计算机病毒结构及技术分析

计算机病毒的结构和工作机制

计算机病毒是一种特殊的程序或代码段，它寄生在一个合法的程序或环境中，并以某种方式潜伏下来，伺机进行感染和破坏。

计算机系统的软硬件环境决定了计算机病毒的结构，而这种结构是能够充分利用系统资源进行活动的最合理体现。

计算病毒的组成：
引导模块（主控模块）
触发模块
感染模块
破坏模块（表现模块）

两个状态：
静态
动态

根据是否被加载到内存，计算机病毒又分为静态和动态。处于静态的病毒存于存储介质中，一般不能执行感染和破环模块，其传播只能借助第三方活动（例如：复制、下载和邮件传输等）实现。当病毒经过引导功能开始进入内存后，便处于活动状态（动态），满足一定触发条件后就开始进行传染和破坏，从而构成对计算机系统和资源的威胁。

工作机制

各个模块的作用

引导模块

引导前——寄生
寄生位置：
引导区
可执行文件
寄生手段：
替代法（寄生在引导区中的病毒常用该法）
链接法（寄生在文件中的病毒常用该法）

引导过程
驻留内存
窃取系统控制权
恢复系统功能
引导区病毒引导过程
搬迁系统引导程序-〉替代为病毒引导程序
启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术
最后，转向系统引导程序-〉引导系统

文件型病毒引导过程
修改入口指令-〉替代为跳转到病毒模块的指令
执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术
最后，转向程序的正常执行指令-〉执行程序

触发模块

触发条件
计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。
触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡
大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。
而不破坏、不感染又会使病毒失去其特性。
可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。

病毒常用的触发条件
日期触发
时间触发
键盘触发
感染触发
例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
启动触发
访问磁盘次数触发
CPU型号/主板型号触发

感染模块

病毒传染的条件
被动传染（静态时）
用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。

主动传染（动态时）
以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。

传染过程
系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染
传染方式
立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。
驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。

文件型病毒传染机理
首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒；
当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中；
完成传染后，继续监视系统的运行，试图寻找新的攻击目标。
文件型病毒传染途径
加载执行文件
浏览目录过程
创建文件过程

破坏模块

破坏对象
系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。

计算机病毒的技术特征

常见计算机病毒的技术特征

驻留内存
病毒变种
EPO（Entry Point Obscuring）技术
抗分析技术（加密、反跟踪）
隐蔽性病毒技术
多态性病毒技术
插入型病毒技术
超级病毒技术
破坏性感染技术
病毒自动生产技术
网络病毒技术

驻留内存：引导区病毒的内存驻留

• 大小在1K或者几K
• 为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。
• 不用考虑重载。

驻留内存：Windows环境下病毒的内存驻留

三种驻留内存的方法

• 由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数；
• 另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中；
• 第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NT／Win2000下的设备驱动程序WDM加载到内存中运行。

驻留内存：宏病毒的内存驻留方法

• 病毒随着宿主程序而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。
• 宏病毒通过检测自己的特征防止重入。