2.5計(jì)算機(jī)病毒的破壞機(jī)制破壞機(jī)制在設(shè)計(jì)原則、工作原理上與傳染機(jī)制基本相同。通過(guò)修改某一中斷向量入口地址（一般為時(shí)鐘中斷INT8H，或與時(shí)鐘中斷有關(guān)的其他中斷，如INT1CH），使該中斷向量指向計(jì)算機(jī)病毒程序的破壞模塊。當(dāng)系統(tǒng)或被加載的程序訪問(wèn)該中斷向量時(shí)，計(jì)算機(jī)病毒破壞模塊被激活，在判斷設(shè)定條件滿足的情況下，對(duì)系統(tǒng)或磁盤上的文件進(jìn)行破壞活動(dòng)，這種破壞活動(dòng)不一定都是刪除磁盤文件，有的可能是顯示一串無(wú)用的提示信息2.6計(jì)算機(jī)病毒的傳播機(jī)制（1）計(jì)算機(jī)病毒直接從有盤站復(fù)制到服務(wù)器中。（2）計(jì)算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，等運(yùn)行網(wǎng)絡(luò)盤內(nèi)程序時(shí)再傳染給服務(wù)器。（3）計(jì)算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，在計(jì)算機(jī)病毒運(yùn)行時(shí)直接通過(guò)映像路徑傳染到服務(wù)器中。（4）如果遠(yuǎn)程工作站被計(jì)算機(jī)病毒侵入，計(jì)算機(jī)病毒也可以通過(guò)通信中數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中。在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)計(jì)算機(jī)病毒除了具有可傳播性、可執(zhí)行性、破壞性和可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)。（1）感染速度快。（2）擴(kuò)散面廣2.7計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)1計(jì)算機(jī)經(jīng)常性無(wú)緣無(wú)故地死機(jī) 2．操作系統(tǒng)無(wú)法正常啟動(dòng) 3．運(yùn)行速度異常 4．內(nèi)存不足的錯(cuò)誤 5．打印、通信及主機(jī)接口發(fā)生異常 6．無(wú)意中要求對(duì)軟盤進(jìn)行寫操作 7．以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤 8．系統(tǒng)文件的時(shí)間、日期和大小發(fā)生變化 9．宏病毒的表現(xiàn)現(xiàn)象 10．磁盤空間迅速減少 11．網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用 12．陌生人發(fā)來(lái)的電子郵件 13．自動(dòng)鏈接到一些陌生的網(wǎng)站2.8計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)1．顯示器屏幕異常 2．聲音異常 3．硬盤燈不斷閃爍 4．進(jìn)行游戲算法 5．Windows桌面圖標(biāo)發(fā)生變化 6．計(jì)算機(jī)突然死機(jī)或重啟 7．自動(dòng)發(fā)送電子郵件 8．鼠標(biāo)、鍵盤失控 9．被感染系統(tǒng)被打開服務(wù)端口 10．反計(jì)算機(jī)病毒軟件無(wú)法正常工作2.9計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)1．硬盤無(wú)法啟動(dòng)，數(shù)據(jù)丟失 2．文件、文件目錄丟失或被破壞 3．?dāng)?shù)據(jù)密級(jí)異常 4．使部分可軟件升級(jí)主板的BIOS程序混亂 5．網(wǎng)絡(luò)癱瘓 6．其他異?，F(xiàn)象習(xí)題1．簡(jiǎn)述通常情況下計(jì)算機(jī)病毒的工作步驟。2．分析計(jì)算機(jī)病毒的寄生對(duì)象。3．計(jì)算機(jī)病毒的寄生方式有哪幾種？它們的特點(diǎn)如何分別？4．分析計(jì)算機(jī)病毒的引導(dǎo)過(guò)程。5．分析計(jì)算機(jī)病毒的傳染方式。6．簡(jiǎn)述計(jì)算機(jī)病毒的傳染過(guò)程。7．給出系統(tǒng)型和文件型計(jì)算機(jī)病毒