《病毒工作原理简介》由会员分享,可在线阅读,更多相关《病毒工作原理简介(2页珍藏版)》请在金锄头文库上搜索。
1、1.病毒的工作原理病毒是一个程序,一段人为编制的计算机程序代码。它通过想办法在正常程序运行之前运行,并处于特权级状态。这段程序代码一旦进入计算机并得以执行,对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一
2、切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,
3、计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。 大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k 字节,而 PC 机对 DOS文件的存取速度可达每秒几百 KB 以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然,最
4、令人难忘的便是26日发作的 CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT 等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。2(1)感染用户程序的计算机病毒工作原理感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用
5、程序进行传染。这种病毒在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就链接在应用程序中, 完成传染, 返回正常的应用程序并继续执行。(2)感染操作系统文件的计算机病毒感染操作系统文件的计算机病毒的传染方式,是通过与操作系统中所有的模块或程序链接来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。病毒进入内存后就判断是否满足条件时则进行传染。(3)感染磁盘引导扇区的计算机病毒感染磁盘引导扇区的病毒的传染方式, 从实质上讲 Boot
6、 区传染的病毒是将其自身附加到软盘或硬盘的 Boot 扇区的引导程序中, 并将病毒的全部或部分存入引导扇区512B 之中。这种病毒是在系统启动的时候进入内存中, 并取得控制权, 在系统运行的任何时刻都会保持对系统的控制, 时刻监视着系统中使用的新软盘。当一片新的软盘插入系统进行第一次读写时, 病毒就将其传输出该软盘的 0 扇区中, 而后将传染下一个使用该软盘的系统。通过感染病毒的软盘对系统进行引导是这种病毒传染的主要途径。3在潜伏阶段,病毒程序处于休眠状态,用户根本感觉不到病毒的存在,但并非所有病毒均会经历潜伏阶段。如果某些事件发生(如特定的日期、某个特定的程序被执行等) ,病毒就会被激活,并
7、从而进入传染阶段。处于传染阶段的病毒,将感染其他程序将自身程序复制到其他程序或者磁盘的某个区域上。经过传染阶段,病毒程序已经具备运行的条件,一旦病毒被激活,则进入触发阶段4 计算机病毒的组成模块:1引导模块:实现将计算机病毒程序引入计算机内存,并使得传染和表现模块处于活动状态。引导模块必须具备的功能:引导模块需要提供自我保护功能,避免在内存中的自身代码不被覆盖或清除计算机病毒程序引入内存后为传染模块和表现模块设置相应的启动条件,以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块2感染模块:感染条件判断子模块:依据引导模块设置的传染条件,判断当前系统环境是否满足传染条件传染功能实现子模块:如果传染条件满足,则启动传染功能,将计算机病毒程序附加在其他宿主程序上3表现模块:表现条件判断子模块:依据引导模块设置的触发条件,判断当前系统环境是否满足触发条件表现功能实现子模块:如果触发条件满足,则启动计算机病毒程序,按照预定的计划执行潜伏阶段传染阶段触发阶段发作阶段潜伏期结束传染结束触发条件
