菜鳥課堂:遇亂不慌 淺談電腦病毒傳染過程

【賽迪網-IT技術報道】病毒給大家帶來的太多的危害，所有使用電腦的人幾乎都中過病毒。中毒讓我們心有餘息。如何殺毒，如何防範，成為了重要的話題。今天給大家介紹一下病毒傳染的一般過程，讓大家在使用電腦之時，對中毒有一點認識和防範意識。

首先，在系統運行時, 病毒通過病毒載體即系統的外儲存器進入系統的記憶體儲器, 常駐記憶體。該病毒在系統記憶體中監視系統的運行, 當它發現有攻擊的目標存在並滿足條件時,便從記憶體中將自身存入被攻擊的目標, 從而將病毒進行傳播。 而病毒利用系統INT 13H讀寫硬碟的中斷又將其寫入系統的外儲存器軟盤或硬碟中, 再感染其他系統。

可執行文件感染病毒後又怎樣感染新的可執行文件?

可執行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入記憶體的條件是在執行被傳染的文件時進入記憶體的。

一旦進入記憶體,便開始監視系統的運行。當它發現被傳染的目標時, 進行如下操作：

（1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒；

（2）當條件滿足, 利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間, 並存大硬碟中；

（3）完成傳染後, 繼續監視系統的運行, 試圖尋找新的攻擊目標。

操作系統型病毒是怎樣進行傳染的?

正常的PC DOS啟動過程是：

（1）加電開機後進入系統的檢測程序並執行該程序對系統的基本設備進行檢測；

（2）檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到記憶體的0000: 7C00處；

（3）轉入Boot執行之；

（4）Boot判斷是否為系統盤, 如果不是系統盤則提示:

non-system disk or disk error Replace and strike any key when ready

否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件；

（5）執行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入記憶體；

（6）系統正常運行, DOS啟動成功。

如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為：

（1）將Boot區中病毒代碼首先讀入記憶體的0000: 7C00處；

（2）病毒將自身全部代碼讀入記憶體的某一安全地區、常駐記憶體, 監視系統的運行；

（3）修改INT 13H中斷服務處理程序的入口地址, 使之指向病毒控制模塊並執行之。因為任何一種病毒要感染軟盤或者硬碟,都離不開對硬碟的讀寫操作, 修改INT13H中斷服務程序的入口地址是一項少不了的操作；

（4）病毒程序全部被讀入記憶體後才讀入正常的Boot內容到記憶體的0000: 7C00處, 進行正常的啟動過程；

（5）病毒程序伺機等待隨時準備感染新的系統盤或非系統盤。

如果發現有可攻擊的對象, 病毒要進行下列的工作：

（1）將目標盤的引導扇區讀入記憶體, 對該盤進行判別是否傳染了病毒；

（2）當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的硬碟的引導區程序寫入硬碟特寫位置；

（3）返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染

結束語：

上面介紹了傳染病毒的過程。希望大家看了之時能有所收穫。在遇到傳染病毒時不必手忙腳亂了！

(