熱心網友

計算機病毒的傳染機制 1．計算機病毒的傳染方式 所謂傳染是指計算機病毒由一個載體傳播到另一個載體，由一個系統進入另一個系統的過程。這種載體一般為磁 盤或磁帶，它是計算機病毒賴以生存和進行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。促成病毒的傳染 還有一個先決條件，可分為兩種情況，或者叫做兩種方式。 其中一種情況是，用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載體上。或者是通過網絡 上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染。 另外一種情況是，計算機病毒是以計算機系統的運行以及病毒程序處于激活狀態為先決條件。在病毒處于激活的 狀態下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統。這種傳染方式叫做計算 機病毒的主動傳染。 2．計算機病毒的傳染過程 對于病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進行而進行的，而對于計算機病毒的主動傳 染而言，其傳染過程是這樣的：在系統運行時，病毒通過病毒載體即系統的外存儲器進入系統的內存儲器，常駐內存， 并在系統內存中監視系統的運行。在病毒引導模塊將病毒傳染模塊駐留內存的過程中，通常還要修改系統中斷向量入 口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統執行磁盤讀寫操作或系統 功能調用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下， 利用系統INT 13H讀寫磁盤中斷把病毒 自身傳染給被讀寫的磁盤或被加載的程序，也就是實施病毒的傳染，然后再轉移到原中斷服務程序執行原有的操作。 計算機病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執行到的瞬間，搶在宿主程序開始執行前， 立即感染磁盤上的其他程序，然后再執行宿主程序；二是駐留內存并伺機傳染，內存中的病毒檢查當前系統環境，在 執行一個程序或D1R等操作時傳染磁盤上的程序，駐留在系統內存中的病毒程序在宿主程序運行結束后， 仍可活動， 直至關閉計算機。 3．系統型病毒傳染機理 計算機軟硬盤的配置和使用情況是不同的。軟盤容量小，可以方便地移動交換使用，在計算機運行過程中可能多 次更換軟盤；硬盤作為固定設備安裝在計算機內部使用，大多數計算機配備一只硬盤。系統型病毒針對軟硬盤的不同 特點采用了不同的傳染方式。 系統型病毒利用在開機引導時竊獲的INT 13控制權，在整個計算機運行過程中隨時監視軟盤操作情況， 趁讀寫軟盤的時機讀出軟盤引導區，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導區寫到軟盤另一位置，把病 毒寫入軟盤第一個扇區，從而完成對軟盤的傳染。染毒的軟盤在軟件交流中又會傳染其他計算機。由于在每個讀寫階 段病毒都要讀引導區，既影響微機工作效率，又容易因驅動器頻繁尋道而造成物理損傷。 系統型病毒對硬盤的傳染往往是在計算機上第一次使用帶毒軟盤進行的，具體步驟與軟盤傳染相似，也是讀出引導區判斷后寫入病毒。 4．文件型病毒傳染機理 當執行被傳染的。COM或。EXE可執行文件時，病毒駐人內存。一旦病毒駐人內存，便開始監視系統的運行。當它發現被傳染的目標時，進行如下操作： （1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒； （2）當條件滿足，利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間，并存入磁盤中； （3）完成傳染后，繼續監視系統的運行，試圖尋找新的攻擊目標。 文件型病毒通過與磁盤文件有關的操作進行傳染，主要傳染途徑有： （1）加載執行文件 文件型病毒駐內存后，通過其所截獲的INT 21中斷檢查每一個加載運行可執行文件進行傳染。 加載傳染方式每次傳染一個文件，即用戶準備運行的那個文件，傳染不到那些用戶沒有使用的文件。 （2）列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，不夠過癮，于是后來造出通過列目錄傳染的 病毒。 在用戶列硬盤目錄的時候，病毒檢查每一個文件的擴展名，如果是可執行文件就調用病毒的傳染模塊進行傳染。 這樣病毒可以一次傳染硬盤一個于目錄下的全部可執行文件。DIR是最常用的DOS命令，每次傳染的文件又多，所以病 毒的擴散速度很快，往往在短時間內傳遍整個硬盤。 對于軟盤而言，由于讀寫速度比硬盤慢得多，如果一次傳染多個文件所費時間較長，容易被用戶發現，所以病毒 “忍痛”放棄了一些傳染機會，采用列一次目錄只傳染一個文件的方式。 （3）創建文件過程 創建文件是DOS內部的一項操作，功能是在磁盤上建立一個新文件。 已經發現利用創建文件過程把病毒附加到新 文件上去的病毒，這種傳染方式更為隱蔽狡猾。因為加載傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細心的 用戶往往會發現文件染毒前后長度的變化，從而暴露病毒的蹤跡。而創建文件的傳染手段卻造成了新文件生來帶毒的 奇觀。好在一般用戶很少去創建一個可執行文件，但經常使用各種編譯、連接工具的計算機專業工作者應該注意文件 型病毒發展的這一動向，特別在商品軟件最后生成階段嚴防此類病毒。 摘自陳立新《計算機病毒防治百事通》清華大學出版社。