计算机病毒运行机制 (转)

计算机病毒运行机制 (转)[@more@]

  自从计算机的出现和推广，计算机病毒就像其附属品一样接踵而来。自早期的苹果机和IBM8086家用机以来，计算机的发展速度日新月异。计算机病毒也随之不断的发展，攻击手段也是层出不穷。从早期耳熟能详的黑色星期五到现在臭名昭著的cih和尼姆达，危害度越来越大。但其根本的核心的运行机制却未曾改变过。XML:namespace prefix = o ns = "urn:schemas-microsoft-com:Office:office" />

 一.  病毒的驻留（初始化）部分
  当运行了带有病毒的宿主文件.exe或是.com更可能是现在流行的.vbs的脚本文件，即激活了病毒的驻留程序。一般驻留程序会占据宿主文件的一部分，因此驻留程序首先会恢复这一部分的宿主程序；其次可能会判断系统内存是否已驻留了病毒，如果已驻留了则转去执行宿主程序，没有则将病毒程序驻留到内存中，驻留完成后再转去执行原宿主程序。大部分的病毒的驻留（初始化）部分都采用的这种模式，差别就在各种病毒的实现方法不同而已，DIR病毒首先修改该执行文件目录项中的首镞，首先调入内存的是位于磁盘尾镞的病毒程序，即激活了该病毒的驻留程序。

二.  病毒的传染传播部分
  这个部分是病毒运行的一个核心部分，计算机病毒就像人体病毒一样会传染，无法感染其他细胞的病毒，总会死在白血球抗体的手上，同样无法感染其他文件的计算机病毒也是无法生存的。在攻击传染这部分所使用的手段也是各有各的不同，但其主要还是实现象没有染毒的文件传染病毒这一目标。有些病毒通过拦截中断向量，对申请中断的文件一一检测，如没有感染病毒则对其进行感染再去执行原中断，如是带毒文件的话则直接执行原中断。采用这种手段的有Yankee病毒，Dir病毒还有臭名昭著的CIH。还有的病毒则是对磁盘上所有可感染的文件进行扫描，对其中没有感染的文件进行感染。最近十分流行的Nimda病毒在单机上就是采用这种感染方式的。随着网络的迅速发展越来越多的病毒开始通过网络传播，常见的蠕虫病毒是通过扫描Microsoft Outlook系列或是其他邮件软件的通讯簿选取其中的几位或是所有人的邮箱进行发送以染毒文件为附件的邮件。或是针对各种服务器的系统bug进行感染传播。

三.  病毒的攻击表现部分
  早期的计算机病毒多带有恶作剧性质，例如播放一段音乐，或是在屏幕上显示一副图片等。而随这病毒编制者水平的提高，计算机病毒攻击的对象从简单的恶作剧向文件，系统发展，自从台湾同胞陈盈豪的CIH开创攻击计算机硬件的先河后。现在的计算机病毒的表现往往是极具破坏性的，不是系统崩溃就是硬件损坏。其表现时间也从早期的感染就发作到现在的没到具体时间才发作的。历史上有名的黑色星期五病毒每当星期五有逢每月的13号才发作。

四.  病毒的反反病毒技术
  病毒与反病毒是一对矛盾。病毒要能更有破坏性，其针对反病毒常用的手段要采用相应的手段，如破坏跟踪技术常用的手段是破坏INT 3h和INT 5h这两个中断。有些病毒如对其使用Debug程序调试的话，如果病毒已经驻留在内存中的话，他会隐藏病毒体这一部分，使调试清楚过程中大大增加了难度。有些做的更绝的病毒例如求职信病毒他的宿主文件每当被执行时，他会自动扫描进程中反病毒软件的进程并将其关闭，这样他就能堂而皇之的避过反病毒软件大摇大摆的感染系统。

  以上就是病毒的四大运行机制，针对其运行机制可以更好的编制反病毒软件。这就所谓的道高一尺，魔高一丈有多厉害的病毒，就有克制他的反病毒软件。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10752019/viewspace-980650/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/10752019/viewspace-980650/