4.文件型病毒传染机理
当执行被传染的.COM或.EXE可执行文件时,病毒驻人内存。一旦病毒驻人内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足,利用INT 13H将病毒链接到可执行文件的首部或尾部或中间,并存入磁盘中;
(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
文件型病毒通过与磁盘文件有关的操作进行传染,主要传染途径有:
(1)加载执行文件
文件型病毒驻内存后,通过其所截获的INT 21中断检查每一个加载运行可执行文件进行传染。
加载传染方式每次传染一个文件,即用户准备运行的那个文件,传染不到那些用户没有使用的文件。
(2)列目录过程
一些病毒编制者可能感到加载传染方式每次传染一个文件速度较慢,不够过瘾,于是后来造出通过列目录传染的病毒。
在用户列硬盘目录的时候,病毒检查每一个文件的扩展名,如果是可执行文件就调用病毒的传染模块进行传染。
这样病毒可以一次传染硬盘一个于目录下的全部可执行文件。DIR是最常用的DOS命令,每次传染的文件又多,所以病毒的扩散速度很快,往往在短时间内传遍整个硬盘。
对于软盘而言,由于读写速度比硬盘慢得多,如果一次传染多个文件所费时间较长,容易被用户发现,所以病毒“忍痛放弃了一些传染机会,采用列一次目录只传染一个文件的方式。
(3)创建文件过程
创建文件是DOS内部的一项操作,功能是在磁盘上建立一个新文件。 已经发现利用创建文件过程把病毒附加到新文件上去的病毒,这种传染方式更为隐蔽狡猾。
因为加载传染和列目录传染都是病毒感染磁盘上原有的文件,细心的用户往往会发现文件染毒前后长度的变化,从而暴露病毒的踪迹。而创建文件的传染手段却造成了新文件生来带毒的奇观。
好在一般用户很少去创建一个可执行文件,但经常使用各种编译、连接工具的计算机专业工作者应该注意文件型病毒发展的这一动向,特别在商品软件最后生成阶段严防此类病毒。
文章来自:电脑万事通_www.mypchelp.cn, 详文参考:http://www.mypchelp.cn/it/200712/528.shtml
标签: 病毒
