引导型病毒的机理和解析

31
ISA
• ISA插槽是基于ISA总线（Industrial Standard Architecture， 工业标准结构总线）的扩展插槽，其颜色一般为黑色，比PCI 接口插槽要长些，位于主板的最下端。其工作频率为8MHz左 右，为16位插槽，最大传输率16MB/sec，可插接显卡，声卡 ，网卡以及所谓的多功能接口卡等扩展插卡。其缺点是CPU资 源占用太高，数据传输带宽太小，是已经被淘汰的插槽接口。 • 在1988年，康柏、惠普等9个厂商协同把ISA 扩展到32-bit， 这就是著名的EISA（Extended ISA，扩展ISA）总线。可惜的 是，EISA 仍旧由于速度有限，并且成本过高，在还没成为标 准总线之前，在20世纪90年代初的时候，就给PCI 总线给取 代了。
9
被破坏的主引导区记录
“Non-System disk or disk error，replace disk and press a key to reboot”(非系统盘或盘出错) “Error Loading Operating System”(装入DOS引导记录错 误) “No ROM Basic，System Halted”(不能进入ROM Basic， 系统停止响应)
完成信息的检测之后，Windows XP会在屏幕上显示那个著名的 Windows XP商标，并显示一个滚动的，告诉用户Windows 的启动进程
30
Step4:检测和配置硬件过程--
会收集如下类型的硬件信息：
1.系统固件信息，例如时间和日期等 2.总线适配器的类型 3.显卡适配器的类型 4.键盘 5.通信端口 6.磁盘 7.软盘 8.输入设备，例如鼠标 9.并口 10.安装在ISA槽中的ISA设备
8
分区表DPT(Disk Partition Table)

一、病毒定义所谓病毒就是一段代码，其本质和大家使用的QQ、WORD什么的程序没有区别，只不过制作者令其具有了自我复制和定时发作进行破坏功能。

一般病毒都在1K到数K大小。

二、病毒种类我们所遇到的病毒可分引导型（感染磁盘引导区）程序型（感染可执行文件）宏病毒（感染WORD文档）等。

三、病毒工作原理计算机系统的内存是一个非常重要的资源，我们可以认为所有的工作都需要在内存中运行（相当与人的大脑），所以控制了内存就相当于控制了人的大脑，病毒一般都是通过各种方式把自己植入内存，获取系统最高控制权，然后感染在内存中运行的程序。

（注意，所有的程序都在内存中运行，也就是说，在感染了病毒后，你所有运行过的程序都有可能被传染上，感染那些文件这由病毒的特性所决定）1、程序型病毒的工作原理。

这是目前最多的一类病毒，主要感染.exe 和.dll 等可执行文件和动态连接库文件，比如很多的蠕虫病毒都是这样。

注意蠕虫病毒不是一个病毒，而是一个种类。

他的特点是针对目前INTERNET高速发展，主要在网络上传播，当他感染了一台计算机之后，可以自动的把自己通过网络发送出去，比如发送给同一居欲网的用户或者自动读取你的EMAIL列表，自动给你的朋友发EMAIL等等。

感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。

会造成网络资源的巨大浪费。

所以这次我们杀毒主要是针对这种病毒。

那么病毒是怎么传染的那？切记：病毒传染的前提就是，他必须把自己复制到内存中，硬盘中的带毒文件如果没有被读入内寸，是不会传染的，这在杀毒中非常重要。

而且，计算机断电后内存内容会丢失这我想大家都知道。

所以：病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。

2、程序型病毒是怎么传播的。

病毒传播最主要的途径是网络，还有软盘和光盘。

比如，我正在工作时，朋友拿来一个带病毒的软盘，比如，该病毒感染了磁盘里的A文件，我运行了一下这个A文件，病毒就被读如内存，如果你不运行染毒文件，程序型病毒是不会感染你的机器的（不要骂，我这里说的是程序型病毒，后面我会说引导型病毒，他只要打开软盘就会感染）当染毒文件被运行，病毒就进入内存，并获取了内存控制权，开始感染所有之后运行的文件。

计算机病毒的定义及分类～教育资源库计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：①引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。

由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。

绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FA T表）等，一旦发作，计算机的数据通常会全部丢失。

这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。

由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

②文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.、*.EXE、*.DLL等）中。

当这些文件被执行时，病毒的程序就跟着被执行。

文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。

非常驻型病毒是将病毒程序自身放置于*.、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。

该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。

由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在带毒杀毒的问题，通常不易杀干净。

一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。

计算机病毒的感染原理及其危害与防范【摘要】本文首先进行了对计算机病毒概述，其次，对计算机病毒感染原理及感染病毒后的计算机的症状做了介绍，最后探讨了病毒对计算机的危害，并提出了相应的防范措施。

【关键词】计算机；病毒；感染原理；危害；防范一、前言我国信息技术的发展推动互联网行业的迅猛发展，计算机已经深入了千家万户的生活当中，与人们的生活息息相关。

但是，近年来在计算机发展的同时，病毒的发展也是迅速的，病毒对电脑的危害是巨大的，因此，我们很有必要了解计算机病毒的感染原理，防范病毒对计算机的危害。

二、计算机病毒概述1、计算机病毒的定义计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

2、计算机病毒的由来计算机病毒从1983年被美国计算机专家伦艾德勒曼(LenAdleman)首次命名至今，新的病毒种类不断出现，并随着网络的发展而不断蔓延。

所有病毒都是掌握计算机程序设计技巧的人制造的，根据对现有已了解的毒源分析，计算机病毒可能的来源有：(1)来源于计算机专业人员或业余爱好者的恶作剧而制造出的病毒。

(2)公司或用户为保护自己的软件不被复制而采取的不正当的惩罚措施。

(3)恶意攻击或有意摧毁计算机系统而制造的病毒。

(4)在研究或开发设计某些程序时，由于未估计到的原因而对它失去了控制所产生的破坏性程序。

三、计算机病毒感染原理及感染病毒后的计算机的症状1、计算机病毒感染原理病毒的感染原理不同感染途径的病毒, 其感染机制也不相同。

(1)、引导型病毒感染原理系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS 引导扇区,其传染方式主要是通过使用被病毒感染的软盘启动计算机而传染。

一旦使用存在系统引导型病毒的软件启动计算机, 系统引导型病毒则会自动装入内存, 并且比操作系统抢先进入内存, 控制读写动作, 伺机感染其它未被感染的磁盘。

计算机病毒寄生方式和感染途径分类计算机病毒按其寄生方式大致可分为两类:一是引导型病毒,二是文件型病毒。

按其感染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

(1)引导型病毒引导型病毒也称磁盘引导型、引导扇区型、磁盘启动型、系统型毒等。

引导型病毒就是把自己的病毒程序放在软盘的引导区以及硬盘的主引导记录区或引导扇区,当作正常的引导程序,而将真正的引导程序搬到其他位置。

这样,计算机启动时,就会把引导区的病毒程序当作正常的引导程序来运行,使寄生在磁盘引导区的静态病毒进入计算机系统,病毒变成活跃状态(或称病毒被激活),这时病毒可以随时进行感染和破坏。

此外,这种病毒通常会改写硬盘上的主引导记录区、引导区、文件分配表、文件目录区、中断向量表等。

引导型病毒几乎清一色都会常驻内存,或称作内存驻留型,差别仅仅在于内存中的位置不同。

引导型病毒按其寄生对象的不同又可分为两类:主引导区病毒和引导区病毒。

引导型病毒的感染目标都是一样的,即磁盘的引导区,所以一般比较好防治。

(2)文件型病毒文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。

文件型病毒以感染可执行文件(.BAT、.EXE、.COM、.SYS、.DLL、.OVL、.VXD等)的病毒为主,还有一些病毒可以感染高级语言程序的源代码、开发库或编译过程中所生成的中间文件。

病毒可能隐藏在普通的数据文件中,但是这些隐藏在数据文件中的病毒不是独立存在的,必须通过隐藏在可执行文件中的病毒部分来加载这些代码。

宏病毒在某种意义上可以被看作文件型病毒,但由于其数量多、影响大,而且也有自己的特点,所以通常单独分类。

文件型病毒通常分为源码型病毒、入侵型病毒和外壳型病毒,以文件外壳型病毒最为流行。

文件型病毒按其驻留内存方式的不同可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。

(3)混合型病毒混合型病毒,也称综合型、复合型病毒,既具有操作系统型病毒的特点,又具有文件型病毒的特点,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件,这类病毒的危害性更大。

病毒任务完成， 将 原 引 导 区 调 入 0:7C00执 行
原引导扇
系统正常引导
区的内容 要保护好
引导型病毒基本原理
病 毒 13H中 断 入 口
否 在读写软盘?
病毒被激活之后，即可根据感染条件实施暗地感染 、根据爆发破坏条件破坏系统并表现自己
引导型病毒 INT 13H
调用BIOS磁盘服务功能读写扇区
调用INT 13H子功能02H读扇区 调用INT 13H子功能03H写扇区
引导型病毒
调用BIOS磁盘服务功能读写扇区
A:\>debug
-a100
13AD:0100 mov ax,0201
读 到 内 存 0:7C00处
常规内存大小
控制权转到主引导程序
(病 毒 )
将 0:413单 元 的 值 减 少 1K(或 nK)
计算可用内存高端地址， 将病毒移到高端继续执行
INT 13H 中断功能
对磁盘扇 区的读写
修 改 INT 13H地 址 ， 指 向 病 毒 传 染 段 ， 将 原 INT 13H地 址 保 存 在 某 一 单 元
13AD:010C int 13
//执行命令
13AD:010E int 3 13AD:010E
//终止命令
Int 13H 需要的参数有哪些？
-g=100
//执行100开始的命令，遇到int 3会自动终止
-d 600
//查看扇区内容，一共512字节
引导型病毒
引导型病毒样例分析
该引导型病毒，通过截流盗取INT 13H中断监视系 统的运行并感染软盘引导扇区、硬盘主引导扇区
物理位置
引导型病毒
引导型病毒的思想
引导型病毒是一种在ROM BIOS之后，系统引导时 出现的病毒，它先于操作系统，依托的环境是 BIOS中断服务程序。

第一章恶意程序及其防范计算机病毒是恶意程序的一种。

所谓恶意程序，是指一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入到计算机系统中来。

恶意程序可以分为许多类型。

图1.1为按照有无自我复制功能和需要不需要宿主对恶意程序的分类情形。

1、陷门（Trap Doors）是进入程序的一些秘密入口。

陷门中有些是程序员为了进行调试和测试而预留的一些特权，有些则是系统漏洞。

黑客也挖空心思地设计陷门，以便以特殊的、不经授权的方式进入系统。

陷门通常寄生于某些程序（有宿主），但无自我复制功能。

逻辑炸弹是嵌入某些合法程序的一段代码，没有自我复制功能，在某些条件下会执行一个有害程序，造成一些破坏。

特洛伊木马是计算机网络中一种包含有害代码的有用或表面上有用的程序或过程，激活时产生有害行为。

它们不具备自我复制功能。

2、细菌是以自我繁殖为主要目的的程序。

蠕虫是一种通过网络自我复制的恶意程序。

通常人们也把它称为病毒的一种。

因为，蠕虫一旦被激活，可以表现得像细菌和病毒，可以向系统注入特洛伊木马，或进行任何次数的破坏或毁灭行动。

典型的蠕虫只会在内存维持一个活动副本。

此外，蠕虫是一个独立程序，自身不改变任何其他程序，但可以携带具有改变其他程序的病毒。

其中，计算机病毒是所有计算机用户在计算机安全问题上，经常碰到的问题。

在1999年Security Poral的报告中，排在计算机安全问题第一位的是计算机病毒事件，其次是与计算机病毒关系极为密切的黑客问题。

所以本章以病毒为主，介绍恶意程序的特点及其防治。

一、计算机病毒的概念1.1.1 计算机病毒的特征人类发明了工具，改变了世界，也改变了人类自己。

自20世纪40年代起，计算技术与电子技术的结合，使推动人类进步的工具从体力升华到了智力。

计算机的出现，将人类带进了信息时代，使人类生产力进入了一个特别的发展时期。

计算机的灵魂是程序。

正是建立在微电子载体上的程序，才将计算机的延伸到了人类社会的各个领域。

二、传染机制 1、病毒传染的含义 2、载体（网络、系统、磁盘和文件） 3、病毒在不同载体上的传染机制 ① 网络或系统上的传染利用网络间的通信或 数据共享实现。 ② 存储介质或文件间的传染一般利用内存为 媒介。（带毒磁盘、文件——进入内存— —感染无毒磁盘或文件）
4、主动传染 ① 含义：利用病毒自身的传染机制实现的传 染。 ② 实现方式： A. 利用操作系统 的加载机制或引导机制 病毒体进入内存。 B. 利用操作系统的读写磁盘中断（存储 机制）或加载机制 病毒感染无毒介质 或文件。（病毒监视系统操作—判断 传染条件—实施传染）
复合型病毒的特点 具有文件型病毒和引导型病毒的双重 特点。 ① 依附于可执行文件，并以之为载体 传播。 ② 带毒文件被执行，主动感染硬盘的 主引导扇区。（一般不感染软盘） ③ 此后，主要感染可执行文件。
全隐蔽型文件病毒分析
1、全隐蔽型文件病毒的特点 ① 具有文件型病毒的一般特点 ② 一般将病毒程序隐藏在磁盘的尾簇。而不 是链接在被感染文件里面。 ③ 一般不改变感染文件的长度及建立日期。 ④ 不修改系统任何中断向量。 ⑤ 不修改系统可分配的内存空间，一般驻留 在用户可用内存的低端。
三、破坏机制 1、表现/破坏模块的激活方式 修改某一中断向量（INT 13H、INT 21H、INT 8H 等）入口地址，使该中断向量指向病毒程序的破 坏模块。 2、表现/破坏模块实施破坏的条件 ① 访问修该过的中断向量时立即实施破坏。 ② 访问修该过的中断向量时不立即实施破坏， 先判断条件是否满足（如时间、时钟或某些特 定条件）
5、被动传染 含义：用户在拷贝磁盘或数据时，把病毒由 一个载体复制到另一载体或通过网络将病毒由 一方传递到另一方的方式。 总结：利用存储介质的病毒传染是以操作系统 的加载机制和存储机制为基础的，没有文件的 存取，介质上的病毒就不会进入内存；而没有 加载的运行，也就不会有文件的存取。

常见的计算机病毒有什么种类从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。

无论多少种，病毒的数量仍在不断增加。

据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4至6种/月的速度递增。

下面就让店铺给大家说说常见的计算机病毒有哪些种类吧。

常见的计算机病毒种类1.按照计算机病毒攻击的系统分类(1)攻击DOS系统的病毒。

这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99%。

(2)攻击Windows系统的病毒。

由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎，Windows正逐渐取代DOS，从而成为病毒攻击的主要对象。

目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。

(3)攻击UNIX系统的病毒。

当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用UNIX作为其主要的操作系统，所以UNIX 病毒的出现，对人类的信息处理也是一个严重的威胁。

(4)攻击OS/2系统的病毒。

世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。

2.按照病毒的攻击机型分类(1)攻击微型计算机的病毒。

这是世界上传染是最为广泛的一种病毒。

(2)攻击小型机的计算机病毒。

小型机的应用范围是极为广泛的，它既可以作为网络的一个节点机，也可以作为小的计算机网络的计算机网络的主机。

起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但自1988年11月份Internet 网络受到worm程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。

(3)攻击工作站的计算机病毒。

近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展，所以我们不难想象，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。

3.按照计算机病毒的链结方式分类由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执行的部分。

电脑病毒种类有哪些（2）电脑病毒种类有哪些对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。

6.按照计算机病毒激活的时间分类按照计算机病毒激活时间可分为定时的和随机的。

定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7.按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

(1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。

(2)网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

8.按照寄生方式和传染途径分类人们习惯将计算机病毒按寄生方式和传染途径来分类。

计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容，软盘或硬盘都有可能感染病毒。

再不然就是改写硬盘上的分区表(FAT)。

如果用已感染病毒的软盘来启动的话，则会感染硬盘。

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

有的病毒会潜伏一段时间，等到它所设置的日期时才发作。

有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。

； 将 =： CD== 开 始 836 个 字 节 ； 9即 > 扇 区:转 移 到 内 存 高 端 ； /7== ： CD== 处 ； 初始化寄存器 ； 将内存容量大小字单元 ； 减 3， 即将内存高端截留 ； 3J1 以 存 放 病 毒 体
； 转移到正常的引导记录
96: 修 改 后 的 3!4 号 中 断
中断。 对于硬盘启动， 自举程序将硬盘物理第 . 扇1主引导 记 录 2 读 到 内 存 首 址 为 3： 开始执行硬盘 4533 的 区 域 处 ， 主引导程序， 找到激活分区， 并将 该 分 区 首 扇1引 导 扇2也 读 到 3： 然 后 转 移 到 3： 4533 处 1 自 身 下 移 2 ， 4533 处 执 行 引导记录。 对于软盘启动， 没有主引导记录， 自举程序直接将 % 盘 引 导 记 录 即 % 盘 3 面 3 道 . 扇 区 读 到 内 存 3： 4533 处， 执行引导记录。 引导记录引导操作系统， 操 作 系 统 完 成 对输 入 6 输 出 和内 核 等的 初 始 化 后 ， 整个启动过程结束。
DE2 0#> <#F <#F <#F <#F $I1 <#F <#F <#F <#F <#F <#F DE" >K?L <#F$( — ;5 — !0 ， !0 $$ ， !0 $? ， CD== "$ ， !0 !0 ， G=;3%H !0 ， ===3 G=;3%H ， !0 "2 ， CD== $2 ， "2 !0 ， /7== K$ ， !0 D0 ， =3==
； 控制权转移到内存高端， 继续 ； 执 行下 一 条 指 令 ； 将 @ 扇 区 内 容9修 改 后 的 ； 3%4 号 中 断 服 务 程 序 : 读 ； 入 内 存 高 端 /7== ： CK== ； 开始处

而且文件型病毒采用操作 系统功能调用的驻 留方法， 以取
得合法地位 。
Ｉ 感染机 理 ２
导型病毒 、 件型病 毒 、 文 复合 型病 毒 。弓导型病 毒是 寄生 ｆ
在操 作系统 中，文件 型病 毒是寄 生在可 执行 文件中，复合
型病 毒则是将 弓导型病 毒和文件 型病毒结 合在一起 ． Ｉ 它既 感染 文件，叉感染引导 区。但不管怎样分类 ， 毒程序的 病
汇编语言编写的 下面让 我们来分析一下各模块 的机理 １Ｉ 安装机理
也就是使 用进行磁 盘操作的 同时进行感 染操 作的方法 。
１ ３破坏机理
计算机病毒 的最 终 目的是破坏 ，其破坏手 段是删除和
修改数据 、占用系统 资源 、干 扰系统 的正 常运行等等 破 坏机制分 为两部分 ： 一是激 发控制 ， 当病毒满 足某个条件 时就发作，例如 ＣＨ 病毒 的发作条件 为 ４月 ２ Ｉ ６日，其变 种艋 奉的发作条件有 ６ ２ 和每 月 ２ 月 ６日 ６日；二是破坏操
作 ，不 同的病 毒有 不同的方法 ，有的病毒疯狂拷贝，有的
病毒程序是 没有文件名 的程 序，任何 一个 用户都不会 去运行一 个病毒 程序，因此 ， 病毒 程序必 需通过 自 的程 身
序实现 自安装 、自启动 。不同类 型的病毒 程序使用不同的 方法 自安装 弓导 型病毒是在 机器 启动时被安装 的 我们知道 ．计 ｆ
维普资讯
计 算机 时代
２０ 年 第 ３ ０２ 期
廖 智，伍萍辉
（ 湖南工程学院计算机科学 系 ４ １０） １１１ １计算机病毒程序模型和机理
计算 机病 毒程序按寄生方式 来分 ．可分 为三大类 ：引
一
个带病 毒的可执行程序时 ． 病２

6




4.蠕虫病毒 蠕虫病毒是一种通过网络进行传播的恶意病毒,它的出现相 对于木马病毒,宏病毒来说比较晚,但是无论从传播速度,传 播范围还是从破坏程度上来讲,蠕虫病毒都是以往的传统病 毒所无法比拟的. 它的传播主要体现在以下两个方面: (1)系统漏洞(利用微软的系统漏洞攻击计算机网络,网络中 的客户端感染这一类病毒后,会自动拨号上网,并利用文件 中的地址或者网络共享传播,从而导致网络服务遭到拒绝并 发生死锁,最终破坏用户大部分重要数据) (2)电子邮件(利用E-MAIL迅速传播,如求职者病毒等.)
7
蠕虫病毒的特点及发展趋势



利用操作系统和应用程序的漏洞主动进行 攻击 传播方式多样化(可以通过文件,电子邮 件,WEB服务器及网络共享等.) 病毒制作技术与传统病毒不同(许多新病 毒是利用当前最新的编程语言与编程技术 实现的,易于修改,从而可以产生新的变种, 因此可以逃避反病毒软件的搜索) 与黑客技术相结合
2

2.引导型病毒 引导型病毒利用引导扇区藏身,利用BIOS 数据区来使病毒代码常驻内存. 引导型病毒是在系统启动时,先于正常系统 的引导将其自身装入到系统中,这是因为这 类病毒侵占了系统磁盘的主引导区或者 DOS分区的引导扇区,而系统在启动时只 是机械地将这些扇区中的内容读到内存中, 这样病毒就可以获得对系统的控制权.
第2章 计算机病毒
1
2.3 常见的计算机病毒类型



1.文件型病毒 文件型病毒通常寄生在可执行文件(如 *.COM,*.EXE等)中,当这些文件被执行时,病毒 程序就会紧接着被执行. 非常驻型病毒(非常驻型病毒将自己寄生在 *.com,*.exe或者*.sys文件中.) 常驻型病毒(常驻型病毒驻留在内存当中,只要存 在可执行文件被执行,它就会对其进行感染,其效 果非常显著.将它赶出内存的唯一方式就是冷开 机,(完全关掉电源之后再毒的传染对象主要是硬盘的 主引导扇区及硬盘的DOS分区的引导扇区. 引导型病毒按其寄生对象的不同又可分为 两类,即覆盖型病毒和转移型病毒. 覆盖型病毒(该类病毒在传染磁盘引导区 时直接用自身代码覆盖原引导记录,但并不 触动分区表及检验标志,且不保留备份,启 动时由自身代码完成对系统的引导)

实验二引导型病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

二实验内容1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

2.DOS 运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

三预备知识本实验需要如下的预备知识：1. 引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2. BIOS 常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

四实验环境VMWare Workstation 5.5.3 或者8.0 均可MS.DOS 7.10实验素材：experiments 目录下的bootvirus 目录。

2.4 实验步骤第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10 环境。

安装步骤参考附录。

第二步：软盘感染硬盘（1）运行虚拟机，检查目前虚拟硬盘是否含有病毒。

（2）复制含有病毒的虚拟软盘virus.img（3）将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，。

第三步：验证硬盘已经被感染(1) 取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。

（2）按任意键后正常引导了DOS 系统，如图2.5 所示。

此时，硬盘已经被感染。

第四步：硬盘感染软盘(1)下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，但该显示一瞬即逝，很快又变成了病毒的画面。

（2）取出虚拟软盘，从硬盘启动，通过命令formatA:q 快速格式化软盘。

可能提示出错，这时只要按下R 键即可.五实验思考a) 如何检测一个硬盘是否感染了引导病毒？答：主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。