转:
http://zhidao.baidu.com/question/13778174.html?si=4计算机病毒的工作机理
一,引导扇区病毒
二,文件型病毒
三,混合型病毒
一,引导扇区病毒
引导扇区病毒是借由硬盘的开机(BOOT)来感染的,也就是说病毒将磁盘上的BOOT Sector改变.在开机时先将病毒自己的程序由磁盘读进内存中,改变了磁盘的中断向量后,再交由正常的BOOT程序执行正确的BOOT的动作,也就是说在DOS主程序尚未载入时,病毒就已经读进内存中了,继而一执行到Dir,Type等,DOS指令就会感染到磁盘里.
引导扇区病毒很难让人发现到它的存在,它不算是常驻,因为在系统尚未Loading进来之前它就已经将系统中的Memory Size自行缩小.缩小的部分就是存放病毒程序的地方.所以很难发现它的存在.但是若注意的话,会发现似乎一个很小的程序也会读得很久.因此若发现如此情形,不妨检查一下磁盘上的BOOT Sector.虽然引导型病毒很毒,但是它的传染方式较文件型病毒不易暗传染.
二,文件型病毒
1,覆盖型病毒
2,前后附加型病毒
3,伴随型文件病毒
文件型病毒的宿主不是引导区而是一些可执行程序.病毒把自己附加在可执行文件中,并等待程序运行.病毒会驻留在内存中,企图感染其它文件.同引导扇区病毒不同,文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上.根据附着类型不同可分为三种文件病毒:覆盖型,前后附加型和伴随型文件病毒.
1,覆盖型病毒
简单地把自己覆盖到原始文件代码上,显然这会完全摧毁该文件,所以这种病毒比较容易被发现.当用户运行该文件时,病毒代码就会得到运行,而原始文件则不能正常运行.现在有些新型病毒可以覆盖写那些不影响宿主程序运行的那部分代码,人们也就不容易发现这种病毒.覆盖病毒的优势就是不改变文件长度,使原始文件看起来正常.杀毒程序还是可以检测到这种病毒代码的存在.
2,前后附加型病毒
前附加型病毒把自己附加在文件的开始部分,后附加型正好相反,这种病毒会增加文件的长度.也就容易被检测和发现,并被清除.
3,伴随型文件病毒
为EXE文件创建一个相应的含有病毒代码的COM文件,当有人运行EXE文件时,控制权就会转到COM文件上,病毒代码就得以运行.它执行完之后,控制权又会转回到EXE文件,这样用户不会发现任何问题.
三,混合型病毒
混合型病毒结合引导型和文件型两种病毒,它们互为感染,是病毒之王,极为厉害,不容易消除.它一般采取以下方法:在文件中的病毒执行时将病毒写入引导区,这是很容易理解的.染毒硬盘启动时,用引导型病毒的方法驻留内存.但此时DOS并未加载,无法修改INT21中断,也就无法感染文件.可以用这样的办法,修改INT 8中断,保存INT 21目前的地址,用INT 8服务程序监测INT 21的地址是否改变,若改变则说明DOS已加载,则可修改INT21中断指向病毒传染段.
第三节 常见计算机病毒
一,CIH病毒
二,宏病毒
三,网络病毒
一,CIH病毒
1998年7月26日,一个名叫CIH的计算机病毒首次露面美国,该病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗.CIH病毒是一种文件型病毒,是第一例感染Windows 95/98环境下PE格式EXE文件的病毒.不同与DOS型病毒,CIH病毒是建立在Windows 95/98平台.CIH有几个版本,其中流行最广的是CIHv1.2:4月26日发作,长度为1003个字节.
1,CIH病毒的运行机制
同传统的DOS型病毒相比,无论是内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都与众不同,新颖独到.它绕过了微软提供的应用程序界面,绕过了ActiveX,C++甚至C,使用汇编,利用VXD(虚拟设备驱动程序)接口编程,直接杀入Windows内核.
它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击(Fragmented Cavity Attack),将病毒化整为零,拆分成若干块,插入宿主文件中去.
最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例.可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向.
该病毒程序由三部分组成:病毒的驻留,病毒的感染,病毒的发作.
(1)病毒的驻留
当运行带有该病毒的.EXE时,由于该病毒修改了该文件程序的入口地址(Address of Entry Point),首先调入内存执行的是病毒的驻留程序,驻留程序长度为184个字节.
(2)病毒的感染
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows内核底层函数挂接钩子时指针指示的那段程序.其感染过程如下:
①文件的截获
②EXE文件的判断
③PE格式.EXE判别
(3)病毒的发作
①病毒发作条件判断.在CIHv1.4中,病毒的发作日期是4月26日,病毒从COMS的70,71端口取出系统当前日期,对其进行判断.
②病毒的破坏:首先,通过主板的BIOS端口地址0CFEH和0CFDH各BIOS引导块内各写入一个字节的乱码,造成主机无法启动.其次,覆盖硬盘.
2,CIH病毒的预防,检测与清除
CIH并不像人们传说的那样可怕.很多国内外的专家都提出了有效的措施来对付它.
(1)病毒的预防
①采取防止一般病毒的措施;
②修改主机的日期,跳过26日;
③将主板的Flash Rom跳线设置为Disable,阻止病毒改写BIOS.
(2)病毒的检测与清除
由于这一病毒主要是通过Internet和电子邮件传播的,其实时性和动态性是防治这一病毒的难点所在.要全面防治CIH病毒需要能够检测压缩文件病毒,具备病毒实时治愈能力的反病毒产品.目前国内市场已有这种反病毒产品,如KILL98.KILL98防毒墙能够实时监控所有出入系统的文件,对其加以病毒侦测,分析,一旦发现病毒立即加以清除,但并不会影响到文件的正常操作.
二,宏病毒
宏病毒是一种广泛流传的病毒,它在一定的条件下爆发,如每月的13日,并且可以感染Word中的模板文件.台湾I号和II号就是两种宏病毒,它在打开被病毒感染的文档时给出一道数学题,如果算错了,它就打开10个文档窗口.然后,它又给出一道题,如果再算错了,它又会打开10个文档窗口,就这样下去,直到耗尽机器上的系统资源.
1,宏病毒是怎样传播的
一般来说,一个宏病毒传播发生在被感染的宏指令覆盖,改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存储的所有doc文档.当word打开一个.doc文件时,首先检查里面有没有模板/宏代码.如果存在就被认为这不是普通的.doc文件,而是一个模板文件,并执行里面的Auto类的宏(如果存在).
一般染毒后的.doc被打开后,通过Auto宏或菜单,快捷方式和工具栏里的特洛伊木马程序来激活,随后感染诸如Normal.dot或Powerup.dot等全局模板文件得到系统"永久"控制权.夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀.doc的模板文件;另外,当一定条件满足时,病毒就会干些小的或大的破坏活动.
2,宏病毒本身的局限性
由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播.而word在存储模板文件时(Save As/另存为时),不能选择保存类型,只能存为文档模板(.dot).由此,很容易判断出一个文件是否为一个模板文件.如果是一个以.doc为后缀的模板文件,那么可以肯定地说,这是一个被感染的文件,或者是一个"宏病毒遗体".
三,网络病毒
1,网络病毒的特点
因特网的飞速发展给反病毒工作带来了新的挑战.因特网上有众多的软件供下载,有大量的数据交换,这给病毒的大范围传播提供了可能.
因特网衍生出一些新一代病毒,即Java及ActiveX病毒.它不需要寄主程序,因为因特网就是带着它们到处肆虐的寄主.网络病毒一旦突破网络安全系统,传播到网络服务器,进而在整个网络上感染,再生,就会使网络系统资源遭到破坏.
病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站.但病毒传染方式比较复杂,传播速度比较快.在网络中病毒则可以通过网络通信机制,借助高速电缆进行迅速扩散.由于病毒在网络中传染速度非常快,故其传染范围很大,不但能迅速传染局域网内所有电缆,还能通过远程工作站将病毒在瞬间内传播到千里之外,且清除难度大.
仅对工作站进行杀毒处理并不能彻底解决问题.网络上的病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则造成网络系统的瘫痪,破坏服务器系统资源,使多年工作毁于一旦.网络一旦感染了病毒,即使病毒已被消除,其潜在危险仍然巨大.病毒在网上被消除后,87%的网络在30天内会再次被感染.
2,网络病毒的传播与表现
大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件.
文件和目录级保护只在文件服务器中出现,而不在工作站中出现,所以可执行文件病毒无法破坏基于网络的文件保护.然而,一般文件服务器中的许多文件并没有得到保护,而且,非常容易成为感染的有效目标.
文件病毒可以通过因特网毫无困难的发送,而可执行文件病毒不能通过因特网在远程站点感染文件.此时因特网是文件病毒的载体.
如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染,但引导病毒无法通过因特网传播,因为客户机不能对服务器进行扇区级的操作.
3,专攻网络的GPI病毒
GPI意思是Get Password I,该病毒是由欧美地区兴起的专攻网络的一类病毒,是"耶路撒冷"病毒的变种,并且被特别改写成专门突破Novell网络系统安全结构的病毒.它的威力在于"自上而下"的传播.
4,电子邮件病毒
现今电子邮件已被广泛使用,E-mail已成为病毒传播的主要途径之一.由于可同时向一群用户或整个计算机系统发送电子邮件,一旦一个信息点被感染,整个系统受染也只是几个小时内的事情.电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,因为它们往往在远程服务器上.